In einem Werbeflyer wirbt Deutsche Post Direkt seit längerer Zeit: "Als Full-Service-Anbieter können wir Ihnen genau die Adressen liefern, die Ihre Anforderungen erfüllen: Wir verfügen über eine Vermietdatenbank mit circa 37 Millionen Consumer-Adressen, decken mit rund 5 Millionen Business-Adressen nahezu den gesamten Markt ab, bieten Lifestyle- und Listbroking-Adressen sowie internationale und elektronische Potenziale."

Der Adresshandel wird immer schamloser. Ich möchte nicht, dass meine Adresse verkauft bzw. weiter gegeben wird. Es hat sich gezeigt, dass es völlig unpraktikabel ist, dass ich jede Firma einzeln kontaktieren muss, um die Weitergabe zu unterbinden. Leider ist unseren Politikern der Schutz der Industrie wichtiger als der Schutz der Bürger. Anders ist es kaum zu erklären, wieso ACTA einfach durchgewinkt wird und die massiven damit verbundenen Einschränkungen der Nutzer ignoriert werden. Ein wirksamer Schutz der persönlichen Daten scheint jedoch in weiter Ferne. Sehr traurig.

Also muss man doch einzeln vorgehen. Bei Verbraucherzentrale Schleswig-Holstein gibt es mehr Info und ein Musterschreiben, um der Nutzung seiner Daten zu widersprechen. Leider muss man das per Schneckenpost (Einschreiben) verschicken, d.h. die verdienen auch noch an meiner Anfrage und ich muss extra deswegen zu Post gehen….

Ein Hacker habe sich Informationen von Kunden der Großbank JPMorgan Chase und der Supermarktkette Kroger verschafft, berichtet der Fachdienst "Security Week". Auch das Techunternehmen TiVo wies seine Kunden auf den Hack hin.
Der Unbekannte sei in das Datensystem des Online-Händlers Epsilon eingedrungen und habe deren Kundenkarteien durchforstet, teilte die Großbank mit. Der Hacker habe sich Zugriff auf E-Mail-Adressen und Hausanschriften verschafft, jedoch nicht auf persönliche oder finanzielle Informationen.

Auf SecurityWeek.com findet man detailliertere Infos: Die Firma Epsilon verwaltet im Auftrag von Unternehmen die Daten von deren Kunden und übernimmt die Kommunikation. Offenbar waren sie dabei nicht besonders sorgfältig. Möglicherweise wurden die gesamten Kunden-Daten ihrer Kunden erbeutet. Hier ein paar Firmen, die Epsilon mit der Kundenverwaltung beauftragten und deren Daten nun vermutlich erbeutet wurden (darunter mehrere Banken und andere Firmen mit großen Kundenzahlen):

• Kroger
• TiVo
• US Bank
• JPMorgan Chase
• Capital One
• Citi
• Home Shopping Network (HSN)
• McKinsey & Company
• Ritz-Carlton Rewards
• Marriott Rewards
• New York & Company
• Brookstone
• Walgreens
• The College Board

Die erspähten Daten reichen in der Regel, um jemandem das Leben zur Hölle zu machen: Anschrift (vermutlich inkl. Telefonnummer) und Mail-Adresse. Wenn es ganz dumm gelaufen ist, dann auch noch weitere Daten, wie Kundennummern bei der jeweiligen Firma. Immerhin werden die betroffenen Kunden diesmal informiert.

Bitte den Ton einschalten. und dann geht es hier erst mal dunkel los..

Ich halte es für bedenklich, wenn eine Bank die Überweisungen auswertet, um daraus Rückschlüsse über den Kunden zu gewinnen,z.B. um das Einkommen zu schätzen oder die Art der Ausgaben festzustellen. Man könnte damit auch ein Profil über die Geschäftsbeziehungen erstellen.
Ich finde es ebenso problematisch, wenn eine Telefongesellschaft die Telefondaten auswertet, bspw. die Länge der Telefonate oder die geografischen Bewegungen erfasst/auswertet. Man könnte auch damit ein Profil über die sozialen Kontakte erstellen.
Das gilt ebenso für Mail-Provider, Internet-Provider und so weiter.

Aus den Unterlagen, die dem NDR vorliegen, kann man schließen, dass die Sparkasse Hamburg entweder eine Klassifizierung anhand von wenigen nichtssagenden Begegnungen vornimmt, Daten über den Kunden zukaufte oder doch die Kontoinformationen zu so einer Auswertung heran zieht. Alles drei spricht in meinen Augen gegen die Methoden des Geldinstituts. Vielleicht gibt es eine weitere Möglichkeit, die ich übersehen habe?

Update 04.11.2010 15:30h: Gerade lese ich im Spiegel, dass die negativen Schlagzeilen die genannte Sparkasse zum Einlenken bewogen hat: "Das Institut reagiert nun auf einen NDR-Bericht, stellt die Praxis sofort ein. Und will die bisher gewonnenen Erkenntnisse löschen." Leider habe ich nicht den Eindruck, dass sie das Problem verstanden haben: "Zugleich teilte die Hamburger Sparkasse mit, sie stelle das System ein, obwohl es >im Interesse der Kunden< gewesen sei." Noch Fragen?

Der Handelskette seien von Easycash Loyalty Solutions insgesamt 14 verschiedene Auswertungsformen angeboten worden, heißt es weiter, darunter das "Umsatzverhalten der Bestandskunden", eine "Messung der Passantenfrequenz aller Straßen im Umkreis von 5 km je Filiale" sowie eine "Liste der Unternehmen, bei denen die Kunden vor und nach dem Besuch des Marktes einkaufen". Das Angebot enthält laut NDR Info auch Hinweise darauf, dass EC-Kartendaten mit denen von Kundenkarten verknüpft werden sollten: Die Hamburger Firma biete der Handelskette an, auszuwerten, wie viel Geld Kundenkarteninhaber bei Konkurrenzfirmen ausgeben und "wie hoch der Anteil an Kunden ist, die im Kundenkartensystem inaktiv sind […], jedoch nach wie vor noch über EC-Karten einkaufen".

EasyCash bestreitet die Vorwürfe und überlegt nun die Journalisten zu verklagen. Unterdessen hat die nordrhein-westfälische Datenschutzbehörde – auf die sich der NDR als Informationsquelle beruft – Strafanzeige gegen Easycash gestellt.

Ich denke, dass schon die mehrjährige Speicherung von personen-bezogenen Kontobewegung verboten sein sollte. Davon ging ich bisher aus, aber das scheint ja sogar legal zu sein. Erst die Weitergabe der Daten scheint strafbar zu sein. Das halte ich für falsch: Wenn die Zahlung abgewickelt wurde, dann sollten die Daten gelöscht werden müssen. Ich werde jetzt mal darauf achten, ob man an den Kassen erkennen kann, ob EasyCash genutzt wird. Die Liste der Referenzkunden bei EasyCash ist jedenfalls nicht sehr ausführlich, wenn man bedenkt, dass angeblich 70 000 Firmen Ihre Zahlung über EasyCash abwickeln:

Zu den Unternehmen, die Paymaster in ihren Webshops nutzen, gehören unter anderem A.T.U Autoteile Unger, der Kino-Riese cinestar – der die Bezahlung in seinem Online-Fanshop und -Gutscheinshop über Paymaster abwickelt –, das Rocker-Shopping-Portal Deutschrock und die Internet-Anzeigenseite das Inserat.

Outdoor- und Trekking-Experte Globetrotter, die Seetours-Tochter AIDA Cruises, das berühmte Traditionsunternehmen Steiff und die erfolgreiche Tee-Kette Teegschwendner vertrauen dem Online-Zahlsystem von easycash ebenfalls.

Hier stehen noch ein paar: Siemens Casino Card, engbers, REWE, Volkswagen Bank, Tripsdrill, Robert Ley, WMF und die Polizei in Brandenburg.

Tja, da gibt es ja wohl kein entkommen. Aber was ist die Alternative? Bar zahlen, dauernd Geld abheben und immer ausreichend ausreichend dabei haben? Auch irgendwie nicht. Schon komisch, dass bei Google StreetView viele Politiker laut werden, aber bei dieser Art der Überwachung hörte ich noch keinen Protest seitens der Politik… Schade.

Weitere Details zu den Vorwürfen beim NDR und Heise-Online:

• Nach Strafanzeige: Easycash unter Druck
• Neue Details zur Easycash-Datenschutzaffäre
• Bericht: Easycash verkauft Bewegungsprofile von EC-Kartenkunden

Die Anträge wurden über den Tarifrechner der Sparte Rechtsschutz-Union aufgenommen und enthielten vertrauliche Daten wie etwa Bankverbindung, Beruf, Fahrzeuge, eventuelle Vorschäden sowie den bisherigen Versicherer des Antragsstellers. Auch Geburtsdatum, Nationalität, Familienstand und Angaben zu den Kindern fanden sich in den Anträgen.

Das sind genug Infos, um sich eine Online-Identität zu erschleichen. Die Menschen tun mir leid. Die Lücke bestand seit Anfang des Jahres. Zu hoffen, dass kein Bösewicht diese Daten missbraucht, wäre schon sehr naiv. Immerhin:

Der Konzern will die betroffenen Kunden zeitnah informieren.

Das ist wenigstens mal ehrlich den Kunden gegenüber.

Mehr Details bei Heise-Online: "Textildiscounter KiK erneut am Datenschutz-Pranger"
(In meinen Augen ist das kein reiner Datenschutz-Skandal, sondern noch mal eine ganz eigene Kategorie.)

Natürlich könnte man jetzt argumentieren, dass es sich dabei nur um die Daten handelt, die von den Betroffenen selber eingegeben wurde, aber nach meiner Erfahrung ist den Kindern die Tragweite der Handlungen völlig unklar. Und natürlich sind sie darauf getrimmt alle Felder eines Fragebogens zu füllen, nicht nur von der Schule, sondern auch weil sie sich dadurch wichtig und ernst genommen fühlen. Daher finde ich, dass der Betreiber festlegt, welche Daten gezeigt werden.

In dem Zusammenhang fiel mir wieder ein, was neulich im MittelstandsBlog stand:

„Trotz der Datenskandale der vergangenen Monate nehmen viele Unternehmen den Datenschutz noch immer nicht ernst“, bedauert Birthe Görtz, PwC-Expertin für Datenschutz. Nur jedes fünfte Unternehmen leiste sich einen Vollzeit-Datenschutzbeauftragten. Selbst in Großunternehmen habe der Datenschutzbeauftragte in der Regel höchstens eine Halbtagsstelle, kritisiert die Expertin. In jedem dritten Unternehmen ist der Datenschutzbeauftragte zudem auf sich allein gestellt.

Insbesondere bei Dienstleistungsunternehmen dürften aber schon brisante Daten über deren Kunden vorhanden sein…

viaTecChannel.de. Leider glaube ich das sofort. Das diese Art von Adresshandel illegal ist, versteht sich alleine. Aber wie oft müssen die Daten gekauft und wieder weiter verkauft werden, bis das keinen mehr interessiert?

Tecchannel schreibt dazu:

Diese Profile sind eine wahre Goldgrube. Nicht nur erhalten Sie damit die qualifizierten Adressdaten des Nutzers und seiner Freunde, sie können die Profile auch für Spamwellen nutzen, in dem sie etwa die Werbeangebote per privater Nachricht an die Kontakte des Nutzers schicken.
Daher sollten Facebook-Nutzer mit ihren Zugangsdaten vorsichtig umgehen. Es empfiehlt sich, regelmäßig das Kennwort zu ändern – nicht nur von Facebook, sondern auch von dem damit verbundenen E-Mail-Konto. Außerdem sollten man Kontakte direkt ansprechen, wenn man von ihnen Werbung oder seltsame Nachrichten erhält, möglicherweise sind das Hinweise auf infiltrierte Konten.

Wie realistisch ist denn das? Wer ändert denn schon regelmäßig seine Mailadresse? Ich persönlich handhabe das so, dass ich für jeden Dienste eine Mailadresse einrichte. Für Facebook könnte die so heißen: facebook@mydomain.de. Dann kann ich die abklemmen, wenn ich darüber zu viel SPAM bekomme. Aber die dauern ändern ist doch total unrealistisch…

Anhand der spärlichen Angaben kann man erahnen wie es wohl funktioniert:

Das Werkzeug hole sich Informationen aus der Windows Registry und erstelle Berichte über den Einsatz von portablen Musik- und Videoplayern, externen Festplatten und USB-Massenspeichern an USB-Ports.

Das geht aber nur, wenn auf jedem Arbeitsplatz ein Agent installiert ist und diese Checks in regelmäßigen Abständen durchführt. Die Ergebnisse dürften dann an einen zentralen Service gefunkt werden. Wie es klingt, handelt es sich dabei um ein reines Windows-Tool. Es deckt Verstöße gegen die internen Richtlinien auf und meldet sie unbemerkt vom Mitarbeiter an die Zentrale. So ticken offenbar Geheimdienstler.
Effektiver wäre es, wenn die lokal installierte Software bereits beim Anstecken des USB-Sticks aktiv würde und das Gerät gar nicht erst aktiv werden lässt. So könnte man eine Datenpanne verhindern, anstatt nur eine potentielle Datenpanne zu melden.

Jeder, der eine E-Mail von der Webseite mit dem Datenloch erhalten habe, konnte die VID-Daten anderer betrachten. Das konnte auch unbeabsichtigt geschehen, man musste dafür keinen Code oder ein Passwort knacken. Der Besucher dieser VID-Webseite wusste noch nicht einmal, dass er etwas Unerlaubtes tat. Karajevs hatte es selbst auf der VID-Homepage ausprobiert: “Ich besuchte einfach die Webseite, ohne dafür spezielle Mittel einzusetzen, ohne irgendeine böse Absicht. Ich tippte dann einfach eine Adresse ein, drückte auf die Enter-Taste und erblickte eine Liste mit irgendwelchen fremden Daten.” Und diese Daten konnte er nicht nur einsehen, sondern auch ändern: “Ich änderte ein paar Zahlen und erhielt veränderte Daten. Dabei habe ich nichts geknackt, gegen kein Gesetz verstoßen."

Weitere Details stehen im originalen Artikel "Umfangreiches Daten-Leck in der lettischen Steuerbehörde VID" der Lettische Presseschau.

Was kann man da tun? Im Grunde genommen müsste jetzt jeder Steuerzahler umziehen, seine Bankverbindung ändern und sein Geburtsdatum ändern. Das jetzt jeder weiß, was die anderen verdienen, ist sicher noch die kleinste Sorge. Ich kann es wirklich nicht fassen, was da passiert ist.