Nachgehakt

Futurezone meldet, dass nach der Schließung eines Callcenters in Aachen, das unter anderem auch für die Telekom zuständig war, Papiere mit Kundendaten in einem Altpapiercontainer gefunden wurden.
Die Unterlagen sollen 2 Jahre alt sein und größtenteils Kunden der deutschen Telekom betreffen. Neben Tarifdaten und Namen fanden sich auch Gesprächsprotokolle mit Notizen zu den Reaktionen der Kunden auf Angebote.

Aufgrund des Datenlecks bei T-Mobile, bei dem sämtliche Kundendaten von T-Mobile über das Internet abrufbar waren, ist der T-Mobile-Chef Philipp Humm von seinem Amt als Sprecher der Geschäftsführung des Telekom-Konzerns zurückgetreten.

Mehr u.a. bei futureZone, heise.de und Spiegel Online.

Mittlerweile ist es fast schon bedauerlicher Alltag: in Großbritannien ist zum wiederholten Mal ein Datenträger verloren gegangen. Auf einem öffentlichen Parkplatz fand sich ein USB-Stick mit Zugangsdaten und Quellcode einer Regierungsseite, auf der z.B. Steuererklärungen und Kindergeldanträge eingestellt werden können. Die Seite wurde vorerst geschlossen.
Mehr bei Spiegel Online und heise.de.

Die Telekom hat den Vorstandsposten für Datenschutz nach einigem Hin- und Her doch besetzt. Gewählt wurde Manfred Bald, der als Wunschkandidat von Telekom-Chef Rene Obermann galt, auf der ersten Sitzung überraschend aber nicht gewählt wurde.
Via CTRL-Blog.

Futurezone und heise.de berichten über eine Vorabmeldung des Spiegels. Anscheinend waren ab dem 1. September mehrere Wochen lang alle Daten von Anzeigenkunden des WBV Wochenblattverlags im Internet einsehbar. Name, Adresse, Telefonnummer und dass die Bankverbindung auch davon betroffen ist muss man mittlerweile ja fast schon als traurigen "Standard" bezeichnen.
Besonders heikel für die Betroffenen: auch von anonymen (Chiffre-) Anzeigen aus der Rubrik "Heiraten und Bekanntschaften" waren alle Daten per einfacher Google-Anzeige auffindbar. Offenbar handelt es sich in der Mehrzahl um Anzeigenkunden aus dem Berliner und Hamburger Raum.
Die Lücke soll Ende September behoben worden sein, bis vor kurzem waren die Daten aber noch über den Google Cache abrufbar, sollen aber mittlerweile auch dort gelöscht sein. Futurezone spricht von bis zu 18.000 Datensätzen, zitiert aber auch den WBV-Geschäftsführer Peter Prawdzik, der nur von einigen tausend Betroffenen spricht. Die Differenz entstehe durch mehrfach erfasste Dauerkunden. Die Hamburger Datenschutzaufsicht soll "kurz nach" dem Hinweis auf das Leck informiert worden sein. Das Schreiben, an die Datenaufsicht, aus dem der Spiegel zitiert, stammt offenbar vom 8. Oktober, somit ist "kurz nach" (mindestens) eine Woche.

Wer also demnächst von Kollegen unvermittelt gefragt wird, ob denn die Suche nach einer Frau oder einer "Bekanntschaft für erotische Gespräche" erfolgreich gewesen sei, darf sich nicht zu sehr wundern und die WBV verfluchen...

Auf heise.de findet sich ein längerer Artikel über den Schlagabtausch während der Debatte zur 1. Lesung des Entwurfs zur Änderung des Bundesdatenschutzgesetzes.

Die Telekom hat vorgestern beschlossen, einen Vorstandsposten für Datenschutz, Recht, Datensicherheit und Compliance einzurichten. Nur berufen konnte noch niemand werden, der von Rene Obermann favorisierte Kandidat fiel offensichtlich durch. Mehr dazu z.B. in Spiegel Online und heise.de.
Die Frage ist, ob sich nun etwas ändert...

Bei Mainzer Erotikunternehmer und Adresshändler, der eigenen Angaben zufolge schon seit 2006 in Besitz der 17 Millionen gestohlenen T-Mobile-Datensätzen sitzt, beschlagnahmte die Polizei Rechner, er selbst wurde von der Staatsanwaltschaft befragt. Mehr bei golem.de.

Futurezone hat am Montag gemeldet, dass wieder einmal ein Datenträger in Großbritannien verschwunden ist. Wieder einmal eine Festplatte, offensichtlich mit den Daten von 1,7 Millionen Armeeangehörigen und Bewerbern. Es sei "unwahrscheinlich", dass die Daten verschlüsselt seien - warum auch, die britische Armee war ja in den letzten Wochen auch schon wegen Datenverlusts in den Schlagzeilen (siehe z.B. hier)...

Bei jedem neuen Datenschutzskandal der Telekom denkt man, dass jetzt irgendwann doch mal Schluss sein muss - aber es gibt jede Woche etwas Neues.
Heise.de und golem.de berichten über eine Vorabmeldung des Spiegels. Dem Magazin zufolge soll es bis zum 9. Oktober möglich gewesen sein, über das Internet nur mit einigen Benutzerangaben und einem Passwort auf alle T-Mobile-Kundendaten zuzugreifen und diese zu ändern. Ja, alle Kundendaten, inkl. Bankdaten. Selbst eine SIM-Sperre war möglich, genauso wie eine Tarifänderung oder das Anlegen/Ändern von Einzugsermächtigungen.
Die Meldung klingt so frappierend nach der schon Anfang Oktober bekannt gewordenen Lücke, dass ich zuerst dachte, hier würde kalter Kaffee wieder aufgewärmt. Aber Pustekuchen, es handelt sich um eine neue Lücke - die dafür diesmal "nur" die T-Mobile-Kunden - hierbei handelt es sich ja auch "nur" um 37 Millionen (laut Wikipedia).

Anscheinend haben sich Spiegel-Redakteure in die Datenbank einloggen können und Daten ändern können. Die Telekom sagt, sie hätte die Lücke innerhalb von 24 Stunden geschlossen und auf ein PIN/TAN-Verfahren umgestellt, bei der Kunde die TAN per SMS auf sein Handy zugesandt bekommt.
Aber mal ein Blick hinter die PR-Angaben: es gab bis 2007 genau so ein Leck bei den Telekom-Kundendaten. Auch hier waren die Kundendaten über das Internet einsehbar, durch Passwort und Benutzerkennung geschützt. Im August 2007 ist nach Angaben der Telekom diese Lücke dann geschlossen worden. Und dann? Bei der Telekom kommt niemand auf die Idee, dass ein ähnliches System bei T-Mobile genauso unsicher ist? Oder wurde das System geändert und es handelte sich bei der Lücke schon um eine "sicherere" Variante? Ich bin mir nicht sicher, was schlimmer ist...

Da wundert es auch nicht, dass T-Mobiles neue Sicherheitsoffensive mit Einrichtung eines Vorstandsposten für Datenschutz eher skeptisch aufgenommen wird. Die Telekom hat dabei auch angekündigt, ab nächster Woche bei neuen Datenpannen die Kunden umgehend zu informieren. Damit hat man sich für dieses Mal noch aus der Affäre gezogen, wohl um dem Spiegel die Exklusivmeldung zu überlassen.

Warten wir ab, was als nächstes passiert. Wetten werden entgegen genommen...

...so dürften einige heimlich in einer Bonner Firmenzentrale denken. Das Chaos im internationalen Finanzwesen drängt den Skandal über den Datenverlust bei T-Mobile in den Hintergrund.
17 Millionen Kundenstammdaten sind T-Mobile im Jahr 2006 gestohlen worden. T-Mobile hatte laut Wikipedia 2006 31,4 Millionen Kunden. Da es aber mittlerweile in Deutschland mehr Handyverträge als Einwohner gibt und auch bei T-Mobile mehr Verträge als reale Personen geben dürfte, reden wir wohl von einem überwiegenden Großteil der Kundendatenbank.
Wie auch schon bei den letzten Skandalen betreibt die Telekom wieder Rückzugsgefechte. Informiert wird nur über Dinge, die schon in der Presse standen (wie auch bei der mangelhaften Datensicherung der Kundendaten der Telekom). Man hätte erwarten können, dass die Telekom beiden Gesprächen im Innenministerium auf den Verlust hinweisen würden - offensichtlich war das Gegenteil der Fall, es wurde explizit verneint. Auf heise.de dazu vom Bundesdatenschützer Peter Schaar:

Gegenüber Stern.de monierte der Datenschützer ferner, dass Telekom-Mitarbeiter konkrete Nachfragen zu weiteren Datenabflüssen nach dem Skandal um die Bespitzelung von Aufsichtsräten und Journalisten mit "Nein" beantwortet hätten. "Dass man mich und die Betroffenen im Dunkeln gelassen hat, halte ich für ziemlich befremdlich und ärgerlich."

Die Telekom sagt, sie sei bisher davon ausgegangen, dass die Daten bei den Beschuldigten sichergestellt wurden. In Spiegel Online liest man:

"Wir gingen bisher davon aus, dass diese Daten im Rahmen der staatsanwaltschaftlichen Ermittlungen in vollem Umfang sichergestellt wurden", sagte T-Mobile-Deutschland-Chef Philipp Humm.

Weiter heißt es in dem Artikel:

Recherchen im Internet und in Datenbörsen hätten keine Anhaltspunkte geliefert, dass die Daten im Schwarzmarkt angeboten worden seien, versicherte ein Telekom-Sprecher.

Interessanterweise sagt aber ein Mainzer Erotikunternehmer in der taz, dass er bereits kurz nach dem Diebstahl Bescheid wusste - und die Daten auch bald in der Hand hielt:

Woher wussten Sie zu diesem Zeitpunkt, dass bei T-Mobile Daten illegal kopiert wurden?

Das hatte ich schon einige Wochen vorher erfahren, von einem Branchen-Insider

Wie kamen Sie an diese Daten?

Ein Mann aus Österreich hat sich bei mir gemeldet, er wolle seine Kundendatenbank versilbern. Er gab mir ein Kennwort, so dass ich mir die Daten, die auf einer Webseite gespeichert waren, anschauen und herunterladen konnte. Mir wurde aber schnell klar, dass das keine normale Kundendatenbank war.

Warum?

Weil es einfach zu viele Daten waren. Welches Unternehmen hat schon 17 Millionen Kunden? Außerdem hatten alle eine Telefonnummer von T-Mobile. Da dachte ich mir, das müssen die geklauten T-Mobile-Daten sein.

Halten wir fest: die Telekom war entweder unwillig oder unfähig bei der Suche nach den gestohlenen Datensätzen (schließlich brauchten Verbraucherschützer ganze 2 Tage und 850 Euro für Millionen Datensätze). Kaum vorstellbar, dass verdeckte Ermittler eines Großkonzerns keinen blassen Schimmer hatten, während Adresshändler wenige Wochen später Bescheid wussten. Vielleicht war es aber auch pure Berechnung. Solange keine schlafenden Hunde geweckt wurden, hatte man ja offensichtlich keine Veranlassung, an die Öffentlichkeit zu gehen.
Fast schon amüsant wirkte, wie im Zuge der Veröffentlichung durch den Spiegel hektisch bei Prominenten die Handynummern geändert wurden. Immerhin ging es nicht nur um Fernsehstars und B-Promis, sondern auch um Politiker, Minister und Ex-Bundespräsidenten bei denen es auch um die Sicherheit ihrer Person geht. Noch nicht mal bei diesem Personenkreis machte T-Mobile eine Ausnahme und informierte sie vorher. Natürlich hätte man damit riskiert, den Skandal an die Öffentlichkeit zu bringen. Auf der anderen Seite hätte man durch konsequentes und entschlossenes Handeln verlorenes Vertrauen zurückgewinnen können.

Die gestohlenen Daten - laut der Telekom zwar keine Zahlungsdaten und Bankverbindungen, sondern "nur" Name und Anschrift, Handynummern und Mailadressen sollen laut heise.de mittlerweile von Datenschützern bei dem Mainzer Erotikhändler sichergestellt. Die Meldung auf golem.de klingt aber ganz anders:

Edgar Wagner, der Landesdatenschützer von Rheinland-Pfalz, sagte Golem.de, es handle sich bei Berichten über eine "Sicherstellung von Daten" um eine Falschmeldung. "Wir haben nichts sichergestellt oder geprüft. Es gab heute ein Gespräch, das fortgeführt wird. Wir sind als rheinland-pfälzische Behörde für die Firma Huch zuständig", so Wagner. "Da muss man dann mal nachsehen." Der 27jährige Huch habe sich kooperativ gezeigt.

Und selbst wenn die Daten sichergestellt worden wären, wo sie aber noch schlummern, ist wohl kaum herauszufinden.
Politiker der Oppositionsparteien erneuerten ihre Kritik an der Vorratsdatenspeicherung. Mit der Vorratsdatenspeicherung würden die Daten natürlich noch viel attraktiver werden, schließlich lässt sich dann auch sagen, wer mit wem in den letzten Monaten telefoniert hat - und wer vielleicht für Erotikwerbung empfänglicher ist, weil er in den letzten Monaten 0900er-Nummern angewählt hat... Der Bundesdatenschutzbeauftragte Peter Schaar scheint fassungslos, er und seine Mitarbeiter rennen nun schon seit Monaten der Telekom hinterher und werden alle paar Wochen mit neuen, noch größeren Lücken konfrontiert.

Jetzt als T-Mobile-Kunde (bzw. ehemaliger T-Mobile-Kunde, schließlich ist die Rufnummernportierung mittlerweile auch Alltag) hektisch die eigene Nummer ändern zu lassen bringt wohl kaum etwas. Datenschützer gehen mittlerweile davon aus, dass sowieso alle Adressdaten im Umlauf sind. Solange nicht besonders viel Telefon-Spam eintrifft, kann man sich die Rufnummer-Änderung auch sparen - es sei denn, man war schon immer mit der eigenen Rufnummer unzufrieden oder man möchte einen neuen Anfang machen...
Wenn der eigene Vertrag ausläuft muss man dann überlegen, ob man weiterhin bei der Telekom bleiben will. Hier muss jeder selbst entscheiden. Sicherlich jagt gerade bei der Telekom ein Skandal den nächsten. Auf der anderen Seite kann es aber auch bedeuten, dass Mängel behoben werden, die bei Konkurrenten evtl. noch bestehen könnten - vielleicht aber auch nie bestanden haben...

Offensichtlich hat die Telekom bis in den August 2007 ihre Kundendaten zwar mit Login/Passwort geschützt, die Daten waren aber nicht etwa nur im Intranet sondern ohne weitere Sicherung aus dem Internet abrufbar. Laut dem Stern wurden die Zugangsdaten damals auch schon auf einschlägigen Seiten verkauft. Aufgefallen ist das Ganze erst, als man einem Datendiebstahl aus einem Callcenter in Bremerhaven auf die Schliche kam. Die Sicherheitslücke sei dann am 21. August 2007 geschlossen worden.
Eine Notwendigkeit, die Öffentlichkeit zu informieren sah man offenbar nicht, so dass die Sache erst jetzt publik wird. Es geht dabei ja laut Stern "nur" um 30 Millionen Festnetz und 38 Millionen Mobilfunkkunden.

Via datenschutz-ist-bürgerrecht.de/stern.de.

Update: Gegenüber golem.de sagte ein Telekom-Sprecher:

Dass Kundendaten der Deutschen Telekom vor allem mit Blick auf Kontonummern für Trickbetrügereien missbraucht worden sind, ist bisher nicht bekannt

In unserer Reihe Datenpannen in Großbritannien präsentieren wir heute: die Geheimdienstkamera bei ebay.

Ein 28jähriger hat auf ebay eine Digitalkamera ersteigert, teuer war sie auch nicht, umgerechnet 21 Euro. Er freut sich und nimmt die Kamera mit in den Urlaub. Wieder zu Hause lut er die Bilder auf den PC und entdeckte zwischen den Urlaubsfotos unter anderem Bilder von Raketenabschussrampen, Al-Quaida-Verdächtigen (inkl. Namen und Fingerabdrücken) - vermutlich Bilder des britischen Auslandsgeheimdienstes MI6. Er wurde stutzig und ging zur Polizei. Ein paar Tage später statteten ihm dann Geheimdienstbeamte einen Besuch ab und beschlagnahmten die Kamera.

Merke: wer an geheime Daten will, muss einfach nur nach Großbritannien gehen...

Via Spiegel Online und heise.de

Wie futureZone meldet, hat das britische Verteidigungsministerium bekannt gegeben, dass auf dem Luftwaffenstützpunkt Innsworth drei Festplatten mit den persönlichen Daten von mehreren tausend Militärangehörigen gestohlen wurden. Die Festplatten wurden im Hochsicherheitsbereich des Stützpunktes aufbewahrt - sehr viel Sicherheit scheint nicht vorhanden zu sein. Wieviele Daten genau verschwunden sind, ist noch gar nicht klar, auf dem Stützpunkt werden die Daten von 900.000 Militärangehörigen verwaltet.
Der Vorfall reiht sich ein in eine ganze Reihe von Fällen in Großbritannien in den letzten Monaten. Erst gestern war bekannt geworden, dass eine CD mit 11.000 Daten von britischen Lehrern verschwunden ist.

Update: Spiegel Online und heise.de melden, dass USB-Sticks gestohlen wurden, keine Festplatten.

Laut futureZone ist eine CD mit tausenden Datensätzen in Großbritannien verloren gegangen. Eine britische Lehrerorganisation meldete den Verlust einer CD mit 11.000 Datensätzen. Laut der Organisation seien aber keine finanziellen Daten enthalten und die CD sei verschlüsselt.

Den Lehrern bleibt nur zu wünschen, dass sie gut verschlüsselt wurde...

Update: heise.de meldet noch ein paar Details zu dem Verlust. So wurde die CD mit Daten wohl per Kurier versandt, kam aber nie am Bestimmungsort an. Bei einer Durchsuchung des Fahrzeugs war sie auch nicht mehr aufzufinden.

"Eine ewige Erfahrung lehrt, dass jeder Mensch, der Macht hat, dazu getrieben wird, sie zu missbrauchen. Er geht immer weiter, bis er an Grenzen stößt."
(Charles de Montesquieu, Vom Geist der Gesetze)

Vor ein paar Tagen haben sowohl Spiegel Online als auch Zeit Online den Missbrauch der Anti-Terror-Gesetze in Großbritannien berichtet.
Der Regulation of Investigatory Powers Act (RIPA) gab den Behörden das Recht Emails mitzulesen, Telefon- und Internetverbindungen zu überwachen, Kontoauszüge einzusehen, Videoüberwachung durchzuführen oder die Herausgabe von Passwörtern zu verlangen. Im Jahr 2003 wurden der Kreis der berechtigten Behörden drastisch ausgeweitet. Seitdem können auch Gemeinden, Schulbehörden oder Arbeitsämter Überwachungen durchführen und Informationen einsehen, nur die Telefonüberwachung bleibt den Sicherheitsbehörden vorbehalten. Ein belegter Verdacht muss nicht vorliegen, es reicht ein (anonymer) Hinweis.
Dieses Recht wird offensichtlich auch ausgiebig genutzt, zu jedem denkbaren nichtigen Anlass. Der Daily Telegraph meldete im April, dass jeden Monat 1000 neue Ausspionierungsaktionen durch die Gemeinden gestartet werden. Was alles dafür Anlass bietet, ist mehr als bizarr. So wurde eine komplette Familie in Poole mit allen Mitteln der Technik überwacht, nur weil der Verdacht besteht, sie hätten ihr Kind im falschen Schulbezirk angemeldet. Später stellte sich heraus, dass sie aus dem Schulbezirk verzogen waren und ihre Kinder mit Billigung des Direktors in der Schule belassen hatte. Allein dieses Beispiel zeigt, wie sorglos mit den Möglichkeiten der Überwachung in Großbritannien umgegangen wird, durch eine kurze Nachfrage hätte der Sachverhalt aus der Welt geschafft werden können. Leider handelt es sich hier aber um keinen Einzelfall, in Derby wurden Videokameras aufgestellt, nachdem sich Anwohner über spielende Kinder beschwert hatten.
Noch ein paar Beispiele aus dem Artikel von Spiegel Online:

• In Easington begann die Stadt, den Garten eines Anwohners zu überwachen, weil sich seine Nachbarn über Lärm beschwert hatten.
• In Newcastle überwachte die Stadtverwaltung die Praxis eines Tierarztes, weil Nachbarn über bellende Hunde klagten.
• In Durham holte die Stadt die Genehmigung ein, Privatpersonen zu überwachen, die Dinge auf dem Flohmarkt verkauften, um Warenfälschern auf die Spur zu kommen.
• Die Stadtverwaltung von Westminster (London) überwachte einen Schlosser, weil er des Betrugs bezichtigt worden war.
• Der Torbay City Council las die E-Mails eines Angestellten mit, weil er beschuldigt wurde, "verdächtiges Material" verschickt zu haben. Einem zweiten Angestellten wurde hinterherspioniert, weil er angeblich einen Wagen der Stadtverwaltung für Privatzwecke genutzt hatte.
• In Canterbury wurde ein Ermittler auf Privatpersonen angesetzt, die im Verdacht standen, illegal mit Pizza zu handeln.

Selbst der Polizei wird die Überwachung mittlerweile zuviel. Die ständige Überwachung würde die eigenen Ermittlungen gefährden, die Regierung solle die Befugnisse doch wieder einschränken, kommen Stimmen aus der Polizei. Bürgerrechtsgruppen in Großbritannien vergleichen die Verhältnisse mittlerweile mit China oder der deutschen Stasi.

Während es der Überwachung in den USA auch genug gibt, hat ein weiterer Spiegel Online-Artikel sich den allumfassenden Datenbanken in den Vereinigten Staaten gewidmet. In den Public Record Databases finden sich z.B. Vorstafen, Verkehrsvergehen oder einfach Daten, die normalerweise geschützt sind wie z.B. Wohnorte von Prominenten. Entweder ganz kostenlos oder gegen eine geringe Gebühr lässt sich alles herausfinden. Verwechslungen wegen Namensgleichheit sind natürlich immer möglich. Dagegen wirkt rottenneighbor.com fast harmlos - trotzdem kein Grund die Seite gut zu finden...