Datenschutz in Formularen: Microsoft stümpert nicht – ist by design!

Microsoft bietet sogenannte Webinare, also Online-Kurse, per Internet an – das ist gut. Aber das Unternehmen stümpert bei der Implementierung der deutschen Registrierungsseite – und als Steigerung: Reagiert nicht auf Hinweise. Daher jetzt ein Blog-Beitrag – vielleicht löst das eine Reaktion in München aus. Nachtrag: OK, die Reaktion ist erfolgt, aktuell ist das Feature “by design” – aber es wurde eine Diskussion angestoßen – Ziel des Blog-Beitrags erreicht.


Anzeige

Es hat schon ein Stück Real-Satire, was sogar noch steigerungsfähig ist. Ich hatte gestern den Blog-Beitrag Webinar Datenschutz in der Cloud 13.12.2016, 14:00-15:00 Uhr hier im Blog. MVP-Kollegen halten dieses Webinar, und weil das Thema zusätzlich spannend ist – habe ich darauf hin gewiesen.

Ein Benutzerkommentar macht neugierig

Zum Blog-Beitrag Webinar Datenschutz in der Cloud 13.12.2016, 14:00-15:00 Uhr gab es einen Benutzerkommentar von Marc:

Hi Guenter,
gib mal in dem Anmeldefeld (https://resources.office.com/DE-O365-WBNR-FY17-12Dec-13-Datenschutz-Cloud277753_RegistrationShortForm-Office.html?wt.mc_id=AID558536_QSG_PR_127294) bei „Name Ihres Unternehmens“ beliebige Anfangsbuchstaben an (zwei muessen es sein) und schon bekommst Du eine Liste von Unternehmen angezeigt Zwinkerndes Smiley. Das Verhalten faellt mir leider schon seit Wochen auf, wenn ich mich fuer Microsoft Webinare anmelde. Bisher wurde mein Hinweis darauf aber immer ignoriert, bzw. bekam ich nie Feedback

So etwas macht mich natürlich sofort neugierig und löst den Reflex “probieren muss” aus. Habe den obigen Link angeklickt – das Webinar läuft ja erst in ca. 11 Stunden (beim Schreiben war es kurz vor 3:00 Uhr – Blogger sind 33 Stunden pro Tag aktiv und auch in der Mittagspause Zwinkerndes Smiley) – und habe Bauklötze gestaunt.

Doof, Microsoft zeigt mir eine leere Seite, einen Fehler, die Seite

Im Slimjet-Browser werde ich bei Eingabe der RL auf eine leere Webseite umgeleitet, ich vermute: weil die Anmeldefrist zum Webinar abgelaufen zu sein scheint. Der Browser zeigt die URL, dann wird man vom Webserver aber zur unten angegebenen URL about:blank umgeleitet.

Webinar (abgelaufen) im Slimjet

Ich habe die Seite etwas “bearbeitet”, um überhaupt eine Botschaft verteilen zu können. Also mal fix nach neuen Webinaren gesucht, die erst in zwei Tagen laufen – und schon wurde ein Registrierungsformular angezeigt.

Da ich gestern den Blog-Beitrag Slimjet-Browser auf Version 12.0.12.0 aktualisiert – Zertifikatsfehler ausgemerzt hatte, wurde der Internet Explorer gestartet und mit der Webinar-URL versehen. Da habe ich noch mehr gestaunt – knallte mir der Internet Explorer 11 doch diese Meldung an den Kopf:


Werbung

Webinar (abgelaufen) im Internet Explorer

Bin zwar nur ein armer Poet Blogger, habe aber mindestens drei Browser. Also noch den Firefox aufgerufen und bekam diesmal überraschend die Formularseite zur Anmeldung angezeigt. Dann noch die Probe im Google Chrome – auch da funktioniert die Anzeige der Registrierungsseite noch.

Webinar (abgelaufen) im Firefox

Ich bin nun arg am Rätseln, was dieses Verhalten auslöst. Mehrere Browser, unterschiedliches Verhalten – krass. Mein Tipp an die Webdesigner: Macht wenigstens da eure Hausaufgaben und baut eine gescheite Browserweiche ein, die diese Fälle abfängt und den Besuchern ggf. einen Hinweis auf abgelaufene Registrierungen oder sonstige Probleme gibt.

Ich habe dann im Postfach nachgeschaut. Meine gestrige Anmeldung hat geklappt, denn ich habe folgende Mail in meinem Postfach erhalten, in dem mit bestätigt wird, dass ich nun einen “virtuellen Platz” zum Thema “Datenschutz in der Cloud” besitze.

Anmeldebestätigung

Klasse finde ich auch, dass mir Microsoft bestätigt, dass man meine Privatsphäre respektiert.

Nimm ein neues Webinar, versuche anzumelden und staune

Ich habe dann eine Anmeldeseite für ein neues Webinar im Slimjet-Browser genommen und auch die alte Webinar-Seite zum Datenschutz im Firefox probiert. Wer in das Formular mit dem Firmennamen zwei Zeichen eingibt, und einen Tick wartet, bekommt in einer Dropdown-Liste eine Auswahl an Firmennamen (ich vermute mal, von den vorhergehenden Anmeldern) angezeigt.

Datenschutz? So geht's nicht!

Oha, das hat schon was vom Postillon. Du meldest dich an einem Webinar zum Thema Datenschutz an und das Unternehmen zeigt dir gleich, wer sich noch so auf der Anmeldeseite herumgetummelt hat. Gewährt tiefe soziologisch Einblicke: Da ist eine Klinik dabei, Eltern haben einem Sprössling den Namen Detlef verpasst und der betreibt heute einen IT-Service, die Telekom hat noch freie Valenzen, damit Mitarbeiter an Webinaren teilnehmen können, und es gibt einige Detekteien, die sich offenbar für die Cloud interessieren (ich spekuliere mal). Es ist interessant, mal ein paar Zeichenkombinationen im Firmenfeld auszuprobieren. Hat was von “Chatroulette” und ich könnte stundenlang probieren …

Ich habe zwar kurz überlegt, Microsoft Deutschland vorab zu informieren. Aber ich habe keinen Kontakt und der Leserkommentar legt nahe, dass da nichts passiert. Die DropDown-Liste ist auch nicht so kritisch, dass intimste Geheimnisse verraten werden – sondern nur ärgerlich. Zudem dürfte das Verhalten vielen Leuten seit Monaten aufgefallen sein – und betrifft vor allem die deutsche Microsoft-Seite. Meine Empfehlung für Webinar-Teilnehmer: Tragt Firma 4711 im Feld ein – Microsoft hat ja eure E-Mail-Adresse für Rückfragen. So wird die Firma nicht für Dritte einsehbar und möglicherweise merkt dann jemand beim Anbieter was.

Fairerweise könnte ich noch postulieren, dass das alles “Spieldaten” sind – aber es irritiert, dass irgendwo die Häufung von Anmeldungen zu sehen ist, die auf die Auswertung von Geodaten (aus der IP) hindeuten, obwohl ich auch Leute aus Rheinland-Pfalz oder Waffenhändler aus anderen Bundesländern mit “gewissen” Eingaben im Feld abrufen konnte. Ich spekuliere da mal: Vermutlich zieht die Suchfunktion in der Firmendatenbank gewisse Filter heran, deren Kriterien nicht so transparent sind (erst Geodaten aus der IP und dann weitere Kundendaten aus dem Suchmuster). James Bond-Fans bekommen sogar mit der Kennnummer ihres Agenten Kunden aus Paris, oder aus England angezeigt. Ich konnte aber auch Kunden aus Tschechien, aus Sankt Petersburg oder einen Hinterhof Burgerbräter aus Memphis, Tennessee, USA lokalisieren.

Was noch stört: die Microsoft Corporation in den USA darf meine Daten erheben und an andere Microsoftniederlassungen weltweit weitergeben. Gut, ich werde darauf hingewiesen und in der Cloud ist das ja sowieso ganz anders – liegt ja alles in Deutschland …

Was mich dann doch ungemein beruhigt hat: Microsoft versichert mir in der Bestätigungsmail, dass das Unternehmen meine Privatsphäre respektiert und die signalisieren mit einem Webinar zum Datenschutz auch Kompetenz. Alles im grünen Bereich.

Jetzt nehme ich noch mal eine Mütze Schlaf und warte, ob jemand vom Sack Reis, den ich gerade umgestoßen habe, aufwacht. Mein Dank an Marc für den Hinweis.

PS: Die US-Seite für Webinar-Anmeldungen zeigte bei einem kurzen Test dieses Verhalten nicht.


Anzeige
Dieser Beitrag wurde unter Allgemein, Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Responses to Datenschutz in Formularen: Microsoft stümpert nicht – ist by design!

  1. Herr IngoW sagt:

    Sehr interessanter Artikel.
    Da wird Datenschutz ja so groß geschrieben das man am Ende nur noch das Wort “Daten” sieht. Und das bei der Anmeldung zu einem Webinar über Datenschutz, ist schon toll ;-) .

  2. Dieter Schmitz sagt:

    Das mit den zwei Buchstaben funktioniert bei mir nur bei dem IE 11, nicht aber unter Firefox ESR.

  3. Werbung

  4. Dekre sagt:

    Geht wohl nicht mehr. Beim “normalen”, also Vor-Ort-Seminar, gibt es ja auch immer eine Teilnehmerliste für alle zum Einsehen. Der Organisator, hat wohl vorher nur diese Vor-Ort-Seminare organisiert und hat bestimmt auch die Kaffee-Pause organisiert. :)

    • Na ja, eine normale, gedruckte Teilnehmerliste für ein Vor-Ort-Seminar ist was anderes als der Zugriff auf eine Kundendatenbank weltweit (so schaut es jedenfalls aus). Die US-Seite hat diesen Fehler nicht – obwohl die imho das gleiche Formular zur Anmeldung nutzen (zumindest optisch).

      BTW: Und ich habe es gerade probiert (Slimjet) – hier funktioniert das nach wie vor.

  5. Holger K. sagt:

    Der Aufruf der URL funktioniert bei mir nur mit Firefox und Pale Moon (Firefox-Fork), Vivaldi (Chrome-Derivat) und Internet Explorer zeigen eine leere Seite bzw. eine Fehlermeldung über eine ungültige URL.

    Nette Firmenliste, die man sich da generieren lassen kann. Bei mir werden bei einem ersten Test vorrangig Firmen in Rheinland-Pfalz, NRW und in den Niederlanden ausgegeben. Anscheinend ist da ein Mechanismus am Werk, der die IP lokalisiert und dann im Umkreis von 100 km Firmennamen anhand der eingegebenen Zeichen ausspuckt. Wird man etwas konkreter bei den Zeichen, bekommt man dann schon in Europa ansässige oder gar global agierende Unternehmensnamen angezeigt.

    Vielleicht dient dieser Umstand ja bei dem Webinar zur Einführung, wie man es nicht machen sollte. Fehlt jetzt nur noch eine Sicherheitslücke in der Webseite, um die dahinter stehende Datenbank auf einen Rutsch auslesen zu können.

    Peinlich!

    • Holger K. sagt:

      Funktioniert auch mit Internet Explorer und Vivaldi bei mir, wenn man in der URL die Query bis zum Fragezeichen weglässt.

      • Dekre sagt:

        Funktioniert, aber kann trotzdem nichts nachstellen – bestimmt befinde ich mich gerade im neuen “Tal der Ahnungslosen”. Na ja, geht ja jetzt los – Gibt es nun auch Kaffee für alle? Und haben alle Namensschilder? :)

    • Danke, Du bestätigst meine Vermutung, dass Geolocation mittels der IP des Internetanbieters als erstes Filterkriterium nimmt. Ich bekomme Firmen aus Hessen angezeigt. Zum letzten Absatz: Einem der Referenten habe ich per PM die Info zukommen lassen.

  6. aleku sagt:

    It’s not a bug, it’s a feature ;)

  7. Lieber Herr Born,

    vielen Dank für ihren aufmerksamen Artikel, der einen großen Beitrag zur wichtigen digitalen Diskussion beisteuert, die Microsoft nicht nur „mitliest“, sondern ebenso leidenschaftlich führt. Derzeit findet bei uns eine weltweite Migration der Marketing Automation Plattform statt, daher waren Anmeldeseiten zwischenzeitlich nicht erreichbar, was wir sehr bedauern.
    Zum Thema Datenschutz: Rein rechtlich wurde dieses gängige Feature von Marketing Automation Software, Unternehmensnamen anzubieten um die Datenqualität zu erhöhen, geprüft und als unbedenklich bewertet, da hier auf den ersten Blick keine persönlichen Daten (im Sinne von PII) preisgegeben werden.
    Dass sich aus so einem „Feature“ durch Querverbindungen dennoch Erkenntnisse gewinnen lassen, wurde dabei offenbar ebenso wenig berücksichtigt, wie die unterschiedliche Bewertung von Datenschutz in verschiedenen Kulturkreisen. Aus diesem Grund diskutieren wir bereits auf lokaler Ebene, ob wir die Funktion für Deutschland wieder deaktivieren lassen wollen/können.
    Insofern bedanke ich mich ganz ausdrücklich für die Diskussion auf Ihrem Blog, die uns bei der Entscheidungsfindung und Argumentation unterstützt.

    Sollten sie wieder einen Kontakt bei Microsoft benötigen, freue ich mich über eine Nachricht von Ihnen. Beste Grüße und einen schönen Feierabend

    Andreas Hennig (ahenni at microsoft dot com)

    • Danke für die Klarstellung. Interessant ist, dass die Microsoft Corporation auf den US-Seiten das ‘Feature’ nicht bereitstellt. Und: Die Kunden geben schlicht über die Firmennamen unbewusst sehr viele Informationen preis. Wenn es mir nicht zu aufwändig wäre, könnte ich jetzt zu einer Metzgerei in “hessisch Sibirien” fahren, einen Ringel “ale Worscht” bestellen und die Leute so ganz nebenbei fragen, wie das Webinar bei Microsoft war. Ich bin sicher, denen fällt das Messer aus der Hand und die Kinnlade herunter. Denn denen war bei der Eingabe der Daten im Formular mit Sicherheit nicht klar, dass die Infos von Dritten einsehbar sind ;-).

      PS: Die Mail-Adresse habe ich im Kommentar etwas verändert, um das Harvesting etwas zu erschweren.

      • Dekre sagt:

        Das ist völlig richtig, was unter lieber Günter Born hier darstellt und offen legt.

        Es kann ja nun wirklich nicht angehen was hier passiert. Da ist nun wirklich mal ein Datenschutzbeauftragter im Bund oder im Land Bayern gefordert; obwohl Blödsinn, da ja alle sichtbar waren. Es ist völlig abwegig was hier Herr Hennig darlegt. Da kann ich meinen Kleiderschrank auch besprechen.

        @Andreas Henning,
        Lieber Herr Hennig, bitte mehr auf Datenschutz achten. Es ist wirklich ein Unding, denn JEDER muss sich bei MS mit einem Konto anmelden. Ist das dann offen gelegt, so machen auch keine Lizenzschlüssel keinen Sinn mehr. Fehler zugeben wäre wohl hier angebrachter. Was soll Office 365 und diese ganzen MS-Anmeldungen auch mit Office 2013, 2016 etc., wenn sowieso jeder diese mitbekommt.

        • Dekre sagt:

          Zu letzterem (Office-Anmeldung etc) war ja nicht gefährdet.
          Aber wenn ein simples Seminar nicht schon funktioniert, so ist es schon bedenklich. Das mit den “httpS” kann man ja wohl vergessen. Das “s ” macht weder sicherer noch schützt es wirklich.

          • Lieber Herr Dekre, die Anmeldung mit einem Microsoft-Konto und vor allem auch Office 365 ist ein vollkommen anderer Prozess und persönliche Daten oder Anmeldedaten wurden ja wie geschrieben auch nicht preisgegeben, sondern nur Unternehmensnamen aus unserer Automation Datenbank vorgeschlagen, und die auch unabhängig von der konkreten Webinaranmeldung. Insofern wollen wir die Kirche mal im Dorf lassen. Das von Herrn Born geschilderte Szenario in “hessisch Sibirien” ist theoretisch denkbar und deswegen werden wir das auch mit unseren US-Kollegen auch diskutieren.
            Vielen Dank für Ihr Statement und auch Ihnen einen schönen Feierabend!
            Gruß
            Andreas Hennig

          • Dekre sagt:

            Lieber Herr Hennig, also doch ein Seminar mit Kaffee und Tüte und Namensschild. Das können Sie doch gleich sagen. Da ist doch die Aufregung wieder umsonst. Frage – Warum hat unser lieber Günter keinen Kaffee bekommen oder gab es auch Tee? :)
            Ist schon ok.

          • Dekre sagt:

            Ich kriege mich gar nicht mehr ein vor lachen:
            “… sondern nur Unternehmensnamen aus unserer Automation Datenbank vorgeschlagen…”
            Zitat von Andreas Hennig, sorry, es ist so lustig :)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.