Beiträge von Arno

Ich hann zunächs die Einträch von die Fazzebug-Sit jelöscht und die Sit dann unsichbar jeschalt.

Ab dann jing et mit en nü Fazzebug-Sit, äver nit mi mit automatisch Websit un Äpp wigder.
Die Redundanze, die chayns fabriziere det, bruch ich net.
Und dat Jeplärre von die Smartphöncher bei jedem nüe Endrag op die Fazzebug-Sit, dat spar ich de Nerve von ming Leser.
Die Sit is vieleich e klen bissje EU-politisch. Wen dat interessiere det, der jeht auch ohne Äpp auf die Original-Einträch von die der Fazzebug-Sit.
Un spart sich eso dat Risiko von en dreif-bei-infecktion auf de donäve gepappte Websits.

Jede Depp kann jetz dank chayns sing Äpp schnitze und mit eijene Websits jarniere, von die Apple & Co jar nix in derije App-Zolassungspröfung märke. Dovür tauche die Sits dono als scheinbar jeprüfte Äpp-Inhalt auf de daneben plazierten Webseiten auf. Eh Klasse, wa.

Wat schrieb dr Mänätschment-Servizze so schön übber de offenen Passwörtersch: "Die tobbits hann de Jechner bewaffnet."
Also wenn ihr mich froche wütt, ich wütt dann jo minge: "Für chayns jilt dat selve."

Et jrüst mit "Oche Alaaf" et Schängchen und dr Lennet Kann
Üer Arno.

Basti: Nicht nur theoretisch. Wer die Umleitung der dynamischen Webseite (Name.tobit.net) oder die fest IP des Betriebes kennt braucht in den allermeisten Fällen nur noch den Namen eines Mitarbeiters des Betriebs dahinter zu setzen. Und schon weiß er, dass dieser Account existiert. Anschliessend dahinter einfach einen Schrägstrich und das Wort adress, Adresse o.ä. und schon hat er das vollständige Adressverzeichnis. Sehr praktisch ist, dass sich darin meistens auch geheim gehaltene Telefonnummern und Passwörter in Klarschrift finden. (Wie war doch noch gleich die PIN meines Bankkontos? Ach wozu Zettel suchen, die hab ich doch im David). Und natürlich auch die Telefonnummern und eMail-Adressen sämtlicher Familien-Mitglieder, Freunde und Kunden. Wie praktisch!

Die einzige als ausreichend sicher bekannte Vorgehensweise zum Remote-Zugriff auf David-Daten ist die über eine ipsec-VPN zwischen Quelle und Remote-Client bzw. zwischen Quelle und Smartphone.

Also kein Öffnen von Port 80 ider 81 eingehend! Auch mit der Sicherheit von SSL via Port 443 ist es nicht weit her. Da David keine Brute-Force Angriffe abwehren kann braucht der Angreifer nur jede Sekunde einen Login-Versuch mit jeweils geändertem Passwort vorzunehmen. Das liest sich dann zwar unter Ergeigniss als über 3000 Zeilen pro Stunde, aber wer beachtet schon dieses Logfile? Die allermeisten Firewalls erkennen das auch nicht, weil beliebiger Datenverkehr eingehend auf 443 ja zugelassen ist.

Normalerweise wird er aber eher einen Keylogger-Bot auf einem der Rechner im anzugreifenden Betrieb installieren. Das ist vom Aufwand einfacher und dauert nicht so lange. Auch fällt es nicht so auf wie die viel tausendfach wiederholte Abfrage des Passworts von ein paar ähnlich gestrickten Hacking-Rechnern.

Arno

Erfolgreiche Manager und Prominente wissen es längst: Die Rufnummer eines Handys oder eines Smartphones sollen sie nicht heraus geben. Wozu eigentlich? Nun, da gibt es mehrere Gründe.

1) Mit im Internet erhältlichen Programmen lässt sich der Standort eines Smartphone-Nutzers bis auf weniger als fünf Meter genau bestimmen. Für Promis ist es lästig, wenn Paparazzi schon wenige Augenblicke nach ihnen an einem geheim gehaltenen Ort zum Fotoshooting auftauchen.
Für gefährdete Personen im Management und in der Politik und die begleitenden Heckenschützen gilt Ähnliches.

2) Vor allem Smartphone sind vor Betriebsgeheimnisse betreffenden Besprechungen immer einzusammeln. Denn das akustische Abhören via Google Chrome ist nur die Spitze des Eisbergs der Möglichkeiten. Schon ein zum Aufzeichnen eingeschaltetes Notizbuch genügt meist schon zum Weitergeben der Informationen.

3) Mit auf Invertierung geschalteter Kamera lässt sich jederzeit ein Foto des Smartphone-Nutzers machen. Das passt dann rein zufällig genau in eine kompromittierende Darstellung des Besitzers im Internet: "Wir haben Sie gerade beim Kindersex geknipst!" Zur Realisierung genügt ein kleiner Trojaner, der sich auf praktisch allen Smartphone-Betriebssystemen außer IOS bequem platzieren lässt. Für Geräte IOS genügt die Verlinkung in einer App auf eine Schadcode-hinterlegte Webseite.

4) Die ständige Erreichbarkeit für Hinz und Kunz strapaziert die Nerven. Merke: Nichts freut professionelle Fotographen mehr als eine nervige, unausgeschlafene Zicke beim Shooting.

5) Dank der praktischen Erfindung von Trojanern sind Terminkalender, wichtige eMails und Passwörter für die Konkurrenz jederzeit lesbar. Auch die vollständige Kundenliste wird immer wieder gern in Empfang genommen, ebenso wie die in Clouds versteckten geheimen Passwörter für den Bankverkehr.

6) Wirklich herzerfrischend sind Anrufe um drei Uhr morgens wie dieser: "Hallooo und wunderschönen guten Morgen! Wir haben Sie ausgewählt als einer ersten unser neues Vollwaschmittel zu auszuprobieren. Und nun das Beste: Wenn Sie heute bis zwölf Uhr einen zehn Kilo Karton bestellen, dann geben wir Ihnen volle zwanzig Prozent Rabatt auf den Listenpreis! Na, was sagen Sie nun?" ...

Die Liste lässt sich fortsetzen, aber das soll für heute genügen.
Übrigens: Ein Zeitplanbuch finden Sie für etwa 12,- Euro im Metro oder im gut gestückten Schreibwaren-Handel. Dazu passende Akkus und Ladegeräte eher nicht.

Und wem noch weitere "Möglichkeiten" des Smartphone-Angriffs einfallen, der darf sie gerne als Antwort hier veröffentlichen!

Kaarst, 07.2.2014
Arno

PROXYTEC: Die Vertriebspolitik um chayns ist im höchsten Maße unstet.
Mal gibt es verschiedene Versionen, mal gibt es eine Version für monatlichen Obolus. Bis KW04-2014 lautete ein Werbeslogan: "Chayns ist und bleibt kostenfrei!" Und nun gibt es also wieder eine Bezahlversion. Ohne Vorankündigung, ohne Information der Vertriebspartner. Nicht nur die Kunden sind "begeistert" ob der Werbeversprechen. Möglicherweise ist sich die dafür zuständige Werbefirma überhaupt nicht Ihres Tuns bewusst. Die sich widersprechenden Werbebotschaften signalisieren einem Entscheider: "Vorsicht, unglaubwürdig!" So lässt sich baut kein Vertrauen zu einem Produkt oder einer Marke aufbauen.

Nach anfänglicher Faszination halte ich mich an chayns nicht mehr auf: Ich habe zu viele Fehler und nicht erfüllte Versprechen erlebt. Die bis jetzt kostenpflichtig hinzu buchbaren Gimmicks sind teils nicht praxisreif. Die kostenfreien bewegen sich auf niedrigem Niveau oder machen mehr Aufwand als ein manueller Vorgang.
Mal wird die Hälfte der Kartenreiter einschließlich Impressum ausgeblendet, das andere Mal springt die geänderte eMail-Adresse bei der Synchronisation wieder auf den alten Stand. Da wird ein Bestellsystem für Gastronomen propagiert - und ein Vierteljahr später heißt es "Ja, das ist noch im Beta-Stadium!" Da werden Änderungen der App-Icons angeboten - und ein halbes Jahr später tauchen die Änderungen immer noch nicht in den Apps auf. Da wird eine kostenpflichtige Möglichkeit zur Einbindung eines Auktion-System angeboten - und bei Überprüfung stellt sich raus, dass damit nicht einmal ein Bild der anzubietenden Artikel angezeigt werden kann. Fazit: Die Programmierer von chayns haben sich bemüht, den Anforderungen gerecht zu werden.

Die mit chayns erstellten Apps sind - im Gegensatz zu Webseiten - nur im deutschen App-Store verfügbar. Im bis 05.2.0214 erlebten Ist-Zustand kann ich das Tool chayns im europäischen Markt des Produkt- oder Model-Marketings daher nicht brauchen. Seit diesem Tag nutze ich es nicht mehr. Und nun habe ich das Problem, die ungültigen Apps bzw. deren Reste zu löschen. Bei einer Webseite hingegen geht das mühelos, auch wenn sie für Smartphone-Darstellung optimiert ist.

Wenn ich ein Werkzeug kaufe, dann achte ich als Ingenieur auf Qualität. Um ein Produkt mit dem Prädikat Qualität auszuzeichnen muss es ausgereift sein. Das ist bei chayns leider noch nicht der Fall. Und die Unabdingbarkeit der Facebook-Nutzung beim Einsatz dieses Tools stößt mir auch sauer auf, da Facebook sich bekanntlich hinsichtlich Einhaltung der Datenschutz-Bestimmungen nicht gerade mit Ruhm bekleckert hat. (Die Juristen der europäische Union entscheiden in diesen Tagen über eine Milliarden-Euro-Forderung an das respektive die Facebook-Unternehmen wegen Verstößen gegen europäische Datenschutz-Bestimmungen).

Meine bisherige mittels chayns Partnerlizenz auf App und Web umgesetzte Facebook-Business-Seite habe ich mittlerweile unsichtbar geschaltet. Es reicht aus, dass mein auf Shopfactory basierendes Produktionsformationssystem die zugehörige Internetseite automatisch in ein Smartphone-Format umsetzt. Das genügt völlig. Alles darüber hinaus benötigt kostet Zeit und ist somit Geldverschwendung.
MEIDE ZEITDIEBE!

Arno

Spike: So kann mer das natürlich auch verstehen.
Bitte beachte die nachträgliche Erweiterung des fett gedruckten in Deinem Zitat.
Die Inhalte der hiesigen Internetseiten sind dynamisch ...

Auch wenn ich es immer noch als luschig ansehe, ohne eine existierende Anschrift im Indernet aufzukreuzen,
schließe ich mich größtenteils der Meinung meiner Vortipper an.

Tobit ist mir zu arrogant geworden, und die Qualität von David und djukebox ist mir zu weit in den Keller gerutscht.
Die Datensicherheit der Kundenbetriebe ist bei Verwendung der genannten Produkte gefährdet.
Bei wiederholter Anfrage hat die Tobit.Software AG den zuständigen Datenschutzbeauftragten nicht benannt.
Die Antwort "Wozu wollen Sie das wissen?" sagt mir, das er in seiner Arbeit behindert wird oder nicht existiert.

Auch für meinen Betrieb heißt es daher ab März, was Tobit angeht, nur noch kurz und trocken: " Und tschüss!"

Post sriptum: besser eine existierende Anschrift als gar keine Anschrift.
Keine Anschrift weckt sofort den Eindruck "Der hat was zu verbergen."

P.p.s.: Zicke zacke Smartphone-Kacke! Es lebe das gute alte Zeitplanbuch!

Das Problem kann auch andere Ursachen haben.

Dank der seit zwei Jahren bestehenden Offenlegung der Kundenpassworte zu den Site-IDs der Tobit-Produkte mittels zweier Links kann Jeder die Einstellungen der Dienste verändern und auch die Sicherheits-Funktionen (MIS, Virenschutz) via TSSM nach Belieben ein- und ausschalten. Das einzige was er dazu benötigt ist die Site-ID des Anzugreifenden und eine Internet-Verbindung. Es ist also (Stand 24.01.2014) möglich, den Spamschutz und den in David integrierten Virenschutz auszuschalten, einen Trojaner oder einen Botnetz-Viruns in die David-Archive einzuschleusen und dann den Message Identification Service und den Virenschutz wieder einzuschalten.

Genauso kann ein Angreifer auch andere Dienste (vom Lizenznehmer unbemerkt) aus- oder einschalten. Selbstverständlich auch den kostenpflichtigen David Sitecare Service. Gemäß unserem heutigem Informationsstand ist der Status der via unverschlüsselter Internetseiten jedermann zugänglichen Passworte und Kunden-Stammdaten dem Management von Tobit.Software seit über zwei Jahren bekannt. Eine Behebung dieser Schwachstellen ist - dem Vernehmen nach vorsätzlich - nicht erfolgt.
Damit ist die Qualität der Tobit Produkte zu weit unter das Niveau gesunken, das meine Mitarbeiter und ich von Herstellern erwarten. Unser noch bestehendes Vertrags-Verhältnis mit Tobit.Software endet Mitte März 2014.

Arno

Kaarst, 23.01.2014

Wir suchen für den Export der David-Archive von David-Bestandskunden zum aktuellen Microsoft Exchange eine stabil laufende Schnittstelle.
Diese Schnittstelle sollte idealerweise ein in der EU ansässiger Hersteller produzieren und supporten.

Produktsprache der Schnittstelle darf wahlweise deutsch, englisch oder französisch sein.
Es ist kein dauerhafter Connect zwischen David und Exchange vorgesehen.
Die Datenübertragung sein einmal, aber vollständig und ohne Abbrüche erfolgen.

Bitte senden Sie Produkt- und Preisinformationen sowie (sofern vorhanden) Datenblätter per eMail an: web@fb2.eu

Arno

Der Kappes trat mit aktuellem David-Stand mittlerweile bei mehr als fünf Kunden auf.

18. Januar 2014

Der mangelhafte Sicherheitsstand der Software David.12 ist aus meiner Sicht als ausgebildeter technischer Manager ein KO-Kriterium.
Dies gilt sowohl für Empfehlungen als auch für den weiteren Eigensatz.
Daher suche ich nach brauchbaren Alternativen.

Ich habe wenig Lust vom Regen in die Traufe zu geraten.
Kollegen haben den Wechsel zu anderen Software-Herstellern längst vollzogen.
Und ein Grundprinzip der Mitglieder des Vereins deutscher Ingenieure lautet: "Sie müssen immer mal über den Tellerrand hinaus blicken!"
Daher stelle ich an dieser Stelle folgende Frage:
"Wie ist es um die Datensicherheit des aktuellen Release-Stands folgender Produkte im Vergleich zu David bestellt?"

A) m Vergleich KERIOO // DAVID
B) im Vergleich EXCHANGE // DAVID

Kleinstinstallation oder private Anwendungen interessieren mich dabei nicht.
Bitte kurz und prägnant formulieren.

Arno

David-Server auf Linux: Das würde zusätzlich Entwicklungs- und Supportaufwand bedeuten. Aber die in der Praxis eingesetzten Linux-Server haben rapide abgenommen - zugunsten Mac-basierten Server-Systemen. [Beispiel: Rewe-Konzern]. Das nötige Geld wäre somit an Marktanforderungen vorbei investiert worden.

Windows wird nicht vom Markt verschwinden. Aber außer bei Smartphones sind die Verkaufszahlen von Windows Betriebssystemen drastisch gesunken. Dazu hat Windows 8 einiges beigetragen: Microsoft wollte wohl mit einem eigenen App-basierenden Betriebssystem zeigen "Das können wir auch." Aber nur "auch", die eigentlichen Stärken der Windows-Betriebssysteme waren nicht mehr ersichtlich.

Kostendeckung: Ich meine nicht hinsichtlich der Unsicherheit, welches System das Rennen macht. Sondern der hinsichtlich der immensen Kosten, welche die Anpassung der Programme auf die sich ständig ändernden Betriebssystemen Eigenheiten verursacht. Die Smartphone Betriebssysteme ändern sich teils alle paar Wochen in kleinen Features, die zum Teil teure Umprogrammierung nötig macht. Es fehlt an Normung oder Standards. Jeder Hersteller kocht sein eigenes Süppchen - mit teuren Folgen für die Kunden.

Hinzu kommen ständig steigende Sicherheitsanforderungen. Die Cybergangs haben auch schlafen nicht geschlafen. Folglich legt derjenige, der seine Smartphones (basierend auf Android oder Windows) ohne Virenschutz oder über ungesicherte Verbindungen betreibt, seine Adressen und die Kommunikation für die gesamte Welt frei.
Einige Sicherheitsfeatures sind in die David-Apps eingeflossen und werden hoffentlich noch weiter verbessert.

Bitte präziser formulieren!
Alternative zu Tobit ist ein anderes Unternehmen, Alternative zu David ist ein anderes Produkt.

Auch ich sehe mich nach Alternativen zu Tobit um, nachdem meine Anfrage vom 04.12.2013 nach Benennung mit dem für die Tobit.Software AG zuständigen Datenschutz-Beauftragten nur mit der Gegenfrage "Worum geht es bei der Anfrage genau?" beantwortet wurde.
Die Vorfilterung durch andere Mitarbeiter eines Unternehmens hinsichtlich Anfragen an den Datenschutz-Beauftragten, die einen möglicherweise gravierenden Datenschutz-Verstoß betreffen, dürften kaum den gesetzlichen Bestimmungen entsprechen. Die anstehende Anfrage an den Datenschutz-Beauftragten wurde vom EDV-Verantwortlichen des Arbeitgeber-Verbandes der deutschen Immobilien-Wirtschaft dahingehend beurteilt: "Das IST ein gravierender Datenschutz-Verstoß!"

Es gibt Sachverhalte, wo ich derzeit den Eindruck habe, dass es bei der Tobit.Software AG und den assoziierten Betrieben entweder gar keinen Datenschutz-Beauftragten gibt oder dass selbiger seinen Verpflichtungen nicht nachkommt oder dass er in der Ausübung seiner Pflichten behindert wird.
Ehe ich aber dazu irgend eine weitere Äußerung abgebe werde ich mich zunächst beim zuständigen Ministerium des Landes Nordrhein-Westfalen im nahen Düsseldorf über die genauen gesetzlichen Vorschriften bezüglich des Datenschutz-Beauftragten, seiner Zuständigkeit und seinen Kompetenzen informieren.

Arno

Mit der aktuellen David-Version werden Siemens Anlagen wir die T-COM Oktopus und die daran angeschlossenen Telefone unterstützt.
Außer einem USB-Kabel ist keine weitere Hardware erforderlich
Dabei ist keine ISDN-karte mehr nötig. Stattdessen wird die TAPI der Telefone installiert und im David-Client auf diese TAPI umgeschaltet.
Läuft sowohl mit Auerswald- als auch mit Siemens- und T-COM Telefonen stabil.

Kaarst, 04.12.2013
Ich wurde nun darüber in Kenntnis gesetzt, dass eine weitere Sicherheitslücke besteht.
Wer den Link auf dem Rundschreiben vom November 2011 und eine Site-ID kennt, der kann beim heutigen Stand auch das geänderte (!) Passwort der Site-ID in Klarschrift über ein ungesicherte (!) Internetseite sehen.
Das Rundschreiben ging ab Ahaus an praktisch jeden Update-berechtigten David-Kunden raus, dessen Adresse bekannt war.
Für die Anzeige des geänderten Passworts sind nur ein paar zusätzliche Klicks, aber keine weiteren Voraussetzungen nötig.

Damit hat Hinz und Kunz Zugriff auf sämtliche im TSSM eingegeben Daten, einschließlich Personalliste der Mitarbeiter sofern eingetragen!
Dies gilt zumindest für David. (Bei der djukebox gibt bis jetzt gar keine Möglichkeit zur Passwortänderung).
Online können ohne Wissen der Bestandskunden Verträge in deren Namen und ohne deren Kenntnis abgeschlossen, geändert oder aufgelöst werden!

Diese frei zugängliche Webseite trägt keinen Eintrag "Robots follow", aber auch keinen gegenteiligen.
Dem Vernehmen nach ist diese gravierende Sicherheitslücke einigen Mitarbeitern von Tobit.Software schon länger bekannt.
Sie zu schließen würde aber Mehrarbeit in der Abrechnung erfordern, daher bleibt sie offen.
So der Inhalt der erhaltenen mündlichen Mitteilung.
Meine Statusprüfung ergab, dass dem tatsächlich so ist. Auch das geänderte Passwort ist extern für Unbefugte lesbar.

I'm not amused.
Das hört sich für mich so an, als würden sich einige der Tobit-Mitarbeiter deutlich zulange in der hauseigenen Diskothek aufhalten.
Für meine djukebox, die ganz besonders leicht unbefugten Zugriff ermöglicht, habe ich daher folgenden Text ins InterCom geschrieben:

"Mit Befremden stelle ich fest, dass die Kontodaten in my.djukebox gelöscht waren, aber hier wieder unter Kontoverwaltung wieder auftauchen.

Aufgrund der bestehenden Sicherheitsmängel hinsichtlich Geheimhaltung von Stamm- und Bankdaten wünsche ich, dass meine in der Kontoverwaltung von Ihnen eingegebenen Daten gelöscht werden. Mir ist dies aufgrund des Istzustands des bestehenden Konto-Verwaltungssystems nicht möglich.

Für den von einem mir unbekannten Mitarbeiter der Tobit.Software AG vorgenommenen Eintrag der Sepa-Nummern habe ich keinerlei Genehmigung erteilt."

Als weiteres habe ich habe versucht, mit dem Datenschutzbeauftragten der Tobit.Software AG Kontakt aufzunehmen.
Bin gespannt wie lange es dauert bis der Kontakt zustande kommt und was dabei heraus kommt.

Bis jetzt habe ich die Frage der Kunden steht mit JA beantwortet wenn es sich darum ging, ob die via TSSM/ Kontoverwaltung eingegebenen Daten bei Tobit ausreichend sicher sein.
Aber angesichts des heutigen Kenntnisstands und unter Berücksichtigung meiner zeitweisenden Tätigkeit als Gutachter
kann, darf und werde ich diese Kundenfrage nicht mehr bejahen. Zumindest nicht solange die jetzigen Sicherheitsmängel bestehen.

Ceterum censeo:
Es bestätigt sich immer wieder der alte Management-Grundsatz:
Mache Dich niemals von einem Lieferanten abhängig!
Achte immer darauf, dass es bei Bedarf Ersatz gibt.

Besten Dank für die Info, Herr Osterwohldt.

Dieses Rundschreiben vom November 2011 kenne ich. Damals habe ich das auch mehrfach erhalten.

Aber mir war damals gar nicht bewusst, dass sich mit dem aufgedruckten Link zu jedem beliebigen Produkt von Tobit.Software das Site-ID Passwort auslesen lässt.
Nach jetzt durchgeführten Tests gilt das auch für Hardwareprodukte wie die djukebox.
Es ist nur nötig die Site-ID zu kennen. Und schon gibt der Link nach Drücken der Enter-Taste das vom Hersteller vergebene Passwort an.
Selbiges lässt sich bei der djukebox nicht ändern. Bei David lässt sich immerhin das Passwort ändern.
Und diese Änderung sollte immer die erste Aktion nach erfolgter Installation oder nach erfolgtem Update sein.

Ich hoffe der Mitarbeiter der Partner-Betreuung hat sich nicht bei seinem mir gegenüber letzte Woche abgegebenen Versprechen zu weit aus dem Fenster gelehnt.
Der Passwort-anzeigende Link kursiert offen und darf nicht länger funktionsfähig sein. Eine diesbezügliche rasche Änderung war Inhalt des Versprechens.

Im übrigen empfehle ich jedem Unternehmer handschriftlich Logbuch zu führen über wichtige Telefonate. (Wann, mit wem telefoniert, Gesprächsthema). Dazu genügt eine A5-Kladde.
Uhrzeit, Dauer und Telefonnummer des Angerufenen lassen sich zudem automatisch dokumentieren, wenn die David TAPI eingesetzt wird.
Für weitere Infos ist das Notizen-Feld praktisch. Alternativ Eintrag öffnen und benötigten Memo-Text hineinschreiben.
Eine Regel auf ein Archiv Ausgang / Telefonate gesetzt und schon wird alles übersichtlich abgelegt.

Nur Kaffee kochen kann David immer noch nicht.

Seit Installation des Rollouts vom 25.11.2013 ist ohne Ankündigung wieder alles durcheinander gewürfelt.

Jetzt sind die Zeilen zum Verschieben bei Flag, Datum, Gelesen-Markierung und Betreff zum Verschieben greifbar.
Geschützt sind nun VON, Status, Port, Umfang und Identifizierung.

Kaarst, 03.12.2013

Nach Installation des Rollouts von Anfang November sind die Spalten Datum, Status und Port gegen nachträgliche Veränderung geschützt.
Zum Verschieben einfach mit der Maus auf einen Eintrag in der An-Spalte oder in der Betreff-Spalte zeigen. Dann geht's.

Zunächst mit GMX klären, über welchen Port GMX die SSL-verschlüsselte Kommunikation ausführt.

Mit ist vor allem das zweimalige @-Zeichen in der eMail-Adresse suspekt.
Das wird hakeln.

Loggt sich jemand an einem David Arbeitsplatz mit V12 ohne Sitecare ein und greift - zum Beispiel via Port 267 - auf einen aktuellen David-Server mit SiteCare zu, dann wird der benutzte David-Client automatisch aktualisiert. Dabei wird der Client IE11 fähig - auch ohne SiteCare.