Die Postbank will die iTAN-Papierliste sterben lassen.
Als Ersatz werden "mobileTAN" und "chipTAN" angeboten.
Dass das auf Dauer billiger ist, kann man sich vorstellen. Aber dass es dem Kunden als sicherer verkauft wird, ist einfach frech und eine Lüge.

mobileTAN:
Hierbei hinterlegt der Kunde seine Mobilfunknummer bei der Postbank (1. Datenschutz. Was hat die meine Handynummer zu interessieren?). Für jede anstehende Transaktion wird eine SMS an diese Nummer geschickt. (2.Meine TAN-Liste habe ich immer an einem "sicheren Ort" aufbewahrt, wo sie mir nicht so leicht abhanden kommen oder gestohlen werden kann. Mein Handy habe ich immer dabei. Wer mein PIN ausspioniert, braucht sich also nur mein Handy "ausborgen", statt bei mir zuhause einzubrechen. 3. Eine Handykommunikation lässt sich leicht abhören als eine vor Ort vorliegende Papierliste. IMSI-Catcher sind günstig, die GSM-Verschlüsselung geknackt.)
Diese SMS enhält dann nicht nur eine TAN, sondern auch gleich den Betrag, der überwiesen werden soll. Dies soll die Sicherheit erhöhen, da so niemand mittels Man-in-the-middle ein hingesendete TAN abfangen und die Überweisung auf sein eigenes Konto umbiegen kann. (Aber: 4. Datenschutz. Was ist, wenn Mobilfunkprovider diese SMS in Logfiles schreiben. Als Admin bei einem Provider kann man also mit einer kurzen Volltextsuche und der Kenntnis meiner Mobilfunknummer (siehe Visitenkarte) sämtliche Kontobewegungen, die per SMS autorisiert wurden, anzeigen.)

Es geht noch unsicherer: chipTAN.

Zur Erstellung einer TAN schiebt man seine EC-Karte in ein portables Lesegerät (etwa so dick wie 30 Papier-TAN-Listen). Die Elektronik auf dem Gerät ermittelt dann aus den Karteninformationen, der aktuellen Uhrzeit und einem im Leser gespeicherten Schlüssel eine neue TAN.
Statt der TAN-Liste müsste mir der Bösewicht also das Lesegerät stehlen? Nein, einfacher, er beantragt für SEINE eigene Postbankkarte auch ein Lesegerät. Die Lesegeräte sind unabhängig vom Konto und gegeneinander austauschbar. Der Bösewicht muss nur noch meine EC-Karte (Taschendiebstahl), die PIN bzw. das Internet-Kennwort (per Spyware auf meinem Computer) stehlen. Die früher zusätzlich erforderliche TAN braucht er nicht mehr, die erzeugt er später zum Zeitpunkt des Kontoleerräumens selbst.
Im Wesentlichen wurde mit der chipTAN die TAN als solche komplett abgeschafft.

Ich rufe hiermit alle Postbankkunden auf, sich dringend kurz vor dem 18.1.2011 noch schnell ein letztes Mal eine Papier-TAN-Liste zu bestellen, um damit ihren Protest kundzutun.

Ein paar Experimente mit dem Import von VCARDs haben mir gezeigt, was andere auch schon festgestellt haben:
Microsoft hat in Outlook den VCARD-Import nicht 100% spezifikationskonform implementiert.

So habe ich versucht, Visitenkarten im VCARD 2.1-Format zu importieren.

Dabei sind mir folgende Unstimmigkeiten aufgefallen:

1. Outlook ignoriert Zeilen, die mit "CATEGORIES" beginnen.
2. Outlook erwartet bei einem eingebetteten PHOTO das "ENCODING=b", obwohl dies nur für VCARDS 3.0 gilt, und ignoriert ENCODING=BASE64
3. Bei der Angabe eines CHARSET achtet Outlook auf Groß- und Kleinschreibung (case-sensitive), ignoriert jedoch "UTF-8" und versteht nur "utf-8".

Bestätigungen und Widersprüche als Kommentar zu diesem Blog-Eintrag sind willkommen.

Das VCARD-Visitenkartenfomat bietet die Möglichkeit, ein Portrait-Bild einzubetten.
XING bietet einen Adressexport im VCARD-Format an.
Leider haben die XING-Entwickler etwas geschlampt und einen Export erzeugt, der einer Mischung aus VCARD 2.1 und 3.0 entspricht. Darüber sehen Outlook und Evolution zum Glück hinweg.

Dass Umlaute in UTF-8 kodiert sind, als Zeichensatz aber explizit ISO-8859-1 in der VCARD angegeben wird, verzeihen die beiden Programme natürlich nicht.

Zur die Portrait-Bilder greift XING auf die Spezifikation zurück, die die Angabe einer URL zulässt. Damit können Outlook und Evolution jedoch nichts anfangen.
Was die Adressverwaltungen beim VCARD-Import jedoch verstehen, sind BASE64-kodierte Bilder.

Was liegt also näher, als alle Bilder per wget von XING herunterzuladen und die URL in den VCARDs durch BASE64-kodierte Bilder zu ersetzen?
Die Zeichensatzangaben können wir dann auch gleich korrigieren.
Dabei muss beachtet werden, dass auch MS Outlook nicht 100% die V2.1-Spezifikation versteht. Das nach V2.1 konforme "ENCODING=BASE64" versteht Outlook nicht. Outlook braucht die RFC2426-konforme Variante "ENCODING=b".
Weiterhin ist Outlook "case sensitive" in Bezug auf den Wert zu CHARSET. Es muss also "utf-8" und nicht "UTF-8" heißen.

Folgendes Bash-Skript erfüllt den Zweck:
#!/bin/bash
# Copyright 2010 Superwallah, this code is distributed under GPL 3.0
if [ "$1" = "" ] ; then
echo "usage: ./xing2outlook.sh vcards-XING.vcf"
exit
fi
# wget all images
wget -N $(gawk -F";" '/PHOTO/ { print substr($3,11,length($3)-11)}' $1 )
# correct charset settings in XING vcards
sed -e 's/ISO-8859-1/utf-8/g' $1 > neuesvcard_out.vcf
# delete empty address lines
sed -e '/;;;;;;/d' neuesvcard_out.vcf > XING4Outlook.vcf
# convert all pictures into base64
for i in $( ls *.jpeg *.jpg *.gif 2> error.log ); do
base64 --wrap=0 $i > $i.b64
# BASE64 enthält /, daher ! sed-Trennzeichen
sed -e 's!VALUE=URL;TYPE=JPEG:.*'$i'!ENCODING=b;TYPE=JPEG:'$(cat $i.b64)'!g' XING4Outlook.vcf > neuesvcard_out.vcf
cp neuesvcard_out.vcf XING4Outlook.vcf
done
rm neuesvcard_out.vcf


Dabei sei allerdings auf Abschnitt 4.2 der XING AGBs verwiesen, die keinen automatisierten Zugriff erlauben.
Wörtlich zitieren darf ich die AGBs hier allerdings auch nicht, da ich sonst ebenfalls gegen denselben Abschnitt verstoßen würde.

Also: Es handelt sich um ein Gedankenexperiment. Die Nutzung ist ausdrücklich untersagt. Ich übernehme keinerlei Gewähr für Auswirkung der Nutzung des Codes.

"Ich habe nichts zu verbergen." und "Würdest Du das nicht auch unterstützen, wenn sie Dein Kind missbrauchen oder Deinen Vater in der U-Bahn zusammenschlagen würden?" - Das ist leider häufig die spontane Reaktion Vieler auf die Diskussion über Videoüberwachung, Vorratsdatenspeicherung und Überwachung im Internet.

Die "Spätfolgen" erkennen viele nicht. Diese werden sich ja auch es schleichend und somit nach und nach von der Gesellschaft akzeptiert einstellen. Das "diffuse Gefühl vom Beobachtetsein" wird ja schon jetzt häufig dem Paranoiker zugeschrieben. Was Null-Toleranz-Politik wirklich bedeutet, wird die Masse allerdings erst dann begreifen, wenn sie mit ihr aus heutiger Sicht nicht übereinstimmt.

Wo ist also Gesetzbrechen fast schon gesellschaftlich toleriert?

• Bei der Steuererklärung - sofern es sich um "kleine" Beträge handelt.
• Noch viel mehr: Im Straßenverkehr!
  "Ich war doch nur 20 drüber." - Ja, eben "drüber"(!), sprich jenseits des gesetzlich erlaubten.
  "Wenn der Penner nicht rechts rüberfährt, dann muss ich ja wohl rechts überholen." - Nein. Das ist verboten. Aufregen über Sonntagsfahrer hingegen ist gesetzlich erlaubt.
  "Ich war doch nur kurz auf einen Sprung Brötchen holen. Außerdem ist doch hier alles vollgeparkt." - Nee. "Parkverbot" bedeutet "Parken ist hier verboten, also gesetzlich nicht erlaubt.".
  Nun gut, es sind Ordnungswidrigkeiten, keine Straftaten. Wie hoch ist eigentlich das jährlich Volumen an Strafzetteln im Vergleich zu Geldstrafen bei Strafdelikten?
• Rauchen im öffentlichen Rauchverbot

Wie hier im Blog schon mal vorgeschlagen, wäre eine Überwachung im Straßenverkehr auf Basis von Handydaten sicher problemlos möglich. Öffentliche Überwachungskameras könnten nach brennenden Zigaretten filtern. Und der Abgleich von Handy-Bewegungsprofilen könnte die Fahrtenbücher der Steuererklärungen auf Plausibilität prüfen.

Wenn hierfür nun offiziell eine technische Lösung in Politikkreisen diskutiert werden würde, wäre das Geschrei der Bürger (und nicht nur der Daten- und Verbraucherschützer) groß. Es würde Klagen geben und eine öffentliche Diskussion, für die sich sicher sogar die 50-Cent-Boulevardpresse interessieren würde.
Man würde ein Exempel statuieren.

Und plötzlich würde die Diskussion "Wann sollte der Staat überwachen dürfen?" jeden interessieren. Zumindest wäre endlich dieser dumme Satz "Ich habe doch nichts zu verbergen." tot.

In agilen Software-Entwicklungsmethoden, wie SCRUM oder XP, wird häufig empfohlen, das zuerst zu tun, bei dem genau klar ist, was zu tun ist.
Das klingt zunächst gut, da dann sichergestellt ist, dass alle Ihre Aufgabe genau kennen und die Umsetzbarkeit und Umsetzungsaufwand abschätzen können.

Konsequenz dieses Vorgehens ist jedoch, dass die vage und unpräzise formulierten Anforderungen bzw. die Anforderungen, bei denen das genaue Ziel noch unklar ist, unterpriorisiert werden.
Einerseits mag in den Anforderungen, bei denen selbst der Anforderer nicht genau weiss, was er will, kein großes Gewicht liegen. Wenn der Anforderer nicht genau weiss, was er will, lässt er sich ggf. auch schneller davon überzeugen, dass er die Umsetzung dieser schwammig formulierten Anforderung vielleicht gar nicht braucht.
So wird für dieses Vorgehen gerne damit geworben, dass über eine solche Priorisierung die Anforderungen mit dem höchsten Nutzen zuerst implementiert werden. Am Ende eines Projektes bleiben dann nur noch Anforderungen mit hohem Aufwand aber vergleichsweise niedrigem Nutzen zurück, die notfalls auch komplett fallengelassen werden können.

Dieser Sichtweise steht aber die Behandlung besonders komplexer Anforderungen gegenüber. Dies sind diejenigen, die zu Beginn eines Projektes niemand so genau beschreiben kann. Bei diesen Anforderungen wäre zunächst weitere Planungszeit nötig, um sie präziser zu formulieren und in kleinere Teilanforderungen zu zerschneiden.
Andererseits ist bei unverstandenen Anforderungen der Nutzen zunächst noch unklar. Zumindest besteht zunächst die Wahrnehmung, dass der Aufwand zur Lösung den (noch unbekannten) Nutzen deutlich übersteigt.
Wenn sich in einer dieser komplexen Anforderungen jedoch ein simple Lösung mit hohem Nutzen verbirgt, ist es es wert, die zusätzlich erforderliche Zeit einzuplanen, um die Anforderung besser zu verstehen. Einer solchen Anforderung (würde man sie denn trotz ihrer Komplexität erkennen) sollte Priorität eingeräumt werden.

Wir schlussfolgern daraus:
Werden nur die klar verstandenen Anforderungen hoch priorisiert, läuft man Gefahr, Zeit zu verlieren, die derzeit unverstandenen, komplexen Anforderungen mit (relativ zum Aufwand) hohem Nutzen zu identifieren und somit auch umzusetzen. Mit diesem Vorgehen kann man sogar relativ sicher sein, dass diese Anforderungen überhaupt nicht umgesetzt werden, da der Anforderungsanalyse dafür nie ausreichend Zeit eingeräumt wird.

In Kürze: Komplexe Anforderungen müssen keine unwirtschaftlichen Anforderungen sein.

Ziel ist es, sein Android-Handy mit dem Server oder Desktop-PC / Laptop zu synchronisieren, ohne die Daten durch Google (Gmail etc.) schleusen zu müssen.

Man kann auf SyncML setzt. Dann ist Funambol eine gute Wahl.

Daneben gibt es aber mittlerweile noch eine ganze Reihe weiterer Sync-Dienste:


Sync über Austauschdateien auf SD-Karte. Test mit Demo-Version 1.4.6 erfolglos.

Name	Beschreibung	Gegenseite	Preis
Funambol	Kontakte via SyncML	beliebiger SyncML-Server, z.B. Funambol	-	Android-Client muss selbst kompiliert werden
The Missing Sync	Kontakte und Dateien synchronisieren, in Zukunft: Kalender, Aufgaben, Notizen, SMS	Windows, Mac	$39,95 (1 PC), $69,95 (3 PCs)	Pairing erfordert http-Verbindung zum MarkSpace-Server, funktioniert aber nicht via Wifi. Bluetooth geht erst ab Android 2.0 (Cyanogenmod wird als 1.6 deklariert) => Kein Sync
CompanionLink CL USB Sync		-	$39,95	nur Kontakte, deutscher Android-Client nicht vollständig übersetzt. => kein Sync
Wave Labs MyLink Advanced		Windows	£9,99
TouchDown	E-Mail-Sync	beliebiger MS Exchange
ContactsSync	E-Mail-Sync	beliebiger MS Exchange 2007
vCardIO	Kontakte via VCARD-Im-/Export	VCARD-Files		derzeit nur VCARD 2.1, basiert auf altem Funambol-Code, funktioniert in seinen Grenzen aber sehr gut.
aFileSync	File-Synchronisation via ftp	beliebiger FTP-Server	-	als Backup-Lösung brauchbar, kein Kontakte-Sync-Tool-Ersatz

Wenn die Deutsche Steuergewerkschaft Recht hat, hinterziehen die Deutschen jedes Jahr 30 Milliarden Euro an Steuern.

Sind Sie sicher, dass von Ihnen kein einziger Euro dabei ist?
Haben Sie auch die Punkte prüfen lassen, bei denen Sie sich unsicher waren, bevor Sie Ihre Steuererklärung abgegeben haben?

Es müssen ja nicht gleich Schweizer Bankkonten sein. Aber wer für den Kauf der CD durch die Bundesregierung stimmt, der sollte die beiden oberen Fragen auch mit "JA" beantwortet haben.

Oder halten Sie das Bankgeheimnis eh für einen Schutz derjenigen, die zu viel haben? Dann ist sicher Blippy das Richtige für Sie!

Haben Sie immer noch nichts zu verbergen?

Wer sein Android statt mit Google mit einem SyncML-Server synchronisieren will, braucht einen Syncml-Client.
Funambol bietet zum eigenen Server gleich das passende Client-Projekt für Android.

Herausforderung hierbei ist, dass die Variante, die zum Download bereitsteht, hoffnungslos veraltet ist. Kernunterschied: Die offizielle Version unterstützt nur Synchronisation der Kontakte, die Entwicklerversion unterstützt auch Kalender, Photos, ....

Daher sind folgende Schritte notwendig:

1. Eclipse installieren
2. Android SDK installieren
3. Android ADT Plugin for Eclipse installieren
4. subversion unter eclipse installieren
5. Funambol Android-client Quellen in Eclipse einbinden
6. ggf. xml-File an lokale Installation anpassen
7. Android-Client kompilieren
8. Android-Client auf Android-Gerät installieren
9. Android-Client auf Android-Gerät konfigurieren

Die ersten drei Schritte sind hier gut erklärt.