Der Datenschutzgipfel Anfang September wirkt immer noch nach. Die Oppositionsparteien werfen der Regierung vor, es nicht ernst zu meinen und auf halbem Wege halt zu machen. Außerdem werfen sie Bundesinnenminister Schäuble vor, dass sich die angebliche Stärkung des Datenschutzes nicht auf den Haushalt auswirkt: dem Bundesdatenschutzbeauftragten würde außer einer tariflichen Gehaltsanpassung keine weiteren Haushaltsgelder bewilligt - obwohl der Etat des Innenministeriums um 10% steigt. Sie versuchen durch Anträge die Bundesregierung in Zugzwang zu bringen.
Die Datenschützer des Bundes und der Länder haben die Bundesregierung aufgefordert, die beschlossenen Maßnahmen zügig umzusetzen - wohl auch, um die öffentliche Aufmerksamkeit und den dadurch bestehenden Druck auszunutzen und zu verhindern, dass die Beschlüsse "verwässert" werden. Auch müssten die Datenschutzbeauftragten finanziell und personell besser ausgestattet werden.
Entries tagged as datenverlust
Friday, 19. September 2008
Nachwehen des Datenschutzgipfels
Posted by Stefan
in Datenschutz, Netziges
at
12:33
| Comments (0)
| Trackbacks (0)
Defined tags for this entry: bundesdatenschutzgesetz, bundesregierung, datenschutz, datenschutz-audit, datenschutz-gipfel, datenverlust, netziges, telekom
Wednesday, 10. September 2008
Neue Details zum Datenverlust bei PricewaterhouseCoopers
Golem.de und heise.de melden neue Details zum Datendiebstahl bei PricewaterhouseCoopers (PwC).
Offensichtlich sind unter den vermutlich 56.000 gestohlenen Datensätzen 12000 gmx.de-Mailadressen, 12.000 web.de-Adressen und jeweils zwischen 2200 bis 3300 Mailadressen von hotmail.de, t-online.de und yahoo.de. Laut golem.de kann PwC aber noch nicht abschließend sagen, wie viele Datensätze genau gestohlen wurden.
Die große Anzahl an Adressen beruht wohl darauf, dass PwC die Bewerberdaten (unrechtmäßig) auch aus den vergangenen Jahren gespeichert wurden. Pikanterweise wurden dabei die Passwörter nicht als Hash, sondern im Klartext gespeichert.
Mit den Mailadressen und Passwörtern wurde dann versucht. sich z.B. bei Click&Buy und Moneybookers anzumelden.
Um dem ganzen die Krone aufzusetzen hatten rund 2000 der Teilnehmer an einer Web-Umfrage teilgenommen, ob sie die gleichen Passwörter an mehreren Stellen im Internet einsetzen. Rund 80% der Befragten sollen angegeben haben, dass sie ihr Passwort an mehreren Stellen verwenden. Rund 50% hätten das gleiche Passwort wie bei ihrem Mailaccount verwendet.
Na dann Prost Mahlzeit!
Offensichtlich sind unter den vermutlich 56.000 gestohlenen Datensätzen 12000 gmx.de-Mailadressen, 12.000 web.de-Adressen und jeweils zwischen 2200 bis 3300 Mailadressen von hotmail.de, t-online.de und yahoo.de. Laut golem.de kann PwC aber noch nicht abschließend sagen, wie viele Datensätze genau gestohlen wurden.
Die große Anzahl an Adressen beruht wohl darauf, dass PwC die Bewerberdaten (unrechtmäßig) auch aus den vergangenen Jahren gespeichert wurden. Pikanterweise wurden dabei die Passwörter nicht als Hash, sondern im Klartext gespeichert.
Mit den Mailadressen und Passwörtern wurde dann versucht. sich z.B. bei Click&Buy und Moneybookers anzumelden.
Um dem ganzen die Krone aufzusetzen hatten rund 2000 der Teilnehmer an einer Web-Umfrage teilgenommen, ob sie die gleichen Passwörter an mehreren Stellen im Internet einsetzen. Rund 80% der Befragten sollen angegeben haben, dass sie ihr Passwort an mehreren Stellen verwenden. Rund 50% hätten das gleiche Passwort wie bei ihrem Mailaccount verwendet.
Na dann Prost Mahlzeit!
Posted by Stefan
in Datenschutz, Netziges
at
10:50
| Comments (0)
| Trackback (1)
Defined tags for this entry: bewerberdaten, datenschutz, datenverlust, netziges, passwort, PricewaterhouseCoopers, wiso
Monday, 8. September 2008
Kundendaten: Versuchte Erpressung der Telekom?
Der Focus meldet, dass ein ehemaliger Call-Center-Mitarbeiter soll versucht haben soll, die Telekom zu erpressen - angeblich, weil er keine andere Möglichkeit sah, auf ein Sicherheitsleck aufmerksam zu machen.
Der ehemalige Mitarbeiter sei Ende August verhaftet worden, nachdem er per Mail von der Telekom 10.000 Euro gefordert habe und damit gedroht habe, andernfalls Datenlecks offen zu legen und Kundendaten an die Medien zu geben. Nach seiner Verhaftung sagte er, er habe vom Betreiber seines Call-Centers das Passwort für die interne Kundendatenbank "Cosma" der Telekom erhalten. Er habe schon 2007 erfolglos versucht, die Telekom auf die Sicherheitslücke aufmerksam zu machen, ihm sei aber kein Gehör geschenkt worden. Die Erpressung habe er dann angeblich in Absprache mit einem TV-Journalisten begonnen, um die Telekom zur Behebung des Lecks zu bewegen.
Der ehemalige Mitarbeiter sei Ende August verhaftet worden, nachdem er per Mail von der Telekom 10.000 Euro gefordert habe und damit gedroht habe, andernfalls Datenlecks offen zu legen und Kundendaten an die Medien zu geben. Nach seiner Verhaftung sagte er, er habe vom Betreiber seines Call-Centers das Passwort für die interne Kundendatenbank "Cosma" der Telekom erhalten. Er habe schon 2007 erfolglos versucht, die Telekom auf die Sicherheitslücke aufmerksam zu machen, ihm sei aber kein Gehör geschenkt worden. Die Erpressung habe er dann angeblich in Absprache mit einem TV-Journalisten begonnen, um die Telekom zur Behebung des Lecks zu bewegen.
Posted by Stefan
in Datenschutz
at
08:11
| Comments (0)
| Trackbacks (0)
Defined tags for this entry: cosma, datenschutz, datenverlust, datenweitergabe, erpressung, kundendaten, telekom
Friday, 5. September 2008
netzpolitik.org-Podcast mit Peter Schaar
Der aktuelle Podcast von netzpolitik.org ist ein ein zehnminütiges Interview mit dem Bundesdatenschutzbeauftragen Peter Schaar. Er äußert sich zu den Ergebnissen des "Datenschutzgipfels", der Aktualität des Datenschutzes und an welchen Stellen die Datenschützer in Zukunft noch Handlungsbedarf des Gesetzgebers sehen.
Das Interview gibt es mp3 und ogg auf netzpolitik.org.
Das Interview gibt es mp3 und ogg auf netzpolitik.org.
Posted by Stefan
in Datenschutz, Netziges
at
15:29
| Comments (0)
| Trackbacks (0)
Defined tags for this entry: adresshandel, adressverkauf, bundesdatenschutzbeauftragter, datenschutz, datenschutzgipfel, datenverlust, datenweitergabe, netziges, peter schaar
Thursday, 4. September 2008
Datenschutz-Gipfel: Bundesregierung will die Weitergabe von Adressaten von der Zustimmung Betroffener abhängig machen
Auf der Pressekonferenz nach dem sogenannten Datenschutz-Gipfel hat Innenminister Dr. Wolfgang Schäuble soeben bekannt gegeben, dass die Weitergabe von Adressen von der ausdrücklichen Zustimmung der Betroffenen abhängig gemacht werden soll. Damit wird die bisherige Praxis geändert, dass Adressdaten weitergegeben werden, wenn kein Widerspruch vorliegt. Dies wird aber wohl nicht die Daten betreffen, die ein Unternehmen selbst erhoben hat. Ein Gesetzentwurf soll bis Ende November vorliegen.
Außerdem soll die Umsetzung bestehender Gesetze verbessert werden. Weiterhin setzt die Konferenz der Innenminister der Länder eine Expertenkommission einsetzen, die die bestehenden Regelungen überprüfen sollen und unter anderem prüfen soll, ob Kundendaten nur noch verschlüsselt gespeichert werden sollten und jeder Zugriff auf Kundendaten protokolliert werden soll.
Es soll ein Datenschutz-Audit-Siegel geben, das Unternehmen bekommen können, die über die gesetzlich vorgeschriebenen Regelungen hinaus Maßnahmen für den Datenschutz getroffen werden. Diskutiert wird noch über die Stärkung der Datenschutzbeauftragten in Unternehmen und sowie Unternehmen zu verpflichten, Verletzungen des Datenschutzes öffentlich zu machen.
Update: Links eingefügt.
Außerdem soll die Umsetzung bestehender Gesetze verbessert werden. Weiterhin setzt die Konferenz der Innenminister der Länder eine Expertenkommission einsetzen, die die bestehenden Regelungen überprüfen sollen und unter anderem prüfen soll, ob Kundendaten nur noch verschlüsselt gespeichert werden sollten und jeder Zugriff auf Kundendaten protokolliert werden soll.
Es soll ein Datenschutz-Audit-Siegel geben, das Unternehmen bekommen können, die über die gesetzlich vorgeschriebenen Regelungen hinaus Maßnahmen für den Datenschutz getroffen werden. Diskutiert wird noch über die Stärkung der Datenschutzbeauftragten in Unternehmen und sowie Unternehmen zu verpflichten, Verletzungen des Datenschutzes öffentlich zu machen.
Update: Links eingefügt.
Posted by Stefan
in Datenschutz
at
12:15
| Comments (0)
| Trackbacks (0)
Defined tags for this entry: bundesdatenschutzgesetz, bundesregierung, datenschutz, datenschutz-audit, datenschutz-gipfel, datenverlust, telekom
WISO verschickt wegen Datendiebstahls 56.000 Warn-Emails
Die Redaktion des ZDF-Magazins WISO hat 56.000 Emails verschickt, in die Empfänger davor gewarnt werden, dass man bei Recherchen zu einem Beitrag auf Email-Adresse und Passwort gestoßen sei. Die Email gibt die Mailadresse und das (gekürzte) Passwort an und fordert dazu auf, das Passwort überall dort zu ändern, wo es verwendet worden ist (im Datenschutz-Blog findet sich ein Screenshot der Email).
Zur Herkunft der Daten auf ZDF.de:
Es sei versucht worden, sich mit diesen Daten bei Online-Bezahlsystemen anzumelden.
Gefunden waren worden die Daten offensichtlich auf einem frei zugänglichen chinesischem Server. Wie sie dorthin gelangt waren, ist anscheinend noch unklar.
Golem.de konkretisiert die Herkunft der Daten: Laut Hinweisen würden die Daten von einem Server der Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers stammen. Alle Betroffenen hätten sich in der Vergangenheit dort registriert. Ein Sprecher des Unternehmens hat dies laut golem.de auch bestätigt. Es handele sich um Bewerberdaten des Unternehmens.
Bis zur Bestätigung durch die WISO-Redaktion hatten die Emails für viel Verwirrung gesorgt.
Allen Betroffenen kann nur geraten werden, die Warnung ernst zu nehmen und das Passwort (und gegebenenfalls vorhandene Variationen) zu ändern. Wer tatsächlich die gleichen Zugangsdaten für Onlineshops, Finanzdienstleister wie Paypal, ClickandBuy oder gar Online-Banking benutzt, sollte die Abrechnungen/Kontoauszüge in nächster Zeit genau prüfen.
WISO will in der Sendung am 8. September 2008 Details bekannt geben.
Anmerk.: Trotz der guten Absicht von WISO für die 56.000 Betroffenen (neben dem Eigennutz noch Stellungnahmen der Betroffenen zu erhalten) birgt das Vorgehen für andere Nutzer auch Risiken. Im Normalfall würden Unternehmen über eine solche Lücke nicht per Email informieren. Bei vielen eher unerfahrenen Fernsehzuschauern wird wohl hängen bleiben, dass WISO per Email vor Datendiebstahl gewarnt hat - warum sollten dies z.B. andere Fernsehmagazine oder Unternehmen nicht auch tun?
Spammer könnten versucht sein, ihre Mails ähnlich zu verfassen und z.B. zur Öffnung eines Programmes "zur Löschung der Daten" zu verleiten. So könnte dann z.B. ein Trojaner installiert werden. Besser wäre wohl gewesen, wenn das betroffene Unternehmen versucht hätte die Betroffenen vor Ausstrahlung der Sendung postalisch zu informieren - bei Bewerberdaten hätten die Anschriften ja in vielen Fällen vorgelegen.
Update: Mittlerweile hat PricewaterhouseCoopers (PwC) eine Pressemeldung herausgegeben, in der auch davon gesprochen wird, dass das Unternehmen die Betroffenen direkt informiert hat:
Die Verantwortung für den Vorfall liege bei einem externen Dienstleister, die eigenen Server seien nicht betroffen.
Zur Herkunft der Daten auf ZDF.de:
Die Daten selbst stammen nach ersten Erkenntnissen aus einer Datenbank, die nichts mit Finanzdienstleistungen, E-Mail-Accounts oder Online-Shops zu tun hat und bei der sich die Betroffenen in der Vergangenheit einmal angemeldet haben.
Es sei versucht worden, sich mit diesen Daten bei Online-Bezahlsystemen anzumelden.
Gefunden waren worden die Daten offensichtlich auf einem frei zugänglichen chinesischem Server. Wie sie dorthin gelangt waren, ist anscheinend noch unklar.
Golem.de konkretisiert die Herkunft der Daten: Laut Hinweisen würden die Daten von einem Server der Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers stammen. Alle Betroffenen hätten sich in der Vergangenheit dort registriert. Ein Sprecher des Unternehmens hat dies laut golem.de auch bestätigt. Es handele sich um Bewerberdaten des Unternehmens.
Bis zur Bestätigung durch die WISO-Redaktion hatten die Emails für viel Verwirrung gesorgt.
Allen Betroffenen kann nur geraten werden, die Warnung ernst zu nehmen und das Passwort (und gegebenenfalls vorhandene Variationen) zu ändern. Wer tatsächlich die gleichen Zugangsdaten für Onlineshops, Finanzdienstleister wie Paypal, ClickandBuy oder gar Online-Banking benutzt, sollte die Abrechnungen/Kontoauszüge in nächster Zeit genau prüfen.
WISO will in der Sendung am 8. September 2008 Details bekannt geben.
Anmerk.: Trotz der guten Absicht von WISO für die 56.000 Betroffenen (neben dem Eigennutz noch Stellungnahmen der Betroffenen zu erhalten) birgt das Vorgehen für andere Nutzer auch Risiken. Im Normalfall würden Unternehmen über eine solche Lücke nicht per Email informieren. Bei vielen eher unerfahrenen Fernsehzuschauern wird wohl hängen bleiben, dass WISO per Email vor Datendiebstahl gewarnt hat - warum sollten dies z.B. andere Fernsehmagazine oder Unternehmen nicht auch tun?
Spammer könnten versucht sein, ihre Mails ähnlich zu verfassen und z.B. zur Öffnung eines Programmes "zur Löschung der Daten" zu verleiten. So könnte dann z.B. ein Trojaner installiert werden. Besser wäre wohl gewesen, wenn das betroffene Unternehmen versucht hätte die Betroffenen vor Ausstrahlung der Sendung postalisch zu informieren - bei Bewerberdaten hätten die Anschriften ja in vielen Fällen vorgelegen.
Update: Mittlerweile hat PricewaterhouseCoopers (PwC) eine Pressemeldung herausgegeben, in der auch davon gesprochen wird, dass das Unternehmen die Betroffenen direkt informiert hat:
PwC hat bereits damit begonnen, alle möglicherweise betroffenen Nutzer direkt über den Vorfall zu informieren und Hinweise zur eigenen Datensicherheit zu geben.
Die Verantwortung für den Vorfall liege bei einem externen Dienstleister, die eigenen Server seien nicht betroffen.
Posted by Stefan
in Datenschutz, Netziges
at
11:15
| Comments (0)
| Trackbacks (0)
Defined tags for this entry: datenschutz, datenverlust, netziges, passwort, PricewaterhouseCoopers, wiso
Kommentare