Seit 31. März 2008 treten wir unter dem Markennamen “Bank Austria” auf.
Wir haben daher eine neue Adresse, bitte verwenden Sie künftig www.bankaustria.at.
Aktualisieren Sie gegebenenfalls auch Ihre Bookmarks.
[…]
Wollen Sie www.bankaustria.at zur Startseite machen? Klicken Sie bitte hier.

Nein, ich möchte bankaustria.at nicht zu meiner neuen Startseite machen… ich wollte eigentlich nur kurz ins Online-Konto einsteigen und eine Stromrechnung überweisen. Zu meinem nicht geringen Erstaunen allerdings brachte mich der Klick auf Online-Konto zu folgender Adresse: https://online.ba-ca.com/bach/de/login/index.html

Tja… ich versteh ja eh, dass es nicht so einfach ist, derart komplexe Domainumstellungen abzuwickeln: Zertifikate wollen upgedatet werden, High-Level Security ist (hoffentlich) involviert… also alles eine Frage des Projektmanagements. Namen sind ja bekanntlich Schall und Rauch, und die meisten ÖsterreichInnen achten beim Online-Banking ja ohnehin rudimentär auf Sicherheit. So ziemlich das einzige Kriterium, das offizielle Online-Konten von den meisten Spam– und Phishing-Versuchen unterscheidet, ist die URL: weicht die vom Original ab, dann hat man’s vermutlich mit einem Fake zu tun.

Nun denn, ich bin seit über 10 Jahren Kunde der BA (die’s konsequent seit Jahren trotz mehrmaliger Nachfrage nicht schafft, mir ein Angebot für ein KMU Firmenkonto zu unterbreiten) und kenne die URL. Aber ich frage mich: inwieweit sollte man einem Unternehmen, das auf der Startseite die Umbenennung der URL kommuniziert und das Online-Banking unter der alten Adresse weiterlaufen lässt, Kompetenz in Sachen Online-Security zutrauen? Most peculiar!

Die Wiederherstellung kostete sage und schreibe 200.000$ — nach dem Entschwinden der Daten ins digitale Nirvana stellte sich heraus, dass ausschließlich Backups auf Papier verfügbar waren. [via Azstarnet]:

JUNEAU, Alaska — Perhaps you know that sinking feeling when a single keystroke accidentally destroys hours of work. Now imagine wiping out a disk drive containing information for an account worth $38 billion. That’s what happened to a computer technician reformatting a disk drive at the Alaska Department of Revenue.
While doing routine maintenance work, the technician accidentally deleted applicant information for an oil-funded account — one of Alaska residents’ biggest perks — and mistakenly reformatted the backup drive, as well.

Die Qualitätskontrolle beim Abschreiben muss ein anstregender Job gewesen sein…

Den umfangreichen Text gibt’s auch als pdf-Version — Schneier beschäftigt sich auf grundlegendem Level mit Fragen der subjektiven und objektiven Sicherheit:

You can be secure even though you don’t feel secure. And you can feel secure even though you’re not. The feeling and reality of security are certainly related to each other, but they’re just as certainly not the same as each other. We’d probably be better off if we had two different words for them. This essay is my initial attempt to explore the feeling of security: where it comes from, how it works, and why it diverges from the reality of security.

Stammleser des Amerikaners, der seit Jahren erstklassig aufbereitetes Fachwissen in seinem Blog und via crypto-gram Newsletter (erscheint seit 1998, ich hab ihn dank eines Tipps auf der nettime-Liste seit Ausgabe #1 abonniert) leicht verständlich vermittelt, kennen die kritische Sichtweise Schneiers in bezug auf Scheinsicherheit und sein Eintreten für die Wahrung der Privatsphäre.

Da Sicherheit im Zeiten von Terrorangst und bisher ungeahnten Überwachungsmöglichkeiten ein Thema darstellt, das sich ob seiner Komplexität nicht leicht vermitteln lässt, kann die Lektüre des Textes jedem politisch mündigen Bürger als seriöse Entscheidungsgrundlage nur dringend empfohlen werden, denn, wie Schneier schreibt:

It’s my contention that these irrational [security] trade-offs can be explained by psychology. That something inherent in how our brains work makes us more likely to be afraid of flying than of driving, and more likely to want to spend money, time, and other resources mitigating the risks of terrorism than those of food poisoning. And moreover, that these seeming irrationalities have a good evolutionary reason for existing: they’ve served our species well in the past. Understanding what they are, why they exist, and why they’re failing us now is critical to understanding how we make security decisions. It’s critical to understanding why, as a successful species on the planet, we make so many bad security trade-offs.

Das Problem lässt sich allerdings mit Sicherheit nicht auf eine Schuhmarke reduzieren. RFID Tags sorgen eben nicht nur für die lückenlose Einhaltung der Kühlkette, sondern sind nebenbei viel praktischer als die lästigen Handys, bei denen nur die Netzbetreiber und die Obrigkeit an alle Daten herankommen.