Glorf IT

Hallo? Wurden da wirklich die Daten aller Steuerzahler an Medien verschickt? Die Daten kann man doch nie wieder einfangen. Bei TecChannel stehts im Detail, hier ein Ausschnitt:

Das Osloer Steueramt hat die komplette Liste aller 3,9 Millionen Steuerzahler mit Personennummer, Namen, Einkommen und Steuersatz auf CDs ganz offiziell an Medien geschickt.
Der Sprecher der norwegischen Datenschutzbehörde ist schockiert. "Das ist so schlimm wie die Datenskandale in Großbritannien", sagt Ova Skåra – und untertreibt damit noch. Während bei den Briten mehrfach hochsensible Datensätze über Millionen Bürger "nur" spurlos verschwanden, irgendwo vergessen wurden oder am Straßenrand zufällig gefunden wurden, hat das Osloer Steueramt gleich die komplette Liste aller 3,9 Millionen Steuerzahler mit Personennummer, Namen, Einkommen und Steuersatz auf CDs ganz offiziell an Medien geschickt.

Das ist doch man etwas Neues: Jetzt werden sogar die Einkommensverhältnisse veröffentlicht. In Italien kann man ja angeblich die Steuerdaten von jedem Bürgen einsehen – um Steuerhinterziehung zu erschweren. Aber das war hier wohl nicht die Motivation…

Dennoch ist die ganze Aufregung jetzt um die veröffentlichte Steuernummer entbrannt, nicht um das Einkommen! denn mit der ansonsten geheimen Steuernummer kann man offenbar allerlei Infos bekommen.

Gut ein Jahr nach dem Verlust dürfen die Ermittlungsbeamten rausfinden was mit einem Datenträger passierte, der ungewöhnlich brisante Daten enthält: Adressen und Namen. Immerhin findet jetzt auch mal ein Ministerium, dass diese Daten schützenswert sind.

Wie die Times am heutigen Sonntag berichtet, könnten die auf der Festplatte gespeicherten Details zu Gefängniswärtern und Bewährungshelfern dazu führen, dass die betroffenen Personen ihren Arbeitsplatz und den Wohnort wechseln müssen – bezahlt werden müssten die Maßnahmen womöglich vom Steuerzahler.
Laut Times wird die Festplatte, die insgesamt 45.000 Datensätze zu Mitarbeitern der britischen Justizbehörden enthalten soll, allerdings bereits seit einem Jahr vermisst.

Warum das "IT-Dienstleistungsunternehmen EDS" diese Daten überhaupt hatte und ob der Datenträger verschlüsselt war, wird leider nicht thematistiert.

An dem aktuellen Fall von Datendiebstahl finde ich gleich mehrere Dinge enttäuschend. Zum einen wurde das Problem nicht von den Verantwortlichen publik gemacht, die Betroffenen werden nicht informiert und das Problem wird herunter gespielt. Warum sollten sich Hacker die Mühe machen, wenn sich die Mühe nicht lohnen würde. Natürlich führen die mit den Daten etwas böses im Schilde!

Gestohlen wurden persönliche Informationen wie Adressen, Arbeitgeber oder Kreditkartendaten von bis zu 8 Millionen Hotelgästen, die im letzten Jahr in einem der Hotels von Best Western übernachtet hatten.

Und wieder wüsste ich gerne, ob meine Daten davon betroffen sind.

Die frisch aufgedeckte Datenpanne bei PayPal machte es für Angreifer sehr komfortabel: Wenn man die Kontonummer und die Telefonnummer von jemandem kannte, dann konnte man sich dessen Buchungen am Telefon vorlesen lassen. Echt praktisch. Vor allem so geheim: Beide Infos sind bei nahezu allem Web-Shops leicht zugänglich.

Aber auch umgekehrt, kennen viele Webshops die Konto- und Telefondaten ihrer Kunden:

"Die vermeintlich verschlüsselten und sicher abgespeicherten Daten konnten von Unbefugten bis Dienstag noch ganz bequem per Telefon abgerufen werden", behauptet Markus Schwinn von Falle Internet. So habe sich beispielsweise der Kontostand eines fremden PayPal-Kontos abfragen lassen. Auch die Kontobewegungen seien problemlos abrufbar gewesen, dazu die Namen der beteiligten Transaktionspartner.

Die weiteren Details finden sich bei heute.de.

Eigentlich hatte ich mir ja vorgenommen über jede Datenpanne zu berichten, die mir in der Presse oder im Internet so begegnet. Einfach weil ich den Eindruck habe, dass vielen Menschen gar nicht bewusst ist, wie viele Pannen dieser Art vorkommen und dass es für die Betroffenen echte Probleme mit sich bringen kann. Aber die aktuelle Flut an Datenpannen überfordert sogar mich. Ich werde hier wohl ein paar Details auslassen. Immerhin hier Hinweise auf die aktuellen Entwicklungen:

• Krankenkasse gab Patientendaten weiter
• Auch Daten von Telekomkunden gerieten in Umlauf – und keiner weiß wer betroffen ist.

Wenn ich die neueste Entwicklung im Artikel "Vier Millionen deutsche Kontendaten für 850 Euro" bei Heise-Online so lese, dann wird mir ganz anders. Bislang kann man offenbar fast gefahrlos Datensätze verscherbeln. Die jetzt erworbenen 6 Millionen (zwei Drittel davon mit Kontendaten) waren wohl auch nur ein Angebot. Wer weiß auf wie viele man kommt, wenn man mehr bietet:

Demnach sei der Unterhändler im Internet "innerhalb von Stunden fündig geworden" und auf das Angebot eingegangen, "sechs Millionen Daten mit vier Millionen Kontendaten für 850 Euro zu erwerben". Mit dem "Schnäppchen" wollen die Verbraucherschützer den dringenden Handlungsbedarf zur Eindämmung des grauen Datenmarkts untermauern. Der Aufkauf zeige, wie einfach es sei, an illegale Daten heranzukommen, betonte Billen.

Aber so lange der Schutz nur zu Lasten der Bürger geht (Überwachung, Patente, DRM, …) wird sich daran wohl nichts ändern. Ich wüsste gerne, ob meine Daten auch auf der DVD sind. Aber wie kommt man denn wohl an diese Information?

Wer es noch nicht gelesen hat, findet bei Heise-Online die vollständigen Infos: 17.000 Datensätze mit persönlichen Informationen (inkl. Kontodaten, Geburtsdatum, usw.) wurden offenbar kommerziell vertrieben:

Die Daten wurden von einer Firma in Nordrhein-Westfalen an andere Unternehmen verkauft. Sie könnten laut Verbrauchzentrale im Zusammenhang mit einer Reihe von Betrugsfällen in den vergangenen Tagen stehen.

Verbraucher, die durch Anrufe mit Glücksspielangeboten belästigt wurden, mussten bisher nicht unbedingt fürchten, dass ihr Konto leergeräumt wird; das sei jetzt aber anders, meint die Verbraucherzentrale: Den Callcentern liegen Listen vor, in denen die Kontoverbindungen der Angerufenen stehen.

Wenn es nicht so traurig wäre… Endlich regt sich mal jemand über solche Schlampereien auf. Normalerweise gehen derartige Pannen irgendwie unter. Aber hier konnten endlich mal konkrete Betrugsfälle mit diesen Daten in Verbindung gebracht werden. Wo die her kommen, kann man nur spekulieren. Im Prinzip könnten die aus jedem unsicheren Online-Shop stammen. OK, nur aus denen mit wenigstens 17.000 Kunden… 😉

Jetzt wird deutlich warum es so wichtig ist, Betroffene darauf aufmerksam zu machen, wenn deren Daten ausspioniert wurden. Nur dann können sie sich gezielt gegen solchen Missbrauch schützen.

Wie derzeit überall zu lesen ist, haben diesmal die Datenforscher bei TNS Infratest/Emnid die persönlichen Daten von Testkäufern ins Internet gestellt. Bei Heise.de steht es so:

Neben Namen und Anschriften sind in den Datensätzen Geburtsdatum, E-Mailadressen und Telefonnummern vermerkt. Zahlreiche Datensätze sind zudem mit sensiblen Informationen gespickt: Monatseinkommen, Ausbildung, Kontoverbindungen, Krankenversicherungen, ob und welche Kreditkarten benutzt werden, welche elektronischen Geräte im Haushalt verwendet werden, Alter der Kinder und viele weitere private Daten.

Die Kollegen vom CCC untersuchten das und konnten mit einen recht simpel klingenden Trick über 41.000 Datensätze auslesen. Dazu musste man nur eine an die Adresse angehängte ID ändern (Quelle CCC), im Beispiel "XXXX":
https://
www.report-global.com/mimitacon/(kkpadc20lxlev5qcbvgvq3u4)/pages/business/masterdata.aspx?fromWhere=base&id=11XXXX
Ich bin mal gespannt, ob der Verursacher hier anständig reagiert und neben der Beseitigung der kritischen Lücke sich auch bei den Betroffenen entschuldigt. So richtig einsichtig zeigen sich die Verantwortlichen aber nicht. Sie spielen es herunter, weil nur Umfrageteilnehmer (bzw. Leute die ein Passwort eines Teilnehmers erraten oder ergaunern) die Daten der Anderen sehen konnten. Ich hoffe die Manager müssen nicht am eigenen Account erleben was es für eine "riesige" Hürde ist, Passwörter zu erraten. Wer es auch nicht glaubt, der kann ja mal eine Liste auf die beliebtesten Passwörter in Deutschland werfen… "123456" ist die Nummer Eins. Noch Fragen?

Update 5.7.2008: Auf deren Webseite steht dazu, dass sie die Webseite nach 5 Minuten vom Netz genommen haben. Wobei sie vermutlich meinen nachdem sie informiert wurden. Wie lange die Webseite derartig offen war, schreiben sie allerdings nicht… 😉

Die neueste Datenpanne ist sogar auf heute.de im Artikel "Online-Panne: Bürgerdaten frei einsehbar" nachzulesen:

Wegen einer Panne in einer Softwarefirma sind die Meldedaten von 15 deutschen Kommunen monatelang im Internet frei verfügbar gewesen. Mit Hilfe eines Zugangscodes war es möglich, Adressen, Passbilder und Religionszugehörigkeiten von etwa 500.000 Bürgern herauszufinden, wie das Unternehmen HSH aus Ahrensfelde bei Berlin am Montag mitteilte.

Nutzerkennung und Passwort waren demnach auf einer Webseite zwischen März und Juni verfügbar. "Da ist uns ein Lapsus passiert", sagte Firmensprecher Sven Kollmorgen.

Ich kenne Lapsus in dem Sinne, dass ein kleinerer Fehler passierte, der eigentlich nicht der Rede wert ist. Offenbar wird hier etwas anderes darunter verstanden: Ein schwerwiegender Fehler, der niemals hätte passieren dürfen und massive Folgen für die Betroffenen haben kann. Oder war das doch eher in der ersten Bedeutung gemeint? Nach dem Motto: "Wer nichts zu verbergen hat, dem macht es auch nichts, dass seine persönlichen Daten im Internet stehen."

Schade, dass nicht bekannt gegeben wird, welche Gemeinden betroffen sind. Wenn es nicht so schlimm war, dann könnte das ja zugegeben werden. Wenn es aber doch schlimm war, dann muss man doch wenigstens die Betroffenen informieren, oder?

Update 24.6.2008: Auf Golem.de wird inzwischen berichtet, dass es sogar möglich war ein Administrator-Konto anzulegen. Das ist schon verschärft. Hier die Einschätzung des Sicherheitsexperten Matthias Rosche (Fa. Integralis) aus deren Pressemitteilung:

Da diese Daten auch im Block abgefragt werden können, befürchtet der Fachmann,
dass bereits Millionen von Datensätzen der Bürger im Internet frei zugänglich sind.
„Man kann hier schon eher von grober Fahrlässigkeit als von einer Sicherheitslücke
sprechen.“ Nach Einschätzung des Experten sind diese Datensätze ideal dazu
geeignet, professionellen Identitätsdiebstahl zu unterstützen und Identitätsdokumente
zu fälschen. So lassen sich etwa Konten auf den Namen Dritter eröffnen
oder Wohnungen anmieten, „eine Einladung für Kriminelle jeglicher Couleur,“ so
Rosche.

Die Zitate der Politiker sind hingegen eher peinlich:

• Die Linken verteufeln Privatisierung und sehen in der Panne eine der Folgen. Wie, Bahnhof? Meiner Einschätzung nach passieren solche Pannen in privaten Firmen nicht so geballt. Immerhin haben 15 Gemeinden gepennt. 😀
• Die FDP sorgt sich um die öffentliche Meinung gegenüber solchen Systemen. Hey, warum sorgen sie sich nicht um die betroffenen Einwohner? Muss ich das verstehen? Dann hätten man das wohl besser vertuscht… Informierte Bürger – so weit sollte es wohl besser nicht kommen. 😉

Ich sehe gerade, dass auch Heise vor einer Stunde einen weiteren recht informativen Artikel dazu veröffentlicht hat: Potsdam ist eine der Gemeinden und ist zwar zerknirscht, versucht aber die Sache positiv zu sehen…

Wenn man in Artikel "Six hours to hack the FBI (and other pen-testing adventures)" liest, wie sich ein Sicherheitsexperte über das Internet mittels altbekannter Techniken bis ganz tief rein ins FBI-Netz hackte, dann kann ich das fast nicht glauben. Mein Rechner ist zwar auch nicht so richtig abgesichert, aber ich habe ja auch keinen hauptamtlichen Admin angestellt…

Goggans used a hole in the Web server to pull down usernames and passwords that were reused on a host of enterprise systems. In those systems, he found further account details that allowed him to get Windows domain administrator privileges – a classic escalation-of-privileges attack.

Das ging ja fast wie im Lehrbuch. Kaum zu glauben.

Es passiert ja selten, dass in den regulären Nachrichten mal von Software die Rede ist. Wenn dann aber so ein Urteil gefällt wird, dann dürfte das für den verantwortlichen Projektleiter der Mega-Gau sein (Hervorhebung von mir):

eBay soll sicherer werden, versprach das Unternehmen im April und führte ein neues Sicherheitssystem ein. Ein Programmierfehler bewirkt nun das Gegenteil: Internetbetrüger haben wegen schlampig produzierter Software bei eBay leichtes Spiel.

Quelle: heute.de. Programmierfehler lockt eBay-Betrüger

So ein Fehler ist leicht durch ein Review auszuschließen. Mir ist völlig schleierhaft, wie dort Software entworfen wird. Kann es sein, dass hier am Budget gespart wurde? Oder wurde die Verantwortung in die Hände eines einsamen Entwicklers gelegt, der in völliger Selbstüberschätzung keine zweite Meinung einholen wollte. OK, mir passieren auch Fehler. Aber wenn man sich die strategische Bedeutung der Software für das Unternehmen ansieht, dann wirft das ein ganz schlechtes Licht auf die Firma.

Wie ich gerade bei Heise-Online lese, fanden Sicherheitsexperten bei einer gezielten Suche einen Server auf dem Hacker 1,4 GBytes gestohlene, vertrauliche Daten von über 3000 verschiedenen Servern lagerten:

In den Log-Dateien finden sich Daten von normalen Websurfern ebenso wie von Firmen, namhaften Organisationen und Dienstleistern aus dem Gesundheitssektor. […]
Die Dateien enthalten Finjan zufolge kompromittierte Patientendaten, Daten von Bankkunden, geschäftliche E-Mails sowie Outlook-Konten mitsamt der E-Mail-Kommunikation. […]
Die Daten seien weder mit einem Zugriffschutz versehen noch verschlüsselt worden, berichtet Finjan weiter. Jeder, der zufällig auf den Server gestoßen ist, hätte sie einsehen können – nicht nur die Hacker, die das Botnetz kontrolliert und die Informationen gestohlen haben. Die Daten seien alle innerhalb eines Monats aufgelaufen.

Besonders die Bank- oder Patientendaten sind sicher auch schon für kleine Gauner interessant. Ob die betroffenen Personen darüber informiert werden?