Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

28. Januar 2012 um 12:23

Deutsche Post verkauft 37 Millionen Adressen seiner Kunden für Werbezwecke

Wie man bei Golem.de lesen kann verkauft die Post die Adressen seiner Kunden zum Zwecke der Werbung. Ist ja auch schlau, damit kann man gut Geld verdienen und es werden wieder mehr Briefe verschickt:

In einem Werbeflyer wirbt Deutsche Post Direkt seit längerer Zeit: "Als Full-Service-Anbieter können wir Ihnen genau die Adressen liefern, die Ihre Anforderungen erfüllen: Wir verfügen über eine Vermietdatenbank mit circa 37 Millionen Consumer-Adressen, decken mit rund 5 Millionen Business-Adressen nahezu den gesamten Markt ab, bieten Lifestyle- und Listbroking-Adressen sowie internationale und elektronische Potenziale."

Der Adresshandel wird immer schamloser. Ich möchte nicht, dass meine Adresse verkauft bzw. weiter gegeben wird. Es hat sich gezeigt, dass es völlig unpraktikabel ist, dass ich jede Firma einzeln kontaktieren muss, um die Weitergabe zu unterbinden. Leider ist unseren Politikern der Schutz der Industrie wichtiger als der Schutz der Bürger. Anders ist es kaum zu erklären, wieso ACTA einfach durchgewinkt wird und die massiven damit verbundenen Einschränkungen der Nutzer ignoriert werden. Ein wirksamer Schutz der persönlichen Daten scheint jedoch in weiter Ferne. Sehr traurig.

Also muss man doch einzeln vorgehen. Bei Verbraucherzentrale Schleswig-Holstein gibt es mehr Info und ein Musterschreiben, um der Nutzung seiner Daten zu widersprechen. Leider muss man das per Schneckenpost (Einschreiben) verschicken, d.h. die verdienen auch noch an meiner Anfrage und ich muss extra deswegen zu Post gehen….

3. April 2011 um 21:26

Datenpanne: Kundendaten von amerikanischen Großbanken und weiterer Firmen erbeutet

Über Spiegel.de erfuhr ich heute über eine Datenpanne, deren Größe und Folgen noch nicht abgeschätzt werden können:

Ein Hacker habe sich Informationen von Kunden der Großbank JPMorgan Chase und der Supermarktkette Kroger verschafft, berichtet der Fachdienst "Security Week". Auch das Techunternehmen TiVo wies seine Kunden auf den Hack hin.
Der Unbekannte sei in das Datensystem des Online-Händlers Epsilon eingedrungen und habe deren Kundenkarteien durchforstet, teilte die Großbank mit. Der Hacker habe sich Zugriff auf E-Mail-Adressen und Hausanschriften verschafft, jedoch nicht auf persönliche oder finanzielle Informationen.

Auf SecurityWeek.com findet man detailliertere Infos: Die Firma Epsilon verwaltet im Auftrag von Unternehmen die Daten von deren Kunden und übernimmt die Kommunikation. Offenbar waren sie dabei nicht besonders sorgfältig. Möglicherweise wurden die gesamten Kunden-Daten ihrer Kunden erbeutet. Hier ein paar Firmen, die Epsilon mit der Kundenverwaltung beauftragten und deren Daten nun vermutlich erbeutet wurden (darunter mehrere Banken und andere Firmen mit großen Kundenzahlen):

  • Kroger
  • TiVo
  • US Bank
  • JPMorgan Chase
  • Capital One
  • Citi
  • Home Shopping Network (HSN)
  • McKinsey & Company
  • Ritz-Carlton Rewards
  • Marriott Rewards
  • New York & Company
  • Brookstone
  • Walgreens
  • The College Board

Die erspähten Daten reichen in der Regel, um jemandem das Leben zur Hölle zu machen: Anschrift (vermutlich inkl. Telefonnummer) und Mail-Adresse. Wenn es ganz dumm gelaufen ist, dann auch noch weitere Daten, wie Kundennummern bei der jeweiligen Firma. Immerhin werden die betroffenen Kunden diesmal informiert.

22. Dezember 2010 um 20:20

Die schöne Welt der Überwachung

Mein Chef machte mich heute auf PanOpti aufmerksam. Hier geht es darum für die Datenspuren zu sensibilisieren, die wir täglich so hinterlassen…

Bitte den Ton einschalten. und dann geht es hier erst mal dunkel los..

4. November 2010 um 12:28

Profile von Kunden erstellen

Als ich den Artikel "Die Psycho-Sparkasse" vom NDR las, stellte ich mir die Frage, ob es verwerflich ist, wenn ein Unternehmen Profile von Ihren Kunden erstellt. Ich denke, dass es dann problematisch ist, wenn die Bewegungsdaten der Kunden ohne deren Wissen bzw. Einverständnis genutzt wird. Ob das dann auch illegal ist, ist wohl eine andere Frage. Ich vermute mal, dass die Rechtslage auch hier gegen die Verbraucher spricht, kann mich aber täuschen.

Ich halte es für bedenklich, wenn eine Bank die Überweisungen auswertet, um daraus Rückschlüsse über den Kunden zu gewinnen,z.B. um das Einkommen zu schätzen oder die Art der Ausgaben festzustellen. Man könnte damit auch ein Profil über die Geschäftsbeziehungen erstellen.
Ich finde es ebenso problematisch, wenn eine Telefongesellschaft die Telefondaten auswertet, bspw. die Länge der Telefonate oder die geografischen Bewegungen erfasst/auswertet. Man könnte auch damit ein Profil über die sozialen Kontakte erstellen.
Das gilt ebenso für Mail-Provider, Internet-Provider und so weiter.

Aus den Unterlagen, die dem NDR vorliegen, kann man schließen, dass die Sparkasse Hamburg entweder eine Klassifizierung anhand von wenigen nichtssagenden Begegnungen vornimmt, Daten über den Kunden zukaufte oder doch die Kontoinformationen zu so einer Auswertung heran zieht. Alles drei spricht in meinen Augen gegen die Methoden des Geldinstituts. Vielleicht gibt es eine weitere Möglichkeit, die ich übersehen habe?

Update 04.11.2010 15:30h: Gerade lese ich im Spiegel, dass die negativen Schlagzeilen die genannte Sparkasse zum Einlenken bewogen hat: "Das Institut reagiert nun auf einen NDR-Bericht, stellt die Praxis sofort ein. Und will die bisher gewonnenen Erkenntnisse löschen." Leider habe ich nicht den Eindruck, dass sie das Problem verstanden haben: "Zugleich teilte die Hamburger Sparkasse mit, sie stelle das System ein, obwohl es >im Interesse der Kunden< gewesen sei." Noch Fragen?

18. Oktober 2010 um 17:56

Strafanzeige gegen EasyCash: illegale Datenübermittlung?

Wegen einer weiteren Zimmerstreich-Aktion kam ich erst heute dazu die letzten Nachrichten zu sichten. Was ich da über EasyCash lese, lässt mich erschaudern: Wenn ein Unternehmen das 40% aller EC-Kartenzahlungen für Einzelhändler abwickelt diese Daten 2 Jahre speichert und dann zur Auswertung des Kaufverhaltens nutzt, dann sind wir ja wirklich fast im Überwachungskommerz angekommen:

Der Handelskette seien von Easycash Loyalty Solutions insgesamt 14 verschiedene Auswertungsformen angeboten worden, heißt es weiter, darunter das "Umsatzverhalten der Bestandskunden", eine "Messung der Passantenfrequenz aller Straßen im Umkreis von 5 km je Filiale" sowie eine "Liste der Unternehmen, bei denen die Kunden vor und nach dem Besuch des Marktes einkaufen". Das Angebot enthält laut NDR Info auch Hinweise darauf, dass EC-Kartendaten mit denen von Kundenkarten verknüpft werden sollten: Die Hamburger Firma biete der Handelskette an, auszuwerten, wie viel Geld Kundenkarteninhaber bei Konkurrenzfirmen ausgeben und "wie hoch der Anteil an Kunden ist, die im Kundenkartensystem inaktiv sind […], jedoch nach wie vor noch über EC-Karten einkaufen".

EasyCash bestreitet die Vorwürfe und überlegt nun die Journalisten zu verklagen. Unterdessen hat die nordrhein-westfälische Datenschutzbehörde – auf die sich der NDR als Informationsquelle beruft – Strafanzeige gegen Easycash gestellt.

Ich denke, dass schon die mehrjährige Speicherung von personen-bezogenen Kontobewegung verboten sein sollte. Davon ging ich bisher aus, aber das scheint ja sogar legal zu sein. Erst die Weitergabe der Daten scheint strafbar zu sein. Das halte ich für falsch: Wenn die Zahlung abgewickelt wurde, dann sollten die Daten gelöscht werden müssen. Ich werde jetzt mal darauf achten, ob man an den Kassen erkennen kann, ob EasyCash genutzt wird. Die Liste der Referenzkunden bei EasyCash ist jedenfalls nicht sehr ausführlich, wenn man bedenkt, dass angeblich 70 000 Firmen Ihre Zahlung über EasyCash abwickeln:

Zu den Unternehmen, die Paymaster in ihren Webshops nutzen, gehören unter anderem A.T.U Autoteile Unger, der Kino-Riese cinestar – der die Bezahlung in seinem Online-Fanshop und -Gutscheinshop über Paymaster abwickelt –, das Rocker-Shopping-Portal Deutschrock und die Internet-Anzeigenseite das Inserat.

Outdoor- und Trekking-Experte Globetrotter, die Seetours-Tochter AIDA Cruises, das berühmte Traditionsunternehmen Steiff und die erfolgreiche Tee-Kette Teegschwendner vertrauen dem Online-Zahlsystem von easycash ebenfalls.

Hier stehen noch ein paar: Siemens Casino Card, engbers, REWE, Volkswagen Bank, Tripsdrill, Robert Ley, WMF und die Polizei in Brandenburg.

Tja, da gibt es ja wohl kein entkommen. Aber was ist die Alternative? Bar zahlen, dauernd Geld abheben und immer ausreichend ausreichend dabei haben? Auch irgendwie nicht. Schon komisch, dass bei Google StreetView viele Politiker laut werden, aber bei dieser Art der Überwachung hörte ich noch keinen Protest seitens der Politik… Schade.

Weitere Details zu den Vorwürfen beim NDR und Heise-Online:

21. August 2010 um 10:20

Datenpanne durch offenes Verzeichnis

Offenbar wurden die Versicherungsanträge bei der Versicherung "Alte Leipziger" nicht in einer geschützten datenbank gespeichert, sondern im KLartext als Dateien in einem bestimmten Verzeichnis gespeichert. Das alleine ist ja schon mal schlecht, weil darin personenbezogene Daten stehen. Daher müssen solche Daten bei uns verschlüsselt sein oder geschützt in einer Datenbank gespeichert werden. Nun kam es wir es kommen musste: Das Verzeichnis wurde durch Unachtsamkeit nicht geschützt. Daher konnte man da schön drin rumschnüffeln. Das ist wohl auch passiert. Heise schreibt zum Umfang der Daten:

Die Anträge wurden über den Tarifrechner der Sparte Rechtsschutz-Union aufgenommen und enthielten vertrauliche Daten wie etwa Bankverbindung, Beruf, Fahrzeuge, eventuelle Vorschäden sowie den bisherigen Versicherer des Antragsstellers. Auch Geburtsdatum, Nationalität, Familienstand und Angaben zu den Kindern fanden sich in den Anträgen.

Das sind genug Infos, um sich eine Online-Identität zu erschleichen. Die Menschen tun mir leid. Die Lücke bestand seit Anfang des Jahres. Zu hoffen, dass kein Bösewicht diese Daten missbraucht, wäre schon sehr naiv. Immerhin:

Der Konzern will die betroffenen Kunden zeitnah informieren.

Das ist wenigstens mal ehrlich den Kunden gegenüber.

28. Juli 2010 um 18:58

Feuerte KiK Mitarbeiter mit Geldnot?

Ich weiß ja nicht, wie viel bei KiK Aushilfskräfte verdienen, aber ich gehe mal davon aus, dass es nicht wirklich viel ist. Wer bewirbt sich auf schlecht bezahlte Stellen? Natürlich Leute, die keine andere Arbeit finden und dringend Geld brauchen. Nun soll KiK aber gezielt die Mitarbeiter in Geldnot rausgeworfen haben. Wie unmenschlich müsste jemand sein, der anordnet einen in Geldschwierigkeiten steckenden Mitarbeiter raus zu werfen und damit in den Ruin zu treiben? Dafür fehlen mir die Worte…

Mehr Details bei Heise-Online: "Textildiscounter KiK erneut am Datenschutz-Pranger"
(In meinen Augen ist das kein reiner Datenschutz-Skandal, sondern noch mal eine ganz eigene Kategorie.)

4. Mai 2010 um 18:56

Datenpanne bei SchülerVZ und Datenschutzmoral im Mittelstand

Heute las ich über die erneute aktuelle Datenpanne bei SchülerVZ auf Heise-Online. Dort kann man offenbar immer noch die Profildaten der Minderjährigen leicht abziehen. Konkret geht es um Name, Schule, Alter, Geschlecht, Klasse, Beziehungsstatus, politische Einstellung, Hobbys und Beschreibungen zur Person. Echt peinlich.

Natürlich könnte man jetzt argumentieren, dass es sich dabei nur um die Daten handelt, die von den Betroffenen selber eingegeben wurde, aber nach meiner Erfahrung ist den Kindern die Tragweite der Handlungen völlig unklar. Und natürlich sind sie darauf getrimmt alle Felder eines Fragebogens zu füllen, nicht nur von der Schule, sondern auch weil sie sich dadurch wichtig und ernst genommen fühlen. Daher finde ich, dass der Betreiber festlegt, welche Daten gezeigt werden.

In dem Zusammenhang fiel mir wieder ein, was neulich im MittelstandsBlog stand:

„Trotz der Datenskandale der vergangenen Monate nehmen viele Unternehmen den Datenschutz noch immer nicht ernst“, bedauert Birthe Görtz, PwC-Expertin für Datenschutz. Nur jedes fünfte Unternehmen leiste sich einen Vollzeit-Datenschutzbeauftragten. Selbst in Großunternehmen habe der Datenschutzbeauftragte in der Regel höchstens eine Halbtagsstelle, kritisiert die Expertin. In jedem dritten Unternehmen ist der Datenschutzbeauftragte zudem auf sich allein gestellt.

Insbesondere bei Dienstleistungsunternehmen dürften aber schon brisante Daten über deren Kunden vorhanden sein… 🙂

25. April 2010 um 18:20

Daten von 1,5 Millionen Accounts zu kaufen

Ein Hacker habe Facebook gehackt und biete nun Daten von 1,5 Millionen Accounts an, liest man bei

viaTecChannel.de. Leider glaube ich das sofort. Das diese Art von Adresshandel illegal ist, versteht sich alleine. Aber wie oft müssen die Daten gekauft und wieder weiter verkauft werden, bis das keinen mehr interessiert?

Tecchannel schreibt dazu:

Diese Profile sind eine wahre Goldgrube. Nicht nur erhalten Sie damit die qualifizierten Adressdaten des Nutzers und seiner Freunde, sie können die Profile auch für Spamwellen nutzen, in dem sie etwa die Werbeangebote per privater Nachricht an die Kontakte des Nutzers schicken.
Daher sollten Facebook-Nutzer mit ihren Zugangsdaten vorsichtig umgehen. Es empfiehlt sich, regelmäßig das Kennwort zu ändern – nicht nur von Facebook, sondern auch von dem damit verbundenen E-Mail-Konto. Außerdem sollten man Kontakte direkt ansprechen, wenn man von ihnen Werbung oder seltsame Nachrichten erhält, möglicherweise sind das Hinweise auf infiltrierte Konten.

Wie realistisch ist denn das? Wer ändert denn schon regelmäßig seine Mailadresse? Ich persönlich handhabe das so, dass ich für jeden Dienste eine Mailadresse einrichte. Für Facebook könnte die so heißen: facebook@mydomain.de. Dann kann ich die abklemmen, wenn ich darüber zu viel SPAM bekomme. Aber die dauern ändern ist doch total unrealistisch…

14. April 2010 um 19:00

USBDetect 3.0 Computer Network Defense Tool

Weil man den Einsatz von USB-Sticks aus unerfindlichen Gründen nicht sicher verhindern kann, hat die NSA nun die dritte Version eines USB-Stick-Netzwerk-Scanners rausgebracht: USBDetect 3.0 Computer Network Defense Tool

Anhand der spärlichen Angaben kann man erahnen wie es wohl funktioniert:

Das Werkzeug hole sich Informationen aus der Windows Registry und erstelle Berichte über den Einsatz von portablen Musik- und Videoplayern, externen Festplatten und USB-Massenspeichern an USB-Ports.

Das geht aber nur, wenn auf jedem Arbeitsplatz ein Agent installiert ist und diese Checks in regelmäßigen Abständen durchführt. Die Ergebnisse dürften dann an einen zentralen Service gefunkt werden. Wie es klingt, handelt es sich dabei um ein reines Windows-Tool. Es deckt Verstöße gegen die internen Richtlinien auf und meldet sie unbemerkt vom Mitarbeiter an die Zentrale. So ticken offenbar Geheimdienstler.
Effektiver wäre es, wenn die lokal installierte Software bereits beim Anstecken des USB-Sticks aktiv würde und das Gerät gar nicht erst aktiv werden lässt. So könnte man eine Datenpanne verhindern, anstatt nur eine potentielle Datenpanne zu melden.

16. März 2010 um 19:19

Datenmissbrauch in der Praxis

Wer wissen möchte, wie sich Datenmissbrauch in der Praxis auswirkt, der findet ein gutes Beispiel im Beitrag des SWR "Kontoabbuchung ohne Vertrag". Der leichtsinnige Umgang mit unseren Daten kann sehr unangenehme Folgen haben. Dabei kann es sein, dass der gute Mann einfach nur das Opfer einer Datenpanne wurde. Was kann man da tun? Alle 2 Jahre die Kontonummer ändern?

16. Februar 2010 um 21:05

Lettische Bürger im Glaskasten

In Lettland ist es passiert: der Super-Daten-Gau. Die Daten von jedem Steuerzahler waren wochenlang frei im Internet verfügbar: Adresse, Gehalt, Steuerzahlungen, Bankverbindung, Geburtsdatum, usw. In den Daten konnte frei gesucht werden, ändern war ebenso möglich. Kaum zu glauben. Jetzt fragt man sich natürlich, wie viele Kriminelle die 120 GBytes an Daten abgezogen haben. Das lettische Finanzamt (VID) war hier unerwartet offenherzig:

Jeder, der eine E-Mail von der Webseite mit dem Datenloch erhalten habe, konnte die VID-Daten anderer betrachten. Das konnte auch unbeabsichtigt geschehen, man musste dafür keinen Code oder ein Passwort knacken. Der Besucher dieser VID-Webseite wusste noch nicht einmal, dass er etwas Unerlaubtes tat. Karajevs hatte es selbst auf der VID-Homepage ausprobiert: “Ich besuchte einfach die Webseite, ohne dafür spezielle Mittel einzusetzen, ohne irgendeine böse Absicht. Ich tippte dann einfach eine Adresse ein, drückte auf die Enter-Taste und erblickte eine Liste mit irgendwelchen fremden Daten.” Und diese Daten konnte er nicht nur einsehen, sondern auch ändern: “Ich änderte ein paar Zahlen und erhielt veränderte Daten. Dabei habe ich nichts geknackt, gegen kein Gesetz verstoßen."

Weitere Details stehen im originalen Artikel "Umfangreiches Daten-Leck in der lettischen Steuerbehörde VID" der Lettische Presseschau.

Was kann man da tun? Im Grunde genommen müsste jetzt jeder Steuerzahler umziehen, seine Bankverbindung ändern und sein Geburtsdatum ändern. Das jetzt jeder weiß, was die anderen verdienen, ist sicher noch die kleinste Sorge. Ich kann es wirklich nicht fassen, was da passiert ist.