Email von Buhl mit wichtigem Update?

Zitat von "norbert78"

ich habe heute eine Email von Buhl erhalten mit folgendem Text:
<snip>
Sehr geehrter Herr ,
aktuell ist ein wichtiges Update zum Programm „WISO Mein Geld 2009“ verfügbar. So ist die Kernfunktion der Online-Banking Schnittstelle angepasst worden. Bitte laden und installieren Sie dieses Update unbedingt VOR der nächsten Online-Transaktion.
Bitte führen Sie unbedingt die Aktualisierung der Software mit den folgenden Schritten durch:
Laden Sie das Update („10.00.02.57“) aus dem Internet über den folgenden Link:
<!-- m --><a class="postlink" href="http://update.buhl-finance.com/Download/MeinGeld/MG2009/Updates/WISOMeinGeld2009Hotfix2c.exe">http://update.buhl-finance.com/Download ... tfix2c.exe</a><!-- m -->
....
<snip>

Ausserdem heisst es dort:
Hinweis: Über das Programm (mittels Extras > Aktualisieren > Programm) ist das Update derzeit noch nicht verfügbar, wird jedoch in Kürze bereit gestellt werden.

Alles anzeigen

Hallo Norbert,
wenn es dir lieber ist kannst du das Update auch auf dieser Seite downloaden:
<!-- m --><a class="postlink" href="http://www.buhl.de/support/update_wiso.asp">http://www.buhl.de/support/update_wiso.asp</a><!-- m -->

Zitat von &quot;norbert78&quot;

Irgendwie macht mich das Ganze ein bisschen misstrauisch. Da bekommt man eine unsignierte (!) Email von Buhl und wird gebeten, ein Update zu installieren? Wofür hat das Programm denn diese Update-Funktion?`

Man wollte den Nutzern möglichst schnell dieses Update zukommen lassen. Die Version für die automatische Update Funktion zu erstellen dauert aber länger.

Zitat von &quot;norbert78&quot;

Hat noch jemand diese Email erhalten? Ist das ein FAke oder am Ende doch noch echt?

Ja, die Mail ist echt.

Zitat von &quot;Polle01&quot;

Ja, die Mail ist echt.

Wie übrigens auch der Hinweis im Informationscenter und das Posting hier im Forum

Viele Grüße

Sandro

Zitat von &quot;Rautka&quot;

Etwas mehr Nachdenken hätte hier bestimmt eine bessere Lösung gebracht.

Bin ich gespannt: welche?

Gruß
Dirk

Zitat von &quot;Rautka&quot;

Wie gesagt, es wäre an Buhl gewesen hier eine angemessene Lösung zu finden.

Zum Beispiel eine Ankündigung hier im Forum oder Info im Informationscenter?

Viele Grüße

Sandro

Zitat von &quot;Rautka&quot;

ich weiß nicht, warum Du Buhl-Data so verteidigen musst.

Ich verteidige niemanden.

Zitat

Ich muss es nicht und ich muss mir auch die Köpfe der Buhl-Verantwortlichen nicht zerbrechen.

Also, wenn man jemanden etwas speziell vorwirft, sollte man schon sagen, was einem lieber wäre.
Davon abgesehen lese ich so ziemlich alle Beiträge hier und in der NG. Und da lese ich, daß der eine sich darüber mokiert, keine E-Mail zu bekommen und der andere die Info per E-Mail kritisiert. Die einen wollen unbedingt schöne bunte HTML-Mails, die anderen pochen auf nur Text (ich auch ) Dto. mit dem Infocenter, Briefpost etc. Was Buhl macht ist also egal, sie treffen immer jemanden auf dem falschen Fuß.

Zitat

Ich halte, wie gesagt, die Mail zwar natürlich für zulässig und technisch ist sie ja auch möglich, aber trotzdem für unangebracht. Eben gerade, weil das Thema Internetbanking durch Phishing u.ä. belastet ist. Eine Firma, die hier mehr Sicherheit schaffen will, sollte sich solch einen Fauxpas einfach nicht leisten.

Das Problem sind nicht die Links in einer E-Mail sondern die User, die auf alles klicken, was nicht bei drei auf dem Baum ist (möglichst mit einem Browser, der offen wie ein Scheunentor ist). Oder die Mails sowieso gleich in der Voransicht drin haben und sich an bunten HTML-Mails erfreuen und glauben, solange sie da auf kein Attachement klicken, ist alles in Butter (wobei sie damit schon etwas sicherheitsbewußter sind als andere) . Und dann noch die immer wieder die weit verbreitete naive Gläubigkeit, was Absender angeht. Also als Absender steht Buhl auf dem Umschlag, kann also nur von Buhl sein (ist es aber nicht unbedingt).

Zitat

Wie gesagt, es wäre an Buhl gewesen hier eine angemessene Lösung zu finden.

Es gibt keine angemessene Lösung für alle.

Zitat

Aber wenn Du darauf bestehst, hätte ich die Lösungssuche bei "erst dann ein neues Release ausliefern, wenn die Update-Technik fertig ist" und keinen Link, sondern eine Nennung der Download-Seite angefangen.

Bitte, wo ist da jetzt der Unterschied?

Gruß
Dirk

Zitat von &quot;anderl1969&quot;

Eine email hätte gereicht und wäre auch nicht anstößig gewesen. Problematisch halte ich den darin enthaltenen Link.
Denn jetzt hat Buhl einen Präzendenz-Fall geschaffen: Buhl verschickt Links auf Updates.
Sollte in Zukunft ein Phisher auf die Idee kommen, sich als Buhl auszugeben und einen Link auf Malware mit zu schicken, dann ist die Hemmschwelle, darauf zu klicken, deutlich niedriger als bei einem vermeintlichen Abesender, von dem ich weiß, dass er sowas nie machen würde.

Tut mir leid, aber meine tägliche berufliche Praxis sagt mir etwas anderes: es gibt keine Hemmschwelle bei vielen Usern. Man wundert sich, wie schnell die Leute auf Links in Mails von Absendern klicken, von denen sie noch nie etwas gehört haben bzw. bei denen ihnen das Resthirn sagen müßte, daß sie kein Kunde bei XYZ sind, also auch keine Mahnungen bekommen können etc.

Zitat

Hätte Buhl in der Email beschrieben, wo und wie das Update von der Homepage zu beziehen ist, wär's besser gewesen.

Ich gebe Dir Brief und Siegel darauf: es wäre die Frage gekommen, warum sie es so Userunfreundlich machen und nicht direkt den Link zum Klicken angeben.
Ich will jetzt die Diskussion nicht ausufern lassen, aber für mich lassen zuviele User diese Sicherheitsaspekte völlig außen vor und zwingen andere zu Zugeständnissen, die diese eigentlich nicht machen wollen. Bestes Beipiel: HTML-Mail - sicherheitstechnisch ein Katastrophe, aber von Standpunkt des Marketing und vieler Kunden eine "muß".

Zitat

Der Unterschied ist, dass bei einem Link innerhalb der Email es Möglichkeiten für den Phisher gibt, dem Anwender zu verschleiern, wohin der Link wirklich verweist.

Das kann er schon mit dem Absender der Mail machen. Und es gibt dafür Security-Software, z.B. auch den IP Guard. Aber lassen wir das. Eigentlich sind wir uns einig: der Link ist bedenklich, aber ich wüßte nicht, was es besseres gäbe, wenn man alle Aspekte beleuchtet (leider spielt die Sicherheit schon lange nicht mehr die erste Geige).

Gruß
Dirk