September 2016 – Gebrauchtesoftware

Microsoft-Konto gesperrt: Angeblicher Spam-Mail-Versand macht Telefonnummer-Eingabe erforderlich

Viele Microsoft-Anwendungen müssen mit einem Microsoft-Konto verknüpft werden, um verwendet werden zu können. Nach Eingabe des Produktschlüssels und der Verknüpfung mit dem Konto kann die Software heruntergeladen werden. Zwar können Kontoinformationen – darunter Name und E-Mail-Adresse – im Nachhinein geändert werden, ein späteres Entfernen der Software aus dem Account oder eine Übertragung auf ein anderes Konto ist nicht möglich.

Telefonnummer als Kontoschutz – 7 Tage Schonfrist

Bild: Erste Warnung, dass der Account in Kürze gesperrt werden wird.

Zunächst erhält der User die Aufforderung, eine Telefonnummer anzugeben (siehe Bild 1). Diese kann per Anruf oder Textnachricht authentifiziert werden. Diese Meldung lässt sich überspringen, nach spätestens sieben Tagen allerdings muss die Telefonnummer angegeben werden.

Microsoft Office: Ihr Konto wurde vorübergehend gesperrt

Bild 1: Der Microsoft-Account wurde vorübergehend gesperrt – warum genau, ist nicht erkennbar.

Nach der erfolgreichen Verknüpfung von Microsoft Office mit einem neu erstellten Microsoft-Konto wurde eine temporäre Konto-Sperre durchgeführt, falls die Telefonnummer innerhalb der 7-Tage-Frist nicht authentifiziert wurde. Die Meldung „Jemand hat möglicherweise über Ihr Konto [E-Mail-Adresse] eine große Anzahl von Junk-E-Mails gesendet oder eine andere Aktion ausgeführt, die gegen den Microsoft-Servicevertrag verstößt“ lässt aufhorchen (siehe Bild 1). Anzumerken ist, dass Microsoft-Konto und E-Mail-Konto frisch erstellt worden sind. Ein Fremdzugriff ist auszuschließen, vom E-Mail-Account wurden keinerlei E-Mails verschickt. Was mit „anderen Aktionen“ gemeint ist, ist nicht bekannt. In jedem Fall bleibt der Account gesperrt, bis eine gültige Telefonnummer eingegeben wird. An diese wird ein Prüfcode verschickt, nach dessen Eingabe ist das Konto wieder nutzbar.

Telefonnummer als Spamschutz – für welchen Spam?

Bild 2: Microsoft fordert den Account-Besitzer zur Eingabe der Telefonnummer auf.

Der an die eingegebene Telefonnummer geschickte Prüfcode ist zehn Minuten gültig. Microsoft betont (siehe Bild 2), dass die Telefonnummer nicht weitergegeben werde und dem Spamschutz diene. Hier stellt sich die Frage, von welchem Spam die Rede ist. Denn vom E-Mail-Account wurden keine Nachrichten verschickt. Da die „anderen Aktionen“ nicht näher benannt werden, kann über andere Gründe nur spekuliert werden. Mögliche Gründe wären ein zufälliger Algorithmus oder die Tatsache, dass es sich um einen neuen E-Mail-Account handelt. Trotzdem bleibt ein fader Beigeschmack, es entsteht der Eindruck, als wolle Microsoft – hier offenbar rein willkürlich – Daten sammeln und gleichzeitig authentifizieren.

Telefonnummer her, sonst gibt’s keinen Account-Zugriff!

Bild 3: Alles wieder in Ordnung – nach Eingabe des Prüfcodes ist der Account freigeschaltet.

Es scheint ungewöhnlich, dass für die Nutzung von Microsoft-Anwendungen eine Telefonnummer angegeben werden muss. Es bleibt also dabei: Telefonnummer an Microsoft senden oder Software nicht verwenden. Die Tatsache, dass sowohl Microsoft-Konto als auch E-Mail-Konto neu erstellt worden waren, lässt die Befürchtung aufkommen, dass theoretisch jeder Nutzer zur Eingabe der Telefonnummer verpflichtet werden könnte. Datenschutztechnisch ist dieser Umstand kritisch zu betrachten. Immerhin: Der Account-Zugriff ist sofort wieder möglich, nachdem der Prüfcode eingegeben wurde (Bild 3).

Ähnliches Muster bei Skype

Nicht nur bei Anwendungen im Microsoft-Konto wird die Telefonnummer angefragt. Einige LeserInnen haben uns berichtet, dass auch beim Skype-Messenger ein Prüfcode erforderlich sei. Dieser werde trotz neuer E-Mail-Adresse und neuem Skype-Account angefragt. Auch hier arbeitet die Anwendung erst nach Prüfcode-Eingabe, vorher wird kein Zugriff gewährt.

Update vom 9. Oktober 2020: Wir berichten erneut über Microsofts Idealvorstellung, jeder User möge doch bitte seine Telefonnummer eingeben, alle Informationen im Blogbeitrag „Werden neue Microsoft-Accounts gesperrt, wenn keine Telefonnummer eingegeben wird?“.

Cloud-Speicher-Dienst Dropbox: 68 Mio. Datensätze im Jahr 2012 erbeutet

Bild: Dropbox-Logo

Wie erst jetzt bekannt wurde, konnten Hacker vor gut vier Jahren 68 Millionen Datensätze von NutzerInnen des Cloud-Speicher-Dienstes Dropbox erbeuten. Die Angreifer erhielten dabei Zugriff auf Nutzernamen und Passwörter. Zwar sind die Passwörter verschlüsselt, etwa die Hälfte allerdings per SHA1-Hash mit Salt – diese Verschlüsselungsmethode ist mittlerweile als Sicherheitsrisiko eingestuft, da es möglich ist, diese zu entschlüsseln. Die mit bcrypt verschlüsselten Datensätze gelten als sicher.

Dropbox-Mitarbeiter handelte fahrlässig

Möglich wurde der Angriff durch die Fahrlässigkeit eines Dropbox-Mitarbeiters, der ein identisches Passwort beim sozialen Netzwerk LinkedIn und am Arbeitsplatz nutzte. Die Hacker kopierten die fünf Gigabyte großen Datensätze, nachdem sie Zugriff auf den Mitarbeiter-Account erhielten.

In der vergangenen Woche informierte Dropbox seine NutzerInnen und forderte dazu auf, das Passwort zu ändern. Sollte fahrlässig auch bei anderen Diensten das gleiche oder ein ähnliches Passwort genutzt werden, sollte dies dort auch geändert werden. Bisher hatte Dropbox lediglich von einem Datenleck gesprochen, das ganze Ausmaß ist erst jetzt öffentlich gemacht worden. Sicherheitsexperte Troy Hunt betreibt die Seite „Have I been pwned“, wo in die Suchmaske eingegebene E-Mail-Adressen mit Listen bekannter Hacks abgeglichen werden. So sollen NutzerInnen erkennen können, welche Datensätze mit Sicherheit entwendet wurden. Allerdings bedeutet es nicht zwangsläufig, dass ein Account sicher ist, falls kein Treffer angezeigt wird. Grundlegende Regeln zum Erstellen sicherer Passwörter sollten ebenso beachtet werden wie ein regelmäßiges Ändern selbiger.

Sicherheitsrisiko Cloud-Software

Cloud-Dienste sind in aller Munde – insbesondere in den Marketing-Abteilungen vieler Konzerne. Das bedeutet aber auch, dass diese Dienste zunehmend von Kriminellen angegriffen werden, da die stärkere Verbreitung ein lohnenswerteres Ziel schafft. Immer wieder liest man in der Vergangenheit von Angriffen auf Cloud-Dienste, in jüngster Zeit neben Dropbox beispielsweise auch LinkedIn, Opera oder Apple. NutzerInnen sollten abwägen, in welcher Relation Nutzen und Risiko stehen. Sicherlich mag das Arbeiten in der Cloud Vorteile mitbringen, allerdings ist es auch eine Vertrauenssache. Sind die Daten auf fremden Servern abgelegt und nicht lokal gespeichert, können Dritte – sofern Sicherheitsmechaniken umgangen und Verschlüsselungen geknackt werden – potenziell Zugriff auf diese Datensätze erhalten, ohne dass User dies sofort bemerken. Lokal gespeicherte Daten hingegen können besser geschützt und überwacht werden. Sensible Daten sind deshalb nur sehr bedingt für die Speicherung in der Cloud geeignet. Für viele NutzerInnen kann die Kaufversion einer Software wesentlich besser geeignet sein als eine Miet- und/oder Cloud-Version mit monatlichen Folgekosten, externer Sicherung von Daten, automatischen Updates und einer erhöhten Chance auf Probleme in der Live-Version.

Erschöpfungsgrundsatz: OEM-Software auf Computern von Fremdherstellern nutzen

Unser Support-Team erhält regelmäßige Anfragen zum Thema OEM-Software. Meist herrscht Unsicherheit darüber, ob OEM-Software, die über einen Erstausrüster in Verbindung mit einem neuen Computer in Vertrieb gebracht und gelabelt wurde, auch auf anderen Computern verwendet werden können. In diesem Blogbeitrag möchten wir Klarheit schaffen und den Erschöpfungsgrundsatz behandeln, welcher bezüglich dieser Fragestellung Rechtssicherheit schafft.

BGH-Urteil vom 6. Juli 2000 (Az. I ZR 244/97)

Das Urteil des Bundesgerichtshofs vom 6. Juli 2000 setzt sich unter anderem mit dem sogenannten Erschöpfungsgrundsatz auseinander. Dieser besagt, dass es Händlern in Deutschland erlaubt ist, OEM-Software zu verkaufen, ohne dass eine Bindung an Hardware erfolgen muss. Gleiches gilt auch für System-Builder-Versionen, sofern nicht von einem Microsoft-Vertragspartner erworben. Im Klartext bedeutet dies: KäuferInnen dürfen OEM- und System-Builder-Software legal erwerben und nutzen. Auch wenn die Software von einem PC-Hersteller gelabelt wurde, also beispielsweise Firmen- oder Markenlogos trägt, darf die Software auch auf Computern anderer Hersteller oder bei Selbstbau-PCs genutzt werden. Schließlich besagt der Erschöpfungsgrundsatz, dass der Hersteller nach der ersten Veräußerung der Software die „Herrschaft über das Werksexemplar aufgibt“. Dadurch „wird das Werkstück für jede Weiterverbreitung frei“. Weitergehend wird das Urteil folgend begründet: „Könnte der Rechtsinhaber, wenn er das Werkstück verkauft oder seine Zustimmung zur Veräußerung gegeben hat, noch in den weiteren Vertrieb des Werkstücks eingreifen, ihn untersagen oder von Bedingungen abhängig machen, so wäre dadurch der freie Warenverkehr in unerträglicher Weise behindert.“

Vollständige Rechtssicherheit bei Gebrauchtsoftware

KäuferInnen dürfen also OEM- und System-Builder-Software verwenden. Achten Sie beim Kauf darauf, dass alle Begleitmaterialien im Lieferumfang enthalten sind. Das ist insbesondere bei Lizenz-Audits vorteilhaft und schützt vor unliebsamen Konsequenzen wie teuren Nachlizenzierungen. OEM- und System-Builder-Software sind günstige Möglichkeiten, Software günstig und rechtssicher zu beziehen.