---

@seelo2010  schrieb:

Denke das funktioniert nur im Vodafone Mobilfunknetz. 

Damit ist es auch nur für ein Endgerät verfügbar.

---

Leider jetzt auch bereits im Festnetz (zumindest bei ex-KD) aktiv...

Und die Anmerkung von @kunde24 passt insofern, als das jeder Nutzer an dem Anschluss natürlich die entsprechenden Einstellungen setzen kann und es keine zusätzliche Authentifizierung als Anschlussinhaber gibt.

Das betrifft natürlich nur die Nutzer, die im "normalen" Netz des Kunden sind, d.h. entweder per LAN, per "normalem" WLAN oder per Gäste-WLAN über dne Kundenzugang in's Internet gehen -- nicht betroffen ist davon der separat bereitgestellte Home-/Hotspot.

Leute, die sich via Home-/Hotspot einloggen, sind -da sie komplett vom Netz des Kunden isoliert sind- nicht in der Lage, die Einstellungen für den Kundenanschluss vorzunehmen.

---

@seelo2010  schrieb:

Bei deinen Bekannten halte ich das ebenfalls für Humbug.

Sobald sich die IPv6 Präfix ändert, ist es völlig willkürlich.

Du hast DSL, dort ist die Gültigkeit der Präfix noch kürzer, in der Regel.

---

Nein, leider nicht. Vodafone übermittelt eine eindeutige Anschlusskennung an Utiq, die eben nicht an eine IPv4 oder IPv6 gebunden ist. Utiq kann anhand der Anschlusskennung auch bei wechselnden IP-Adressen als auch bei CGNAT-Technologien wie DS-Lite genau erkennen, wer da gerade kommt und dementsprechend mittracken.

---

@seelo2010  schrieb:

Des weiteren, was soll Vodafone da beheben? Es ist doch UTIQ Problem.

---

Nicht ganz richtig - die Netzbetreiber geben hier die Daten des Kunden in Form einer eindeutigen Anschlusskennung weiter. Es wäre an den Netzbetreibern, sicherzustellen, dass nur der Anschlussinhaber die entsprechenden Berechtigungen hat, die Einstellungen bei Utiq ändern zu können und das unberechtigte Dritte eben NICHT in der Lage sind, auf die Einstellungen zuzugreifen.

Dafür müsste aber die Einstellung von einem externen Consent Hub in den jeweiligen Kundenbereich verschoben werden - damit sichergestellt ist, dass auch wirklich nur der Anschlussinhaber oder von ihm berechtigte Personen die Einstellungen ändern können und nicht jeder, der -selbst im Gäste-WLAN- auf die externe Seite über den Anschluss zugreifen kann.

Generell ist die Datenweitergabe an Utiq ohne dauerhafte Widerspruchsmöglichkeit meiner Meinung nach zumindest grenzwertig, wenn nicht illegal -- der Kunde bekommt ja nicht mal die Möglichkeit, dieser Datenweitergabe einer eindeutigen Anschlusskennung an den Drittanbieter -noch dazu außerhalb Deutschlands, damit auch bloß die deutschen Behörden nicht zuständig sind und man als Kunde nicht einfach nach deutschem Recht klagen kann- zu widersprechen.

Dazu noch drei Anmerkungen:

1.)

Es ist dabei auch so, dass die "eindeutige Anschlusskennung"  offenbar kein "zufälliger Wert" oder eine "session id"  ist wie ein Cookie, sondern bei Utiq wird er gebildet aus Vertragsdaten wie etwa der Telefonnummer, die einfach durch einen Hash gejagt wird. (Hab ich bei der Telekom nachgefragt - die haben gesagt, es ist nur die gehashte Telefonnummer). Das hat weite Konsequenzen, nämlich dass der Wert gar nicht so (pseudo-)zufällig ist und damit es durchaus möglich ist, dass diese Identifier eines Tages wieder in die Telefonnummer zurückgewandelt werden können, wenn nur die Hash-Funktion publik werden würde (oder sie jemand halt verkauft oder versehentlich bei github o.ä. hochlädt). Dazu muss man einfach nur sämtliche mögliche Telefonnummern durch die Hashfunktion schicken, das dauert vermutlich nur ein paar Minuten, selbst auf einem Durchschnitts-PC. Genau dasselbe findet statt, wenn Webseiten gehackt werden und die Passwort-Hashes wieder in Klartext zurückgerechnet werden.  Utiq hasht diesen Wert dann nochmal pro Webseite weiter, damit für jede Webseite unterschiedliche Identifier stehen. Aber das Prinzip ist das gleiche. Wenn irgendwann publik wird, wie die Hashfunktionen konfiguriert waren (etwa Utiq gehackt), kann man die Identifier wieder in die Telefonnummer oder Vertragsdaten zurückkonvertieren.  

2.) Im WLAN/Festnetz bedeutet dass, dass wenn ein Gast, deine Oma, deine Tochter oder dein Mann/Frau dem Ganzen gedankenlos zustimmt, deren Web-Sessions mit dem Identifier verbucht werden, in dem die Telefonnummer Deines  Anschlussinhabers gehasht ist. Das ist damit dann effektiv so, als hättest Du das geklickt bzw "unterschrieben".  Wie als würde man Deine Unterschrift  ohne Dein Wissen benutzen, oder als würde man mit Deinem Führerschein fahren.  Ich halte das für absurd dass das legal sein kann.  

Fun-Fact: In https://consenthub.utiq.com/pages/faq#consented-website-list steht, dass die Liste der Webseiten im Consenthub bei Breitband aus Datenschutzgründen nicht angezeigt wird ("For broadband connections, only the number of consented digital properties will be visible to protect the privacy of household members") - Utiq verarbeitet den Haushalt, aber der Haushalt darf das nicht sehen, aus Datenschutz-Gründen. Sie sind sich dort also sehr wohl des Problems bewusst. 

3.) Es ist zur Zeit völlig unbekannt, wie das Provider-Interface über dass Utiq deine Identität extrahiert, technisch abgesichert ist. Dass eine Marketing-Firma sich um Sicherheit bemüht, scheint eher unwahrscheinlich. Als Utiq ins mobile Netz kam, hab ich bei der Telekom gefragt, ob die Zugriffe auf diese Schnittstelle durch Utiq protokolliert oder gezählt werden, damit sich feststellen läßt, wie oft man abgefragt wurde oder ob das mit den "Einwilligungen" übereinstimmen kann. Antwort: Es gibt mit Absicht kein Audit auf der Schnittstelle, aus Datenschutzgründen (!). Das heißt, man verzichtet auf Sicherheitsmassnahmen, und beruft sich auf den Datenschutz, für eine Schnittstelle, die nur dafür existiert, den Datenschutz zu verhindern. Und das man dann als Endkunde nicht  beim Provider sagen darf: "Ich will das nicht" - ist schon ein starkes Stück, und der DSGVO mindestens unwürdig.