"mit der Beratung zu beginnen, wenn der Zuwendungsbescheid vorliegt."

Klima ist ein In-Thema. Alle reden davon, die Politik will sich daran ausrichten. Manchmal werden sogar Strassen gesperrt, um für eine bestimmte Klimapolitik zu werben (höflich ausgedrückt).

Gebäude spielen bei dieser Argumentation eine grosse Rolle. Hier kann ein wesentlicher Anteil an CO₂ eingespart werden:

Gebäude haben einen wesentlichen Anteil am Gesamtenergiebedarf und an den Treibhausgasemissionen in Deutschland. Den Energiebedarf von Gebäuden zu verringern, ist nicht nur ein Schwerpunkt deutscher Klimaschutzpolitik, sondern liegt ebenso im Interesse aller Bürgerinnen und Bürger, die von geringeren Betriebskosten profitieren.

Energiesparen ist der einfachste und schnellste Weg, das ⁠Klima⁠ zu schützen und den Geldbeutel zu schonen. Investitionen rechnen sich durch die entfallenden Energiekosten. Das trifft auch auf Gebäude zu. Der Betrieb der Gebäude verursacht in Deutschland etwa 35 Prozent des Endenergieverbrauchs und etwa 30 Prozent der CO₂-Emissionen.

Quelle: Energiesparende Gebäude auf der Seite des Umweltbundesamtes

Um diese Maßnahmen voranzubringen hat die Bundesregierung eine Förderung für die Durchführung einer Beratung zugesagt. Diese Förderung wird verwaltet vom Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA). Zu diesem Thema sagt dieses Amt:

Zu einer solchen Energieberatung kann man einen Zuschuss bei diesem Amt beantragen. Auch dazu möchte ich wieder die BAFA zitieren:

Also sucht man einen entsprechend zertifizierten Energieberater, danach stellt man den Antrag bei der BAFA. Die entsprechenden Unterlagen scannt man und lädt sie auf den Server der BAFA hoch, denn die BAFA akzeptiert keine schriftlichen Unterlagen mehr. Sofern alles funktioniert, erhält man eine Mail mit einer Bestätigung und einer Vorgangsnummer. Zum weiteren Vorgehen soll man nicht nachfragen, weder per Telefon, per Brief, per Mail oder gar per FAX. Alles geht jetzt seinen Gang.

Zwecks Prüfung des Standes der Bearbeitung des eigenen Antrags gibt es eine Internetseite, über die man nachfragen kann, denn "Es wird daher empfohlen, erst dann mit der Beratung zu beginnen, wenn der Zuwendungsbescheid vorliegt".

Prüft man den Stand des eigenen Antrags nach, landet man auf dieser Seite, die folgendes erklärt:

Sie sehen, Anfragen zu Anträgen zum Thema Energieberatung sind nicht möglich, werden vom System nicht akzeptiert.

Wie gehen Sie jetzt weiter vor in der möglichen Beratung zur Sanierung eines Hauses? Die Antwort ist einfach: gar nicht. Sie warten weiter, denn eigene Schritte sind Ihr Risiko.

Datenbank

Eigentlich ist diese Anfrage eine einfache Sache. Der Antrag mit allen Scans wird von der BAFA in einer Datenbank gespeichert. Mit jedem Bearbeitungsschritt kommen in der Datenbank weitere Daten dazu, die alle intern sind. Bei einer Anfrage nach dem Stand der Bearbeitung durch Sie wird von Ihrem Computer eine Anfrage an einen Computer der BAFA geschickt. Dieser Server sendet dann eine Anfrage an die Datenbank, die die entsprechenden Daten herauszieht, natürlich nur für die Daten, die Sie sehen dürfen. Diese Daten werden dann aufbereitet und dadurch in eine präsentable Form gebracht, die der Computer der BAFA an Ihren Computer schickt. Dort präsentiert Ihnen Ihr Computer dann die Daten.

Das ist alles ganz einfach, völlig normal. Und das geht auch schnell, denn solch eine Datenbankabfrage dauert weniger als eine Sekunde. Sollte sie wesentlich länger dauern, dann machen die Softwareentwickler auf der Seite der BAFA etwas falsch.

An dieser Aktion ist kein Mitarbeiter der BAFA beteiligt, dies wird alles von der Software erledigt. Eine Überlastung der Computer durch zu viele gleichzeitige Anfragen ist zwar möglich, aber eher unwahrscheinlich. Und das kann man vorher testen und man kann die Systeme entsprechend auslegen.

Solche Anfragen an Datenbanken habe ich mehrfach geschrieben, das ist Standard, für einen Softwareentwickler ist das ein langweiliger Job.

Elektromobilität

Mit diesem Amt habe ich eigene Erfahrungen, denn ich fahre ein Elektroauto. Zu diesem Auto gab es von der Bundesregierung einen Zuschuss, warum auch immer. Auch diesen Zuschuss musste ich bei der BAFA beantragen, Papiere scannen, hochladen usw. Die BAFA bestätigte mir dann per Mail, daß ein Antrag von mir eingegangen sei. Nach etwa 3 Wochen wollte ich dann den Stand der Bearbeitung abfragen und ging auf die entsprechende Internetseite der BAFA. Nach Eingabe der geforderten Daten erhielt ich den Hinweis, daß der Antrag nicht bekannt sei. Dabei hatte mir das Amt doch per Mail bestätigt, daß mein Antrag eingegangen sei und bearbeitet würde.

Nach längerem Hin und Her und mit der Hilfe eines Rechtsanwaltes erklärte das Amt, daß die gescannten Dokumente unleserlich seien. In der Tat war bei einem Scan ein technischer Fehler aufgetreten, der sich durch Eingabe eines Vergrösserungsfaktors beheben ließ. Also einfach am Computer eingeben: Vergrösserung 400%, und man konnte alles klar und deutlich sehen, aber das war wohl zuviel verlangt. Ausserdem meinte die BAFA, daß sie mich per Brief auf die Ablehnung hingewiesen habe, doch ein solcher Brief hat mich nie erreicht. Eine Mail können sie wohl nicht schicken. Naja.

Am Ende habe ich das Geld erhalten und davon erst einmal meine Rechtsanwältin bezahlt.

Bei diesem Amt sollte man immer nachfragen, wie der aktuelle Stand der Bearbeitung eines Antrages ist.

Fazit

Um auf die Förderung der Energieberatung zurückzukommen: Einen Antrag auf Förderung einer Energieberatung kann man stellen, den Stand der Bearbeitung kann man nicht abfragen.

So ist das mit der Digitalisierung in Deutschland. Und mit der Einsparung von Energie und CO₂ geht es so auch nicht voran.

"Wir benötigen Ihr Passwort"

Passwörter gehören heute zum täglichen Leben. Sie sichern den Zugang zu privaten oder geschäftlichen Daten ab. Eine Eigenschaft von Passwörtern ist, daß sie nur dem Eigentümer, nicht aber allen Anderen bekannt sind. Und diese (wichtige!) Eigenschaft gefällt nicht jedem, und so versucht man, diese Eigenschaft aufzuheben. Den Satz "Wir benötigen Ihr Passwort" fand ich auf einer Internetseite, und dies war keine von Kriminellen gebaute Seite.

Deutschlandticket

Ich wollte ein Deutschlandticket kaufen, also dieses hier:

Von dieser Seite aus kann man das Deutschlandticket kaufen, indem man auf "Jetzt buchen" klickt. Danach kommen einige Hinweise bevor man zur Eingabe der persönlichen Daten kommt. Dann gebe ich die IBAN ein und erkläre mich mit einer Abbuchung (Lastschrift) von diesem Konto einverstanden. Nach einer Präsentation meiner Eingaben und einigen juristischen Dingen kommt dieser Hinweis:

Als Erläuterung und zur Begründung gab es folgende Hinweise auf der gleichen Seite:

Bitte beachten Sie den folgenden Text: "Die Bestätigung dient Ihrer und unserer Sicherheit und erhöht den Schutz vor Datenmissbrauch."

Jeder kann so etwas schreiben, aber das Gegenteil dieser Aussage ist richtig. Dieser Vorgang erhöht nicht meine Sicherheit, und es schützt auch nicht vor Datenmißbrauch.

Denn das ist der nächste Schritt:

Ich möchte Sie auf folgenden Satz hinweisen: "Mit Klick auf den Weiter-Button willige ich ausdrücklich ein, dass meine IBAN, Vor- und Nachname und meine E-Mail-Adresse an die Tink Germany GmbH, Gottfried-Keller-Str. 33, 81245 München, übermittelt werden, um mit dem Online-Banking-Login meinen personalisierten Kontozugriff zu bestätigen.". Der personalisierte Kontozugriff ist ein Zugriff auf mein Konto unter Verwendung der Zugangsnummer und meines Passwortes. Um exakt diesen Zugriff geht es: Tink greift auf mein Konto zu und ich soll sagen, daß dieser Zugriff von mir stammt..

Und weiter geht es:

Mein Bankkonto ist bei der HypoVereinsbank, aber das ist eine andere Geschichte. Die Internetadresse dieser Seite ist aber keine Adresse der HypoVereinsbank.

Auf dieser Seite soll ich die Zugangsdaten für mein Bankkonto eingeben, also die Banking Nummer und das zugehörige Passwort. Dabei stammt diese Seite weder von der HypoVereinsbank noch von der Deutschen Bank (und auch die Deutsche Bahn geht mein Passwort für mein Konto schon mal gar nichts an).

Bitte beachten Sie auch folgenden Satz auf dieser Seite: "Ich akzeptiere die Nutzungsbedingungen der Tink Germany GmbH und willige in die Verarbeitung meiner personenbezogenen Daten durch Tink Germany zum Zweck der Erbringung des Kontoinformationsdienstes ein". Ich darf also erklären, daß die Deutsche Bahn bzw. die Tink Germany GmbH diese Zugriffsdaten von mir erhalten haben und ich mit dieser Übermittlung einverstanden bin.

Danach erfolgt ein Zugriff auf mein Bankkonto und die Bestellung des Deutschlandtickets konnte abgeschlossen werden. Nun gibt es eine 2-Faktor-Authentisierung¹⁾, d.h. auf meinem Handy tauchte in der Bank-App die Frage auf, ob ich diesen Zugriff erlauben würde. Und da ich dieses Deutschlandticket kaufen will, gestatte ich den Zugriff auf mein Bankkonto durch die Firma Tink Germany GmbH. Damit haben sie noch nicht das Geld für das Ticket, dies erfordert einen weiteren Zugriff auf mein Konto, die Lastschrift, die dann auch etwas später erfolgte. Jetzt hat die Deutsche Bahn die 49€ von meinem Konto auf ihr Konto übertragen. Etwas später erhielt ich eine Mail der Deutschen Bahn mit einer Bestätigung des Kaufs des Tickets. Nun brauchte ich nur noch auf dem Handy in der DB App die Abonummer eintragen und erhielt den QR-Code des Deutschlandtickets.

Passwörter

Passwörter dienen dem Schutz des persönlichen Eigentums. Dazu sollen sie möglichst viele Stellen haben, aber trotzdem leicht zu merken sein. Sie sollen Klein- und Großbuchstaben, Ziffern und vielleicht auch Sonderzeichen enthalten, um das Erraten des Passwortes zu erschweren. Und sie sollen geheim sein (und bleiben), denn sie sollen nur mir bekannt sein, aber nicht jemandem anderen, wem auch immer.

Und schon gar nicht gehören sie in das Wissen der Deutschen Bahn. Wobei die Deutsche Bahn dieses Wissen ja auch noch an ein privates Unternehmen weitergibt.

Mit der Weitergabe des Passwortes ist dieses Passwort nicht mehr geheim.

Datenschutz

Was sagt eigentlich der Datenschutzbeauftragte der Deutschen Bahn zu einer solchen Abfrage?

Gefahren

Was kann schon passieren, wenn die Deutsche Bahn alle Daten hat, um auf mein Bankkonto zuzugreifen? Als Erstes fällt einem ein, daß dann die Deutsche Bahn Geld von meinem Konto abbuchen kann, denn mit diesem Wissen hat sie den unbegrenzten Zugriff auf mein Konto. Diesen Vorgang würde ich natürlich bemerken und sofort die Überweisung rückgängig machen, sofern dies möglich ist.

Aber sie können mit einem solchen Zugriff die Zu- und Abflüsse auf meinem Konto einsehen. Und mit diesen Daten können sie dann machen, was immer sie wollen. Sie kennen doch den Spruch "Daten sind das neue Öl".

Ein Staatsunternehmen will das Passwort für meinen Bankzugang haben. Und gibt dies dann weiter an ein Privatunternehmen, das dann auf mein Bankkonto zugreift. Eine einfache Abbuchung des Betrages von 49€ für das Deutschlandticket per Lastschrift reicht diesem Unternehmen nicht. Und dies soll meiner Sicherheit dienen.

Konsequenz

Ich musste dieses Vorgehen akzeptieren. Oder ich verzichte auf das Deutschlandticket. Also habe ich das Passwort eingegeben. Mittlerweile habe ich das Passwort geändert.




Anmerkungen:

1) Siehe "Zwei-Faktor-Authentisierung" auf der Seite der Wikipedia und beim Bundesamt für Sicherheit in der Informationstechnik (BSI)