Nachgehakt

Die Bundesregierung hat beschlossen, dass sie Verbraucher vor heimlicher Handy-Ortung schützen will. Es soll eine ausdrückliche und schriftliche Zustimmung erforderlich sein, außerdem soll der Betroffene bei der 5. Ortung per SMS informiert werden. Mehr bei Spiegel Online und heise.de.

Am 24.10. 2008 wurden in Ravensburg die Big Brother Awards 2008 verliehen. Preisträger dieses Jahr sind unter anderem der deutsche Bundestag, das Bundeswirtschaftsministerium und Yello Strom. Eine Besonderheit stellte die deutsche Telekom da - nicht wegen dem zu erwartenden Preis sondern weil der Konzern als einer der wenigen "Gewinner" den Preis abholte. Mehr gibt es auf der offiziellen Webseite und in diesen beiden Meldungen auf heise.de.

Die Telekom hat den Vorstandsposten für Datenschutz nach einigem Hin- und Her doch besetzt. Gewählt wurde Manfred Bald, der als Wunschkandidat von Telekom-Chef Rene Obermann galt, auf der ersten Sitzung überraschend aber nicht gewählt wurde.
Via CTRL-Blog.

Futurezone und heise.de berichten über eine Vorabmeldung des Spiegels. Anscheinend waren ab dem 1. September mehrere Wochen lang alle Daten von Anzeigenkunden des WBV Wochenblattverlags im Internet einsehbar. Name, Adresse, Telefonnummer und dass die Bankverbindung auch davon betroffen ist muss man mittlerweile ja fast schon als traurigen "Standard" bezeichnen.
Besonders heikel für die Betroffenen: auch von anonymen (Chiffre-) Anzeigen aus der Rubrik "Heiraten und Bekanntschaften" waren alle Daten per einfacher Google-Anzeige auffindbar. Offenbar handelt es sich in der Mehrzahl um Anzeigenkunden aus dem Berliner und Hamburger Raum.
Die Lücke soll Ende September behoben worden sein, bis vor kurzem waren die Daten aber noch über den Google Cache abrufbar, sollen aber mittlerweile auch dort gelöscht sein. Futurezone spricht von bis zu 18.000 Datensätzen, zitiert aber auch den WBV-Geschäftsführer Peter Prawdzik, der nur von einigen tausend Betroffenen spricht. Die Differenz entstehe durch mehrfach erfasste Dauerkunden. Die Hamburger Datenschutzaufsicht soll "kurz nach" dem Hinweis auf das Leck informiert worden sein. Das Schreiben, an die Datenaufsicht, aus dem der Spiegel zitiert, stammt offenbar vom 8. Oktober, somit ist "kurz nach" (mindestens) eine Woche.

Wer also demnächst von Kollegen unvermittelt gefragt wird, ob denn die Suche nach einer Frau oder einer "Bekanntschaft für erotische Gespräche" erfolgreich gewesen sei, darf sich nicht zu sehr wundern und die WBV verfluchen...

Auf heise.de findet sich ein längerer Artikel über den Schlagabtausch während der Debatte zur 1. Lesung des Entwurfs zur Änderung des Bundesdatenschutzgesetzes.

Die Telekom hat vorgestern beschlossen, einen Vorstandsposten für Datenschutz, Recht, Datensicherheit und Compliance einzurichten. Nur berufen konnte noch niemand werden, der von Rene Obermann favorisierte Kandidat fiel offensichtlich durch. Mehr dazu z.B. in Spiegel Online und heise.de.
Die Frage ist, ob sich nun etwas ändert...

Bei Mainzer Erotikunternehmer und Adresshändler, der eigenen Angaben zufolge schon seit 2006 in Besitz der 17 Millionen gestohlenen T-Mobile-Datensätzen sitzt, beschlagnahmte die Polizei Rechner, er selbst wurde von der Staatsanwaltschaft befragt. Mehr bei golem.de.

In einem Interview mit der taz (siehe Vorab-Post im CTRL-Blog bzw. das komplette Interview hier) hat sich Wolfgang Schäuble ziemlich angefressen über die T-Shirts mit seinem Konterfei und der Aufschrift "Stasi 2.0" geärgert. Den Teil kann ich nachvollziehen, ich würde auch nicht gerne mit der Stasi verglichen und man muss nicht immer mit der Vergleichskeule ausholen, auch wenn es schön plakativ ist. Außerdem unterstelle ich ihm bis zum Beweis des Gegenteils guten Willen und dass Wolfgang Schäuble das - seiner Meinung nach - Beste für Deutschland möchte. Unterschiedlicher Meinung kann man trotzdem sein.
Mich stört viel mehr diese beiden Sätze:

taz: Auch Juristen und Politiker fürchten, dass die Demokratie hierzulande Züge eines Überwachungsstaates bekommt.

Schäuble: Wer schürt denn diese Angst? Wer hat denn den Leuten eingeredet, dass eine sechsmonatige Speicherung ihrer Kommunikationsdaten eine Bedrohung der Freiheit sei? Das waren gewisse Medien, Organe wie das Ihre gehören leider bisweilen auch dazu.

Natürlich gibt es Leute, die auf die Folgen der Datenspeicherung hinweisen und auch häufig Zuspitzungen.

Aber dass diejenigen, die auf die möglichen Gefahren durch eine exzessive Datenspeicherung hinweisen, sollen unbegründet Angst schüren?
Das Thema Datenschutz ist gerade aktuell und viele Menschen, die vorher fröhlich ihre Paybackkarten gezückt haben, denken nun ein wenig darüber nach, wer alles ihre Daten haben könnte. Gerade die vielen Datenlücken bei der Telekom - immerhin wohl der Konzern, bei dem am meisten Deutsche in punkto Vorratsdatenspeicherung "betreut" werden - wirken alles andere als vertrauensbildend. Dieser Tatsache dürfte auch einige der 50.000 Demonstranten gegen Überwachung und Vorratsdatenspeicherung am vergangenen Samstag in Berlin ihren Ursprung haben.

Übrigens wiegt Wolfgang Schäuble meiner Meinung auch die Verbraucher in falscher Sicherheit:

taz: Klingt gelassen. Stört es sie als Telekom-Kunde nicht, dass Ihre Daten samt Kontoverbindung noch bis vor kurzem leicht übers Internet abrufbar und manipulierbar waren?

Schäuble: Man kam damit ja nicht an ein Konto selbst heran.

Stimmt, an das Konto selbst nicht. Um eine Lastschrift einzurichten reicht es aber. Illegal eingerichtete Lastschriften wären ja auch etwas ganz Neues, nicht wahr? Diese können zwar innerhalb von 6 Wochen zurückgefordert werden - dazu muss man den Fehler aber erst in dieser Frist bemerken. Auch eine Überweisung an ein "Durchgangskonto" wäre möglich, schließlich wird oftmals die Unterschrift nur stichprobenartig geprüft.

Futurezone hat am Montag gemeldet, dass wieder einmal ein Datenträger in Großbritannien verschwunden ist. Wieder einmal eine Festplatte, offensichtlich mit den Daten von 1,7 Millionen Armeeangehörigen und Bewerbern. Es sei "unwahrscheinlich", dass die Daten verschlüsselt seien - warum auch, die britische Armee war ja in den letzten Wochen auch schon wegen Datenverlusts in den Schlagzeilen (siehe z.B. hier)...

Laut einem Bericht von rp-online.de erwägt die Stadt Hilden nach einem Brand in einer Grundschule, die Schulen der Stadt in Zukunft per Videokamera zu überwachen, um Vandalismus und Schmierereien in Zukunft zu verhindern.
Schon an der Sinnhaftigkeit einer solchen Überwachung darf man zweifeln. Auch wenn der Brand im Innern des Gebäudes ausbrach, dürfte bei installierten Videokameras kaum jemand so beschränkt sein und durch den Eingang spazieren, wenn er das Gebäude in Brand stecken will. Befürworter werden nun sagen, der Abschreckungseffekt sei dann ja erfüllt. Wenn aber jemand unbedingt die Schule in Brand stecken will, dann sucht er sich eben dann eine nicht-überwachte Stelle.
Interessant ist, dass offensichtlich die Polizei auf den Datenschutz hinweist und die Sache problematisch sieht, da der Schulhof als öffentlicher Raum gelte. Das rheinland-pfälzische Innenministerium sieht mit Verweis auf das Hausrecht kein Problem.
Ich bezweifle allerdings, dass die Gesetzeslage in Rheinland-Pfalz so anders ist, als in Baden-Württemberg, wo vor kurzem die Videoüberwachung an Mannheimer Schulen vom Datenschutzbeauftragten des Landes scharf gerügt wurde.
Auch der rheinland-pfälzische Datenschutzbeauftragte dürfte dieser Meinung zu sein. In den FAQ zur Videoüberwachung wird auf den Fall der Überwachung an einer Schule eingegangen.

Erforderlich ist das Erheben von Daten dann, wenn ihre Kenntnis zur Erreichung des Zwecks objektiv geeignet und im Verhältnis zu dem angestrebten Zweck auch als angemessen erscheint.

Über die Angemessenheit kann man streiten. Ob der Zweck erfüllt werden dürfte, darf bezweifelt werden. Es scheint wohl mehr der Brand in der Grundschule Mittel zum Zweck zu sein, um die Unterstützung für die Videoüberwachung an den anderen Schulen zu erhalten...

Einem Bericht der Stuttgarter zufolge gab es eine kritische Datenlücke auf einer Webseite des Kinderkanals, platz-fuer-helden.de.
Offensichtlich war es nach dem Login möglich, die Daten aller angemeldeten User zu sehen - inklusive Adresse, Telefonnummer und Geburtsdatum. Der Beschreibung der StZ zufolge wohl durch einfache Änderung eines Links. Besonders kritisch ist natürlich, dass es sich bei den Angemeldeten zumeist um Kinder und Jugendliche handeln dürfte - dass die gesamten Daten einsehbar waren, war geradezu ein Freifahrschein für Pädophile.
Umso schlimmer, dass der Sender auf die Mail des Vaters, der die Lücke entdeckt hatte, tagelang nicht reagierte und erst aktiv wurde, als die Zeitung nachfragte. Gerade wenn es um Kinder geht, sollte man besonders sensibel sein und nicht mauern und aussitzen. Die Schutzfunktion, dass die Anmeldung erst durch Bestätigung durch die Eltern aktiv wurde, wurde dadurch auf jeden Fall völlig nutzlos.

Update: Der KiKa hat die Seite mittlerweile komplett deaktiviert, um sie nun auf Herz und Nieren zu prüfen. Laut einem neuen Bericht der StZ wurde der Fehler durch einen einzigen Klick verursacht.

"Es war ein einziges Häkchen falsch gesetzt, deshalb war der betroffene Bereich nicht geschützt", sagte die Sprecherin, "es war schlicht menschliches Versagen.

Die Mail, mit der der Sender gewarnt wurde, ist offensichtlich in einem Spam-Filter hängengeblieben, der Sender hat den Finder der Lücke mittlerweile offenbar kontaktiert.

Bei jedem neuen Datenschutzskandal der Telekom denkt man, dass jetzt irgendwann doch mal Schluss sein muss - aber es gibt jede Woche etwas Neues.
Heise.de und golem.de berichten über eine Vorabmeldung des Spiegels. Dem Magazin zufolge soll es bis zum 9. Oktober möglich gewesen sein, über das Internet nur mit einigen Benutzerangaben und einem Passwort auf alle T-Mobile-Kundendaten zuzugreifen und diese zu ändern. Ja, alle Kundendaten, inkl. Bankdaten. Selbst eine SIM-Sperre war möglich, genauso wie eine Tarifänderung oder das Anlegen/Ändern von Einzugsermächtigungen.
Die Meldung klingt so frappierend nach der schon Anfang Oktober bekannt gewordenen Lücke, dass ich zuerst dachte, hier würde kalter Kaffee wieder aufgewärmt. Aber Pustekuchen, es handelt sich um eine neue Lücke - die dafür diesmal "nur" die T-Mobile-Kunden - hierbei handelt es sich ja auch "nur" um 37 Millionen (laut Wikipedia).

Anscheinend haben sich Spiegel-Redakteure in die Datenbank einloggen können und Daten ändern können. Die Telekom sagt, sie hätte die Lücke innerhalb von 24 Stunden geschlossen und auf ein PIN/TAN-Verfahren umgestellt, bei der Kunde die TAN per SMS auf sein Handy zugesandt bekommt.
Aber mal ein Blick hinter die PR-Angaben: es gab bis 2007 genau so ein Leck bei den Telekom-Kundendaten. Auch hier waren die Kundendaten über das Internet einsehbar, durch Passwort und Benutzerkennung geschützt. Im August 2007 ist nach Angaben der Telekom diese Lücke dann geschlossen worden. Und dann? Bei der Telekom kommt niemand auf die Idee, dass ein ähnliches System bei T-Mobile genauso unsicher ist? Oder wurde das System geändert und es handelte sich bei der Lücke schon um eine "sicherere" Variante? Ich bin mir nicht sicher, was schlimmer ist...

Da wundert es auch nicht, dass T-Mobiles neue Sicherheitsoffensive mit Einrichtung eines Vorstandsposten für Datenschutz eher skeptisch aufgenommen wird. Die Telekom hat dabei auch angekündigt, ab nächster Woche bei neuen Datenpannen die Kunden umgehend zu informieren. Damit hat man sich für dieses Mal noch aus der Affäre gezogen, wohl um dem Spiegel die Exklusivmeldung zu überlassen.

Warten wir ab, was als nächstes passiert. Wetten werden entgegen genommen...

...so dürften einige heimlich in einer Bonner Firmenzentrale denken. Das Chaos im internationalen Finanzwesen drängt den Skandal über den Datenverlust bei T-Mobile in den Hintergrund.
17 Millionen Kundenstammdaten sind T-Mobile im Jahr 2006 gestohlen worden. T-Mobile hatte laut Wikipedia 2006 31,4 Millionen Kunden. Da es aber mittlerweile in Deutschland mehr Handyverträge als Einwohner gibt und auch bei T-Mobile mehr Verträge als reale Personen geben dürfte, reden wir wohl von einem überwiegenden Großteil der Kundendatenbank.
Wie auch schon bei den letzten Skandalen betreibt die Telekom wieder Rückzugsgefechte. Informiert wird nur über Dinge, die schon in der Presse standen (wie auch bei der mangelhaften Datensicherung der Kundendaten der Telekom). Man hätte erwarten können, dass die Telekom beiden Gesprächen im Innenministerium auf den Verlust hinweisen würden - offensichtlich war das Gegenteil der Fall, es wurde explizit verneint. Auf heise.de dazu vom Bundesdatenschützer Peter Schaar:

Gegenüber Stern.de monierte der Datenschützer ferner, dass Telekom-Mitarbeiter konkrete Nachfragen zu weiteren Datenabflüssen nach dem Skandal um die Bespitzelung von Aufsichtsräten und Journalisten mit "Nein" beantwortet hätten. "Dass man mich und die Betroffenen im Dunkeln gelassen hat, halte ich für ziemlich befremdlich und ärgerlich."

Die Telekom sagt, sie sei bisher davon ausgegangen, dass die Daten bei den Beschuldigten sichergestellt wurden. In Spiegel Online liest man:

"Wir gingen bisher davon aus, dass diese Daten im Rahmen der staatsanwaltschaftlichen Ermittlungen in vollem Umfang sichergestellt wurden", sagte T-Mobile-Deutschland-Chef Philipp Humm.

Weiter heißt es in dem Artikel:

Recherchen im Internet und in Datenbörsen hätten keine Anhaltspunkte geliefert, dass die Daten im Schwarzmarkt angeboten worden seien, versicherte ein Telekom-Sprecher.

Interessanterweise sagt aber ein Mainzer Erotikunternehmer in der taz, dass er bereits kurz nach dem Diebstahl Bescheid wusste - und die Daten auch bald in der Hand hielt:

Woher wussten Sie zu diesem Zeitpunkt, dass bei T-Mobile Daten illegal kopiert wurden?

Das hatte ich schon einige Wochen vorher erfahren, von einem Branchen-Insider

Wie kamen Sie an diese Daten?

Ein Mann aus Österreich hat sich bei mir gemeldet, er wolle seine Kundendatenbank versilbern. Er gab mir ein Kennwort, so dass ich mir die Daten, die auf einer Webseite gespeichert waren, anschauen und herunterladen konnte. Mir wurde aber schnell klar, dass das keine normale Kundendatenbank war.

Warum?

Weil es einfach zu viele Daten waren. Welches Unternehmen hat schon 17 Millionen Kunden? Außerdem hatten alle eine Telefonnummer von T-Mobile. Da dachte ich mir, das müssen die geklauten T-Mobile-Daten sein.

Halten wir fest: die Telekom war entweder unwillig oder unfähig bei der Suche nach den gestohlenen Datensätzen (schließlich brauchten Verbraucherschützer ganze 2 Tage und 850 Euro für Millionen Datensätze). Kaum vorstellbar, dass verdeckte Ermittler eines Großkonzerns keinen blassen Schimmer hatten, während Adresshändler wenige Wochen später Bescheid wussten. Vielleicht war es aber auch pure Berechnung. Solange keine schlafenden Hunde geweckt wurden, hatte man ja offensichtlich keine Veranlassung, an die Öffentlichkeit zu gehen.
Fast schon amüsant wirkte, wie im Zuge der Veröffentlichung durch den Spiegel hektisch bei Prominenten die Handynummern geändert wurden. Immerhin ging es nicht nur um Fernsehstars und B-Promis, sondern auch um Politiker, Minister und Ex-Bundespräsidenten bei denen es auch um die Sicherheit ihrer Person geht. Noch nicht mal bei diesem Personenkreis machte T-Mobile eine Ausnahme und informierte sie vorher. Natürlich hätte man damit riskiert, den Skandal an die Öffentlichkeit zu bringen. Auf der anderen Seite hätte man durch konsequentes und entschlossenes Handeln verlorenes Vertrauen zurückgewinnen können.

Die gestohlenen Daten - laut der Telekom zwar keine Zahlungsdaten und Bankverbindungen, sondern "nur" Name und Anschrift, Handynummern und Mailadressen sollen laut heise.de mittlerweile von Datenschützern bei dem Mainzer Erotikhändler sichergestellt. Die Meldung auf golem.de klingt aber ganz anders:

Edgar Wagner, der Landesdatenschützer von Rheinland-Pfalz, sagte Golem.de, es handle sich bei Berichten über eine "Sicherstellung von Daten" um eine Falschmeldung. "Wir haben nichts sichergestellt oder geprüft. Es gab heute ein Gespräch, das fortgeführt wird. Wir sind als rheinland-pfälzische Behörde für die Firma Huch zuständig", so Wagner. "Da muss man dann mal nachsehen." Der 27jährige Huch habe sich kooperativ gezeigt.

Und selbst wenn die Daten sichergestellt worden wären, wo sie aber noch schlummern, ist wohl kaum herauszufinden.
Politiker der Oppositionsparteien erneuerten ihre Kritik an der Vorratsdatenspeicherung. Mit der Vorratsdatenspeicherung würden die Daten natürlich noch viel attraktiver werden, schließlich lässt sich dann auch sagen, wer mit wem in den letzten Monaten telefoniert hat - und wer vielleicht für Erotikwerbung empfänglicher ist, weil er in den letzten Monaten 0900er-Nummern angewählt hat... Der Bundesdatenschutzbeauftragte Peter Schaar scheint fassungslos, er und seine Mitarbeiter rennen nun schon seit Monaten der Telekom hinterher und werden alle paar Wochen mit neuen, noch größeren Lücken konfrontiert.

Jetzt als T-Mobile-Kunde (bzw. ehemaliger T-Mobile-Kunde, schließlich ist die Rufnummernportierung mittlerweile auch Alltag) hektisch die eigene Nummer ändern zu lassen bringt wohl kaum etwas. Datenschützer gehen mittlerweile davon aus, dass sowieso alle Adressdaten im Umlauf sind. Solange nicht besonders viel Telefon-Spam eintrifft, kann man sich die Rufnummer-Änderung auch sparen - es sei denn, man war schon immer mit der eigenen Rufnummer unzufrieden oder man möchte einen neuen Anfang machen...
Wenn der eigene Vertrag ausläuft muss man dann überlegen, ob man weiterhin bei der Telekom bleiben will. Hier muss jeder selbst entscheiden. Sicherlich jagt gerade bei der Telekom ein Skandal den nächsten. Auf der anderen Seite kann es aber auch bedeuten, dass Mängel behoben werden, die bei Konkurrenten evtl. noch bestehen könnten - vielleicht aber auch nie bestanden haben...

Skype hat zugegeben, dass Nachrichten von und nach China überwacht wurden.

Siehe: golem.de, heise.de, Spiegel Online, Futurezone.

Einem Artikel in der Frankfurter Rundschau zufolge klagen einige Hartz-IV-Empfänger gegen den den Sender Sat1, die Bild-Zeitung und Bild-Online. Sie waren von Sozialfahndern des Landkreises Offenbach in ihrer Wohnung besucht worden, die die Rechtmäßigkeit der Arbeitslosengeld II-Zahlungen überprüften - in Begleitung eines Kamerateams von Sat1 für die Reality-Doku "Gnadenlos gerecht". Wer die Dokus nicht gesehen hat, hat nicht viel verpasst. Die Suche nach "Sozialschmarotzern" im Fernsehen hatte schon vor dem Start Proteste ausgelöst (siehe z.B. den Blog-Eintrag von Stefan Niggemeier).
Die Betroffenen werfen Sat1 vor, dass sich das Filmteam nicht zu erkennen gegeben habe, sondern lediglich davon gesprochen habe, dass die Arbeit des Kreises gefilmt worden sei. Außerdem seien Tatsachen falsch dargestellt worden, die sich auch leicht anderweitig hätten überprüfen lassen. Eine Strafanzeige gegen die Sozialfahnder behalten sich die Betroffenen noch vor.
Angeblich soll Sat1 schon eine Unterlassungserklärung abgegeben haben. Was ihnen auch nicht schwer gefallen sein dürfte, denn unabhängig davon ob die "Doku" weitergeführt wird, werden sie wohl kaum noch einmal in der gleichen Wohnung auftauchen.

Mehr dazu in einem Artikel sowie einem Kommentar der Frankfurter Rundschau.

Offensichtlich hat die Telekom bis in den August 2007 ihre Kundendaten zwar mit Login/Passwort geschützt, die Daten waren aber nicht etwa nur im Intranet sondern ohne weitere Sicherung aus dem Internet abrufbar. Laut dem Stern wurden die Zugangsdaten damals auch schon auf einschlägigen Seiten verkauft. Aufgefallen ist das Ganze erst, als man einem Datendiebstahl aus einem Callcenter in Bremerhaven auf die Schliche kam. Die Sicherheitslücke sei dann am 21. August 2007 geschlossen worden.
Eine Notwendigkeit, die Öffentlichkeit zu informieren sah man offenbar nicht, so dass die Sache erst jetzt publik wird. Es geht dabei ja laut Stern "nur" um 30 Millionen Festnetz und 38 Millionen Mobilfunkkunden.

Via datenschutz-ist-bürgerrecht.de/stern.de.

Update: Gegenüber golem.de sagte ein Telekom-Sprecher:

Dass Kundendaten der Deutschen Telekom vor allem mit Blick auf Kontonummern für Trickbetrügereien missbraucht worden sind, ist bisher nicht bekannt