Pointers & Pointen
Neuer PR-Erfolg für Tobias Huch: Viele Medien berichten über seine neu entdeckte Sicherheitslücke, die – nicht nur in meinen Augen kein Skandal ist.
Sogar die dpa springt auf den Zug auf. Einen kleinen Dämpfer bekommt das Ego-Marketing allerdings – der Name Tobias Huch wird in der Meldung nicht erwähnt:
Der Geschäftsführer einer Firma aus Rheinland-Pfalz hatte von einem angeblichen «neuen Telekom-Datenskandal» berichtet.
Welche Geschichte verbirgt sich wohl hinter folgendem Warnhinweis des Amazon-Rücksendezentrums?
Insbesondere Artikel wie zum Beispiel Schneidwerkzeuge und Äxte sollten nur in Sicherheitsmaterial, am besten in der Verpackung von Amazon.de, zurückgesendet werden.
Das Absolventennetzwerk der Kölner Universität veranstaltet ein VI. Symposium zum Thema „Der gläserne Mensch“. Dabei diskutiert „ein interdisziplinäres Podium das Spannungsfeld von Schaden und Nutzen der zunehmenden Datenerfassung„.
Damit das Ganze keine Diskussion aus dem Elfenbeinturm wird, haben sich die Alumnis entweder viele Gedanken gemacht und regen ihre Teilnehmer zum Denken an. Oder sie gehören zu den vielen, die zwar über Datenschutz reden, aber – kaum sind sie vom Podium heruntergestiegen – das genaue Gegenteil machen. Ich vermute mal letzteres.
Man sehe sich nur das Anmeldeformular an. Als erstes bekommt der Interessent eine Fehlermeldung angezeigt: die Alumni verwenden ein SSL-Zertifikat, das wohl nur innerhalb der Universität Köln voreingestellt ist. Dann soll er einen Fragebogen ausfüllen, wie ich ihn bei einer Veranstaltung ohne akute Terrorgefahr und Staatsbesuch noch nicht erlebt habe: Geschlecht, Name, Anschrift, Geburtsdatum, Email, Monat des Studienbeginns, Monat des Studienabschlusses, Geburtsdaten weiterer Gäste. Und wozu braucht man das Ganze? Das verraten die Alumni nicht.
In den AGB kann man sich aber die Bestimmungen zum Datenschutz raussuchen. Kurz gesagt – es gibt keinen:
A.7 Datenschutz
A.7.1 Der Teilnehmer erklärt sich bereit, dass seine persönlichen Daten (Name,
Personalausweisnummer usw.) auf Wunsche eines Leistungsträgers von
KölnAlumni e.V. an Dritte weitergeleitet werden.
A.7.2 Der Teilnehmer stimmt der Verwendung seiner Daten auf einer allen übrigen
Teilnehmern zugänglichen Teilnehmerliste zu.
A.7.3 Der Teilnehmer verzichtet auf sein Recht am eigenen Bild und stimmt der
Veröffentlichung zu.
Fassen wir zusammen: Wer diese Veranstaltung besuchen will, muss trotz Sicherheitsfehlermeldungen einen ganzen Haufen persönlicher Daten ungesichert an einen Veranstalter übertragen, der sie an ungenannte Dritte weitergeben will.
Das sollte doch eine spannende Datenschutz-Diskussion werden.
PS: Der WDR zeigt wie eine Diskussion zum Datenschutz auch organisiert werden kann. Man veröffentlicht den Ort und Zeit – „Eintrittskarten sind nicht erforderlich“. Fertig. Das funktioniert auch – wahrscheinlich noch sogar besser.
Transkripte sind unfair. Was frei formuliert im persönlichen Gespräch – oder in einer audiovisuellen Aufzeichnung – sehr vernünftig und nachvollziehbar herüberkommt, wird plötzlich zum Lacher, wenn man das Ganze aufschreibt.
So zum Beispiel der Auftritt des Telekom-Sprechers Phillipp Schindera, der sich in der Tagesschau zum neusten Datenschutzskandal seines Brötchengebers äußert:
Sprecher: Die Telekom räumt die Sicherheitslücke ein, hält die Gefahr aber für gering.
Schindera: Das Szenario, was hier vorgestellt wird, ist ein sehr theoretisches und ein sehr schwieriges. Man braucht dafür ein hohes Maß an krimineller Energie. Wir haben unser schon hohes Niveau durch eine zusätzliche Maßnahme noch mal erhöht...
Abgesehen davon: Wenn die grade gesund geschrumpften Callcenter immer auf eine SMS-Bestätigung warten müssen, sehe ich schwarz für den Kundendienst. Immer wenn ich den Kundenservice angerufen habe, musste der fachkundige Sachbearbeiter immer mit seinem Computer kämpfen, um die Basisdaten auf den Schirm zu bekommen.
Aus der Datenschutzpolitik der Best Western Hotels:
BWI hat ferner bestimmte physische Sicherheitsmaßnahmen zum Schutz gegen unbefugten Zugriff auf personenbezogene Daten eingerichtet. Alle Serverräume sind durch ein Schlüsselkartensystem geschützt, das Benutzerrechte mit einer zentralen Datenbank abgleicht. Außerdem bleiben diese Serverräume stets verschlossen.
Leider wird nicht erwähnt, was Best Western bei einem Bruch der Sicherheit unternehmen will. So zum Beispiel wenn acht Millionen Kundendaten samt Kreditkartendaten gestohlen werden. So scheint es nicht Politik zu sein, die Kunden direkt auf der Homepage über diesen vermeintlichen Datendiebstahl aufzuklären. Stattdessen findet sich dort nur der Hinweis: „Earn reward points with the Best Western MasterCard“.
Ich war im April Gast in einem Best Western Hotel. Ich bin doch mal gespannt, ob die Hoteliers mich zügig informieren werden. Oder ich frage besser mal selbst nach. Weil: ich würde doch gerne wissen, ob eine Hausdurchsuchung ansteht, weil jemand mit meinen Daten größere Mengen Uran angekauft hat. Oder gar schlimmeres.
Update: Ein Anruf in dem Hotel Best Western City Ost bringt Entwarnung. Das Hotel sei nicht an das internationale Buchungssystem der Best-Western-Kette angeschlossen. Ich hoffe mal, das stimmt auch.
Update 2: Auch Expedia, über die ich das Hotel gebucht hatte, beruhigt mich. Meine Zahlungsdaten wurden demnach gar nicht an das Hotel übermittelt.
Update 3: Nun meldet sich auch die Datenschutzbeauftragte von Best Western bei mir: Der Medienbericht sei unrichtig – statt acht Millionen Kunden weltweit seien weniger als 20 Gäste eines einzelnen Best Western Hotels betroffen, die direkt umgehend informiert worden seien. Und über mich lägen gar keine Daten mehr vor.
Update 4:: In den Kommentaren hat die Pressesprecherin von Best Western ein ausführliches Statement hinterlassen:
Entgegen der Medienberichte kam es nicht zu einem Hackerangriff auf das Best Western Reservierungssystem. Best Western bestätigt vielmehr, dass es zu einem Vorfall in einem einzelnen Hotel in Deutschland gekommen ist, in dem einem Hacker über einen PC-Virus Zugang zu zehn Gästedaten geglückt ist.
Der Autor der Sunday Herald-Story Iain Bruce bleibt hingegen bei seiner Darstellung.
Ein sehr lesenswertes Interview Ex-Verfassungsrichter Wolfgang Hoffmann-Riem über Medien, Internet und die innere Sicherheit:
Hoffmann-Riem: Da habe ich überhaupt nicht den Eindruck, dass der Staat stärker geworden ist. Stärke heißt für mich, dass er in der Lage ist, die Probleme mit geringst möglichen Nachteilen zu bewältigen. Er hat viele neue Instrumente, aber noch nicht gelernt, sie so einzusetzen, dass mit geringster Beeinträchtigung der Bürger ein größtmöglicher Erfolg eintritt. Wenn ein Vater seinen Sohn schlägt oder ein Staat seine Bürger übermäßig beeinträchtigt, ist das für mich Machtausübung und keine Stärke.
Gestern war ich bei einer Veranstaltung des Bundesamt für Sicherheit in der Informationstechnik. Mein Eindruck: So ganz genau wissen selbst die Experten nicht, wie man die Nutzer dazu bringt, ihren Rechner sicher zu halten. Der Psychologe Werner Degenhardt plädierte dafür, die Aufklärung weniger steif zu gestalten, den Nutzer da abzuholen, wo er ist. Nur wenn man konkretes Verhalten trainiere, wenn man dem Nutzer Anreize gibt, könne man von ihm eine Verhaltensänderung erwarten.
Der Gedanke ist sicher richtig. Verbinden wir das mit Erfahrungen aus der Praxis: Ein Rechner kann heute zwar auf Tausende Arten verseucht werden – von verseuchten PDF-Dateien bis zu Festplatten, die mitsamt Virus ausgeliefert werden. In der Praxis sind die Ursachen jedoch nicht so vielfältig: Wenn ein Rechner so richtig schön voll mit Trojanern ist, findet man in der Browserhistorie meist Dutzende von Pornoseiten. Oder der Betreffende hat ein halbes Dutzend Filesharing-Programme am Laufen, um sich immer die neuste Musik herunterzuladen.
Sicher ist das eine Pauschalisierung, aber solche Fälle sind nicht gerade selten. Was also tun? Dem Usern noch ein paar Tausend Mal dazu anraten, alle Sicherheitsmaßnahmen anzuhalten? Ihm das Pornosurfen verbieten? Seien wir ehrlich: wir haben es probiert, und es funktioniert einfach nicht.
Logische Konsequenz: wir sollten jeden Porno-und-Warez-Surfer richtig ausbilden. Statt die Pornografie hinter immer höheren Jugendschutz-Mauern zu verstecken, öffnen wir die wunderbare Welt des ewigen In-and-Out, der 18 verschiedenen Stellungen in 10 Minuten, der ach so glaubwürdigen Geschichten der girls next door. Lasst uns Volkshochschulkurse einrichten, in denen Porno-Surfen gelehrt wird. Und dazu ein Lehrgang im Raubkopieren für Anfänger und Fortgeschrittene. Nur so können wir den Spam und die Botarmeen vielleicht auf ein erträgliches Maß reduzieren.
Mein GPG-Key war abgelaufen. Hier findet ihr meinen neuen.
Wer noch keinen hat, sollte sich dringend einen zulegen.
Ebay und United Internet haben sich etwas tolles ausgedacht.
In einem zunächst auf eine Laufzeit von einem Jahr begrenzten Projekt werden ab sofort alle E-Mails, die direkt von eBay oder von eBay-Nutzern über das eBay-System versandt werden, von WEB.DE und GMX für ihre Kunden als echte E-Mails von eBay authentifiziert und mit einem Siegel versehen. Die direkt von eBay versandten E-Mails erscheinen jetzt im Posteingang von WEB.DE und GMX immer mit einem eBay-Logo und einem Häkchen-Symbol vor dem Absendernamen. Die von Nutzern über das eBay-System versandten E-Mails sind mit einem eBay-Logo und einem Personen-Symbol gekennzeichnet. Auch in der geöffneten E-Mail kann der Nutzer erkennen, dass diese tatsächlich von eBay stammt. Im Mailkopf findet sich eine fälschungssichere Kennzeichnung. Die direkt von eBay versandten E-Mails sind als „Original eBay-Nachricht“ markiert, die von Nutzern über das eBay-System versandten E-Mails als „Original-Nachricht eines eBay-Mitglieds“.
Ich hab mir das direkt mal angesehen und mir eine Mail von Ebay an meinen web.de-Account senden lassen. Die fälschungssichere Kennzeichnung im Mailkopf sieht so aus:
X-WEBDE-Confirmed: Ebay
PS: Die Postbank hat auch Probleme mit Phishern und setzt ebenfalls schon lange auf Mail-Signaturen. Allerdings hat die Postbank kein neues Verfahren erfunden, sondern verwendet eine Signatur, die einigermaßen moderne Mail-Programme ohne Probleme erkennen können. Und der Clou: Auch web.de kann die Signatur erkennen.
PPS: Was ist eigentlich gegen eine solche Pseudo-Signatur zu sagen? Nun: die Sache ist einfach: Spam-Bekämpfung wird zur Black Box. Wie die Firmen sicherstellen, dass die Mails auch tatsächlich von Ebay kommen, verraten sie auch auf Nachfrage nicht. Wenn ich sicherstellen will, dass meine Mails von Web.de und GMX nicht ausgefiltert werden sollen, muss ich mich auf die Qualität der dort eingesetzten Mailfilter verlassen. Und wenn ich meinen eigenen Mailserver brtreibe, lässt mich Ebay mit dem Sortieren alleine. Schließlich bin ich kein Unternehmen mit Millionenumsatz. Schließlich habe ich keinen Partnerschaftsvertrag. Selbst wenn Web.de und GMX mit allen millionschweren Unternehmen solche Abkommen treffen würden: wie viele individuellen Abkommen wären das alleine in Deutschland? Und dann noch die Verträge mit anderen Mail-Providern. Statt einem ganzen Haufen dieser Verträge – jeder einzelne eine Fehlerquelle und juristische Zeitbombe – könnte man doch gleich das Verfahren offen legen und jeden daran teilhaben lassen.
Zum zweiten erscheint die Maßnahme als Verzweiflungstat der Mailprovider, damit die Kunden schön das Web-Portal aufrufen anstatt die Mails per POP3 oder Email abzurufen. Auf dem Portal gibt es nämlich tausend andere Angebote und Werbung – schließlich will „Freemail“ ja auch bezahlt werden. Nicht umsonst ist die Konzernschwester 1&1 ja nicht im Boot bei dieser Sicherheitsinitiative. Denn das Webmail-Interface von 1&1 ist weitgehend werbefrei.
Ein weiteres Gegenargument hat Ebay auch gleich am nächsten Tag geliefert – aus unbekannter Ursache wurden deutschen Ebay-Kunden massenweise spanische Ebay-Werbungen zugestellt – dank Abkommen mit GMX und Web.de auch brav am Spamfilter vorbei. Schließlich kamen die Mails ja von Ebay.