Wie angekündigt, erscheint hier nun eine Zusammenfassung über die in der letzten Zeit aufgetretenen Datenlecks und Pannen. All diese Vorkommnisse deuten eindeutig auf eine Vernachlässigung unserer Rechte und Sicherheit im Netz hin. Außerdem haben wir auch mit einer gewissen Gleichgültig- und Kaltblütigkeit der jeweiligen Institutionen zu tun, die im Besitz unserer Daten sind.
Was allein in den letzten Wochen geschah:
SchülervZ
Eine der größeren medial diskutierten Pannen, ist wohl die von SchülerVZ Ende Oktober. Hier hat sich ein Hacker 2,8 Millionen Datensätze zu Eigen gemacht. Laut Markus Beckedahl von Netzpolitik.org hat der Täter die Daten mithilfe eines Scripts über eine ungesicherte Schnittstelle bei SchülerVZ auslesen können. Ein regelrechter Hack war also nicht einmal notwendig. So hatte dieser die Möglichkeit Namen, Alter, Geschlecht, die besuchte Schule und auch Portraitfotos der Betroffenen auszulesen. Nach der Festnahme des mutmaßlichen Täters hat dieser sich in der Untersuchungshaft in der Jugendstrafanstalt Plötzensee das Leben genommen. Das VZnet, der Betreiber des SchülerVZ Netzwerks, sieht sich immer noch in Erklärungsnot, wie das Magazin Der Spiegel am 07.11.2009 zu berichten weiß.
Postbank
Ein Fall von Datenmissbrauch ereignete sich auch bei der Postbank – allerdings eher durch das Interesse der Profitsteigerung. Die Stiftung Warentest wies in einem Artikel vom 27.10.2009 darauf hin, dass ca. 4.000 freie Mitarbeiter auf die Girokontodaten der Kunden zugreifen konnten. Diese Mitarbeiter hatten die Aufgabe Produkte der Postbank und der BHW-Bausparkasse zu verkaufen. Sobald ein höherer Geldbetrag auf einem Konto einging, haben die Berater die Gunst der Stunde genutzt. Sie riefen den Kunden an, um ihm Geldanlagen anzubieten. Mittlerweile hat die Postbank auf die Anschuldigungen der Stiftung Warentest reagiert und den Mitarbeitern den Zugang zu den Kundendaten gesperrt.
Deutsche Bank
Eine weitere solche Unglaublichkeit spielte sich bei der Konkurrenz ab. Nach einem Beitrag des WDR TV-Magazins Monitor vom 05.11.2009, gab die Deutsche Bank Kontodaten von Kunden an 1.500 selbständige Finanzberater weiter. Allerdings, so die Darstellung der Bank, haben die Neukunden dem Datenklau durch ihre Unterschriften beim Vertragsabschluss zugestimmt. Damit erhielten die Kundenberater tiefste Einblicke ins Privatleben der Kunden und darüber hinaus auch Informationen über Kreditkonditionen oder Kontostände, Umsätze, Online-Banking, Daten über das Einkommen und das Vermögen, Anlageziele sowie Wertpapiererfahrung – alles auf einen Blick. Thilo Weichert, Datenschutz-Beauftragter Schleswig-Holsteins, hält diese Einwilligungserklärung im Rahmen des Vertragsabschlusses für eindeutig rechtswidrig.
Wenn ich so etwas lese, denke ich doch wirklich nur, dass das nicht sein kann. Die Banken verdienen doch auch schon genug mit dem, was wir bei ihnen auf den Konten haben. Dass dann auch noch unsere privaten Daten ausgelesen werden und nach solventen Kunden für weitere Investitionen gegeifert wird, ist ungeheuerlich. Da gerät in der Tat das seriöse Image von Banken noch mehr ins Wanken.
Sparkasse
Nicht nur die Postbank und die Deutsche Bank haben mit Datenschutzskandalen zu kämpfen. Die Sparkasse hat ebenso eine hausgemachte Datenpanne zu verzeichnen. Laut eines Beitrags auf Netzpolitik.org vom 3. November 2009 hatte man über den Sparkassen Shop auf dem Finanzportal der Bank Zugriff auf sage und schreibe 350.000 Rechnungen der Shopkunden. Damit konnte man automatisch auf Name, Anschrift, gekauftes Produkt, Liefer- sowie Rechnungsadresse der Kunden zugreifen. Hinzu kamen die Einkaufszeit und die Zahlungsweise. Über die Art der Zahlung ließen sich letztlich auch die kompletten Bankdaten der Kunden ermitteln. Bei soviel Verantwortung, die auf den Schultern der Banken liegt, sollte man doch eigentlich davon ausgehen, dass sie kompetente Sicherheitsexperten beschäftigt. Bei den Sparkassen scheint dieses wohl nicht der Fall zu sein.
Agentur für Arbeit
Die größte Arbeitsvermittlung Deutschlands, die Agentur für Arbeit, hat sich in den letzten Wochen auch nicht unbedingt mit Ruhm bekleckert. Denn jede Person kann sich hier als Arbeitgeber anmelden. So können sich vermeintliche Unternehmen im Stellenportal der Bundesagentur Agentur für Arbeit anmelden, ganz ohne eine Betriebsnummer, einen Gewerbeschein oder eine andere Legitimation vorlegen zu müssen. Die Bundesagentur verschickt anschließend eine persönliche Identifikationsnummer, ohne die Identität zu prüfen. Mit diesem Zugang zum Stellenportal der Arbeitsagentur kann somit jeder auf sensible Daten von Bewerbern zugreifen, obwohl er keine Stelle anzubieten hat.
Diese weit offen klaffende Datenlücke der Jobbörse lädt „zum Missbrauch geradezu ein“, so der Bundesdatenschutzbeauftragte Peter Schaar gegenüber der Süddeutschen Zeitung vom 3. November 2009. Recht aktuell ist ein Fall, in dem eine angebliche Firma 2.500 unterschiedliche Stellenangebote bei der BA eingestellt hatte, um sich die Daten von Bewerbern zu erschleichen.
Bereits vor der Aktivierung des Portals gab es starke Bedenken von Datenschützern. Denn auf dieses 4-PM (Vier-Phasen-Modell) genannte Computersystem können bundesweit alle der beinahe 100.000 Mitarbeiter der Jobcenter und der Arbeitsagenturen zugreifen. Zum Beispiel könne sich ein Mitarbeiter des Jobcenters aus Flensburg die Daten eines Arbeitssuchenden in München anschauen und umgekehrt, so ein Bericht aus der Frankfurter Rundschau.
Weiter heißt es, dass „erhebliche Bedenken zum Sozialdatenschutz” bestehen, da Daten von Erwerbslosen gespeichert werden sollen, die sich auf Suchtkrankheiten und Verschuldung, oder schwierige familiäre Verhältnisse beziehen.
“Ich habe gedrängt, das System wegen massiver datenschutzrechtlicher Bedenken nicht in Betrieb zu nehmen”, so Schaar.
So beabsichtigt die Bundesagentur, trotz der Kritik an dem Computersystem das Verfahren zur Registrierung nicht zu verschärfen.
“Die BA muss im Rahmen ihres Online-Angebotes Nutzen und Risiken abwägen. Im Falle der JOBBÖRSE ist vor allem wichtig, die Einstiegshürde für Arbeitgeber möglichst niedrig zu halten, damit viele Stellenangebote eingestellt werden.”, heißt es in einer Stellungnahme der Arbeitsagentur.
Trotz all dieser bedenklichen Zustände wird sich also nicht viel ändern.
Libri.de
Bei Libri.de, einem der größten deutschen Portale für Bücher und verwandte Artikel, ist von Netzpolitik.org (29. Oktober 2009) ein weiteres Leck aufgedeckt worden. Ganze 500.000 Kundenrechnungen standen quasi frei zum Download für alle zur Verfügung. Netzpolitik hat zu Testzwecken eine Anzahl von 20.000 dieser Rechnungen innerhalb einer halben Stunde herunterladen können.
Markus Beckedahl ist durch einen Kunden von Libri.de auf diesen Fehler aufmerksam gemacht worden. Dieser erhielt bei einer Bestellung einen Link zu seiner Rechnung, der sehr eigenartig aussah. Am Ende stand eine sechstellige Nummer, die wohl seiner Rechnungsnummer entsprach. Durch die Änderung dieser Zahl hatte er nun die Möglichkeit, die Rechnungen anderer Kunden ohne weiteres als PDF herunterzuladen. Mittlerweile ist das Leck wieder geflickt.
AWD
Vielen ist bestimmt bereits bekannt, dass AWD tendenziell nicht so sicher ist, was seine Datensätze anbelangt, obwohl es sich um einen Versicherungskonzern handelt. Schließlich ist innerhalb der letzten vier Wochen gleich zweimal eine Schwachstelle durch den NDR (16.10.2009) aufgedeckt worden. Gleich 27.000 Datensätze sind dem Norddeutschen Rundfunk zugespielt worden. Diese enthalten insgesamt 60.000 Verträge mit der AWD. Abgedruckt sind in diesen Verträgen das Abschlussdatum, die Laufzeit und die vom Kunden zu zahlenden Beträge, so Netzpolitk. Der NDR bietet einen Hörbeitrag zu diesem Vorfall und eine Stellungnahme von Datenschützern an.
Alice
Der Telekommunikationskonzern Alice, der kürzlich von Telefónica aufgekauft wurde, kann sich auch nicht unbedingt damit rühmen, mit seinen Kundendaten sehr sensibel umzugehen. Die Anzahl der „verloren“ gegangenen Datensätze ist allerdings bei weitem nicht so groß wie bei AWD. Hier sind Anfang November 2009 hunderte E-Mails mit sensiblen Kundendaten bei einem Kunden, der sich die E-Mail-Adresse alice[@]alice.de registeriert hatte, im Postfach gelandet.
Die E-Mails, die an den Kunden gingen, enthielten neben Namen und Adressen, inklusive Stockwerk und Wohnung der Alice Kunden, auch deren Kundennummern sowie die Kontoverbindung. Wären diese Daten nicht in den Händen eines ehrlichen „Finders“ gelandet, hätte man mit den Daten einiges anstellen können….
Last but not least rahme ich die bestimmt nicht komplette Zusammenfassung der Datenlecks mit einer in der letzten Woche (11. November 2009) ans Tageslicht gekommenen Panne bei dem sozialen Netzwerk Facebook. Eine Schwedische Gruppe von Datenschutzaktivisten hat knapp 300 Facebook-Gruppen gekapert. Dies konnte geschehen, weil sie ohne Administrator waren. Die Gruppe Control Your Info nutzte letztlich aber nur eine Sicherheitslücke aus, die dies ermöglichte.
Mit dieser Aktion hatten die Hacktivisten nichts böses im Sinn. Sie wollen auf die Löchrigkeit von sozialen Netzwerken aufmerksam machen und Nutzer warnen, nicht zu blauäugig mit ihren privaten Daten umzugehen.
Betrachtet man all diese Events in ihrer Gesamtheit kommt man zum Schluss, dass die Anwender immer am kürzeren Hebel sitzen. Doch wieso ist das so? Egal wie groß ein Unternehmen ist, darf es weder bewusst noch fahrlässig jegliche Daten seiner Kunden weitergeben oder in welcher Form auch immer anderen zur Verfügung stellen. Wie der Beitrag über AWD auf den Seiten des NDR so passend darstellt, handelt es sich bei digitalen Daten auf Servern nicht um schwer zugängliche Ordner im Büroregal oder im Archivkeller, deren Daten man entweder kopieren oder abfotografieren muss. Mittlerweile muss man nur über eine Internetverbindung oder einen USB-Stick verfügen und megabyteweise Daten kopieren. So etwas geht dann in einem Bruchteil der Zeit, die früher fürs kopieren draufgegangen ist.
Da es medial auf einer großen Bandbreite diskutiert wird und sich viele Datenschützer mit dieser Thematik verständlicher Weise beschäftigen und ihre Ansichten in den öffentlichen Diskurs einbringen, war es auch nur eine Frag der Zeit, bis sich auch der Bundesverband der Verbraucherzentralen zu Wort meldet. Sie haben einen Forderungskatalog für Soziale Netzwerke aufgestellt. Damit soll eine gewisse Sicherheit der Nutzer gewährleistet werden.
Bereits Anfang September 2009 ist das Datenschutzgesetz novelliert worden. Doch die Forderungen der Datenschutzbehörden ist auf starken Widerstand gestoßen, sodass lediglich ein Gerüst von den Forderungen der Bürger übrig blieb.
Bleibt zu hoffen, dass die letzten Vorfälle eine Trendwende des Missbrauchs anstoßen. Auch wenn dem so ist, sollen alle, die sich im Netz bewegen mit ihren Daten vorsichtig umgehen. Ein gesundes Misstrauen hat noch nie geschadet. Also: Control Your Info!!
Ich denke, dass die Sensibilität für den Datenschutz bei einigen noch nicht ganz da ist. Früher, als es das Internet noch nicht gab, waren Datenströme noch leicht beherrschbar. In der heutigen Zeit muss man auf seine Daten aufpassen wie das Ü-Ei darauf aufpasst, dass niemand die Happy Hippos schon vorher sieht^^
Interessant wäre hier auch, inwiefern diese Reputations-Service-Anbieter eine Lösung darstellen um sein “Online-Image” aufzupolieren. Bisher konnte ich Daten leicht selbst löschen lassen, aber was mache ich wenn ein Forumbetreiber oder Gästebuchinhaber nichts tut? Da würde ich mal gerne wissen, ob die oben erwähnten Anbieter bessere Möglichkeiten haben als der private Nutzer.
Informativer Artikel! Vielen Dank! Ich verstehe im Prinzip fast nichts, jetzt ist mir aber vieles klar!
@Blickwerfer:Das ist auf jeden Fall eine interessante Frage. Das Problem bei all diesen großen Läden ist denke ich, dass in den Führungsetagen noch Leute sitzen, die überhaupt keine Ahnung vom “Internet” haben. Ähnlich verhält s sich ja auch auf der politischen Ebene. Man debnke nur an “Internet ausdrucken”.
@Kora: Das hoffe ich doch, dass der Artikel ein wenig Übersicht verschaffen konnte.