Glorf IT

OK, das mit dem Datenschutz, der stärker ins Bewusstsein rückt, ziehe ich zurück. Als ich im c't magazin vom 06.02.2010 sah, wie Leute jeden Alters einfach einer hübschen Umfragerin alle Daten gaben, die sie haben wollte, inkl. Kontonummer, Einkommen und Fingerabdruck, konnte ich das fast nicht mit ansehen…

Wer nicht glaubt, dass Datenmissbrauch wirklich ein Thema ist, der dürfte den Artikel "Datenmissbrauch: Meine Identität gehört mir! mit Interesse lesen. Darin berichtet Tina Groll über ihre persönlichen Erfahrungen.

Hier ist der Filmbeitrag (etwa 10min).

Offenbar gibt es immer noch Unternehmen in denen die Mitarbeiter aus Call-Centern nicht nur die Daten einzelner Kunden abrufen können, sondern die komplette Liste alle Kundendaten. Es gibt nur wenige Mitarbeiter eine Firma, die alle Daten als Liste sehen müssen. Und die Callcenter-Mitarbeiter sind das sicher nicht, denn sie telefonieren ja immer nur mit einem.
Dass es sich dabei nicht nur um die an sich schon sensiblen Stammdaten handelt, sondern auch um Gesundheitsdaten finde ich ganz schön krass. Wenn die Daten dann auch noch Subunternehmern zugänglich gemacht wird, die auch für andere Kunden tätig sind, dann ist das ein Trauerspiel:

Um dennoch eine 24-stündige Erreichbarkeit zu gewährleisten, habe sich die Kasse externe Unterstützung geholt. Die Mitarbeiter von Value 5 HealthCare hätten "eingeschränkten Zugang" zu den Kundendaten bekommen, sagt die Sprecherin – Zugriff hatten die Bediensteten demnach aber auch auf Krankeitsbilder und Diagnosen.

Die weiteren Details finden sich im originalen Artikel der Süddeutschen und natürlich bei Heise. Wie viele Datensätze welchen Inhalts in kriminelle Hände gerieten ist noch unklar. Jetzt muss ich mich aber besser etwas anderem zuwenden, sonst versaut mir das noch glatt den freien Tag. Dass ich nicht bei der BKK bin, ist reine Glücksache… 🙁

Ja, die Sammlung an peinlichen Privatphotos, die im Internet die Runde machen ist um ein paar Bilder reicher. Nachdem Facebook offenbar die Regeln zur Veröffentlichung änderte, waren vom Facebook-Chef Zuckerberg kurzzeitig einige Privatbilder zu sehen, die offenbar so nicht beabsichtigt waren. Er wollte wohl ein paar Bilder freigeben, aber dann doch nicht von seiner Freundin…

Da muss man sich schon fragen, ob das Konzept dann doch etwas zu komplex ist? Wie viel Einarbeitung kann man normalen Internet-Surfern zumuten? Das schlimme ist ja, dass das Internet nie etwas vergisst. Ein peinliches Foto und schon lebt man damit sein Leben lang. Und natürlich kann zu den eigenen Sünden auch noch jederzeit gezieltes Cyber-Mobbing kommen. Dazu gibt es einen netten Aufklärungsartikel bei Spiegel.de. Ich denke, dass der Inhalt für alle Leser dieses Blog nichts Neues bietet, aber der Artikel eignet sich ganz prima, um ihn an die jenigen zu schicken, die das Internet noch nicht in allen Tiefen kennen.

Natürlich benutzen auch meine Kinder die Vokabelhefte von Haefft. Aber deren Kinderportal benutzten sie glücklicherweise nicht. Wenn doch, dann hätte sich offenbar jeder dort einen Account einrichten können und hätte dann sämtliche persönlichen Informationen aller registrierten Kinder frei zugänglich vorgefunden:

Eigentlich sollte jeder Account durch ein eigenes Passwort geschützt sein. Tatsächlich aber konnte angeblich jeder Interessierte ohne weiteres Einblick in vertrauliche Informationen nehmen. Die umfassen "Fotos, Adressen, Freunde, Hobbys, Vorlieben und private Nachrichten von Schülern untereinander", wie der CCC erklärte.

Schlimmer noch: "Selbst die Administrationskonten der offenkundig ungesicherten Plattform waren frei zugänglich. Somit konnten sämtliche gespeicherten Daten aller Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist. Darüber hinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren."

Quelle: Spiegel.de

Ich bin gar nicht sicher, ob man hier von einer Datenpanne sprechen kann. Das ist doch wohl eher ein informationstechnischer Supergau. Die Versicherungen der Betreiber haben bei mir nicht die vermutlich erwünschte Wirkung: "Derzeit ist nicht bekannt, dass Userdaten missbraucht worden sind." Müsste man das auch nicht eher so formulieren: "Wir haben keine Ahnung, ob die Daten missbraucht wurden"?

Immerhin vermitteln die anderen Punkte der Erklärung den Eindruck, dass sie es zukünftig besser machen wollen. Was möglicherweise an der günstigen Marketingaktion am Konzept gespart wurde, das dürfen nun die Kinder mit ihren Daten bezahlen. Schade, dass dem Schutz der Daten von Kindern in der Politik keine so hohe Bedeutung beigemessen wird. Ich nehme an, dass es sich bei der "Panne" vermutlich um keine Straftat handelt. Wenn aber eines der Kinder ein Bild von Superman als Avatar verwendet hätte, dann wäre das eine Urheberrechtsverletzung für die wenigstens eine teure Abmahnung fällig gewesen wäre… 🙁

Als ich bei netzpolitik.org las, dass die Gläubiger der "Lehman Brothers Holdings Inc" in einer Datenbank aufgelistet sind, war ich schon sehr erstaunt. Sie enthält alle "Claims" mit Namen, Anschrift und Betrag. Man kann sogar in der Liste der Claims auf das Antragsformular klicken und bekommt das eingescannte PDF mit allen Details angezeigt: Anschrift, Mail-Adresse, Telefonnummer, Depotnummer (Bank) und die Unterschrift. Verblüffenderweise scheint das in den USA legal zu sein und Firmen wie EPIQ Systems leben davon.

So konnte ich in der nach Betrag sortierten Liste sehen, dass 21 betroffene Erlanger Ansprüche angemeldet haben. Lokaler Spitzenreiter ist ein um die Ecke ansässiger Geschäftsmann mit 14 Millionen USD. Das ist zwar keine wirkliche Datenpanne, dennoch gehört das für mich in die gleiche Kategorie…

Die aktuelle Datenpanne bei AWD kann man beim NDR nachlesen: "Schwere Datenpanne bei Finanzdienstleister AWD". Andere Nachrichtenmagazine berichten darüber komischerweise nicht. Dabei hat die Panne in mehrfacher Hinsicht eine große Brisanz. Die Daten wurden angeblich von einem hohen Manager absichtlich zur gezielten Ansprache weitergegeben:

"Die Daten sind mir von einem AWD-Landesdirektor gegeben worden. Der Zweck war einfach, Kundenakquise daraus zu betreiben. Diese Daten wurden als Basis genommen um Kunden zu werben – auch für Versicherungen, Kapitalanlagen und so weiter", erklärte der Informant.

Der sorglose Umgang mit vertraulichen Daten scheint noch weiter verbreitet zu sein als man so denkt. Leider ist der Datenschutz wird der Datenschutz – im Gegensatz zum Patent- und Lizenzschutz – immer noch sehr wenig ernst genommen.

Es wurden offen nicht nur persönliche Daten und Kontoinformationen weitergegeben, sondern auch Daten zu Geldanlagen:

Auch wenn die Daten einige Jahre alt sind, ein großer Teil der Verträge läuft noch – und genau das macht den Datensatz interessant. "Da sind Versicherungssummen drin, Ablaufdaten. Jetzt weiß man, am so- und sovielten September oder Dezember eines Jahres läuft ein Vertrag aus und dann könnte man gezielt dort anrufen und sagen: Sie kriegen da jetzt Geld ausgezahlt, was wollen Sie damit machen, wollen Sie es neu anlegen", sagte der Informant, der nicht erkannt werden möchte, zu NDR Info.

Das ist nicht nur schockierend, sondern hoffentlich auch kriminell. Oder ist das auch nur eine Ordnungswidrigkeit?

Von mehreren tausend Webshops wurden die Kreditkarten-Daten der Kunden abgegriffen. Das finde ich schon verschärft. Damit lässt es sich lange einkaufen. Immerhin wollen sie die betroffenen Kunden informieren (was dort gesetzlich vorgeschrieben ist) und Unterstützung durch Überwachung der Konten bieten (was sie freiwillig machen). Unter dem Strich geht der Umgang mit solchen Pannen in die richtige Richtung…

Details stehen bei heise online

Wenn ich bei Heise.de den Bericht über die "mutmaßliche Datenpanne bei der Sparkasse Köln/Bonn" lese, dann frage ich mich, ob das nicht auch jeden unbesorgten EDV-Berater treffen könnte?

Offenbar sollte der Berater das Sparkassenvertreibssystem "optimieren". Zuerst dachte ich damit sei gemeint, dass die Performance verbessert werden sollte. Klar, das geht ja nur mit Daten. Aber die Firma bietet das gar nicht an, daher dürfte es sich um die Optimierung des Vertriebsablaufes gehandelt haben.
Aber wie auch immer: eigentlich hätte die Sparkasse die Daten anonymisieren müssen. Die Sparkasse behauptet jedenfalls das getan zu haben:

Zur Erfüllung seines Auftrags hat Herr Stockmann zusammengefasste, anonymisierte Unternehmensdaten erhalten. Dies war für Vertriebsreportings und Einzelcoachings notwendig.

Der hinzugezogene WDR-Reporter behauptet aber echte Daten gesehen zu haben, sowohl von Kunden als auch über Mitarbeiter. Da es jetzt einen riesen Wirbel gibt und der Datenschutzbeauftragte die Einleitung eines Verfahrens prüft, könnte da wohl etwas dran sein. In der Presseerklärung hat die Sparkasse jedenfalls keine Skrupel den Namen des Beraters zu nennen. Das macht auf mich keinen guten Eindruck. Außerdem ist nun die Rede von "illegal in seinem Besitz befindlichen Daten". Wenn die anonymisiert wären, wo wäre dann das Problem?

Aber mal im Ernst: nehmen wir mal einen Augenblick an, dass ich den Auftrag bekommen hätte. Und dann würden mir Daten im Klartext ausgehändigt ohne dass ich eine Verschwiegenheitserklärung habe unterzeichnen müssen. Handelt es sich dann um "illegal in seinem Besitz befindlichen Daten"? Ich nehme an, dass es tatsächlich illegal war ihm die Daten zu geben. Aber es jetzt so darzustellen als ob der Berater an der illegalen Handlung schuld sei, finde ich schon stark.

Ich weiß zuversichtlich, dass aber tatsächlich die Pflicht besteht, die Daten nach Ende des Auftrages zu löschen. Die dafür entstehenden Kosten von der Sparkasse zu fordern könnte von denen als frech (oder schlimmer) empfunden worden sein. Und so nahm alles seinen Lauf. Anstelle sich zusammenzusetzen und eine Lösung zu suchen, scheint der Streit nun eskaliert zu sein und alle verlieren. Die Kunden und Mitarbeiter hatten ohnehin schon verloren. Nun verlieren auch Sparkasse und der Berater und zwar unabhängig von der Schuldfrage…

So sehe ich das:

• Personenbezogene Daten dürfen niemals ohne entsprechende Verträge zur Verschiwgenheit und Sorgfaltspflicht das Haus verlassen.
• Und auch dann hätten sie anonymisiert werden müssen. Wenn sich das bestätigen sollte, dann ist das einfach eine unglaubliche Sauerei. Leider dürfte das keine Konsequenzen für die Manager der Firma haben, denn eine eventuelle Strafe bezahlte ja die Sparkasse.
• Die Festplatten gehören dennoch immer noch der Sparkasse. Daher muss er der Berater sie meiner Ansicht nach zurück geben, auch ohne dafür eine Aufwandsentschädigung zu bekommen. Das sollte eigentlich auch klar sein, wenn man kein EDV-Experte ist.
• Seine eigenen Daten auch noch mit den Kundendaten zu vermischen ist schon seltsam. Klar muss er weitere Daten eingeben, um alle eventuelle Testfälle abzudecken, aber dann sind es dennoch nicht "seine" Daten. Aber darum geht es hier vermutlich ohnehin nicht.
• Wahrscheinlich handelt es sich eher um eigene Auswertungen, Skripte und Tools. Und wenn er die auf die Kunden-Platten tut, dann ist er selber schuld.
• Für die Rückgabe kann er meiner Ansicht nach nur dann eine Aufwandsentschädigung verlangen, wenn das vertraglich vereinbart wurde, andernfalls sind sie wohl mit der Vergütung abgegolten. Auf einer Entschädigung zu beharren wäre nicht besonders weise. Außerdem muss er einer Aufforderung der Löschung vermutlich sogar umgehend nachkommen. Darauf bezieht sich dann auch wohl die Formulierung "illegal". Dass es bereits illegal gewesen sein könnte ihm die Daten auszuhändigen, wird in der Presseerklärung verschwiegen.
• Der Ruf der Sparkasse ist wohl nun blamiert, ganz schön peinlich. Aber die Firma wird es überleben.
• Aber der Berater wird wohl so bald keinen Auftrag mehr bekommen, da sowohl sein Name als auch der Name seiner Firma von der Sparkasse genannt wurde und des illegalen Datenbesitzes beschuldigt wurde. Welche Firma kann es sich erlauben, dass bekannt wird, dass eine potentiell "verdächtige" Firma mit sensiblen Aufträgen betraut wurde? Oder ist es genau umgekehrt: Durch die große Publicity öffnen sich neue Türen?
• Auf der Webseite der Berater-Firma fand ich keine weiteren Informationen zu dem Vorfall. Dort steht unter der Überschrift "Diese Firmen haben bereits gute Erfahrungen mit uns gemacht …" immer noch die "Sparkasse KölnBonn" als Referenzkunde. Man muss wohl nicht lange warten bis deren Eintrag verschwindet. 😉

Irgendwie macht mich der ganze Vorfall traurig: Sollten sich die Vorwürfe bestätigen, dann wird vielleicht offiziell zurück gerudert. Aber jetzt wird erst mal dementiert, anstelle sich sofort bei den betroffenen Kunden und Mitarbeitern zu entschuldigen. Da der Berater die (angeblich?) sensiblen Daten offenbar nicht seinerseits weitergegeben hat, hält sich der Schaden möglicherweise in Grenzen, aber wer weiß schon welche Trojaner wann wo aktiv waren…
Außerdem dürfte der Berater ruiniert sein und in den kommenden Wochen vorlauter Presserummel und Anwaltsterminen wohl kaum zum arbeiten kommen. 🙁

Die leider viel zu kurze Liste bei tagesschau.de unter dem Titel "Die größten Fälle von Datenmissbrauch bei Unternehmen" nennt lediglich drei Fälle:

• "Lidl: Detektive lauschten"
• "Telekom: Kundendaten wurden gestohlen"
• "Deutsche Bahn: Mitarbeiter wurden überprüft"

Naja, die waren aber auch besonders krass…

PS: Dort gibt es auch eine Umfrage, ob ein neues Datenschutzgesetz etwas bringt…

So ein optimistisches Weltbild hat jedenfalls die heute.de-Redaktion. In einem Artikel nennen sie populäre Datenpannen der letzten Monate und ziehen eine positive Bilanz:

Datenskandale haben aber auch eine positive Nebenwirkung, eine Art Lerneffekt. Denn sie zeigen, wie schnell sensible Informationen in die falschen Hände gelangen und Schaden anrichten können.

Donnerwetter! Danach kommen etliche Andeutungen, dass man sich auch persönlich schützen solle. Richtig konkret werden die Tipps aber dann doch nicht. Schade. Naja, wenigstens werden ein paar gute Tools beim Namen genannt…

Wenn man die ganzen Skandale um die Datendiebstähle bei der Telekom so beobachtet, dann kann man sich ja nur wundern. So ein großes und renommiertes Unternehmen wie die Telekom hätte ich jetzt nicht im Verdacht gehabt so fahrlässig mit sensiblen Daten umzugehen. Wahrscheinlich sind die Unternehmensdaten richtig gut geschützt, aber die Kundendaten wurden mehr als Arbeitsmasse betrachtet an die jeder Mitarbeiter rankommen muss. Überall kann man die Notbremse der telekom nachlesen. So schreibt es heise online:

Konzernchef René Obermann kündigte am Freitag die Berufung eines neuen Vorstands für Datenschutz an. "Durch das neue Vorstandsressort stellen wir sicher, dass die notwendigen Maßnahmen zum Datenschutz zentral abgestimmt und konzernweit umgesetzt werden", sagte er in Bonn. Am vergangenen Wochenende war bekannt geworden, dass 17 Millionen Kundendaten gestohlen worden waren. Nun bestätigte Obermann, dass bundesweit in sechs weiteren Fällen entwendeter Daten ermittelt wird.

Ist das jetzt Maßnahme, die tatsächlich nötigt ist? Ist die Sicherheit von Kundendaten bei der Telekom nur durch ein eigenes Vorstandsressort gesichert? Und wie soll ich mir das vorstellen: so eine Art schwarze Sheriffs der Datensicherheit? Oder ist das eine demonstrative Maßnahme, die deutlich machen soll, dass die Telekom tatsächlich etwas tut? Und wenn ja, was tut denn so ein Vorstand? 😉

"In Großbritannien häufen sich die Datenverluste bei Behörden." steht bei Heise-Online. Aber das glaube ich nicht. Ich denke, dass die Briten bzgl. der Information über solche Pannen schon weiter sind als wir. Ich glaube, dass es i den letzten Jahren genauso viele Pannen gab, die wurden aber einfach nur vertuscht. Außerdem bin ich davon überzeugt, dass es in Deutschland wenigstens genauso viele Datenpannen gibt. Die werden hierzulande vermutlich aber nicht veröffentlicht oder herunter gespielt.

Jedenfalls verschwanden in Britannien "drei USB-Speichermedien mit persönlichen Daten von bis zu 50.000 ehemaligen und aktuell dienenden Soldaten". Das ist ganz schön blöd für die betroffenen Soldaten…