Die Anträge wurden über den Tarifrechner der Sparte Rechtsschutz-Union aufgenommen und enthielten vertrauliche Daten wie etwa Bankverbindung, Beruf, Fahrzeuge, eventuelle Vorschäden sowie den bisherigen Versicherer des Antragsstellers. Auch Geburtsdatum, Nationalität, Familienstand und Angaben zu den Kindern fanden sich in den Anträgen.

Das sind genug Infos, um sich eine Online-Identität zu erschleichen. Die Menschen tun mir leid. Die Lücke bestand seit Anfang des Jahres. Zu hoffen, dass kein Bösewicht diese Daten missbraucht, wäre schon sehr naiv. Immerhin:

Der Konzern will die betroffenen Kunden zeitnah informieren.

Das ist wenigstens mal ehrlich den Kunden gegenüber.

Mehr Details bei Heise-Online: "Textildiscounter KiK erneut am Datenschutz-Pranger"
(In meinen Augen ist das kein reiner Datenschutz-Skandal, sondern noch mal eine ganz eigene Kategorie.)

Natürlich könnte man jetzt argumentieren, dass es sich dabei nur um die Daten handelt, die von den Betroffenen selber eingegeben wurde, aber nach meiner Erfahrung ist den Kindern die Tragweite der Handlungen völlig unklar. Und natürlich sind sie darauf getrimmt alle Felder eines Fragebogens zu füllen, nicht nur von der Schule, sondern auch weil sie sich dadurch wichtig und ernst genommen fühlen. Daher finde ich, dass der Betreiber festlegt, welche Daten gezeigt werden.

In dem Zusammenhang fiel mir wieder ein, was neulich im MittelstandsBlog stand:

„Trotz der Datenskandale der vergangenen Monate nehmen viele Unternehmen den Datenschutz noch immer nicht ernst“, bedauert Birthe Görtz, PwC-Expertin für Datenschutz. Nur jedes fünfte Unternehmen leiste sich einen Vollzeit-Datenschutzbeauftragten. Selbst in Großunternehmen habe der Datenschutzbeauftragte in der Regel höchstens eine Halbtagsstelle, kritisiert die Expertin. In jedem dritten Unternehmen ist der Datenschutzbeauftragte zudem auf sich allein gestellt.

Insbesondere bei Dienstleistungsunternehmen dürften aber schon brisante Daten über deren Kunden vorhanden sein…

viaTecChannel.de. Leider glaube ich das sofort. Das diese Art von Adresshandel illegal ist, versteht sich alleine. Aber wie oft müssen die Daten gekauft und wieder weiter verkauft werden, bis das keinen mehr interessiert?

Tecchannel schreibt dazu:

Diese Profile sind eine wahre Goldgrube. Nicht nur erhalten Sie damit die qualifizierten Adressdaten des Nutzers und seiner Freunde, sie können die Profile auch für Spamwellen nutzen, in dem sie etwa die Werbeangebote per privater Nachricht an die Kontakte des Nutzers schicken.
Daher sollten Facebook-Nutzer mit ihren Zugangsdaten vorsichtig umgehen. Es empfiehlt sich, regelmäßig das Kennwort zu ändern – nicht nur von Facebook, sondern auch von dem damit verbundenen E-Mail-Konto. Außerdem sollten man Kontakte direkt ansprechen, wenn man von ihnen Werbung oder seltsame Nachrichten erhält, möglicherweise sind das Hinweise auf infiltrierte Konten.

Wie realistisch ist denn das? Wer ändert denn schon regelmäßig seine Mailadresse? Ich persönlich handhabe das so, dass ich für jeden Dienste eine Mailadresse einrichte. Für Facebook könnte die so heißen: facebook@mydomain.de. Dann kann ich die abklemmen, wenn ich darüber zu viel SPAM bekomme. Aber die dauern ändern ist doch total unrealistisch…

Anhand der spärlichen Angaben kann man erahnen wie es wohl funktioniert:

Das Werkzeug hole sich Informationen aus der Windows Registry und erstelle Berichte über den Einsatz von portablen Musik- und Videoplayern, externen Festplatten und USB-Massenspeichern an USB-Ports.

Das geht aber nur, wenn auf jedem Arbeitsplatz ein Agent installiert ist und diese Checks in regelmäßigen Abständen durchführt. Die Ergebnisse dürften dann an einen zentralen Service gefunkt werden. Wie es klingt, handelt es sich dabei um ein reines Windows-Tool. Es deckt Verstöße gegen die internen Richtlinien auf und meldet sie unbemerkt vom Mitarbeiter an die Zentrale. So ticken offenbar Geheimdienstler.
Effektiver wäre es, wenn die lokal installierte Software bereits beim Anstecken des USB-Sticks aktiv würde und das Gerät gar nicht erst aktiv werden lässt. So könnte man eine Datenpanne verhindern, anstatt nur eine potentielle Datenpanne zu melden.

Jeder, der eine E-Mail von der Webseite mit dem Datenloch erhalten habe, konnte die VID-Daten anderer betrachten. Das konnte auch unbeabsichtigt geschehen, man musste dafür keinen Code oder ein Passwort knacken. Der Besucher dieser VID-Webseite wusste noch nicht einmal, dass er etwas Unerlaubtes tat. Karajevs hatte es selbst auf der VID-Homepage ausprobiert: “Ich besuchte einfach die Webseite, ohne dafür spezielle Mittel einzusetzen, ohne irgendeine böse Absicht. Ich tippte dann einfach eine Adresse ein, drückte auf die Enter-Taste und erblickte eine Liste mit irgendwelchen fremden Daten.” Und diese Daten konnte er nicht nur einsehen, sondern auch ändern: “Ich änderte ein paar Zahlen und erhielt veränderte Daten. Dabei habe ich nichts geknackt, gegen kein Gesetz verstoßen."

Weitere Details stehen im originalen Artikel "Umfangreiches Daten-Leck in der lettischen Steuerbehörde VID" der Lettische Presseschau.

Was kann man da tun? Im Grunde genommen müsste jetzt jeder Steuerzahler umziehen, seine Bankverbindung ändern und sein Geburtsdatum ändern. Das jetzt jeder weiß, was die anderen verdienen, ist sicher noch die kleinste Sorge. Ich kann es wirklich nicht fassen, was da passiert ist.

Wer nicht glaubt, dass Datenmissbrauch wirklich ein Thema ist, der dürfte den Artikel "Datenmissbrauch: Meine Identität gehört mir! mit Interesse lesen. Darin berichtet Tina Groll über ihre persönlichen Erfahrungen.

Hier ist der Filmbeitrag (etwa 10min).

Um dennoch eine 24-stündige Erreichbarkeit zu gewährleisten, habe sich die Kasse externe Unterstützung geholt. Die Mitarbeiter von Value 5 HealthCare hätten "eingeschränkten Zugang" zu den Kundendaten bekommen, sagt die Sprecherin – Zugriff hatten die Bediensteten demnach aber auch auf Krankeitsbilder und Diagnosen.

Die weiteren Details finden sich im originalen Artikel der Süddeutschen und natürlich bei Heise. Wie viele Datensätze welchen Inhalts in kriminelle Hände gerieten ist noch unklar. Jetzt muss ich mich aber besser etwas anderem zuwenden, sonst versaut mir das noch glatt den freien Tag. Dass ich nicht bei der BKK bin, ist reine Glücksache…

Da muss man sich schon fragen, ob das Konzept dann doch etwas zu komplex ist? Wie viel Einarbeitung kann man normalen Internet-Surfern zumuten? Das schlimme ist ja, dass das Internet nie etwas vergisst. Ein peinliches Foto und schon lebt man damit sein Leben lang. Und natürlich kann zu den eigenen Sünden auch noch jederzeit gezieltes Cyber-Mobbing kommen. Dazu gibt es einen netten Aufklärungsartikel bei Spiegel.de. Ich denke, dass der Inhalt für alle Leser dieses Blog nichts Neues bietet, aber der Artikel eignet sich ganz prima, um ihn an die jenigen zu schicken, die das Internet noch nicht in allen Tiefen kennen.

Eigentlich sollte jeder Account durch ein eigenes Passwort geschützt sein. Tatsächlich aber konnte angeblich jeder Interessierte ohne weiteres Einblick in vertrauliche Informationen nehmen. Die umfassen "Fotos, Adressen, Freunde, Hobbys, Vorlieben und private Nachrichten von Schülern untereinander", wie der CCC erklärte.

Schlimmer noch: "Selbst die Administrationskonten der offenkundig ungesicherten Plattform waren frei zugänglich. Somit konnten sämtliche gespeicherten Daten aller Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist. Darüber hinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren."

Quelle: Spiegel.de

Ich bin gar nicht sicher, ob man hier von einer Datenpanne sprechen kann. Das ist doch wohl eher ein informationstechnischer Supergau. Die Versicherungen der Betreiber haben bei mir nicht die vermutlich erwünschte Wirkung: "Derzeit ist nicht bekannt, dass Userdaten missbraucht worden sind." Müsste man das auch nicht eher so formulieren: "Wir haben keine Ahnung, ob die Daten missbraucht wurden"?

Immerhin vermitteln die anderen Punkte der Erklärung den Eindruck, dass sie es zukünftig besser machen wollen. Was möglicherweise an der günstigen Marketingaktion am Konzept gespart wurde, das dürfen nun die Kinder mit ihren Daten bezahlen. Schade, dass dem Schutz der Daten von Kindern in der Politik keine so hohe Bedeutung beigemessen wird. Ich nehme an, dass es sich bei der "Panne" vermutlich um keine Straftat handelt. Wenn aber eines der Kinder ein Bild von Superman als Avatar verwendet hätte, dann wäre das eine Urheberrechtsverletzung für die wenigstens eine teure Abmahnung fällig gewesen wäre…

So konnte ich in der nach Betrag sortierten Liste sehen, dass 21 betroffene Erlanger Ansprüche angemeldet haben. Lokaler Spitzenreiter ist ein um die Ecke ansässiger Geschäftsmann mit 14 Millionen USD. Das ist zwar keine wirkliche Datenpanne, dennoch gehört das für mich in die gleiche Kategorie…