NSA
Das Jahr 2013 stand ohne Zweifel im Zeichen des Whistleblowers Edward Snowden. Snowden zeigte der Welt, dass es Datenstaubsauger gibt, die im Zweifelsfall auch illegale Methoden anwenden, um weltweit an alle verfügbaren Informationen zu gelangen. Limitiert werden NSA & Co. derzeit nur von den unglaublichen Datenmassen, die wahrscheinlich noch nicht komplett in Echtzeit analysiert oder länger als für ein paar Tage gespeichert werden können. Es geht bei diesem Datenschutzrückblick allerdings nicht nur um die Tätigkeit der Geheimdienste. Neben den behördlichen Staubsaugern gab es auch letztes Jahr wieder unvorsichtige Unternehmen, die zu regelrechten Datenschleudern mutiert sind. Wir fassen in unserem Rückblick die peinlichsten Pannen des Jahres 2013 zusammen. Wenn ein „Tiefschlag" fehlen sollte, bitten wir um Rücksicht und darum, das fehlende Event unbedingt in den Kommentaren zu verewigen.
Wer unseren letzten Datenschutzrückblick gelesen hat, der weiß, dass Datenschutz vieles sein kann. Nicht den Vornamen der Ehefrau als Passwort zu verwenden gehört genauso dazu, wie die Reduzierung der eigenen im Web gestreuten persönlichen Angaben. Nicht nur Privatpersonen, auch Unternehmen können sehr effektiv für mehr Schutz sorgen. Das gilt gleichermaßen für die Daten ihrer Kunden, als auch die ihrer Mitarbeiter. Es ist auffällig, dass die meisten Journalisten trotz der immer neuen Enthüllungen von Snowden bis heute keine E-Mails verschlüsseln. Truecrypt für verschlüsselte Container oder ganze Festplatten ist einfach zu bedienen. OpenPGP für einen E-Mail-Client einzurichten ist hingegen zeitaufwendig. Wer mit dem Smartphone oder Tablet-PC unterwegs ist, für den ist die Verschlüsselung sehr hinderlich bei der Kommunikation per E-Mail.
Wahrscheinlich liegt es auch daran, weil man Überwachung nicht riechen, hören, schmecken oder fühlen kann. Wenn uns Behörden und Geheimdienste tagtäglich bespitzeln, so passiert dies komplett im Verborgenen. Sie vollziehen ihre Arbeit höchst effektiv aber absolut geräuschlos. Bis auf die stetigen Warnrufe einiger weinger IT Spezialisten bekommt man davon nichts mit. Leider werden schlechte Nachrichten durch ständige Wiederholung nicht besser. Haben wir uns vielleicht schon ein wenig an die vielen Desaster und die ständige Bespitzelung gewöhnt? Sind wir weniger daran interessiert, weil wir uns nichts zuschulden kommen lassen und glauben, man könne uns ruhig im Web zusehen? Oder ist der Grund vielmehr darin verborgen, weil es zur E-Mail-Verschlüsselung noch immer keine massentaugliche Lösung gibt?
Verwaltung benutzt Toilette als Zwischenlager für Akten
Wie man an diesem Fall sieht, beschränkt sich Datenschutz nicht nur auf Informationen in digitaler Form. Als Mitte Januar ein Abgeordneter des Göttinger Rathauses auf die Toilette ging, staunte er nicht schlecht. Ein Verwaltungsmitarbeiter hatte einen Karton mit 2.000 Blättern auf der Toilette deponiert oder sogar vergessen. Nach offiziellen Angaben wurden die sensiblen Informationen dort nur zwischengelagert, bevor sie vernichtet werden sollten. In der Datentoilette wurden so „einigermaßen aktuelle" ärztliche Befunde, Betreuungsvereinbarungen, Kostenerstattungen psychosozialer Behandlungen, Hartz IV-Bescheinigungen und vieles mehr aufbewahrt. Als Reaktion tauchte der zuständige Fachbereichsleiter im Fraktionsbüro des Finders auf, um die Herausgabe der Unterlagen zu verlangen. In der Stellungnahme hieß es, die Gesetzgebung werde von den Mitarbeitern vollumfänglich beachtet. Das Ganze sei auch nicht so schlimm, weil es keine öffentliche Toilette war. Da der Abgeordnete der Schweigepflicht unterliegt, liege folglich gar kein Datenverlust vor. Schade auch! Das klingt nicht gerade so, als wenn die Göttinger Stadtverwaltung etwas aus diesem Vorfall gelernt hätte.
Aldi Süd: Detektiv sollte Mitarbeiter ausspionieren
Ebenfalls im Januar wurde ein erneuter Skandal bei Aldi Süd bekannt. Nach Angaben des Nachrichtenmagazins Der Spiegel wurden Detektive gezielt darauf angesetzt mit versteckten Kameras eigene Mitarbeiter zu überwachen und Auffälligkeiten zu melden. Auch in den Umkleidekabinen sollten zu diesem Zweck Miniaturkameras installiert werden. So sollte geklärt werden, ob es finanzielle Engpässe bei Beschäftigten gab, und ob es zu privaten Beziehungen zwischen den Mitarbeitern kam. Als sich der freiberuflich tätige Detektiv weigern wollte, wurde ihm von einem Manager der Konzernzentrale ein Aus aller Aufträge angedroht. Spionagevorwürfe der eigenen Belegschaft wurden bereits im Frühjahr 2008 laut. Die Konzernleitung von Aldi hatte diese stets zurückgewiesen.
Als Reaktion sollte eigentlich das Beschäftigtendatenschutzgesetz modernisiert werden. Ende Januar nahm die Koalition den Entwurf kurzfristig wieder von der Tagesordnung. Diverse Gewerkschaften hatten im Vorfeld vor dem Entwurf gewarnt. Auch der ehemalige Bundesdatenschutzbeauftragte Peter Schaar kritisierte öffentlich die geplante Lockerung der Videoüberwachung und der Datenerhebung im betrieblichen Bewerbungsverfahren. Das zeigte in mehrfacher Weise Wirkung. Gleich zu Anfang der Großen Koalition wurde Schaar abgesetzt. Da seine Nachfolgerin als weniger skeptisch gilt, sind von der CDU-Politikerin deutlich weniger kritische Zwischentöne zu erwarten.
Google zahlt Strafe aus der Portokasse
In den USA wurde im März 2013 das Verfahren gegen Google beendet. Dem Unternehmen wurde vorgeworfen, bei den Aufnahmen für den Dienst Street View auch unzählige Daten aus WLAN-Netzwerken mitgeschnitten zu haben. Neben den MAC-Adressen, SSIDs und URLs wurden auch unzählige Passwörter im Jahr 2010 gespeichert und langfristig aufbewahrt. Gegen Zahlung von umgerechnet 7 Millionen Euro war Google aus der Sache raus. Verglichen mit einem Jahresgewinn von 13,4 Milliarden Dollar im Jahr 2012, war die auferlegte Strafe ehedem kaum der Rede wert. In Deutschland wurde ein vergleichbares Verfahren gleich komplett eingestellt. Das Unternehmen konnte hierzulande nachweisen, dass die gespeicherten Daten zu keinen fremden Zwecken benutzt und gelöscht wurden.
FDP-Plattform Opfer von Hackerangriffen
Im April 2013 attackierten Mitglieder von Anonymous mit Erfolg das liberale Portal „meine-freiheit.de" und veröffentlichten unter anderem die Zugangsdaten von prominenten FDP-Politikern im Netz. Da viele Menschen ihre Passwörter mehr als einmal verwenden, könnte es durch die Bekanntgabe der Logindaten von 37.000 Betroffenen zu Folgeschäden gekommen sein. Die verschlüsselten Passwörter seien leicht zu knacken, gab Anonymous Deutschland bekannt. Man gelangte in das interne Netzwerk durch schwache Passwörter von Administratoren und die Verknüpfung einiger Accounts mit mehreren Social-Media-Diensten. Die liberale Plattform wirbt dafür, dass man sich dort auch über diverse verknüpfte soziale Netzwerke einloggen kann. Für die Nutzer mag dies bequem sein. Für Angreifer macht es die Angelegenheit leichter, wenn sie über ein fremdes Portal Zugriff auf interne Bereiche erlangen können. Man sieht wieder: Jede Bequemlichkeit hat ihren Preis.
Im Juni 2013 teilte der Webhoster Hetzner mit, dass es Cyberkriminellen gelang, über die Verwaltungsoberfläche „Robot" in die Server des Anbieters einzudringen. Sie konnten dabei auf alle hinterlegten Kundendaten, Zahlungs- und Kreditkarteninformationen zugreifen. Die eingespielte Schadsoftware (Rootkit) führte dazu, dass eine Aufdeckung des virtuellen Einbruchs erschwert wurde. Obwohl die Passwörter der Nutzer verschlüsselt waren, wurden alle Kunden zur Eingabe neuer Passwörter aufgefordert. Auch die Kreditkarteninformationen sollen nach Firmenangeben unvollständig sein. Zweifel hat Hetzner aber noch, ob die Details der Lastschriftverfahren nicht mit ebenfalls heruntergeladenen Kryptoschlüsseln entschlüsselt werden konnten. Wie sich die Cyberkriminellen Zugriff verschafft haben, um ihr neuartiges Rootkit einzuspielen, das von keinem Detektoren erkannt wurde, ist nicht bekannt.
Xbox One & Google Glass: Neue Sammelstellen für Daten lassen aufhorchenDie neue Spielkonsolengeneration der Xbox wurde von Microsoft erstmals im Mai vorgestellt. Pünktlich zum Weihnachtsgeschäft kam die Xbox One dann auch in Europa auf den Markt. Die neue Kamera ist neben der Steuerung dazu in der Lage, zahlreiche Informationen von ihren Nutzern einzusammeln. Nicht nur, dass die neue Kinect den Nutzer erkennen kann. Sie kann auch sehen, ob der Anwender traurig, fröhlich oder neutral gestimmt ist. Das Gerät kann sogar den Puls messen, weil die Blutzirkulation im Gesicht erfasst wird. Da das Entertainment-Gerät rund um die Uhr online ist, könnte Microsoft zu Marktforschungszwecken auswerten, wie Werbespots bei den Zuschauern ankommen. Auch könnte getestet werden, wie man sie optimieren könnte. Geht die Mehrheit der Anwender auch beim neuen Fernsehspot auf die Toilette? Bei welchen Gags lachen die meisten Zuschauer? Wobei werden die positivsten Reaktionen hervorgerufen?
Google Glass ist noch lange nicht marktreif, befindet sich aber seit vielen Monaten in der Erprobung. Die Datenbrille überträgt nicht nur Informationen zum Wohl des Trägers aus dem Internet. Sie kann auch einzelne Bilder oder Videos samt Ton ins Web übertragen. Im Gegensatz zu einem Smartphone können die Aufnahmen völlig unbemerkt erfolgen. Da Google auch sonst vor keiner Nutzung von Daten zurückschreckt, hagelte es überall auf der Welt Proteste. In der Datenschutzerklärung behält sich das Unternehmen schon jetzt vor, dass man die Daten aus unterschiedlichen Diensten zu einem Nutzerprofil zusammenführen will. Soll heißen: Wer das Gerät benutzt, verliert die Kontrolle über die Verwendung aller aufgezeichneten Informationen. Davon sind auch die Personen betroffen, die zufällig oder ungewollt aufgenommen wurden. Derzeit wird aber noch von erheblichen Akkuproblemen berichtet, weil sowohl die GPS-Ortung als auch die Internetverbindung sehr viel Strom verbraucht. Möglicherweise kommen die ersten serienreifen Geräte erst im Jahr 2015 auf den Markt.
Wer sich hierzulande mit anderen Geschäftsleuten vernetzten will, nutzt dafür zumeist Xing. In anderen Nationen wird dafür das Portal linkedin.com bevorzugt eingesetzt. Im Mai tauchten in einem einschlägigen russischen Hackerforum über 6 Millionen Passwörter in verschlüsselter Form auf. Schon 24 Stunden später wurde über Twitter gemeldet, man habe die Hälfte der Hashes entschlüsselt, der Rest folgte kurze Zeit später. Der deutsche Künstler Aram Batholdi machte aus der Not eine Tugend. Er veröffentlichte alle aufgetauchten Passwörter in acht dicken Bänden. „Forgot your passwort?" Wer sein Passwort doppelt nutzt und suchen sollte, kann seines im Klartext bis zum 20. Januar 2014 auf der Unpainted Media Art Fair in München bewundern. Die Passwörter werden in München zudem als großflächige Bilder an die Wand gehängt. Privat waren sie schon vorher nicht mehr ...
Snapchat: 4,6 Millionen Accountdaten abgesaugt
Im August 2013 veröffentlichte das australische Sicherheitsteam Gibson Security erste Details zu zahlreichen Sicherheitslücken bei Snapchat. In den USA wird diese Sexting-App gerne von jüngeren iOS- und Android-Anwendern zum Austausch von Bildern und Videos verwendet. Der Dienst ist dort so populär, dass den Snapchat-Betreibern ein Übernahmeangebot von Facebook in Höhe von drei und von Google in Höhe von vier Milliarden US-Dollar gemacht wurde. Sie lehnten beide Angebote ab und reagierten auch nicht auf diverse Mitteilungen der australischen Datenschützer.
Gibson Security gab im Sommer letzten Jahres bekannt, die Auswertung der Telefonnummern aller 4,6 Millionen Nutzer samt User-, Vor- und Nachnamen könne innerhalb von 20 Stunden erfolgen. Snapchat hätte nur etwa zehn Zeilen Code der Apps ändern müssen, um das Auslesen der Informationen zu verhindern. Am Weihnachtsabend veröffentlichte Gibson Security dann die selbst nachprogrammierte API, um den Anbieter zusätzlich unter Druck zu setzen.
Als wenige Tage später von Unbekannten unter snapchatdb.info die Daten nahezu aller User veröffentlicht wurden, gab Snapchat alleine den australischen Datenschützern die Schuld am Dilemma. Im ersten Anlauf entschuldigte sich das Unternehmen nicht einmal bei den eigenen Usern wegen der Panne. Wahrscheinlich hätte ein einzelner Programmierer die ganzen Bugs im Alleingang binnen weniger Tage fixen können. Es bleibt wohl für immer ein Geheimnis, wieso ein milliardenschweres Unternehmen viereinhalb Monate braucht, um endlich eine sichere Version der App zu veröffentlichen.
Im September führte Facebook mal wieder zum eigenen Vorteil neue Regelungen ein. In den Nutzungsbedingungen räumt sich Zuckerbergs Konzern das Recht ein, dass man den Namen, Profilbilder, Inhalte und Informationen aller Nutzer an Unternehmen verkaufen darf. Das zahlende Unternehmen darf die Informationen in Werbeanzeigen nutzen und ihre Werbung somit gezielter ausliefern. Die Nutzer haben keinen Einfluss mehr darauf, wer ihre Bilder verwendet und zu welchem Zweck.
Der Ratinger EC-Karten-Netzbetreiber easycash geriet im September in die Schlagzeilen. Die Einkäufe von 50 Millionen Bankkunden sollen gespeichert worden sein, um für Partnerfirmen die Kreditwürdigkeit der Konsumenten zu überprüfen. Das Unternehmen speicherte offenbar alle Transaktionen der eigenen EC-Kartengeräte in Supermärkten und Einzelhandelsgeschäften.
Das Unternehmen hat sich darauf spezialisiert, die Kunden per Unterschrift bezahlen zu lassen. Dieses Verfahren ist im Vergleich zur Angabe der Geheimnummer preiswerter, dafür beinhaltet es ein größeres Risiko. Die Kunden erhalten die Ware auch dann, wenn das Konto gnadenlos überzogen oder gesperrt ist. Die Datensammlung ohne explizite Einwilligung der Betroffenen sollte für alle beteiligten Unternehmen das Risiko mindern.
Thilo Weichert bezeichnete das Vorgehen schlichtweg als „Schweinerei". easycash hingegen gab bekannt, man befolge peinlich genau alle datenschutzrelevanten Vorschriften des Bundesdatenschutzgesetzes. Wie dem auch sei. Vielleicht hätte die Geschäftsleitung bei ihrer ausgeprägten Sammelleidenschaft besser eine Umbenennung des Unternehmens in easycrawl durchführen sollen.
Ebenfalls im September 2013 wurde bekannt, dass Online-Protokolle wie HTTPS oder SSL nicht effektiv vor den Aktivitäten der Geheimdienste schützen. Die Verschlüsselungsmethoden funktionieren zwar, die Geheimdienste haben sich aber im Vorfeld Hintertüren zu eigenen Zwecken einrichten lassen. Amerikanische und britische Geheimdienste sollen nachweislich die Verschlüsselung umgehen oder teilweise auch knacken.
Edward Snowden veröffentlicht noch immer zusammen mit unterschiedlichen Medien alle vier Wochen neue Details zu den NSA-Aktivitäten. Im Laufe der Zeit wird klar, dass nahezu weltweit kein Router, keine Festplatte, PC oder Smartphone vor den Aktivitäten der Behörden sicher ist. Jeder Hersteller, der seine Hardware oder Software zum Verkauf anbieten will, muss nach den Vorgaben der US-Gesetze kooperieren. Man muss kein Verschwörungstheoretiker sein um zu erkennen, dass die Geheimdienste dabei grundsätzlich keine Ausnahmen machen. Vor ihren Aktivitäten ist nichts und niemand sicher.
Was tun?
Die einzige Möglichkeit sich davor zu schützen besteht darin, selbst so wenig Daten wie möglich zu erstellen. Das ist aber in unserer zunehmend von Technik dominierten Welt leichter gesagt als getan. Jedes moderne Smartphone schleudert seine Daten drahtlos im Minutentakt über den „Äther". Jede App und jeder Dienst will ständig wissen, wo wir uns gerade aufhalten. Wer das abschaltet, kann sein Gerät nur noch sehr eingeschränkt benutzen. Doch selbst das wäre keine Lösung. Auch ohne Handy oder Tablet-PC werden wir unterwegs von Mautbrücken und Überwachungskameras aufgenommen.
Letztlich bleibt einem nur die Option, bei der Produktion der eigenen Spuren so sorgsam und bewusst wie möglich vorzugehen. Das mag einfach klingen, das ist es aber nicht. Sollten wir bis zum nächsten Datenschutzrückblick einen geeigneten Weg finden, ohne wie die Verschwörungstheoretiker einen Aluhut aufzusetzen, werden wir Sie es gerne wissen lassen.
Zum Original