M94,5 wird abgeschaltet

Meinem ehemaligen Aus-und Fortbildungs-Radiosender M94,5, bei dem ich das Handwerk gelernt habe und viele Jahre verbracht habe, droht die Abschaltung seiner UKW-Frequenz 94,5MHz. Die BLM, die für die Vergabe zuständig ist, will die Frequenz wohl an Rock Antenne vergeben, einen Zweitverwertungssender von Antenne Bayern, einem unhörbaren Formatradioungetüm.

Die Erklärung der BLM ist freilich blanker Hohn – die Abschaltung ist wohl schon beschlossene Sache.

Im Hörfunkausschuss am 9. Februar 2017 wird es darum gehen, die Münchner UKW-Frequenz 94,5 MHz möglichweise einem anderen Programm zuzuweisen. Die Ausstrahlung von afk M94.5 über DAB+ und Internet bliebe selbstverständlich weiterhin erhalten. An der potenziellen technischen Reichweite würde sich nichts ändern. Aus Sicht der Landes­zentrale ist die UKW-Frequenz nicht nötig, um die Ausbildungsziele zu erreichen. Vielmehr sieht die BLM den afk als eine Speerspitze der digitalen Entwicklung.

Der BLM liegen Interessensbekundungen von Rock Antenne und egoFM für die UKW-Frequenz 94,5 MHz vor, die beide als Satellitenhörfunkprogramme grundsätzlich UKW-Stützfrequenzen erhalten können.

Zur Weiterentwicklung der Aus- und Fortbildungskanäle bedarf es strategischer Partnerschaften mit den privaten Hörfunkanbietern, wozu sowohl die Rock Antenne als auch egoFM einen wesentlichen Beitrag leisten können.

Übersetzung: Rock Antenne bekommt die Frequenz, egoFM ist in München ohnehin flächendeckend auf der 100,8MHz zu empfangen. Das kommt einer Abschaltung von M94,5 gleich. DAB+ hat vergleichsweise keine Empfangsgeräte, per Internet hat mobiles Radiostreaming dank restriktiver Mobilfunkverträge in Deutschland praktisch keine Relevanz. Wer glaubt, ein Radiosender ohne UKW-Frequenz hätte zur Zeit eine Chance, gehört zu werden, sei auf die Probleme verwiesen, die BR Puls hat: Nämlich keine Hörer. Und ohne Hörer kann man den Laden auch gleich ganz dichtmachen.

Deutschland hat digitalen Rundfunk verschlafen, eine FM-Abschaltung wird noch Jahrzehnte dauern, und das Aufsichtsorgan will dem einzigen Ausbildungssender seine Hörer nehmen und stattdessen lieber Rock Antenne den TKP um ein paar Cent erhöhen. Das ist unglaublich kurzsichtig und hat einen sehr unangenehmen Beigeschmack von “strategischer Partnerschaft” zwischen Antenne und der BLM.

Ich bitte deswegen meine Hörer um Unterstützung von M94,5, ohne das es weder Bits und so, noch die Sprechkabine, noch Walulis sieht fern, noch viele weitere Kollegen gäbe, die ihren Einstieg ins Mediengeschäft bei M94,5 gefunden haben.

Petition unterzeichnen: “Wir bitten um den Erhalt des Ausbildungsradios m94.5 als UKW”

Mitteilung von M94,5: Die Folgen eines möglichen Frequenzverlusts

“Mythos” Speedport-Hack

Die Telekom hat eine eigene Darstellung des Ausfalls veröffentlicht:

Mythos offene Schnittstelle: Was wirklich geschah

Kein Mythos. Der Port war offen. Wäre er nicht offen gewesen, wäre nichts passiert.

Der ACS hat das Endgerät dazu aufgefordert, sich bei ihm zu melden. Diese „Anklopffunktion“ wird im TR-069 Standard als sogenannter „Connection Request“ beschrieben.
Damit der Connection Request funktionieren kann, muss das Endgerät für den ACS über das Internet erreichbar sein. Laut Standard ist hierfür der Port 7547/tcp vorgesehen, der auch von allen Speedport Routern dazu genutzt wird. Das Auslösen des Connection Requests erfolgt über das HTTP Protokoll. Bei den Speedport Routern ist dieser Mechanismus durch verschiedene Sicherheitsfunktionen gegen Missbrauch geschützt. Beispielsweise muss der ACS sich gegenüber dem Endgerät mittels eines geräteindividuellen Passworts authentifizieren.

Das Endgerät muss nicht aus dem Internet erreichbar sein, es muss für den ACS der Telekom und für sonst niemanden erreichbar sein. Wie diese Einschränkung umgesetzt wird, sei dahingestellt. Sollten sich die Provider wirklich nicht von der “Fernwartung” trennen können, scheint ein Wartungs-VLAN eine denkbare Lösung zu sein, das den Port aus dem Internet nicht erreichbar macht.

Nochmals: Das Auslösen eines Connection Requests bewirkt, dass das Endgerät eine sichere Verbindung zum vorkonfigurierten ACS der Deutschen Telekom aufbaut. Der Connection Request ermöglicht grundsätzlich keinen Zugriff auf das Datenmodell des Endgerätes.

Nochmals: Plastikrouter ohne nennenswerte Sicherheitsupdates mit offenen Ports ins Internet zu stellen, ist eine schlechte Idee.

Die aktuellen Angriffe betreffen jedoch nicht den ACS, sondern den Endpunkt für den Connection Request auf dem Endgerät, der über Port 7547/tcp erreicht werden kann. Die hierbei verwendete Angriffsmethodik ist neu und war bis dato nicht bekannt. Nach aktueller Sachlage basiert diese auf einer Veröffentlichung im Internet von Anfang November 2016.

Das grundsätzliche Problem ist die schlecht abgesicherte Software auf Kundenseite. Ein konkreter Angriff muss nicht bekannt sein, um festzustellen, dass die eigene Hardware betroffen sein könnte.

Heise dazu im Jahr 2014:

Ein weiteres Problem sei die Qualität der ausufernden Spezifikation von TR-069. Sie sieht zwar beispielsweise eine per SSL/TLS gesicherte Verbindung zwischen ACS und Endgeräten vor – aber fahrlässigerweise nur als Empfehlung.

Der Forscher untersuchte auch einige hundert URLs, die ISPs zur Kommunikation zwischen Endgerät und ACS verwenden. Ergebnis: 81 Prozent aller Verbindungen finden ungesichert per HTTP statt. “Damit genügt im Prinzip ein einzelnes, korrekt zusammengesetztes Paket, um einen Update mit manipulierter Firmware auszulösen”, so Tal.

Aber selbst wenn TLS zum Einsatz kommt, gibt es Probleme: Ein von Tal untersuchtes DSL-Modem habe beliebige, selbstsignierte TLS-Zertifikate akzeptiert. Damit sei eine Man-in-the-Middle-Attacke möglich, bei der sich der Angreifer als ACS ausgibt. Problematisch sei auch, dass viele ISPs die TR-069 betreffenden Einstellungen in den Routern verstecken und sachverständigen Kunden somit keine Chance lassen, die Konfiguration selbst zu prüfen oder zu ändern.

Ich halte TR-069 für eine grundsätzlich sehr schlechte Idee, die aus dem CPE-Denken der Provider herrührt, die Box auf Kundenseite sei Teil des Providernetzes.

Wieder die Telekom:

Der aktuelle großflächige Angriff war nicht spezifisch für die Speedport Router der Deutschen Telekom ausgelegt, d.h. er nutzt keine Schwachstelle in den Speedport Routern der Deutschen Telekom aus. Nach aktuellem Kenntnisstand sind keine Speedport Router von der im Internet publizierten Problematik betroffen, d.h. es ist nicht möglich, mit dieser Methodik eine Schadsoftware auf einem Speedport Router zur Ausführung zu bringen.

“From the department of not-my-problem” ist hier eine schlechte Ausrede. Der nächste Angriff funktioniert vielleicht, und dann ist eben nicht eine Million Router abgestürzt, sondern beteiligt sich mit permanent gehackter Firmware an einem DDOS. Was dann? Millionen Geräte tauschen, Anschlüsse sperren, Brennpunkt in der ARD.

Heise:

Versäumnis der Telekom
Fehler kann man der Telekom natürlich trotzdem vorwerfen: Der Fernwartungs-Port TR-069 hätte nicht offen aus dem Internet erreichbar sein dürfen. Auch wenn die Router für die aktuellen Angriffe nicht anfällig waren, kann man gerade bei einem solchen selbstgestrickten Betriebssystem mit proprietärer TR-069-Implentierung getrost davon ausgehen, dass es andere Sicherheitslücken aufweist, die sich missbrauchen lassen. Weinmann deutet auch bereits an, weitere Fehler gefunden und der Telekom gemeldet zu haben.

Kommentar von Nico Ernst bei Heise, dem ich mich anschließen kann:

Die Fernwartung von Routern über die TR-Protokolle darf als gescheitert angesehen werden. Kriminelle haben die millionenfach vorhandenen Plastikkästchen als Angriffsziel entdeckt, die Attacken galten nicht allein manchen Speedport-Modellen der Telekom. Vielmehr handelt es sich um einen Schrotschuss auf alles, was über den Port 7547 per Internet erreichbar ist.

Man darf wohl davon ausgehen, dass diese und die zahlreichen weiteren Lücken in den TR-Protokollen der Telekom bekannt waren. Sonst wäre kaum eine so schnelle Anhilfe durch neue Firmware möglich gewesen. Schon weniger als 24 Stunden nach Bekanntwerden der Angriffe verteilte die Telekom die neuen Versionen

Netzpolitik.org:

Was hat die Telekom falsch gemacht?

Der TR-069-Port hätte über das Internet nicht von arbiträren IP-Adressen erreichbar sein dürfen – dafür gibt es ACLs, Firewalls und getrennte Management-Netze. Darauf wurde die Telekom schon 2014 von ihren eigenen Kunden aufmerksam gemacht.

Ergebnis [ist] der Ausfall von fast einer Million Internet-Anschlüsse ist, der nicht verharmlost werden sollte: Er konnte sogar ohne Absicht des Angreifers ausgelöst werden.

Der nächste Angriff auf die 18 Millionen DSL-Anschlüsse in Deutschland ist vielleicht ernstgemeint. Per Pressemitteilung die eigene Verantwortung abzuwälzen, hinterlässt schlechte Gefühle.

Wenigstens der Telekom-Chef hat wohl das Memo gelesen, bevor es durch die PR-Abteilung ging und sagt:

Speedport-Hack – Telekom kannte die Schwachstelle

Ein Detail zu dem großflächigen Ausfall bei Telekom-DSL-Kunden gestern, das in den Mainstream-Berichten häufig fehlt:

Heise:

Es sieht alles danach aus, als ob es sich um eine Variation der TR-069-Lücke handelt, die bereits 2014 von CheckPoint publik gemacht worden war. Zu diesem Zeitpunkt hatten deutsche Provider (darunter auch die Telekom) ihre Netze für sicher erklärt.

Die grundsätzliche Problematik der TR-069/064 Fernwartungs-Schnittstelle war seit mindestens zwei Jahren öffentlich bekannt und betrifft potentiell nicht nur die gestern betroffenen Speedport-Router, sondern alle Arten von Routern.

Der gestrige Ausfall erscheint mir also durchaus T-hausgemacht, und hätte leicht präventiv verhindert werden können, denn:

Internet-Verkehr wurde auf den dafür genutzten Port 7547 an die Router durchgeleitet. Ein legitimer Anwendungsfall dafür mag sich mir nicht erschließen.

Das grundsätzliche Problem war bekannt, und die Gegenmaßnahmen im eigenen Netz waren unzureichend. Wenn Angriffe auf diesem Port seit Jahren bekannt sind, und ein legitimer Zugriff nur aus dem Support-Netz der Telekom stammen dürfte, hätte der Port schon seit Jahren für Zugriffe aus dem Internet gesperrt sein müssen.

Die Aussagen der Telekom-Sprecher verschleiern die eigene Fahrlässigkeit.

Tagesschau

Die Fernwartung (“Easy Support” bei der Telekom) ließ sich lange auf gemieteten Speedports nicht deaktivieren. Das geht laut Dokumentation inzwischen. Update: Ist allerdings vertraglich bei Mietroutern weiterhin untersagt.

Eine wirkungsvoller Workaround wäre vermutlich schon am Sonntag gewesen: Router ohne DSL-Kabel booten, Fernwartung deaktivieren. Aber das hätte nur zusätzlichen Support-Aufwand in der Zukunft verursacht oder weitere Sicherheitsupdates verhindert, weil das Auto-Update nicht mehr angestoßen werden kann. Die Fernwartungs-Schnittstelle stellt ein großes Risiko dar und offener Zugriff darauf aus dem Internet hätte schon seit mindestens zwei Jahren aufgegeben werden sollen.

Details zum Angriff beim ISC

Tim Cook on iPod Classic and Mac Pro (2014)

From the Q&A at WSJD Live, November 2014. Starts at 28:45 in the video.

Q: [Why did you kill the iPod Classic 160GB?]

Tim Cook: “Because we couldn’t get the parts anymore. Not even anywhere, they’re not made anymore. And so we had the choice of either of doing a total redesign, a totally new project. Or try to get people to go to the iPod touch, if they wanted a sort of dedicated music device. iPod touch is not really a dedicated music device, but I think you know what I’m saying. We’re shipping a lot of flash in it now. You can get almost all the ones that you get on your Classic. Not quite yet. Over time, that might change. And so, it wasn’t a matter of where I was swinging the axe saying, let me see what I can kill today.
The engineering work to design a whole new product was pretty massive. And the number of people who wanted it, very small. Sometimes we decide to do those anyway, like Mac Pro. We’re doing those for our creative customers, but in the case of iPod [Classic] I felt that there are reasonable alternatives there and I’m sorry if you didn’t feel that way, because I want to keep you as a customer. But that was the rationale.”

To put it in other words: The Mac Pro wasn’t making enough money to justify the 2013 redesign in the first place from a pure business perspective. But they did it anyway for their creative customers. Is the MacBook Pro 2016 a reasonable enough alternative?

Amazon Dash Button mit Kindersicherung

Amazon hat seinen kostenlosen IoT-Button “Dash” vor einigen Tagen in Deutschland gestartet. Nach der ersten Bestellung von Rasierklingen lässt er sich aber auch für sinnvollere Smart-Home-Aktionen umfunktionieren.

Das ist ausführlichst im Netz für die erste Hard- und Software-Revision des Buttons von 2015 dokumentiert, der in den USA verkauft wurde. Allerdings gibt es in der zweiten Revision Änderungen, die das wohl etwas erschweren möchten. Sprich: Das einfache Setup per Browser wird nicht mehr unterstützt und jeder Button wird an einen Amazon-Account geknüpft, der sich beschwert, wenn man kein Produkt für den Button ausgewählt hat. Positiv bei der zweiten Revision: Es müsste eine nicht festgeschweißte Batterie verbaut sein, die sich leichter tauschen lässt, wenn man denn das Gehäuse halbwegs zerstörungsfrei öffnen kann.

Mit einer einfachen Kindersicherung in der Fritzbox lässt sich dem Button nach der halben Ersteinrichtung (Wifi ja, Produkt nein) aber der Zugang zu amazon.com leicht abdrehen, die die unerwünschten Kauferinnerungen auf dem Smartphone wirkungsvoll unterbinden. Im Zugangsprofil müssen “HTTPS-Abfragen” deaktiviert werden und eine Blacklist auf “amazon.com” gesetzt werden.

Mit etwas Heißluft lässt sich das Label auch leicht ablösen und durch ein eigenes ersetzen.

Ein kleiner ARP-Sniffer im lokalen Netz hört auf die MAC-Adresse des Buttons und kann dann eine Aktion auslösen. Das ist nicht besonders elegant, funktioniert aber recht zuverlässig. Die Auswahl auf Github ist üppig.

Ich hoffe, Amazon verkauft auch bald den eigens dafür gedachten IoT-Button in Deutschland, der diesen Hack unnötig macht. Wer wieder Rasierklingen haben möchte, entfernt einfach die Kindersicherung wieder und vervollständigt das Setup des “gehackten” Buttons in der Amazon-App.

Statt Paydirekt: Zaster

Paydirekt ist Murks, Made in Germany. Zurück ans Reißbrett, wir entwerfen ZASTER (schnell Zahlen An Shops ansTelle schrEcklicher voRkasse).

Das Ziel ist es, kostengünstig Online-Shops mit dem Online-Banking zu verbinden.
Das ist unter anderem auch reiner Eigennutz, denn ich verliere erhebliche Gebühren sowohl an Apples App Store, als auch an Kreditkarten und PayPal, worüber ein Großteil meiner Umsätze im Shop läuft. Und auch als Konsument verzweifle ich ab und an über Online-Shops, die dank sehr dünner Margen erheblichen Aufpreis für Zahlungsmethoden verlangen, die nicht Vorkasse sind.

Der Kunde wünscht einen schnellen Einkauf und schnelle Lieferung. Deswegen sind die Nachteile der nahezu kostenfreien Vorkasse-Überweisung:

  1. Die fehlende Schnittstelle vom Shop in das Onlinebanking, der Kunde muss das Formular von Hand ausfüllen
  2. Die Überweisung, die im Anschluss oft tagelang unterwegs ist

Sofort umgeht diese Probleme und kassiert dafür eine stattliche Gebühr dafür, dass sie

  1. Die Schnittstelle vom Shop in das Online-Banking bereitstellen, nämlich einen Scraper, der anstelle des Kunden den Überweisungsträger ausfüllt
  2. Und dem Shop garantiert, dass die Überweisung unwiederbringlich abgeschickt wurde, indem die TAN anstelle des Kunden in das Online-Banking getippt wird

Wir müssen also

  1. Eine Schnittstelle von dem Shop in das Online-Banking schaffen
  2. Dem Shop garantieren, dass die Überweisung erfolgreich abgeschickt wurde

Der aufmerksame Leser wird das Prinzip jetzt durchschaut haben. Es braucht keinen Abschluss in BWL oder ein Team von Beratern, um sich den Rest auszudenken.

Oder man wirft einfach einen Blick über die Grenze in die Niederlande.

Die Lösung dort heißt iDEAL, sie bietet

  1. Eine Schnittstelle vom Shop in das Online-Banking
  2. Garantiert dem Shop, dass die Überweisung erfolgreich abgeschickt wurde

Auf unser fiktives Zaster angewandt bedeutet das:

  1. Der Shop übermittelt die Zahlungsdaten an Zaster, und erhält im Gegenzug ein Token, mit dem er den Käufer an den Zaster-Server weiterleitet
  2. Der Käufer gibt seine BIC (oder IBAN) ein und wird zum Online-Banking seiner Bank weitergeleitet
  3. Der Käufer loggt sich in sein Online-Banking ein und findet die Überweisung bereits ausgefüllt vor, legitimiert sich per TAN
  4. Die Bank leitet den Käufer zurück in den Shop und bestätigt dem Shop mit dem Token, dass das Geld unwiederbringlich unterwegs zu ihm ist
  5. Der Shop kann am gleichen Tag die Ware abschicken

Das ist nicht ganz unähnlich zu GiroPay, das allerdings auch keine Rolle spielt. Jetzt wäre die Chance für einen Neustart, denn den Banken und Paydirekt selbst sollte die schlechte Lage wohl intern durchaus bewusst sein.

Die großen Vorteile wären:

  • Keinerlei Kosten für Tigerleggings-Endkunden-Marketing bei Olymischen Spielen
  • Kein Login, denn jede IBAN mit Online-Banking ist schon Zaster-fähig
  • Tatsächliche Kosten: 100 Euro pro Monat für einen Server in einem deutschen Rechenzentrum und 5000 Euro für einen Full Stack-Developer/DevOps-Administrator. Wir runden auf: 100.000 Euro im Jahr
  • Self-Serve Sign-On für die Shops. Legt noch 50000 Euro für 10 Shop-Plugins im ersten Jahr drauf
  • Die Geschwindigkeit von Sofort, ohne weitere Kosten

Ein weiterer Login für Paydirekt ist Wahnsinn. Viele Leute kennen kaum den Unterschied zwischen ihrem Login für den App Store und ihre Email. Was hat in der breiten Masse funktioniert? WhatsApp. Die Anmeldung läuft dort einfach über die Telefonnummer. Mit großen Mühen haben die Banken im Zuge der SEPA-Umstellung die IBAN unter die Leute gebracht. Warum nicht diesen "Login" in Verbindung mit dem Online-Banking nutzen?

Für die 100 Millionen Euro, die schon in Paydirekt versenkt worden sind, könnte man Zaster also 1000 Jahre betreiben. Aber es geht um ineffiziente Banken. Selbst mit einem Geldverschwendungs-Faktor von 10 oder 100 würde es sich vergleichsweise unendlich lang selbst tragen. Auf Seite der Banken wäre nur eine API nötig, die die Daten von Zaster entgegennimmt und einen Ping zurückschickt mit dem Ergebnis der Überweisung. Wer mitspielen will, gibt seinen Online-Banking-Entwicklern für eine Woche eine kleine Aufgabe.

iDEAL ist nicht so ideal, wie es der Name impliziert, aber wir könnten von den Nachbarn lernen. Wikipedia berichtet von Verfügbarkeitsproblemen. Wir legen einfach noch einen zweiten Server dazu.

Die Anmeldung muss noch einfacher sein (Self-Serve, mit Demo-Code), und die Gebühren müssen niedrig sein. iDEAL nimmt größenordnungsmäßig 20 Cent für eine Transaktion, hinter einem Dienstleister vielleicht 50 Cent.

PayPal hat in den ersten Jahren Millionen Dollar an Neukunden verschenkt, um den Fuß in die Tür zu bekommen. MasterCard hat das Memo bekommen, die hauseigene PayPal-Konkurrenz MasterPass lockt Neukunden mit Dutzenden von Euro Rabatt auf den ersten Kauf. Die Banken haben die Kunden schon, sie müssen ihnen nur zwei Klicks sparen und zwei Tage Wartezeit auf das Paket. Das Online-Banking ist etabliert, die Sicherheits-Infrastruktur mit TANs und SMS und Kram steht. Und den Händlern Gebühren ersparen, nicht den Weg versperren wie bei Paydirekt.

Wir haben in Deutschland einen Rückstand von knapp 20 Jahren auf PayPal, der aufgeholt werden will. Zaster könnte 5 oder 10 Jahre komplett gebührenfrei für den Händler laufen, danach könnte man über Gebühren im kleinen Cent-Bereich nachdenken. Wer im Jahr 2015 mit Gebühren einsteigt, die höher sind als die von PayPal, muss sich seinen Kopf untersuchen lassen. Selbst mit 0,1% Gebühren hätte Zaster leicht ein Gebührenpotential von über 5 Millionen Euro im Jahr.

Die Händler, die da nicht sofort aufspringen, möchte ich sehen. Ich wäre dabei.

Die deutschen Banken haben in den 1980ern mit BTX einen großen Schritt in das Online-Banking gewagt und seitdem alles komplett verschlafen. Jetzt wäre die Chance, Online-Shopping von einem Tag auf den anderen komplett zu revolutionieren und den Mittelsmännern gehörig das Geschäft schwierig zu machen. iDEAL hat in den Niederlanden einen Anteil an den Online-Umsätzen von über 50%. Paydirekt braucht nach einem Jahr viele Nachkommastellen, um seinen Anteil anzugeben.

Zaster ist so offensichtlich, dass es weh tut. Jede Bank, die das implementieren möchte, ist aber trotzdem herzlich eingeladen, mir absurde Beratungshonorare zu bezahlen. Über 44 Milliarden Euro Umsatz jährlich und rund 1 Milliarde eingesparte Gebühren für deutsche Online-Händler warten. Alternativ kann Paydirekt schnurstracks und peinlich in den Abgrund manövriert werden, und unendlich viel Geld für nichts versenkt werden.

Nach einem Jahr Paydirekt

Paydirekt-Kundin in Tigerleggings Bild: Sparkasse
Paydirekt-Kundin in “Tigerleggings”
Bild: Sparkasse

Fragt man Paydirekt oder das marketingstarke Zugpferd, die Sparkasse, was das überhaupt soll, kommt folgende Antwort:

Positioniert hat sich Paydirekt gegen PayPal, wenngleich der viel passendere Vergleich eigentlich SofortÜberweisung gewesen wäre. Nur ist das Image von PayPal in Deutschland aus mir nicht nachvollziehbaren Gründen sehr viel angeschlagener und gibt deswegen ein schöneres Ziel ab. Vielleicht kommt das von alten Ammenmärchen vom eBay-Betrüger, der von PayPal in Schutz genommen wird. Das ist sicher vorgekommen, aber nicht die Regel. Ich zumindest hatte sowohl als privater Käufer wie auch als gewerblicher Verkäufer in den letzten 10 Jahren bei PayPal keinerlei Probleme.

Der Datenschutz: Wäre das ein Problem, um das sich deutsche Konsumenten tatsächlich kümmern würden, wäre Facebook in Deutschland eine Wüste. Stattdessen muss sich (zurecht!) das sympathische Startup aus Kalifornien beim Minister rechtfertigen, weil sich dort zu viele Idioten tummeln.

Während der Olympia-Übertragungen aus Rio schaltet die Sparkasse diese Spots:

Die absurde Botschaft: Du wirfst dein Geld im Internet für Müll aus dem Fenster? Dann zahl doch mit uns, das ist wenigstens sicher.

Die große Unsicherheit allerdings, die die Spots implizieren, gibt es gar nicht. PayPal, um bei dem auserkorenem Konkurrenten zu bleiben, erstattet bei nicht grob fahrlässigem Missbrauch des Accounts den vollen Betrag. Wer sein Passwort in die nächstbeste Phishing-Mail eintippt, würde das bei Phishing gegen Paydirekt ebenso tun. Es gibt ohne Zweifel Fehlentscheidungen bei jedem Zahlungsanbieter. Hätte Paydirekt seit 10 Jahren hunderte Transaktionen pro Sekunde, so wie PayPal, die Horrorgeschichten müssten sich nicht lange suchen lassen.

Tatsächlich ist auch hier eher Sofort zu kritisieren, die sich im Namen des Kunden in dessen Onlinebanking einloggen und dort vollen Zugriff auf alle Kontobewegungen, Kontostand und persönliche Daten erhalten. Tatsächlich scheint das in der Praxis "sicher" zu funktionieren, aber der Beigeschmack ist auch mir zu schlecht, ich habe Sofort wieder aus dem Shop entfernt. Die Gerichte halten Sofort für ein gängiges Zahlungsmittel, ich rate aber zur Vorsicht bei der Eingabe von TANs in Websites, die nicht von der Bank stammen.

Sicherheit! Wo greift der Käuferschutz bei Paydirekt? Die Einschränkungen sind verblüffend ähnlich zu denen von PayPal. Virtuelle Güter sind nämlich ausgeschlossen. Keine Sicherheit für Schlumpfbeeren. Wie es in der Praxis bei Betrug aussieht? Mangels Transaktionen bisher keine Erfahrungsberichte bei Paydirekt. Und: wer nur laut genug "sicher" im Slogan hat, wird bei entsprechender Beliebtheit von den Hackern auf's Korn genommen.

Käuferschutz: Sollte die Ware einmal nicht versandt werden, keine Sorge! Mit paydirekt genießen Sie vollen Käuferschutz. Melden Sie uns einfach über Ihren Kundenbereich Ihr Anliegen und wir kümmern uns darum. Sie erhalten im Fall der Fälle eine volle Erstattung des Kaufbetrags sowie der Versandkosten bei versandfähigen Waren.

Sofort lässt sich einen Schutz zusätzlich bezahlen, denn tatsächlich steht hinter dem Konzept einfach nur eine Vorkasse-Überweisung, die keinerlei Schutz von irgendwem genießt.

Damit kein falscher Eindruck entsteht: Ich möchte weder PayPal noch Sofort in Schutz nehmen. Die Gebühren von beiden sind zu hoch, das Interface und die API von beiden ist oder war zumindest lange Zeit eine Zumutung, aber sie haben einen enormen Vorteil: In fast jedem deutschen Onlineshop, und sei er noch so exotisch, wird zumindest einer von beiden als Zahlungsmethode angenommen. Und kommt mir nicht mit Datenschutz. Facebook weiß ohnehin, was ich eingekauft habe, weil ich im Zweifelsfall mit seinem unverschlüsselten Bot darüber gechattet habe oder über Facebook-Buttons gestolpert bin.

Was bleibt noch? Ach ja, Barzahlen.de. Konzept: Wir nutzen die Kassen im Supermarkt als Bankschalter und lassen Kunden quasi-anonym mit Bargeld bezahlen. Das erfreut sich wohl einiger Beliebtheit bei N26, dem sympathischen Fintech Startup aus Berlin, das sich damit die Geldautomaten-Gebühren sparen will. Wenn es denn nicht am Kassenpersonal bei Rewe scheitert. Ein Hörer hatte sich bei mir gemeldet, der einen Onlineshop betreibt und sehr erfolgreich Barzahlen.de als Zahlungsmethode anbietet: Es ist ein Headshop, verkauft also Zubehör für den Konsum von Cannabis und anderen Rauchwaren. Würden seine Kunden bedenkenlos bei Paydirekt zahlen?

Das Versagen auf Händlerseite ist inzwischen ausreichend dokumentiert. Es gibt keinen Self-Sign-On (es läuft über die Hausbank, vermutlich sind Faxgeräte beteiligt), es gibt keine zuvor einsehbaren Preise (Verhandlungen mit allen Banken einzeln sind vonnöten), die Preise sind allerdings laut Insidern höher als bei der Konkurrenz. Bevor ich freiwillig einen Bankberater anrufe, geschweige denn ein Dutzend, habe ich schon lange den PayPal-Warenkorb auf der Seite integriert.

Essentiell für die Masse der kleinen Shops sind Plugins für die gängigen Shopsysteme, für die Paydirekt eine Lizenzgebühr von einer Drittfirma einkassieren lässt. Stripe macht vor, wie es geht: In der Dokumentation sind direkt Codeschnipsel mit gültigen Testkeys, die zeigen, wie die Abrechnung funktioniert. Kann man in ein Terminal kopieren und sehen, ob das für den eigenen Shop funktioniert.

Man kann den Twitter-Account damit ein wenig foppen, aber das Vergnügen hilft nicht nachhaltig gegen die Probleme.

Das Resultat nach einem Jahr Paydirekt: Die Sparkasse meldet in internen Folien 400 Transaktionen. Pro Woche. Passender Kommentar dazu: Dafür braucht man ja noch nicht einmal den Rechner hochfahren. Das geht von Hand. Eine Überweisung alle 20 Minuten. Glückwunsch. Paypal macht über 200 pro Sekunde.

Das Englische kennt die schöne Redewendung für die Situation: Throwing good money after bad. Bisher sind wohl zumindest 100 Millionen Euro in Paydirekt versenkt worden. Um das noch ein paar Jahre weiterzuschleppen, sind noch viele weitere Millionen nötig. Und dann wird die Bude schulterzuckend dichtgemacht oder wie ein ungeliebtes Spielzeug in der Ecke liegengelassen, wie GeldKarte und GiroPay, die anderen gescheiterten Versuche der deutschen Banken, weg vom Überweisungsträger.

Ich empfehle also dringend, Paydirekt noch vor dem Weihnachtsgeschäft schnell wieder dichtzumachen. Denn eine sinnvolle Alternative wäre bis dahin sehr einfach zu implementieren, und PayPal und Sofort würden 2017 in Deutschland kaum noch einen Cent Umsatz machen.

Wir überlegen uns morgen in Teil 2 dieses Posts mal, was überhaupt das Ziel ist (das Paydirekt irgendwo in einem Meeting aus den Augen verloren hatte), und wie das System aussehen würde.

MacBook Pro 15″ (Late 2013) 4K Display: Asus PB287Q

Apple has this support document about 4K display compatibilty. For my MacBook Pro (Late 2013), it says it can drive:

HDMI: 4K at 30Hz
DisplayPort (SST): 4K at 30Hz
DisplayPort (MST): 4K at 60Hz

It lists the following displays that are compatible to MST:
Sharp PN-K321, ASUS PQ321Q, Dell UP2414Q and UP3214Q, Panasonic TC-L65WT600.

Most of these are 2013/2014 models, and many manufacturers have newer models of these displays available now. However, most display specs don’t list SST or MST. Some of them hint at it by specifying “DisplayPort 1.2”, but without Apple listing more recent models, you’re left in the dark if a specific newer display really works with an older MacBook Pro. Most PC-centric review sites simply recommend to update the Windows Nvidia drivers, which isn’t very helpful for Mac users.

MST really is a hack that combines two virtual screens or streams that make up the full image. It was a transitional technology to bridge the bandwidth gap for 2013 computers to 4K displays. Even the 5K iMac pulls off a similar stunt internally to drive its display.

So, what I really wanted was a display that supports both MST and SST for my current, “old” MacBook Pro, and additionally a new Mac that I will buy when this MacBook Pro breaks.

A follower on Twitter helped me out with this problem, and recommended the Asus PB287Q, a very affordable 28″ 4K display that supports the Late 2013 MacBook Pro 15″ and also should support SST for newer Macs.

You’ll also need a Mini DisplayPort to DisplayPort cable. Some users report on the Apple Support Forum that they have trouble reaching 60Hz with some models, but I’d recommend trying another cable first. I got this and it appears to be working fine.

First impressions:

28″ is a good size. I was worried about getting a larger 31.5″ screen that would extend beyond the edges of my field of vision without moving my head. On the other hand, at 1:1 scaling, UI chrome naturally gets very small, just at the edge of what I can comfortably still read at 2ft from the screen, and this also is the minimum distance to get a sufficiently large viewing angle. This was all about getting more screen real estate, so that’s a big win. If you really want an affordable 31.5″ screen, I’d look for the 2013 Asus PQ321Q that is on Apple’s official list, but that display is MST-only. It has come down from $3500 to a clearance price of about $500. The current Dell 31.5″ 4K (2016 model) also looks very nice, but I’m not sure if this MacBook Pro works with it, and it also is about $1000. I wouldn’t spend that right now when it’s not clear what Apple does about displays and display support in the near-ish future.

The native 1:1 resolution will be too small for many people. You’ll need sharp eyes. I only increased the mouse cursor size and speed a bit and may scale up text size in the browser every now and then. The virtual resolution between 1:1 and Retina “looks like” 3008×1692.

The cheap panel shows when viewed from odd angles. There’s a very narrow sweet spot that you need to sit in to avoid this. The stand helpfully rotates in all directions to help with that. Also pivots to 90°. Factory calibration is not horrible, but way off what the internal Retina screen on the MacBook displays. This will need some more calibration work. The backlight is reasonably even and the matte finish helps with glare, compared to the old 27″ iMac that used to sit in this spot. Also, there are some dead pixels, but they’re small enough not to notice and I probably won’t try to get it exchanged.

The six OSD menu buttons are on the back, with little printed dots on the front indicating where they are. The power button has a little nubbin to differentiate it. This kinda sorta works, but isn’t great. Scrolling through menus, index and middle finger are up and down, and OK maps to the ring finger.

There are built in speakers that do nothing but confirm that the DisplayPort cable also carries stereo audio. There is a 3.5mm audio jack for real speakers though. I will have to see how this port sounds. Update: Audio from that port is unusable though. No volume control from OS X, and there’s a very pronounced whining noise.

The MacBook Pro is happy to work in clamshell mode, i.e. with its lid closed. It’s summer now, and the fans come on a little more than in standalone mode. If you prefer to leave it open, there’s an NVRAM setting to turn off the internal display when an external one is connected. I’ve come to the conclusion that using only one screen helps me with staying focused, so I really don’t want another screen off to the side.

4K video playback on this i7 is barely possible, and only with fans running at full tilt. VLC has more trouble with the identical files that QuickTime plays without problems. YouTube in Chrome also has problems. But this really isn’t about video but about getting more space to work with, so that’s fine for a Mac from 2013. Remember when Apple used to release better ones every now and then? Ah. Good times.

Fehlkonstruktion Katwarn

Heise meldet zur Katastrophen-Warn-App Katwarn:

Das Smartphone-Warnsystem KatWarn war während des Attentats am Freitagabend in München völlig überlastet. “Wir sind an die Belastungsgrenze gestoßen”, sagte ein KatWarn-Sprecher am heutigen Samstag. “Das ist nicht gut – die Kritik ist berechtigt”, räumte er ein. Die Kapazitäten des Systems müssten schnellstmöglich erweitert werden. Grund sei die hohe Zahl von Nutzern in München und anderen Teilen der Republik gewesen, in denen es Unwetter gab. Zeitweise war der Dienst nicht erreichbar.

Und das ist, milde gesagt, untertrieben.

An jedem ereignislosen Tag ist die App schon mit relativ harmlosen Gewitter-Meldungen überfordert. Öffne ich eine Gewitter-Benachrichtigung in dem Moment, in dem sie eingeht, ist der Server oft genug nicht erreichbar. Wenn dann eine Viertelmillion Menschen gleichzeitig den Warnhinweis lesen will, ist das System natürlich erst recht überfordert. Erst einige Minuten später war die Meldung dann abrufbar. Sooft am Freitag eine neue Welle von Benachrichtigungen einging, war der Dienst wieder nicht erreichbar.

katwarn-loading

Dazu erscheint mir die behördliche Organisation verquer: In München wurden scheinbar von verschiedenen Seiten ähnliche, aber redundante Meldungen eingestellt.

Hat man mehrere Postleitzahlen innerhalb der Stadt abonniert (z.B. für Büro und Wohnung), werden diese scheinbar auch nicht dedupliziert. Geht eine Warnung für das ganze Stadtgebiet ein, wird mehrfach benachrichtigt. Bei mir führte das dann zu etwa 20 Benachrichtigungen innerhalb von wenigen Minuten, ohne dass ich deren Inhalt hätte lesen können.

katwarn-notification-center

Wie das System via SMS funktioniert hat, kann ich nicht beurteilen, ergänze ich aber gerne, wenn sich Leser dazu melden.

Die Architektur dieses Dienstes scheint mir auf mehreren Ebenen fragwürdig zu sein, deswegen hier mehrere Verbesserungsvorschläge.

Am Freitag war in der Push-Benachrichtigung nur “Sonderfall” ohne weitere Erklärung zu lesen. Der wichtigere Hinweis “Zu Hause bleiben” war zunächst nicht sichtbar.

Warum nicht die Push-Infrastruktur von Android und iOS nutzen, und den ausführlichen Beschreibungstext mit der Push-Benachrichtigung mitsenden? Sollte der Server im Anschluss wegen Überlastung nicht erreichbar sein, wäre zumindest der Text mit bis zu etwa 2000 Zeichen sichtbar. Die Push-Infrastruktur von Google und Apple kippt vermutlich erst lange nach dem behördlich genutzten Server um.

Die Stadt und der Landkreis haben unglaublich langsam reagiert. Die Polizei München hat schon um 19:05 Uhr gewarnt, die Wohnung nicht zu verlassen.

Katwarn hat eine volle Stunde länger dafür gebraucht, in der leicht noch mehr Schaden hätte entstehen können. Zudem war zumindest eine der Meldungen mit 19:45 Uhr datiert, wurde aber erst rund 20 Minuten später ausgeliefert. Warum kann die Polizei nicht selbst eine Warnung verschicken, oder hat einen direkten Kanal zu Landkreis oder Stadt?

katwarn-sonderfall

Nur wer die App installiert hat oder sich für den SMS-Dienst angemeldet hat, bekommt Benachrichtigungen.

Es gibt einen Mechanismus im Mobilfunknetz, der für ähnliche Warnungen genutzt werden könnte: Cell Broadcast. Eine einzige Meldung könnte an alle Mobilfunkgeräte in einer bestimmten Umgebung gesendet werden. In den USA läuft das unter Wireless Emergency Alerts und wird für Gefahren durch Wetter oder Terror und bei Kindesentführungen genutzt. Dieser Mechanismus ignoriert beispielsweise den lautlosen Nacht-Modus auf dem iPhone und ist deswegen nicht allseits beliebt oder ganz unumstritten.

All das unter der Annahme, dass ein solches Warnsystem tatsächlich einen Nutzen hat (glaube ich) bzw. verantwortungsvoll genutzt wird (hoffe ich). Wird unüberlegt eine Warnung in ein Gedränge geschickt, könnten sich die Menschen vermutlich auch leicht in einer Massenpanik tottrampeln.

WWDC 2016 Liveblog wie 1999

Ich suche ja schon seit einer Weile nach einer schönen Blog-Software, die nicht WordPress ist. Dave Winer hat da gerade mit 1999 eine interessante Lösung gezeigt. “Bloggen wie 1999” nennt er das, der Name ist etwas unglücklich, aber gut, Dave Winer darf das.

Einfach nur eine Textbox für den Post. Fertig.

1999

Nette Beigabe: Es ist gleichzeitig ein Liveblog, die Leser hängen per Websocket am Server und bekommen Updates live reingedrückt.

Wir testen das heute abend während der WWDC-Keynote auf live.hetzel.net

Vielen Dank an viele hundert Live-Leser. Es folgt das Archiv, der Server wird wieder heruntergefahren.


21:03: Danke für’s mitlesen, diese Seite wird dann gleich im normalen Blog archiviert. Bits und so ReLive am Dienstag Abend mit STICKERN.

21:02: Das war erstaunlich dünn. Mal sehen, was die Woche bringt. Humbug. Bitte die Bus 474 hören :)

21:01: Die Entwickler von Morgen werden auch eines Tages die Mail bekommen: Rejected.

20:56: GameBoy-Emulator incoming

20:52: Swift Playgrounds kommt nie durch das Bergwerk

20:47: Und nun zum D von WWDC

20:42: Notes statt Quip!

20:41: Eddy tanzt.

20:37: Sticker. Geht doch.

20:36: Bin auf die editierte Version ohne den Schnitzer gespannt

20:32: Die iMessage-Demo.

20:31: Wo sind die Sticker?

20:28: Craig bemerkt erstmals Glückliche Familien(tm)

20:26: Whatsapp in der Phone-App. Wenn ich das Madame Whatsapp erzähle…

20:25: Voicemail Transkription: Hallo Dr. Horn!

20:21: HomeKit. Jetzt echt, ich schwör.

20:18: Eddy hat nicht getanzt. Phew.

20:14: Dicke Kabel an den iMacs. Updates: oops, Backblaze B2 quota gesprengt für die Bilder.

20:13: Music20:11: Maps Extensions könnten allerdings auch in D den Unfug etwas eingrenzen

20:08: Maps. Während der Navigation scrollen.

20:03: Wisst ihr noch, wie iPhoto tagelang Gesichter gesucht hat?

20:01: Mehrsprachige Tastatur. Glaube ich erst, wenn ich es Gartenschlauch.

19:59: Intents API. Wo habe ich das schonmal gehört?

19:58: Hey Siri, lock the front door. 😱

19:57: Ist ihm da eben Voice Search reingehüpft?

19:53: Lockscreen. Diese 10 Jahre lang vernachlässigte Fläche?

19:52: iOS X

19:51: Wird YouTube bei diesem PiP mitmachen?

19:48: Niemand taggt seine Dateien. Oder?

19:46: Siri, versteht dich jetzt auch nicht. Aber auf dem Mac.

19:44: Apple Pay für CH, F, HK. Welches Land fehlt in der Liste?

19:42: Der ganze User-Folder ist eine Dropbox? Das gleiche Chaos auf allen Kisten. Ju-hu.

19:40: Der Auto-Login klappt sicher genauso gut wie Mac ID.

19:38: Sierra

19:37: macOS

19:35: Kann ich mit Single Signon auch bei Maxdome kündigen?

19:34: Was war das für ein Fußballturnier? Noch nie davon gehört.

19:33: Keine allgemeine Siri-Integration? Nur für YouTube? Buh.

19:32: 1300 Video channels. Bits und so mitgezählt?

19:30 Halbe Stunde. Eddy. Mach TV.

19:26: Könnte jetzt so eine Schlaftracker-App für meine Watch brauchen. 😴

19:25: Kein Wunder, dass die Subscription-Änderungen hier keinen Platz hatten.

19:20: Genug Watch jetzt. iMovie Themes waren spannender.

19:19: Scribble funktioniert auf Englisch und Chinesisch. Deutsch, unmöglich. Umlaute, Mann.

19:14: Sie hat das Armband nicht zugeklickt. Schafft man mit auch einfach nicht, ohne komisch dazustehen. Update: Im Applaus doch noch zugemogelt.

19:12: Fußball-Komplikation. Ich dachte, dafür ist Siri zuständig.

19:10: OS X. Noch.

19:08: Mac innovativ, iPhone beste Smartphone, iPad magische Glasleinwand, Watch sehr gesund, ATV: Die Zukunft mit Apps. Haben wir uns da nicht etwas überhoben?

19:07: 4 Plattformen. iPhone, äh. Puh, schwierig, war da noch etwas anderes?

19:05: 50Mrd $ ausgezahlt. 45Mrd $ davon in praktischen Schlumpfbeerenkarren transportiert.

19:03: Syntax-Highlighting auf den Slides: Clown-Modus

19:02: Auf der Bühne hätte auch ein Auto Platz, oder?

19:01: Mindestens zwei Minuten Delay auf dem Stream.

18:59: OH: “Wo kommt denn diese schreckliche Musik her?”

18:56: Hey Siri, erinnere mich an Tripadvisor.

18:55: Springt der Stream oder hat sich Zane Lowe vor lauter Freude über die Zuhörer verklickt?

18:52: Apples HLS-Segmentlängenempfehlung 2012: 10 Sekunden. 2015: 6 Sekunden. Keynote 2016 senden sie mit: 13 Sekunden. Damit etwas längerer systembedingter Delay und mehr Zeit für das CDN, sich zu sortieren.

18:49: Stream macht haushaltsübliche 960×400 (?)

18:46:

Direkter Stream-Link: http://p.events-delivery.apple.com.edgesuite.net/16faohbadfvoihjbadfvljhbphjb06/m3u8/hls_mvp.m3u8
LQ: http://appleliveevents-i.akamaihd.net/hls/live/222436/16faohbadfvoihjbadfvljhbphjb06/master/1200/1200.m3u8
HQ: http://appleliveevents-i.akamaihd.net/hls/live/222436/16faohbadfvoihjbadfvljhbphjb06/master/2500/2500.m3u8
18:44: Jony ist im Saal. Gruppen-iMessage-Demo mit Eddy und Craig?

18:40: Boinx bestellt Essen.

18:35: Was macht eigentlich Beats1?

18:31: Wer Basti Wölfle in 360° zusehen will, wie er den langweiligen 2D-WWDC-Stream schaut: https://www.youtube.com/watch?v=8CEB2_YQgkU

17:52: Letzte Hoffnungen auf Snow Capitan mit Alex im Slack-Call ausgeräumt.

Weitere Liveblogs:

https://live.recode.net/wwdc-2016-keynote/
https://www.engadget.com/2016/06/13/wwdc-2016-liveblog/
http://live.arstechnica.com/apples-wwdc-2016-keynote-liveblog/
https://live.theverge.com/apple-wwdc-2016-keynote-live-blog/
Los geht es gegen 19h deutscher Zeit.

Neue Posts erscheinen oben.

Liveblog aktualisiert sich automatisch, kein Refresh notwendig.