.
Ich bekomme so einige SPAM E-Mails. So manche von Ihnen schlüpfen immer noch durch das in die Jahre gekommene, rustikale Spamfilter meines E-Mail Providers. Doch manche E-Mails schauen im ersten Augenblick wie SPAM-Mails aus, in der genaueren Betrachtung stellt man fest, dass es gar keine sind. Es sind Massenmails, regulär abgeschickt und aus einer E-Mail-Datenbank bedient.
Solch eine E-Mail habe ich vor einiger Zeit tatsächlich mal wieder erhalten. Auf den ersten Blick dachte ich gleich an eine, durch den Spamfilter durchgerutschte Email. Aber je mehr man sich mit dem Thema beschäftigt, umso mehr erkennt man doch recht schnell, ob bei der zweiten Betrachtung die zuletzt durchgeführte, eigene Klassifizierung zur inspizierten Email sich manifestieren lässt, oder es sich um ein Irrtum handelt.
Nun ja, bei der besagten Email handelt es sich wohl um die Werbung um eine Absolventenmesse. Gleich zu Beginn wird jedoch ein altbekannter, englischer Slogan genutzt, der in Business-Kreisen in Newslettern und Werbungen die Aufmerksamkeit des Lesers wecken soll: “SAVE THE DATE”.
Ich wünschte, ich wäre ein Absolvent. Nicht weil es zu meiner Zeit so toll und attraktiv war zu studieren oder besser gesagt, von der Uni auszuscheiden, sondern weil es früher irgendwie unbeschwerter, lebendiger und lustiger war, irgendwie. Kamen doch so manche tolle Erinnerungen beim Lesen dieser, fälschlicher Weise zu Beginn als Spam erkannten Email auf. Dies war für mich dann auch der Anlass, diese Email einmal ehrenamtlich zu untersuchen. Denn wie gesagt, auf den zweiten Blick erkannte ich, dass es keine Spam-Mail war. Nur woher kam diese Email, wie konnte der Absender an meine Email-Adresse gelangen, welche ich nicht für irgendwelche Fake-Registrierungen nutze, damit ich z.B. auf die Schnelle ein Programm runterladen kann, welches penetranter Weise erst durch eine Registrierung heruntergeladen werden kann, weil der Betreiber wirklich dran glaubt, mit der Registrierung bessere Auswertungen über Nutzerverhalten machen zu können oder mich dann mit Werbe-Newsletter zumüllen darf (ungefragt und trotz Setzen des Hakens für die Option “NEIN, ich will verdammt nochmal keine Newsletter oder sonst irgendwelche Emails von dir!!!” während der Registrierung).
Ich fragte mich natürlich was das soll. EURES Programm? Nie gehört. Aber es ist eine CH Domain und ich will mich mal schlau machen. Nach einer kurzen Whois Abfrage, traue ich mich auch gleich auf die Seite zu gehen. Tatsächlich, ein Förderprogramm für Absolventen, International aufgestellt und von der “Die Direktion für Arbeit des Staatssekretariates für Wirtschaft (SECO)” gefördert. Das EURES Programm steht dabei für “EURopean Employment Services”, kurz EURES eben. Ich möchte wissen, wie und warum man an meine Email-Adresse gekommen ist, da ich zu diesem Zeitpunkt den Zusammenhang zwischen der EURES und dem SECO noch nicht herstellen kann.
OK, dann gehen wir mal auf die Suche. Erstmal schaue ich, woher diese Email tatsächlich abgesetzt wurde. Dabei sind mir gleich mehrere Sachen aufgefallen, die so nicht in Ordnung sind, oder zumindest zu diesem Zeitpunkt waren. Nachdem ich einfache Recherchen betrieben habe, konnte ich mit sicherheit sagen, dass diese Email tatsächlich von der in der Email genannten Institution kam. Also kann ich zumindest einmal eine Reply-Email an den Absender schreiben und fragen, wie man denn an meine Email-Adresse gekommen ist und warum man davon ausgeht, dass ich ein Absolvent sein könnte. Immerhin sind es jetzt ca. 14 Jahre her, dass ich eine Uni von Innen gesehen habe 🙂 Schön waren die Zeiten, jung, wissbegierig, partysüchtig, kein Cent in der Hose, Professoren nerven, Eltern nerven, Auto kaputt, Freundin auch und Klausuren stressig. Aber ich habe heute das Gefühl, wir haben damals gelebt. Heute sind wir nur noch “anwesend”.
Ich schreibe mal zurück und denke mir zugleich diese Behörde mal auf die Miseren ihrer IT hinzuweisen. Kostenlose Beratung quasi, aber wenn es der Sicherheit dient, dann ist man doch wegen der Sache schon etwas selbstlos. Zumal ich Sicherheit verinnerlichen muss, wenn ich sie verkaufen will, nicht so wie viele Firmen, die Sicherheit verkaufen, auf dem Papier, der ja bekanntlich sehr geduldig ist.
Damit man meine Hinweise auf die Sicherheitsmengel in den Netzwerken bzw. Email-Systemen der Behörde aus dem Text meiner Antwort-Mail besser verstehen kann, ist hier auch gleich der Email-Header der ursprünglichen (Initial)Email. Wenn man den Verlauf der Reise (von unten nach oben), die diese Email vom Absender bis Empfänger gemacht hat einmal nachvollzieht, stellt man fest, das so manche IPs und Systeme offengelegt werden, die im Grunde so lieber nicht offenbart werden sollten. Interessant ist es auch zu sehen, dass der Outbound-Email-Server der Behörde anscheinend mit meinem Provider per Klartext kommuniziert, während die Emails intern verschlüsselt weitergereicht werden, bis sie den Outbound-Server erreichen um auf die grosse weite Welt losgelassen zu werden.
Netter Weise bekomme ich auf meine Email dann auch am gleichen Tag eine Antwort, welches mich aber erst mal nicht aufklärt. Nach ein paar weiteren Email-Korrespondenzen, kommt dann endlich auch die Antwort, die für mich schlussendlich alles erklärt!
Es ist grundsätzlich OK, wenn ein Amt sein Amt ausübt und die zuvor erfassten Daten nutzt, um sein Amt nicht nur regulations- und prozessbedingt, sondern auch durch Massnahmen und Programmen auszuüben. Das gibt einem zumindest das subjektive Gefühl, dass die Menschheit des Landes diese intransparente und von Bürokratie geplagte Staatsapparatur nicht völlig umsonst hat entwerfen und implementieren lassen. Kurz gesagt, man arrangiert sich damit, dass neben der Verschwendung von Steuergeldern in schwindelerregender Höhe, einpaar Rappen doch noch sinnvoll investiert werden.
Ich reagiere nur allergisch, wenn man aus heiterem Himmel, völlig losgelöst und ohne nähere Aufklärung solche Emails bekommt, deren Empfänger aus einer Datenbank gezogen werden, die dem Datenschutzgesetz des Landes streng unterliegen sollte.Besser gesagt: Da kommt einem dann schon mal der Gedanke auf, wer noch so alles Zugriff auf meine Daten hat und was noch so alles mit diesen Datenbanken passiert, wenn man dabei interne Systembezeichnungen und Netzadressen freiwillig aus der Hand gibt…
(red)