Florian Weimer <[EMAIL PROTECTED]> writes:
>> Ziel des neu gegr�ndeten Vereins SPERR e.V. ist die Einf�hrung einer ein-
>> heitlichen Notrufnummer f�r das Sperren elektronischer Berechtigungen wie
>> z.B. Kredit- und ec-Karten, Handys, digitale Signaturen, etc. F�r den B�rger
>> bringt diese neue Notrufnummer einen einfachen Zugang zu den unterschied-
>> lichen Sperrnummern der einzelnen Karten und Medien und bietet ihm somit
>> besseren Schutz vor Missbrauch.
>
> Solch ein Dienst ist prinzipiell eine gute Idee.
Der Meinung bin ich nach wie vor.
> Wie wird die Person, die die Sperrung beantragt, authentifiziert? Nach
> welchen Kriterien nimmt welche Partei die Autorisierung der Sperrung
> vor?
Ein kurzes Telefongespr�ch mit Michael Denck ergab folgendes:
Die neue Notfallnummer soll lediglich eine fortgeschrittene
Telefonvermittlung sein (was keinesfalls abwertend gemeint ist!). Im
Idealfall wird direkt zum richtigen Dienstleister weiterverbunden, der
dann sich um die Fragen der Authentifizierung und Autorisierung
k�mmert (wie bisher).
In der Praxis gibt es jedoch das Problem, da� gewisse Dienstleister
den Kunden gegen�ber mit einer Marke auftreten (Kreditkarte Xy), aber
verschiedene Dienstleister f�r die Sperre zust�ndig sind (z.B. bei
Kreditkarte Xy von Sparkasse vs. Kreditkarte Xy von regionaler
Privatbank). Der Anfragende besitzt (insbesondere nach dem Verlust der
Karte) u.U. nicht die n�tige Information, anhand der der Vermittler
die zust�ndige Stelle eindeutig ermitteln kann. F�r die
Vermittlungst�tigkeit ist daher ein gewisser bidirektionaler
Informationsflu� zu den Dienstleistern unverzichtbar ("Habt Ihr
jemandem namens Helga Mustermann aus M�nster eine Karte vergeben?",
Antwort darauf dann lediglich "ja" oder "nein"; das sollte wenig
datenschutzrechtliche Fragen aufwerfen).
> Wie k�nnen sich z.B. Universit�ten und andere gr��ere,
> nichtkommerzielle Einrichtungen in diesen Dienst einklinken?
Anfangs ist geplant, erst einmal Sperrungen f�r Dienstleistungen mit
direkten, erheblichen monet�ren Risiken (also f�r Kredikarten,
Mobiltelefon-Karten etc.) zu vermitteln. Es wird also noch ein bi�chen
dauern, bis das f�r die Universit�t nebenan relevant wird. (Allerdings
k�nnte man die Weiterleitungsinformation auch sofort aufnehmen, da
hier keine gro�e Notwendigkeit und M�glichkeit f�r Automatisierung
besteht.)
Und noch eine neue Idee:
Vielleicht kann man die Datenbank, anhand der die Vermittlung
(zumindest im Groben) stattfindet, sauber gestaltet ins Web legen.
Einige Dienstleister bieten kritische Information n�mlich nicht in
behindertengerechter Form an (z.B. Telefonnumer nur als Bitmap), oder
gar nicht (da man auf Endkundenanfragen auf dieser Ebene nicht
vorbereitet ist).
--
Florian Weimer [EMAIL PROTECTED]
University of Stuttgart http://CERT.Uni-Stuttgart.DE/people/fw/
RUS-CERT +49-711-685-5973/fax +49-711-685-5898
