Payback, Club Smart, Miles&More – die Liste der Kundenkarten, bei denen der gemeine Komsumsklave gerne etwas freizügiger mit seiner Daten-Intimsphäre umgeht ist lang. Das Bundes-Wirtschaftsministerium folgt im Kleingedruckten des KFW-Programms 275 für Speicher diesem Credo. Wer in den Genuss des gerade erst verlängerten Tilgungszuschusses  kommen will, der zahlt mit seinen Daten. Eine Sammlung, die dank der EE-PR von vielen Medien in das Volk verbreitet wird und scheinbar nur wenig hinterfragt wird. Ist ja Wissenschaft…

Für Papa Staat ist die ominöse Subvention fast ein Null-Summenspiel. Wenn nicht alles täuscht, dann wird 30% auf den Nettopreis eines Solarspeichers gefördert. Kostet dieser zum Beispiel 10.000 Euro, so zahl der Kunde 1.900€ in Form von Umsatzsteuer – bekommt dafür 3.000 Euro der Tilgung erlassen. Die fehlenden 1.100€ sind die eigentliche Subvention, die aus dem 30 Millionen Euro Pott „bezahlt“ werden. Wer dieses Geld allerdings haben will, der muss seinen Speicher auf Speichermonitoring.de anmelden.

KFW Darlehen werden von der heimischen Bank durchgeleitet. Beim Abschluss eines entsprechenden Vertrages für das Programm 275 begab es sich, dass das Kreditinstitut des Kunden fragte „wir können leider nicht nachvollziehen, dass Sie im  Speichermontoring angemeldet sind.“. Leider war nicht zu erfahren, wie diese Nachvollziehbarkeit überhaupt möglich ist. Existiert die Möglichkeit irgendwo in die Datenbank eine Einsicht zu bekommen? Werden die gemachten Angaben mit der KFW abgeglichen?

Die Fragen können noch vielschichtiger sein. Werden allerdings zum Teil auf der Seite Datenschutz der Speichermonitorings beantwortet.

„Personen- und anlagebezogene Daten werden von uns in keinem Fall an Dritte weitergegeben.“

und weiter

„Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um zu gewährleisten, dass die personen- und anlagenbezogenen Daten unserer Nutzer vor Verlust, unrichtigen Veränderungen oder unberechtigten Zugriffen Dritter geschützt sind. Nur berechtigte Personen haben Zugang zu Ihren Daten, und dies auch nur insoweit, als es im Rahmen der oben genannten Zwecke erforderlich ist.“

Dennoch wollte blog.stromhaltig etwas genauer wissen, wer eigentlich Zugriff auf die Daten hat und stellte an den Verantwortlichen im Sinne des Presserechtes folgende Frage:

  • Welche Unternehmen/Personenkreise haben unverschlüsselten/unanonymisierten Zugriff auf die Daten der Anlagenbetreiber?
  • Werden die Daten auf dem Server verschlüsselt gespeichert?
  • Welche Art von Schutzmaßnahmen wurden ergriffen, damit die Daten nicht entwendet werden können?

Die Antwort geht gezielt auf diese Fragen ein und nennt Fakten:

„Wir nehmen den Schutz personenbezogener Daten sehr ernst und haben daher von Beginn an umfangreiche Maßnahmen zur Sicherung der von uns verarbeiteten Daten implementiert. Neben organisatorischen. Maßnahmen verwenden wir im Front- und Backend der Website SSL (https) Verschlüsselung sowie Schutzmechanismen gegen verbreitete Methoden des Angriffs auf Benutzerkonten.“

Sobald man auf die Eingabemaske der Webseite wechselt, schaltet der Webbrowser auf HTTPs um. Das Zertifikat, welches zur Verschlüsselung verwendet wurde von RapidSSL signiert und bestätigt lediglich, dass man mit dem Server speichermonitoring.de kommuniziert. Weitergehende Details, wie eine Anschrift oder Verantwortliche werden nicht genannt. Ob dieser Server allerdings zum Zeitpunkt der Datenerhebung kompromittiert ist und selbst irgendetwas mit den Daten anstellt, bleibt im Bereich des Vertrauens. Jeglicher „Vertrag“  oder Zusage, die auf der Webseite eingegangen wird, geht man somit mit einem Pseudonym ein, welches man über das Impressum auflösen könnte. Im gesamten Prozess des geförderten Darlehens hätte die Bank oder die KFW bestimmt etwas dagegen, wenn man zum Beispiel mit blog.stromhaltig (ein Markennamen) unterzeichnet – und nicht als juristische Person.

Es bleibt die Frage, wer kann eigentlich die Daten einsehen? Es fällt auf, dass zumindest eine Partei im Impressum und in der Datenschutzerklärung fehlt. Der Verantwortliche dazu gegenüber der Redaktion:

„Bezüglich Ihrer Metadatenanalyse haben Sie allerdings Recht: Der Hoster unserer Website, die Mittwald CM Service GmbH & Co. KG, wurde fälschlicherweise nicht in der veröffentlichten Datenschutzvereinbarung genannt. Wir werden hierzu Rücksprache mit unserem Datenschutzbeauftragten halten und dies zeitnah korrigieren. Die Einhaltung der in der Datenschutzerklärung festgelegten Pflichten durch unsere externen Dienstleister wird dabei selbstverständlich durch Verträge zur Auftragsdatenverarbeitung sichergestellt.“

Zwar wird damit immer noch nicht geklärt, welchen Versuch eine Eintragung „nachzuvollziehen“ die Bank unternimmt. Jedoch kümmert man sich jetzt zumindest einmal um den Hoster. Mittwald CM Service betreibt die Server. Damit stellt dieses Unternehmen auch sicher, dass niemand in die Serverräume kommt und somit der physikalische Schutz vor Zugriff gegeben ist. Es liegt in der Pflicht des Darlehensnehmers davon auszugehen, dass eine Firewall vorhanden ist oder ein Intrusion Detection System, kontrollieren kann er es nicht. An dieser Stelle sei vielleicht der Hinweis erlaubt, dass auf dem Webserver ein Port offen ist, welcher beängstigend nach dem Port der Datenbank aussieht. Eine Stufe über der Datenbank erbringt das Typo3 CMS seine Dienste.  Viele Einträge gibt es in der Exploit CMS  dazu,  von denen wir hier mal ausgehen, dass diese bekannt sind und alle bei speichremonitoring.de geschlossen wurden. Beim eingesetzten Mailer, welcher die persönlichen und anlagenspezifischen nach dem Ausfüller per Mail verschickt („FormMailer für TYPO3 6.2.17“) gibt es einige Hinweise auf Schwachstellen. Immerhin hatte man vom Anfang der Recherche im November 2015 bereits von der Version 6.2.12 aktualisiert.

Bevor man als Anlageninhaber jedoch zu diesem Mailer kommt, muss man sich auf der Webseite als Nutzer registrieren. Hier erhält man eine Mail mit einem Link, welchen man öffnet um die Registrierung abzuschließen. Der Link endet in etwa mit: „/registrieren.html?no_cache=1&registration%5Btable%5D=fe_users„. Damit verrät der Betreiber eigentlich schon, wo die Benutzerdaten (verschlüsselt?) gespeichert werden.

Kommen wir zurück zu den beiden Mails, die für jeden versendet wird, der das KFW Programm nutzt. Diese sind unverschlüsselt, was bei Mail leider noch zum Standard gehört. Allerdings sind diese Mails auch nicht elektronisch signiert oder haben sonst ein Sicherheitsmerkmal. Der Empfänger kann somit nicht sicher sein, dass der Inhalt nicht verändert wurde oder überhaupt vom genannten Absender stammt. Als Beweismittel um „die Eintragung auf speichermonitoring“ gegenüber der Bank nachzuweisen taugen diese Mails nicht. Selbstverständlich hat mein eigener Mailanbieter nun auch alle Daten von mir und meinem PV-Speicher in gut auswertbarer Form vorliegen. Die Mails werden übrigens von emita.mittwald.de versendet, der mit Sicherheit über eine SSL Verbindung seinen Auftrag dazu von speichermonitoring.de erhalten hat. Jeder, der von seiner Hausbank gefragt wird, ob er nachweisen kann, dass die Eintragung beim Monitoring erfolgt ist, kann diesen Blogpost verwenden um zu sagen, dass er Indizien hat, die auf die Echtheit hindeuten.

Ein Fazit bleibt jedem selbst überlassen. Von hiesiger Seite muss eingestanden werden, dass es durchaus schlimmeres auf der Welt gibt, jedoch im Zuge der „Digitalisierung der Energiewende“ man bei den zuständigen Ministerien schauen sollte, dass man lieber 200% es mit dem Datenschutz nimmt, als die Messlatte nach unten neu zu definieren.

Den Beitrag "Speichermonitoring: Geld gegen Daten offline Lesen:
Veröffentlicht unter Lobby.

Ein Gedanke zu “Speichermonitoring: Geld gegen Daten

  1. Kredite Rechnen können …
    Nachdem eine Bank wie die KFW das Geld für eine Kredit einfach frisch und nagelneu für den Kreditnehmer erschafft (quasi druckt!), müssen nicht mal die 1100 € aus dem Topf der Subventionen kommen. Aber das nur am Rande …

    Im günstigsten Fall sind 1,1% Zinsen bei einer Laufzeit von 5 Jahren zu entrichten. Rechnet man ein entsprechendes Annuitätendarlehen (7000€ zu 1,1% bei 60 Monaten) druch, so kommt man auf zu zahlenden Zinsen von knapp 200 € über die gesamte Laufzeit. Dafür muss der Kreditnehmer allerdings über die beste Bonität verfügen.
    Bei der niedrigsten Bonitätsstufe würde der Kreditnehmer etwa 1750 € Zinsen auf die gesamte Laufzeit zahlen (7000€ zu 7,5% bei 60 Monaten), womit über die MwSt. und Zinsen mehr Geld an den Staat zurückfließt, als er für den Tilgungszuschuss aufwenden muss!
    Man merkt leider wieder, denjenigen die schon haben wird noch gegeben …

    Laufzeit 10 Jahre beste Bonität, 500€ Zinsen auf die gesamte Laufzeit … also immer noch „Förderung.“

    Darüber ob nun die Speicher oder etwas anderes gefördert wird, darf jeder selbst entscheiden.

    Antworten

Kommentar hinterlassen

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

benötigt