Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
Lars Sobiraj 14. Januar 2014

Datenschutzrückblick 2013: Von Pfeifen und anderen Katastrophen

Das Jahr 2013 stand ohne Zweifel im Zeichen des Whistleblowers Edward Snowden. Snowden zeig­te der Welt, dass es Datenstaubsauger gibt, die im Zweifelsfall auch ille­ga­le Methoden anwen­den, um welt­weit an alle ver­füg­ba­ren Informationen zu gelan­gen. Limitiert wer­den NSA & Co. der­zeit nur von den unglaub­li­chen Datenmassen, die wahr­schein­lich noch nicht kom­plett in Echtzeit ana­ly­siert oder län­ger als für ein paar Tage gespei­chert wer­den kön­nen. Es geht bei die­sem Datenschutzrückblick aller­dings nicht nur um die Tätigkeit der Geheimdienste. Neben den behörd­li­chen Staubsaugern gab es auch letz­tes Jahr wie­der unvor­sich­ti­ge Unternehmen, die zu regel­rech­ten Datenschleudern mutiert sind. Wir fas­sen in unse­rem Rückblick die pein­lichs­ten Pannen des Jahres 2013 zusam­men. Wenn ein „Tiefschlag“ feh­len soll­te, bit­ten wir um Rücksicht und dar­um, das feh­len­de Event unbe­dingt in den Kommentaren zu ver­ewi­gen.

800px-NSOC-2012-w640

Wer unse­ren letz­ten Datenschutzrückblick gele­sen hat, der weiß, dass Datenschutz vie­les sein kann. Nicht den Vornamen der Ehefrau als Passwort zu ver­wen­den gehört genau­so dazu, wie die Reduzierung der eige­nen im Web gestreu­ten per­sön­li­chen Angaben. Nicht nur Privatpersonen, auch Unternehmen kön­nen sehr effek­tiv für mehr Schutz sor­gen. Das gilt glei­cher­ma­ßen für die Daten ihrer Kunden, als auch die ihrer Mitarbeiter. Es ist auf­fäl­lig, dass die meis­ten Journalisten trotz der immer neu­en Enthüllungen von Snowden bis heu­te kei­ne E-Mails ver­schlüs­seln. Truecrypt für ver­schlüs­sel­te Container oder gan­ze Festplatten ist ein­fach zu bedie­nen. OpenPGP für einen E-Mail-Client ein­zu­rich­ten ist hin­ge­gen zeit­auf­wen­dig. Wer mit dem Smartphone oder Tablet-PC unter­wegs ist, für den ist die Verschlüsselung sehr hin­der­lich bei der Kommunikation per E-Mail.

Wahrscheinlich liegt es auch dar­an, weil man Überwachung nicht rie­chen, hören, schme­cken oder füh­len kann. Wenn uns Behörden und Geheimdienste tag­täg­lich bespit­zeln, so pas­siert dies kom­plett im Verborgenen. Sie voll­zie­hen ihre Arbeit höchst effek­tiv aber abso­lut geräusch­los. Bis auf die ste­ti­gen Warnrufe eini­ger wein­ger IT Spezialisten bekommt man davon nichts mit. Leider wer­den schlech­te Nachrichten durch stän­di­ge Wiederholung nicht bes­ser. Haben wir uns viel­leicht schon ein wenig an die vie­len Desaster und die stän­di­ge Bespitzelung gewöhnt? Sind wir weni­ger dar­an inter­es­siert, weil wir uns nichts zuschul­den kom­men las­sen und glau­ben, man kön­ne uns ruhig im Web zuse­hen? Oder ist der Grund viel­mehr dar­in ver­bor­gen, weil es zur E-Mail-Verschlüsselung noch immer kei­ne mas­sen­taug­li­che Lösung gibt?

Verwaltung benutzt Toilette als Zwischenlager für Akten

Wie man an die­sem Fall sieht, beschränkt sich Datenschutz nicht nur auf Informationen in digi­ta­ler Form. Als Mitte Januar ein Abgeordneter des Göttinger Rathauses auf die Toilette ging, staun­te er nicht schlecht. Ein Verwaltungsmitarbeiter hat­te einen Karton mit 2.000 Blättern auf der Toilette depo­niert oder sogar ver­ges­sen. Nach offi­zi­el­len Angaben wur­den die sen­si­blen Informationen dort nur zwi­schen­ge­la­gert, bevor sie ver­nich­tet wer­den soll­ten. In der Datentoilette wur­den so „eini­ger­ma­ßen aktu­el­le“ ärzt­li­che Befunde, Betreuungsvereinbarungen, Kostenerstattungen psy­cho­so­zia­ler Behandlungen, Hartz IV-Bescheinigungen und vie­les mehr auf­be­wahrt. Als Reaktion tauch­te der zustän­di­ge Fachbereichsleiter im Fraktionsbüro des Finders auf, um die Herausgabe der Unterlagen zu ver­lan­gen. In der Stellungnahme hieß es, die Gesetzgebung wer­de von den Mitarbeitern voll­um­fäng­lich beach­tet. Das Ganze sei auch nicht so schlimm, weil es kei­ne öffent­li­che Toilette war. Da der Abgeordnete der Schweigepflicht unter­liegt, lie­ge folg­lich gar kein Datenverlust vor. Schade auch! Das klingt nicht gera­de so, als wenn die Göttinger Stadtverwaltung etwas aus die­sem Vorfall gelernt hät­te.

Aldi Süd: Detektiv sollte Mitarbeiter ausspionieren

Ebenfalls im Januar wur­de ein erneu­ter Skandal bei Aldi Süd bekannt. Nach Angaben des Nachrichtenmagazins Der Spiegel wur­den Detektive gezielt dar­auf ange­setzt mit ver­steck­ten Kameras eige­ne Mitarbeiter zu über­wa­chen und Auffälligkeiten zu mel­den. Auch in den Umkleidekabinen soll­ten zu die­sem Zweck Miniaturkameras instal­liert wer­den. So soll­te geklärt wer­den, ob es finan­zi­el­le Engpässe bei Beschäftigten gab, und ob es zu pri­va­ten Beziehungen zwi­schen den Mitarbeitern kam. Als sich der frei­be­ruf­lich täti­ge Detektiv wei­gern woll­te, wur­de ihm von einem Manager der Konzernzentrale ein Aus aller Aufträge ange­droht. Spionagevorwürfe der eige­nen Belegschaft wur­den bereits im Frühjahr 2008 laut. Die Konzernleitung von Aldi hat­te die­se stets zurück­ge­wie­sen.

Als Reaktion soll­te eigent­lich das Beschäftigtendatenschutzgesetz moder­ni­siert wer­den. Ende Januar nahm die Koalition den Entwurf kurz­fris­tig wie­der von der Tagesordnung. Diverse Gewerkschaften hat­ten im Vorfeld vor dem Entwurf gewarnt. Auch der ehe­ma­li­ge Bundesdatenschutzbeauftragte Peter Schaar kri­ti­sier­te öffent­lich die geplan­te Lockerung der Videoüberwachung und der Datenerhebung im betrieb­li­chen Bewerbungsverfahren. Das zeig­te in mehr­fa­cher Weise Wirkung. Gleich zu Anfang der Großen Koalition wur­de Schaar abge­setzt. Da sei­ne Nachfolgerin als weni­ger skep­tisch gilt, sind von der CDU-Politikerin deut­lich weni­ger kri­ti­sche Zwischentöne zu erwar­ten.

Google zahlt Strafe aus der Portokasse

In den USA wur­de im März 2013 das Verfahren gegen Google been­det. Dem Unternehmen wur­de vor­ge­wor­fen, bei den Aufnahmen für den Dienst Street View auch unzäh­li­ge Daten aus WLAN-Netzwerken mit­ge­schnit­ten zu haben. Neben den MAC-Adressen, SSIDs und URLs wur­den auch unzäh­li­ge Passwörter im Jahr 2010 gespei­chert und lang­fris­tig auf­be­wahrt. Gegen Zahlung von umge­rech­net 7 Millionen Euro war Google aus der Sache raus. Verglichen mit einem Jahresgewinn von 13,4 Milliarden Dollar im Jahr 2012, war die auf­er­leg­te Strafe ehe­dem kaum der Rede wert. In Deutschland wur­de ein ver­gleich­ba­res Verfahren gleich kom­plett ein­ge­stellt. Das Unternehmen konn­te hier­zu­lan­de nach­wei­sen, dass die gespei­cher­ten Daten zu kei­nen frem­den Zwecken benutzt und gelöscht wur­den.

FDP-Plattform Opfer von Hackerangriffen

Im April 2013 atta­ckier­ten Mitglieder von Anonymous mit Erfolg das libe­ra­le Portal „meine-freiheit.de“ und ver­öf­fent­lich­ten unter ande­rem die Zugangsdaten von pro­mi­nen­ten FDP-Politikern im Netz. Da vie­le Menschen ihre Passwörter mehr als ein­mal ver­wen­den, könn­te es durch die Bekanntgabe der Logindaten von 37.000 Betroffenen zu Folgeschäden gekom­men sein. Die ver­schlüs­sel­ten Passwörter sei­en leicht zu kna­cken, gab Anonymous Deutschland bekannt. Man gelang­te in das inter­ne Netzwerk durch schwa­che Passwörter von Administratoren und die Verknüpfung eini­ger Accounts mit meh­re­ren Social-Media-Diensten. Die libe­ra­le Plattform wirbt dafür, dass man sich dort auch über diver­se ver­knüpf­te sozia­le Netzwerke ein­log­gen kann. Für die Nutzer mag dies bequem sein. Für Angreifer macht es die Angelegenheit leich­ter, wenn sie über ein frem­des Portal Zugriff auf inter­ne Bereiche erlan­gen kön­nen. Man sieht wie­der: Jede Bequemlichkeit hat ihren Preis.

IMG_4923-1300x866-w640

Webhoster Hetzner: Kundendaten und Zahlungsinformationen erbeutet

Im Juni 2013 teil­te der Webhoster Hetzner mit, dass es Cyberkriminellen gelang, über die Verwaltungsoberfläche „Robot“ in die Server des Anbieters ein­zu­drin­gen. Sie konn­ten dabei auf alle hin­ter­leg­ten Kundendaten, Zahlungs- und Kreditkarteninformationen zugrei­fen. Die ein­ge­spiel­te Schadsoftware (Rootkit) führ­te dazu, dass eine Aufdeckung des vir­tu­el­len Einbruchs erschwert wur­de. Obwohl die Passwörter der Nutzer ver­schlüs­selt waren, wur­den alle Kunden zur Eingabe neu­er Passwörter auf­ge­for­dert. Auch die Kreditkarteninformationen sol­len nach Firmenangeben unvoll­stän­dig sein. Zweifel hat Hetzner aber noch, ob die Details der Lastschriftverfahren nicht mit eben­falls her­un­ter­ge­la­de­nen Kryptoschlüsseln ent­schlüs­selt wer­den konn­ten. Wie sich die Cyberkriminellen Zugriff ver­schafft haben, um ihr neu­ar­ti­ges Rootkit ein­zu­spie­len, das von kei­nem Detektoren erkannt wur­de, ist nicht bekannt.

Xbox One & Google Glass: Neue Sammelstellen für Daten lassen aufhorchen

Die neue Spielkonsolengeneration der Xbox wur­de von Microsoft erst­mals im Mai vor­ge­stellt. Pünktlich zum Weihnachtsgeschäft kam die Xbox One dann auch in Europa auf den Markt. Die neue Kamera ist neben der Steuerung dazu in der Lage, zahl­rei­che Informationen von ihren Nutzern ein­zu­sam­meln. Nicht nur, dass die neue Kinect den Nutzer erken­nen kann. Sie kann auch sehen, ob der Anwender trau­rig, fröh­lich oder neu­tral gestimmt ist. Das Gerät kann sogar den Puls mes­sen, weil die Blutzirkulation im Gesicht erfasst wird. Da das Entertainment-Gerät rund um die Uhr online ist, könn­te Microsoft zu Marktforschungszwecken aus­wer­ten, wie Werbespots bei den Zuschauern ankom­men. Auch könn­te getes­tet wer­den, wie man sie opti­mie­ren könn­te. Geht die Mehrheit der Anwender auch beim neu­en Fernsehspot auf die Toilette? Bei wel­chen Gags lachen die meis­ten Zuschauer? Wobei wer­den die posi­tivs­ten Reaktionen her­vor­ge­ru­fen?

glass
Glass, Bildquelle: Google

Google Glass ist noch lan­ge nicht markt­reif, befin­det sich aber seit vie­len Monaten in der Erprobung. Die Datenbrille über­trägt nicht nur Informationen zum Wohl des Trägers aus dem Internet. Sie kann auch ein­zel­ne Bilder oder Videos samt Ton ins Web über­tra­gen. Im Gegensatz zu einem Smartphone kön­nen die Aufnahmen völ­lig unbe­merkt erfol­gen. Da Google auch sonst vor kei­ner Nutzung von Daten zurück­schreckt, hagel­te es über­all auf der Welt Proteste. In der Datenschutzerklärung behält sich das Unternehmen schon jetzt vor, dass man die Daten aus unter­schied­li­chen Diensten zu einem Nutzerprofil zusam­men­füh­ren will. Soll hei­ßen: Wer das Gerät benutzt, ver­liert die Kontrolle über die Verwendung aller auf­ge­zeich­ne­ten Informationen. Davon sind auch die Personen betrof­fen, die zufäl­lig oder unge­wollt auf­ge­nom­men wur­den. Derzeit wird aber noch von erheb­li­chen Akkuproblemen berich­tet, weil sowohl die GPS-Ortung als auch die Internetverbindung sehr viel Strom ver­braucht. Möglicherweise kom­men die ers­ten seri­en­rei­fen Geräte erst im Jahr 2015 auf den Markt.

LinkedIn: Bücher und Gemälde aus geklauten Passwörtern

Wer sich hier­zu­lan­de mit ande­ren Geschäftsleuten ver­netz­ten will, nutzt dafür zumeist Xing. In ande­ren Nationen wird dafür das Portal linkedin.com bevor­zugt ein­ge­setzt. Im Mai tauch­ten in einem ein­schlä­gi­gen rus­si­schen Hackerforum über 6 Millionen Passwörter in ver­schlüs­sel­ter Form auf. Schon 24 Stunden spä­ter wur­de über Twitter gemel­det, man habe die Hälfte der Hashes ent­schlüs­selt, der Rest folg­te kur­ze Zeit spä­ter. Der deut­sche Künstler Aram Batholdi mach­te aus der Not eine Tugend. Er ver­öf­fent­lich­te alle auf­ge­tauch­ten Passwörter in acht dicken Bänden. „Forgot your pass­wort?“ Wer sein Passwort dop­pelt nutzt und suchen soll­te, kann sei­nes im Klartext bis zum 20. Januar 2014 auf der Unpainted Media Art Fair in München bewun­dern. Die Passwörter wer­den in München zudem als groß­flä­chi­ge Bilder an die Wand gehängt. Privat waren sie schon vor­her nicht mehr …

Snapchat: 4,6 Millionen Accountdaten abgesaugt

Im August 2013 ver­öf­fent­lich­te das aus­tra­li­sche Sicherheitsteam Gibson Security ers­te Details zu zahl­rei­chen Sicherheitslücken bei Snapchat. In den USA wird die­se Sexting-App ger­ne von jün­ge­ren iOS- und Android-Anwendern zum Austausch von Bildern und Videos ver­wen­det. Der Dienst ist dort so popu­lär, dass den Snapchat-Betreibern ein Übernahmeangebot von Facebook in Höhe von drei und von Google in Höhe von vier Milliarden US-Dollar gemacht wur­de. Sie lehn­ten bei­de Angebote ab und reagier­ten auch nicht auf diver­se Mitteilungen der aus­tra­li­schen Datenschützer.

Gibson Security gab im Sommer letz­ten Jahres bekannt, die Auswertung der Telefonnummern aller 4,6 Millionen Nutzer samt User-, Vor- und Nachnamen kön­ne inner­halb von 20 Stunden erfol­gen. Snapchat hät­te nur etwa zehn Zeilen Code der Apps ändern müs­sen, um das Auslesen der Informationen zu ver­hin­dern. Am Weihnachtsabend ver­öf­fent­lich­te Gibson Security dann die selbst nach­pro­gram­mier­te API, um den Anbieter zusätz­lich unter Druck zu set­zen.

snapchat-w640

Als weni­ge Tage spä­ter von Unbekannten unter snapchatdb.info die Daten nahe­zu aller User ver­öf­fent­licht wur­den, gab Snapchat allei­ne den aus­tra­li­schen Datenschützern die Schuld am Dilemma. Im ers­ten Anlauf ent­schul­dig­te sich das Unternehmen nicht ein­mal bei den eige­nen Usern wegen der Panne. Wahrscheinlich hät­te ein ein­zel­ner Programmierer die gan­zen Bugs im Alleingang bin­nen weni­ger Tage fixen kön­nen. Es bleibt wohl für immer ein Geheimnis, wie­so ein mil­li­ar­den­schwe­res Unternehmen vier­ein­halb Monate braucht, um end­lich eine siche­re Version der App zu ver­öf­fent­li­chen.

Facebook ändert mal wieder die Regeln

Im September führ­te Facebook mal wie­der zum eige­nen Vorteil neue Regelungen ein. In den Nutzungsbedingungen räumt sich Zuckerbergs Konzern das Recht ein, dass man den Namen, Profilbilder, Inhalte und Informationen aller Nutzer an Unternehmen ver­kau­fen darf. Das zah­len­de Unternehmen darf die Informationen in Werbeanzeigen nut­zen und ihre Werbung somit geziel­ter aus­lie­fern. Die Nutzer haben kei­nen Einfluss mehr dar­auf, wer ihre Bilder ver­wen­det und zu wel­chem Zweck.

EC-Karten-Netzbetreiber easycash sammelt Daten ohne Auftrag

Der Ratinger EC-Karten-Netzbetreiber easy­cash geriet im September in die Schlagzeilen. Die Einkäufe von 50 Millionen Bankkunden sol­len gespei­chert wor­den sein, um für Partnerfirmen die Kreditwürdigkeit der Konsumenten zu über­prü­fen. Das Unternehmen spei­cher­te offen­bar alle Transaktionen der eige­nen EC-Kartengeräte in Supermärkten und Einzelhandelsgeschäften.

Das Unternehmen hat sich dar­auf spe­zia­li­siert, die Kunden per Unterschrift bezah­len zu las­sen. Dieses Verfahren ist im Vergleich zur Angabe der Geheimnummer preis­wer­ter, dafür beinhal­tet es ein grö­ße­res Risiko. Die Kunden erhal­ten die Ware auch dann, wenn das Konto gna­den­los über­zo­gen oder gesperrt ist. Die Datensammlung ohne expli­zi­te Einwilligung der Betroffenen soll­te für alle betei­lig­ten Unternehmen das Risiko min­dern.

Thilo Weichert bezeich­ne­te das Vorgehen schlicht­weg als „Schweinerei“. easy­cash hin­ge­gen gab bekannt, man befol­ge pein­lich genau alle daten­schutz­re­le­van­ten Vorschriften des Bundesdatenschutzgesetzes. Wie dem auch sei. Vielleicht hät­te die Geschäftsleitung bei ihrer aus­ge­präg­ten Sammelleidenschaft bes­ser eine Umbenennung des Unternehmens in easy­crawl durch­füh­ren sol­len.

Geheimdienste knacken Online-Protokolle zur Verschlüsselung

Ebenfalls im September 2013 wur­de bekannt, dass Online-Protokolle wie HTTPS oder SSL nicht effek­tiv vor den Aktivitäten der Geheimdienste schüt­zen. Die Verschlüsselungsmethoden funk­tio­nie­ren zwar, die Geheimdienste haben sich aber im Vorfeld Hintertüren zu eige­nen Zwecken ein­rich­ten las­sen. Amerikanische und bri­ti­sche Geheimdienste sol­len nach­weis­lich die Verschlüsselung umge­hen oder teil­wei­se auch kna­cken.

Edward Snowden ver­öf­fent­licht noch immer zusam­men mit unter­schied­li­chen Medien alle vier Wochen neue Details zu den NSA-Aktivitäten. Im Laufe der Zeit wird klar, dass nahe­zu welt­weit kein Router, kei­ne Festplatte, PC oder Smartphone vor den Aktivitäten der Behörden sicher ist. Jeder Hersteller, der sei­ne Hardware oder Software zum Verkauf anbie­ten will, muss nach den Vorgaben der US-Gesetze koope­rie­ren. Man muss kein Verschwörungstheoretiker sein um zu erken­nen, dass die Geheimdienste dabei grund­sätz­lich kei­ne Ausnahmen machen. Vor ihren Aktivitäten ist nichts und nie­mand sicher.

datenschutz-kopp

Was tun?

Die ein­zi­ge Möglichkeit sich davor zu schüt­zen besteht dar­in, selbst so wenig Daten wie mög­lich zu erstel­len. Das ist aber in unse­rer zuneh­mend von Technik domi­nier­ten Welt leich­ter gesagt als getan. Jedes moder­ne Smartphone schleu­dert sei­ne Daten draht­los im Minutentakt über den „Äther“. Jede App und jeder Dienst will stän­dig wis­sen, wo wir uns gera­de auf­hal­ten. Wer das abschal­tet, kann sein Gerät nur noch sehr ein­ge­schränkt benut­zen. Doch selbst das wäre kei­ne Lösung. Auch ohne Handy oder Tablet-PC wer­den wir unter­wegs von Mautbrücken und Überwachungskameras auf­ge­nom­men.

Letztlich bleibt einem nur die Option, bei der Produktion der eige­nen Spuren so sorg­sam und bewusst wie mög­lich vor­zu­ge­hen. Das mag ein­fach klin­gen, das ist es aber nicht. Sollten wir bis zum nächs­ten Datenschutzrückblick einen geeig­ne­ten Weg fin­den, ohne wie die Verschwörungstheoretiker einen Aluhut auf­zu­set­zen, wer­den wir Sie es ger­ne wis­sen las­sen.

Lars Sobiraj

Ich habe mir über die Jahre stets eine gesunde Portion Neugier in Bezug auf alles Unbekannte erhalten können und hoffe, dass diese niemals nachlassen wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.