Glorf IT

Als ich bei Heise.de den Artikel "4 Millionen Kreditkarten-Datensätze bei US-Lebensmittelhändler geklaut" las, musste ich erst mal an die vielen platten Beschwichtigungen denken, die man so hört: Ich habe doch nichts zu verbergen, meine Daten kann jeder haben. Ob der Chef der Supermarktkette auch so gedacht hat?

Die US-Lebensmittelkette Hannaford Bros. hat sich zwischen dem 7. Dezember 2007 und dem 10. März dieses Jahres rund 4 Millionen Kreditkartennummern klauen lassen. […]
Die Schadsoftware soll die Kreditkartendaten abgegriffen haben, wenn Bezahldaten von den Point-of-Sale-Geräten in den Filialen des Unternehmens an die Server zur Autorisierung der Transaktion übertragen wurden. Die gestohlenen Kreditkartennnummern und die zugehörigen Ablaufdaten wurden anschließend an Server in Übersee transferiert.

Mich würde interessieren, wie das "übliche" Vorgehen in so einem Fall ist? Hat die Firma alle betroffenen Personen informiert, dass sie ihre Kreditkarte sperren sollen? Oder wendete sich der Supermarkt-IT-Chef gleich an die Banken und die haben die Kunden informiert? Oder werden die Betroffenen bei sowas gar nicht persönlich informiert? Irgendwann vor ein paar Monaten las ich den Rat eines Fachmannes, dass die Firmen die Kunden auf keinen Fall direkt ansprechen sollen, weil das im Falle von Schadenersatzforderungen quasi als Schuldeingeständnis gewertet werden könne. Das hat mich so frustriert, dass ich den Rest nicht mehr gelesen habe. Eigentlich schade, weil mehrere Experten zu Wort kamen und andere das möglicherweise anders sahen.

Ein PS zur Überschrift: mir ist klar, dass Diebstahl so gut wie immer mit böser Absicht geschieht, aber ich wollte deutlich zum Ausdruck bringen, dass den Dieben hier nicht der Zufall geholfen hat. Das war von langer Hand geplant und genau das Ziel der Diebe. Es gibt wirklich solche Leute…
Wenn man das zusammen mit der Nachricht "Online-Shop verhökert geklaute Kreditkartendaten" betrachtet – dort werden pro Kreditkartendatensatz (inkl. Kontrollnummer) – immerhin 10 Euro verlangt – dann bekommt das eine ganz neue Dimension.

Als ich gestern las, dass bei verschiedenen deutschen Behörden seit 2005 über 500 Computer "verschwunden" sind, da hatte ich erst mal genug. Ich kann das gar nicht glauben. In Großbritannien war jeder einzelne verschwundene Laptop dick in der Presse und bei uns sind über 500 Kisten samt deren Daten einfach verschwunden und kein Staatsdiener klärt die betroffenen Personen auf, deren Daten auf den Festpatten waren!

Jetzt könnte man einwenden, dass auf den PCs oder Laptops vielleicht gar keine sensiblen Daten waren. Aber halte ich zwar grundsätzlich für möglich, aber unwahrscheinlich. Eine Behörde verwaltet immer etwas und die Daten darüber werden auf dem Rechner benötigt. Nur zwei Sonderfälle würde ich gelten lassen: Es ist ein reiner Schulungs- oder Vortragsrechner. Oder es ist ein reiner Client, der immer nur online funktioniert, weil die Daten immer in der Zentrale auf dem Server stehen. Aber wenn andere Rechner verschwinden, dann muss man die Personen deren persönliche Daten darauf waren unbedingt informieren!

Die Antwort des Ministeriums finde ich ziemlich krass (Quelle: Heise.de):

Das Bundesinnenministerium wies Sicherheitsbedenken zurück. Sensible Daten auf den Festplatten seien durch eine entsprechende Software absolut sicher geschützt, sagte eine Sprecherin. Ein Dritter könne sich keinen Zugang verschaffen. Auch gehe es bei den verschwundenen Computern um keine beunruhigend große Zahl. Gemessen an der Zahl der Bundesbeschäftigten von etwa 480.000 liege der Computerschwund auch im Vergleich zu Privatfirmen "im absolut üblichen Verhältnis".

Es sind also sensible Daten auf den Rechnern. Über die Sicherheit von Verschlüsselungsmechanismen habe ich ja schon mehrfach berichtet, also dürfte es es für mittelmäßig begabte Hacker nur eine Frage der Zeit sein, bis sie an die Daten rankommen, wenn sie wollen. Und darauf zu verweisen, dass kleinere Firmen im gleichen Rahmen PCs verschlampern, ist für mich kein Maßstab…

Lesenswerte Artikel dazu bei Spiegel.de und bei Heise-online.

Die nächste Datenpanne ist in der Presse:

Datendiebe sind in das Computersystem der Supermarkt-Kette Hannaford Brothers eingebrochen. Dabei haben Sie die Nummern von zirka 4,2 Millionen Kredit- und Kunden-Karten gestohlen. Hannafords CEO Ron Hodge sagte, dass der Diebstahl nur auf die Nummern und Ablaufdatum beschränkt sei.

Das dürfte ein Argument sein, warum man beim Online-Einkauf in den Profilen niemals seine Kreditkarteninfos hinterlegen sollte. Bei einer ordentlichen Abwicklung sollten die Kreditkarteninfos niemals auf dem Rechner des Shops abgelegt werden. Die Abrechnung erfolgt rein über die Systeme der Kreditarten ausgebenden Institute. Warum zum Henker hatte die Supermarkt-Kette diese Daten überhaupt?

Wer Handy-Diebe per Internet finden möchte, der kann sich ja mal an Yudelka Polanco wenden. Sie hat es tatsächlich geschafft den Dieb Ihres mobilen Telefons über MySpace zu finden. Ich habe zwar überhaupt nicht verstanden, wie das geht, halte die Aussage aber für glaubwürdig.

Das muss doch dann eigentlich ein Sicherheitsloch sein, oder? Wie kann man andere Leute über die Handy-Daten finden?

Yudelka Polanco ist von zwei Jugendlichen überfallen worden, die ihr Mobiltelefon gestohlen haben. Einer der Jungen hat die SIM-Karte zur Herstellung einer Verbindung ins Internet verwendet und sein E-Mail-Postfach überprüft. Dabei hat er virtuelle "Fingerabdrücke" hinterlassen. Als die Bestohlene ein neues Handy mit ihren alten Zugangsdaten und Informationen gefüttert hat, konnte sie die E-Mail-Adresse ihres Handy-Diebes aufspüren. Das Mädchen hat im Internet recherchiert und ist durch die E-Mail-Adresse auf den MySpace-Account des Kriminellen gestoßen.

Hier steht alles: "Jugendliche spürt Handy-Dieb per Internet auf"

Wenn jemand auf etwas ausführlichere Infos stößt, dann würde ich mich über eine Info freuen. Mir ist insbesondere unklar, wie sie an die Mail-Adresse des Bösewichtes kam.

Jetzt war es ein Laptop mit vermutlich vertraulichem Inhalt und einer verschlüsselten CD, die beide angeblich aus dem britischem Innenministerium stammen. Das verschlüsselte Festplatten keine echte Hürde mehr sind, wissen wir ja jetzt auch schon alle…

Aber wie kann das denn jetzt wieder passieren? Warum werden die Laptop-Platten nicht einfach zerstört oder wenigstens "erased"?

Hier steht's: Laptop mit vertraulichen Daten bei eBay verkauft

Die aktuelle Datenpanne bei MySpace flog wohl nur deswegen auf, weil der Hacker das so wollte: Er hat alle "erbeuteten" Bilder öffentlich gemacht.

Darunter sollen auch viele Fotos von Minderjährigen sein. Bilder von Usern unter 16 Jahren werden automatisch als "privat" gekennzeichnet. So können andere Nutzer diese nur auf Einladung sehen. Der Hacker mit dem Spitznamen DMaul hat nach eigenen Angaben 44.000 MySpace-Profile durchsucht und die Fotos in eine 17 GByte große Datei gepackt, die er nun über Pirate Bay, eine bekannten Torrent-Webseite, zum Download anbietet.

Quelle: CHIP Online

Auswirkungen: keine Ahnung. Aber eigentlich lädt man auf solche Portale doch sowieso nur Infos, die jeder haben darf, oder?

Wie man bei Heise-Online lesen kann, hat das britische Militär schon in der Vergangenheit laptops mit persönlichen Daten darauf verschlampert:

Verteidigungsminister Des Browne musste am Montag gegenüber dem Unterhaus einräumen, dass seit 2005 bereits zwei weitere Laptops verschwunden waren, auf denen sich ebenfalls unverschlüsselte persönliche Daten von Militärangehörigen befanden. Der eine wurde aus einem Fahrzeug, der andere aus einem Büro entwendet. Angeblich gingen dadurch aber nur persönliche Daten von 500 Personen verloren.

Wie kann es denn sein, dass die Behörde die Festplatten nicht verschlüsselt? Wenn das drittklassige Ganoven können, dann sollte das doch in der IT-Abteilung der Militär auch möglich sein, oder?
Ich vermute allerdings, dass es um die Rechner der deutschen Behörden auch nicht besser bestellt ist. Oder tue ich hier jemandem Unrecht?

Nachdem in letzter Zeit so viele peinliche Datenlecks auftreten, will ich die ab jetzt mal sammeln. Die Öffentlichkeit ist sich einfach nicht klar darüber, dass jeder gespeicherte Datensatz auch in falsche Hände geraten kann. Beispielsweise die Protokolle der Provider, die ab 1.1.2008 jeden Internetverkehr aufzeichnen müssen, sind sehr spannend, die Provider selber interessieren sich möglicherweise nicht dafür. Aber für Gauner wäre das eine Goldgrube und personalisierte Phisching-Seiten zu erstellen. Ebenso könnten die digitalen Erkennungsmerkmale, z.B. der Fingerabdruck wunderbar missbraucht werden. Über die Wahlmaschinen brauchen wir wohl nicht erst reden.
Ich möchte erreichen, dass jedem klar wird, dass jeder gespeicherte persönliche Datensatz über einen selber bei Firmen/Behörden einer zu viel ist. Die Aussage, dass man ja nichts zu verbergen hat, geht an dem Problem völlig vorbei.

Also, was haben wir denn heute auf Heise-Online gefunden:

• Ein Laptop wird gestohlen. Darauf stehen die Daten von 600.000 Rekruten, inkl. deren Bankverbindungen.
  Missbrauchsmöglichkeiten: Man kann sich damit bei E-Bay oder sonstwo falsche Identitäten erschwindeln und prima Geld verdienen.
  Einschätzung: Die Umstände deuten darauf hin, dass es sich dabei nicht um Gelegenheitsverbrechen handelt. Vermutlich musste es akribisch vorbereitet werden, wie das Laptop aus der Kaserne geschmuggelt wurde.
• Bei einem Datenrettungsunternehmen verschand ein Magnetband mit 650.000 Kundendaten des Kreditkartenunternehmens GE Money.
  Missbrauchsmöglichkeiten: Falsche Identitäten, Bestellungen mit den Kredikarten daten der Kunden
  Einschätzung: Nur ein Fachmann kann von dem Band noch Daten lesen, aber nur ein Insider konte das Band zu Seite schaffen. Der Täterkreis ist also recht eingegrenzt. Wenn der Täter dachte, dass er die Daten nicht mehr lesen kann, dann hätte er sich den zu erwartenden Wirbel erspart. Man kann also davon ausgehen, dass sich der Coup für den Täter lohnt.

Im Dezember:

• Die britische Post schickte möglicherweise an einige Tausend Rentner falsche Konto-Auszüge, streitet das aber ab und nennt 120 falsche Zustellungen. (Woher wollen Sie das so genau wissen, wenne s ein Fehler war, der nicht von Ihnen bemerkt wurde?)
  Missbrauchsmöglichkeiten: Naja, ein Rentner wird ja kaum in der Lage sein unter einer anderen digitale Indentiät aufzutreten und so unerkannt Leistungen zu erschwindeln, oder? Aber vielleicht seine Enkel…
• Patientendaten von Erwachsenen und Kindern aus den neun Verwaltungszentren des britischen Nationalen Gesundheitssystems wurden entwendet. Heise-Online schreibt: "Datenträger mit Namen und Adressen von 160.000 Kindern verschwunden, der an ein Krankenhaus geliefert werden sollte. In einem anderen Fall sind archivierte Daten von Krebspatienten verloren gegangen, die vor 40 Jahren behandelt wurden. Andere Einzelheiten über die verschwundenen Daten gibt es bislang nicht. Da die Vorfälle auf lokaler Ebene behandelt würden, wisse das Gesundheitsministerium nicht, wie viele Personen davon betroffen sind."
  Was man mit dne Daten anfangen kann, kann ma nur abschätzen, wenn man weiss, was drin steht. Für Erpressung oder noch eher gezielte Abzocke sollte es aber reichen.

Im November:

• "Die britische Behörde HM Revenue and Customs […]hat zwei CDs mit vertraulichen und persönlichen Daten von über 25 Millionen britischen Bürgern verloren. Es handelt sich dabei um alle Briten aus 7,25 Millionen Familien, die Kindergeld für Kinder unter 16 Jahren erhielten, schreibt die Behörde. Die Daten umfassten Name, Adresse Geburtsdatum, nationale Versicherungsnummer und teilweise Informationen zur Bankverbindung von über 25 Millionen Briten, berichtet die BBC – Daten, mit denen Kriminellen der Identitätsdiebstahl leichtfallen sollte."
  Quelle: Heise-Online