...hat mich das schon überrascht...bisher hatte ich meine E-Mail noch nicht gewechselt und das Dilemma dabei erleben dürfen, meine Zugangsdaten in einer unverschlüsselten E-Mail im Klartext vorzufinden.

Zur potentiellen rechtlichen Situation hat der Herr Neon ja schon einen Fall verlinkt, bei dem es tatsächlich bereits zu Kosten kam(auch weil dort Passwörter unverschlüsselt gespeichert waren).
Ohne euch -oder den Bloggern- den Spaß an der Platform nehmen zu wollen, ist es tatsächlich spätestens seit der Scharfschaltung der DSGVO ein echtes Problem, wenn jeder der Zugriff auf die Datenbank hat auch Passwörter im Klartext sehen kann.
Seit ungefähr 20 Jahren sollte das allerdings auch so schon auf dem Radar eines Betreibers von Internetplattform stehen.

Gut, man sollte zwar sowieso immer unterschiedliche Passwörter für jede Aktion im Netz haben, dennoch sollte natürlich klar kommuniziert sein, dass die Passwörter hier bei twoday definitiv verbrannt sind...und surprise... ein Wechsel des Passworts lediglich den Scheiterhaufen an verbrannten Passwörtern erhöht.

Ist das bei euch bei Antville ebenfalls so?

Dann solltet ihr euch dringend Gedanken machen, wie ihr das ändert damit lediglich ein möglichst gesalzener Hering Hash in der Datenbank liegt.

Ernsthaft...gebt das mal an eure IT weiter...auch aus Selbstschutzgründen. ;-)

@antville.org - vorher mal bei Telekom Austria gearbeitet? Die konnten zunächst auch nicht verstehen, warum Passwörter im Klartext ein Problem sein sollen. Wirklich, selten so eine flapsige und wenig zielführende Antwort gelesen!

Herr Blödbabbler informiert euch hier über ein absolut valides Problem, welches ganz nebenbei einen eindeutigen, massiven und ahndungsrelevanten Verstoß gegen §32(1) DSGVO darstellt, und die Antwort ist, dass man das hätte wissen müssen oder können? Wer außer Systemadmins oder Backend-Experten kann wissen, wie sensitive Daten tatsächlich in der Datenbank abgelegt werden? Es änderte auch rein gar nichts an der Tatsache selbst und deren Strafwürdigkeit.

Daneben zählt es in der IT seit mindestens einer Dekade zum "best practice", Authentifizierungsdaten vor der Speicherung zu verschlüsseln - es dürfte also eher eine Neuigkeit sein, dass dies nicht schön längst bei Twoday (hm, evtl auch bei Antville?) umgesetzt wurde.

P.S. Seit wann muss man denn hier mit Benutzerkennungen auf Organisationsebene (antville.org) kommunizieren? Ich würde gerne persönlich wissen, wem ich merkbefreite Gleichgültigkeit vorwerfe.

Ich verstehe ja die Aufregung, nur nicht den Zeitpunkt.

Wir (vom Verein Antville.org, der hier unter dem Kürzel antville.org schreibt) haben die Installation von Twoday so übernommen, und wir setzen daher voraus, dass die meisten Features, Eigenheiten und auch Missstände den Twoday-Nutzerinnen bekannt sein dürften – jedenfalls besser als uns.

Dass dazu offensichtlich nicht die unverschlüsselte Speicherung der Passwörter gehört, ist nun zumindest mal geklärt. Bitte verzeihen Sie daher meine lapidare Antwort, Herr Blödbabbler, und haben Sie Dank für den Hinweis.

Bevor hier nun Gerüchte in Umlauf gesetzt werden, die eines journalistisch angeblich beflissenen Menschen eigentlich unwürdig sind: die Software Antville, von der Twoday vor dem ersten Browserkrieg (oder so) abgezweigt wurde, speichert seit ca. 12 Jahren nur noch verschlüsselte Passwörter. Dass Twoday hier nicht mitgezogen hat, finden auch wir bedauerlich.

Nicht weniger bedauern wir, dass nun gleich so schwere Geschütze aufgefahren werden. Die DSGVO ist nämlich echt ein Killerargument…

Deretwegen haben wir ja eh schon überlegt, ob und wie es mit einem Hostingprojekt wie Antville.org weitergehen kann. Und selbstverständlich war das auch großes Thema bei der Entscheidung, Twoday zu übernehmen.

Wenn Sie uns also gleich mit »ahndungsrelevanten Verstoß«, »Strafwürdigkeit« und dergleichen kommen, dann klingelt im Verein schon mal die Alarmglocke.

Da wir aber davon ausgehen, dass das halt auch nur diese modische Trollerei ist, die heutzutage leider zum Ton auf den meisten solcher Websites gehört, sind wir recht zuversichtlich, dass niemand ohne Gehirnphimose ernsthaft erwägen würde, dem Projekt Twoday auf diese Weise absichtlich schaden zu wollen.

Hier generischen Satzbaustein zur »Abrüstung der Worte« einfügen.

Womit wir beim Knackpunkt wären: was können wir tun?

Unser Vorschlag: wir versuchen mittelfristig, die existierenden Passwörter zu verschlüsseln. Da hängt ein sogenannter Rattenschwanz mit dran, z.B. muss die Reset-Funktionalität umgeschrieben werden (gibt ja kein Passwort mehr, das versendet werden kann).

Dazu bedarf es allerdings auch ein wenig mehr Anstrengung seitens der Twoday-Gemeinde: ehrlich gesagt, ist die finanzielle Unterstützung von dieser Seite bisher weit unter unseren Erwartungen geblieben.

Momentan schupft demnach die um vieles kleinere Zahl der Menschen auf Antville.org den Großteil der Finanzierung für beide Projekte.

Anstatt also allzu große Erwartungen an unsern kleinen Verein zu stellen (»unsere IT« besteht im Durchschnitt aus 0,5 Personen), fragen Sie sich selbst, was Sie für Twoday tun können.

Twoday wurde x Jahre betrieben und Teile der User haben dafür bezahlt. Das Projekt stand vor dem Aus und wir wollten es nicht sterben lassen und haben über die Modalitäten mit Knallgrau verhandelt.
Letztlich haben wir dann alle Arbeit gemacht und ja, das war sehr viel Arbeit und mehr ist geplant. Zudem haben wir die Plattform kostenfrei gehalten und der Plan war bisher auch, das so beizubehalten. Keiner von uns lebt irgendwie von dieser Arbeit, sondern betreibt es neben einem normalen arbeitsreichem Beruf als Hobby.
Dafür dann Beiträge zu ernten wie den von NeonWilderness finde ich extrem befremdlich.
Ich hoffe, dieser Tenor ist eher ein Ausrutscher als der gängige Ton hier, denn sind wir mal ehrlich, wenn bei solchen Hobbyprojekten der Spaß verloren geht stehen die unter keinem guten Stern.

Dass die Klartextspeicherung ein NoGo ist, ist vollkommen klar und ehrlich gesagt, war mir nicht klar, dass das bei twoday noch so ist, weil ich davon ausging, dass sowas vor langer Zeit behoben wurde auf einer Bezahlplattform. Dennoch bin ich in keiner Weise bereit, als Teil des Antville-Teams, mir den Hut für die Versäumnisse des ehemaligen Betreibers aufzusetzen.

dass sie das so empfinden, und ehrlich gesagt tut mir das leid. Das liegt nicht in meiner Absicht.
Dass ich hier selber zu Wort komme, liegt genau daran, dass es auf meiner Seite um Enttäuschung geht.
Sie haben aber Recht, dafür müssen sie kein Verständnis haben, das ist mein Problem.

@DaveKay - Hm, irgendwie kriege ich das nicht so ganz sortiert, dass das einerseits ein philanthropisches "Hobbyprojekt" sein soll, andererseits in der Gewinn- und Verlustrechnung des Vereins hohe fiktive (?) Personalkosten angesetzt werden (z.B Q3 2018, EUR 1.000), die rechnerisch sowohl zu einem beachtlichen Fehlbetrag führen als auch zweckdienlich dabei helfen, Spendenmoral und Spendendruck hochzuhalten.

Stehen diesen angesetzten Personalkosten echte Forderungen (=Rechnungen) von Mitgliedern gegenüber und werden z.B. Auszahlungen eingenommener Spenden als Insichgeschäfte mit Organträgern des Vereins dokumentiert und im Rechenschaftsbericht ausgewiesen? Soweit ich weiß, ist man auch in Österreich als Verein eine juristische Person und unterliegt gewissen Berichtspflichten.

Wieauchimmer — ich möchte weder Begründung noch Anlass dafür sein, dass Sie Ihre unterschwellige Androhung eines möglichen Spaßverlustes ggü dem Hobbyprojekt Twoday (mit womöglich negativen Folgen für den weiteren Entwicklungsfortschritt) realisieren. Ich werde daher zukünftig nicht weiter öffentlich mit Hinweisen/Warnungen/Nachfragen den gefühlten Tenor und Ton belasten.

Ich wünsche Ihnen gutes Gelingen und eine überdurchschnittliche Spendenbereitschaft, die Ihre Erwartungen mehr als erfüllen.

Warum nur habe ich das Ärztelied "Unrockbar" im Kopf? Wenn hier Art. 32,1 der DSGVO zur Schau gestellt wird, kann man ja mal unbefangen interessiert nachlesen: Dort steht u.a. "Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos..." sowie Wendungen wie "angemessenes Schutzniveau" und "gegebenenfalls". Da ist... Raum.

Die DSVGO soll den Bürger schützen, der bislang machtlos gegen kommerzielle Datenverarbeiter war. Das ist der Geist der Verordnung. Deshalb auch sind kleinere Vereine m.W. (noch) nicht wegen Verstoßes belangt geworden. Und wer sich Artikel 83 anschaut, kann auch sonst zu dem Schluss kommen, dass die hier zusammenkonstruierten juristischen Folgen so auch nicht stattfinden werden.

Warum? Weil Antville natürlich - entsprechend der Fragestellung von Art 83/DSVGO - antworten kann und selbstverständlich wird: "Wir haben den Laden gerade übernommen, wir haben das Problem erkannt, wir sitzen daran, das Problem abzustellen und haben dazu Maßnahmen ergriffen." Dann gibt es - das ist Spekulation, wie so vieles in dieser Diskussion - eine Frist, nach der das Problem tatsächlich abzustellen ist.

Ich kann mich selbstverständlich irren. Welche Antwort aber wird denn jetzt von Antville erwartet? Die Antwort kann nach den hier zusammengereimten rechtlichen Belehrungen doch nur lauten: "Wißt's was, Leute? Antville schaltet Schlag Mitternacht den Server ab. Ist uns zu heikel geworden."

Andererseits: Es gibt hier eine Plattform, die eine tolle Möglichkeit anbietet für Jedermann, ohne kommerzielle Absichten Kommunikation zu machen. Das ist doch großartig. Man könnte denken, die Leute bringen sich ein - als Programmierer, Spender, Unterstützer, Suppenkocher, sucht nach Lösungen, nicht nach Problemen - getreu dem eingeübten Motto "Frag nicht, was deine Plattform für dich tun kann, frag dich, was du für deine Plattform tun kannst".

Was ich hier aber lese, sind keine Vereins-, sondern Konsumentengedanken. Es herrscht hier offenbar eine ganz andere Kultur. Insofern kann ich die Enttäuschung der Antville-Leute sehr, sehr gut verstehen.

Bitte alles abkühlen. Montag Strategiesitzung, immer weitermachen.

@kid37
"Ich kann mich selbstverständlich irren."
Diese Feststellung ist nicht nur richtig, sie trifft auch zu.

Zunächst seien Sie freundlich darüber informiert, dass deutsche und österreichische DSGVO mit Unterschiedlicheiten aufwarten. So zum Beispiel beim Wörtchen "gegebenenfalls", welches Sie offenbar dazu verleitete, Raum zu sehen, wo tatsächlich keiner besteht. Während die von Ihnen zitierte deutsche DSGVO einen fakultativen Charakter sich anlegt, gibt das österreichische Pendant einen Mindeststandard vor. Da exisitert kein "gegebenenfalls". Nachlesen, wie Sie anregten, ist gut. Allerdings kommt es wohl auf die Stelle an, wo nachgelesen wird.

Wenn softwareseitige Schutzmaßnahmen offenkundig nicht vorhanden sind, gibt der Verweis auf ein "angemessenes Schutzniveau" - auch hier irren Sie - nichts her. Im Gegenteil: Sie verweisen auf Art 83 DSVGO, der unter anderem besagt: "Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: [...] b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; [...]"
Man halte diese Bestimmung zur von antville.org getroffenen Aussage: "Deretwegen [Anm.: DSVGO] haben wir ja eh schon überlegt, ob und wie es mit einem Hostingprojekt wie Antville.org weitergehen kann. Und selbstverständlich war das auch großes Thema bei der Entscheidung, Twoday zu übernehmen." Um die Fahrlässigkeit würde also nicht herumzukommen sein, falls man sich wenigstens vom Vorsatz schlüssig frei argumentieren könnte.

Die Lage ist für Antville äußerst bedrohlich. Ihre Verharmlosungsbestrebungen, Kid37, sind angesichts dessen geradezu brandgefährlich.

*****************

"Frag nicht, was deine Plattform für dich tun kann, frag dich, was du für deine Plattform tun kannst", - Das halten Sie, Kid37, ausgerechnet einem Neonwilderness vor. Ich zähl' mal schnell einige seiner Beiträge auf:

- Import-/Export-Tool (nachdem Twoday die verbogene Backup-Funktion beharrlich nicht instandsetzen wollte)
- diverse Design-Features (Textauszeichnung, Video-Einbindung für verschiedene Plattformen, von Twoday verbannte iframes, etc.)
- Blog-Layouts (Privacy-Feature, etc. )
- Migrationstool für den Blog-Umzug nach Wordpress (wegen des proprietären Twoday-Formates)
- Alien-Tool
- die geschätzte Twoday-Gemeinde ist in Anerkennung und Ehrung des Hrn. Neon eingeladen, meine Liste zu ergänzen...

Keinesfalls zu schweigen von seiner spontanen und kompetenten Hilfestellung im Forum bei alltäglichen kleineren und größeren Schmerzen einzelner Gemeindemitglieder - und das über mittlerweile viele Jahre hinweg.

Obendrein unterstellen Sie Neonwilderness Besserwisserei. Das Ausmaß an Hybris, mit dem Sie, Kid37, hier zu diesem Thema aufschlagen, ist in der Tat beeindruckend.

...jemanden für irgendetwas verantwortlich zu machen, es geht darum, dass offenbar mit twoday Software ein System läuft, bei dem es eine nach aktueller Rechtslage nicht mehr akzeptables Sicherheitsärgernis gibt.

Ich hatte -durch google- auch irgendwann in einem chat die Info gefunden, dass antville seit 2007 Passwörter wenigstens gehasht speichert...da der Fork von twoday davor stattgefunden hat, konnte man nur die Hoffnung haben, das dort ebenfalls diese sicherheitsrelevante Änderung eingepflegt worden wäre.
Da aber seit 2005 dort wohl keine systemrelevanten Änderungen stattgefunden haben, war dies jedoch wohl vergebliches Hoffen.

Da mir der Zustand von twoday nicht bekannt war, war ich überrascht, dass es so etwas tatsächlich noch gibt, Herr Neon wies auf die rechtliche Problematik hin.

Um Ihnen nochmal das Problem zu erklären und auch an @antville.org gerichtet.
Es geht nicht darum, dass ich -oder der Herr Neon- das doof finden und deswegen mit dem Damoklesschwert der DSGVO einen auf dicke Hose machen wollen, sondern es war der Hinweis darauf, dass der Betreiber sich eines nicht zeitgemäßen Sicherheitskonzepts stellen sollte um eben potentielle Probleme mit staatlichen Aufsichtsbehörden gar nicht erst aufkommen zu lassen.

Das ein kleiner Verein damit überfordert sein kann, weil die manpower fehlt, verstehe ich, aber gerade dann sollte man sich auch das Risiko bewußt machen, dass eben droht...und zwar weder von mir noch vom Herrn Neon, da wir beide die aktuell gültige Rechtslage in Europa nicht geschaffen haben.

Nun mit mangelnder Spendenbereitschaft zu argumentieren erscheint mit definitiv nicht als zielführend anzusehen zu sein und auch sicherlich nicht im Sinne der von @antville.org selbst erbetenen sachlichen Diskussion.

Da ich mein Blog eh nur noch aus Nostalgiegründen mit dem Plugin vom Herrn Neon hier halte, ist es mir letztlich wurscht was ihr macht, ich habe auf den Fehler hingewiesen der teuer werden kann und damit habe ich als Blödbabbler-Mohr meine Schuldigkeit getan.

@VereinAntvilleOrg - es gibt wenig zu dem zu ergänzen, was Herr Blödbabbler schon Kluges geantwortet hat:

1. Da VI/knallgrau über Jahre nicht mal Minimalkommunikation praktiziert hat, darf man auf dieser Plattform gar nichts voraussetzen. Insofern wäre es hilfreich gewesen, wenn man Ihre Erklärungen gleich in Ihrer ersten Problemmeldungsantwort hätte lesen können.
2. Wie bereits erwähnt, habe ich die DSGVO nicht erfunden, noch plane ich, einen Anwalt zu beschäftigen, der herausfindet, gegen was Twoday alles verstößt. Sie dürfen also Ihre latente Paranoia gerne wieder in die Schranken weisen, bevor das auf den Magen-Darm-Trakt durchschlägt.
3. Sie können User, die Sie auf strafbewehrte Plattformprobleme hinweisen (die jederzeit von irgendjemandem juristisch gegen den Verein verwendet und abgemahnt werden können), als "Trolle" beleidigen. Ich finde das nicht sehr zielführend, aber jeder hat seine eigenen Lösungsräume, um mit solchen Herausforderungen umzugehen.
4. Sich wegzuducken oder existierende Mängel nur "bedauerlich" zu finden, kann auch keine Lösung sein, denn Sie sind jetzt nun mal der verantwortliche Eigentümer mit allen Rechten und Pflichten, über die Sie sich - davon gehe ich mal aus - schon vor der Übernahme extensiv informiert haben. Ich meine, man heiratet ja auch keine alleinstehende Frau mit 3 Kleinkindern, um nach 4 Wochen festzustellen, dass man überfordert ist [Ersetze Frau mit Twoday und Kleinkinder mit Plattformproblemen].
5. Das Gleiche gilt analog für Ihre sensible Spendenmahnung, die zwar legitim ist, jedoch nach meinem Empfinden etwas agil und vorschnell daherkommt, da Twoday bislang eher noch schlechter als besser geworden ist (desaströse Antwortzeiten, JAVA Runtime Exceptions/Timeouts). Nach meinem unternehmerischen Verständnis muss dieser Status noch nicht wirklich mit dankerfüllten Spenden belohnt werden, denn die Leistungsbewertung fällt dann doch etwas kurz aus. Und für Spenden im Sinne einer Investition in die Zukunft möchte ich dann doch erst mal sehen, was sich wirklich positiv verändert (pay for performance).

@Nadine - ich glaube, da geht unser Verständnis von Verantwortung ziemlich auseinander. Niemand hat AntvilleOrg gezwungen, das Wrack Twoday zu kaufen/zu übernehmen/zu betreiben. Das war die alleinige, unternehmerische Entscheidung des Vereins und seiner Gremien und ich hoffe, sie basierte nicht nur auf Mitleid sondern einem durchgerechneten Business Case, der sowohl Twoday als auch Antville eine dauerhafte Perspektive bietet. Wie das "bezahlt" wird, ist also primär erst mal das Problem des Unternehmers, nicht deines.

Vielleicht ist bei "Twoday" der Vereinsgedanke, wie ihn die Antville-Community seit jeher pflegt, einfach noch nicht angekommen. Wäre ja nicht erstaunlich, bei einer Bezahl-Plattform. Statt Besserwisserei, so berechtigt sie sein mag, sind hier nun aber Hilfe und Unterstützung angesagt. Das kann finanziell sein oder eben - wenn es hier so viele schlaue Menschen gibt - durch Tatkraft und Zeilen Code. Meckern und Fordern führen ja jetzt nicht weiter.

@Kid37 - ich glaube, als Verein müssen Sie dringend über Tenor und Ton Ihrer eigenen Motivationsrede sowie die Wirkungskraft der verwendeten Argumente nachdenken, um freie Talente für Ihre Vereinsziele zu akquirieren. "Trollerei", "Besserwisserei", "Meckerei" und Spendengeiz hat jetzt zumindest bei mir nicht initial gezündet. Vielleicht klappt's ja bei anderen.

... gibt es die Möglichkeit, selbst das Kennwort zu verschlüsseln ??

Man muss dafür in der Software sorgen, dass die Passwortdaten möglichst nur noch als Hash in der Datenbank abgelegt werden- um einen Angriff darauf deutlich zu erschweren.
Zusätzlich bietet sich noch an die Werte zu salzen (und zu pfeffern ;-) ), wie hier bspw. beschrieben.

Für den ersten Fall reicht es, sich bewußt zu machen, dass das bei twoday benutze Passwort definitiv verbrannt ist und nie nicht mehr bei einem anderen Anbieter benutzt werden sollte.
Eine Änderung des aktuellen Passworts macht aktuell auch keinen Sinn, da auch das neue Passwort wieder im Klartext in der Datenbank steht und jeder, der Zugriff auf die Datenbank hat(legal oder illegal), das Passwort im Klartext dort nachlesen kann.
Falls man nun, was man nie tun sollte, sein Passwort vielleicht noch für den E_Mail Account benutzt hat, eröffnen sich gleich noch mehrere Möglichkeiten...aber so dumm ist ja vermutlich im 21 Jahrhundert keiner mehr. ;-)

als Dave Kay unter "Übersiedlungen und Irritationen" geschrieben hat: "dazu brauchen wir eure Hilfe", gab es 1 Kommentar. Damals hätte sich doch melden können, wer etwas von der Sache versteht. Nicht nach über 2 Monaten eine unsachliche Diskussion vom Zaun brechen über Passwörter.
Ich bin schon seit über 10 Jahren bei twoday und froh, dass es twoday (wieder) gibt und ich werde gerne einen finanziellen Beitrag leisten.