#Digiges auf Zensursulas Pfaden?

„Wer ein Datenleck verursacht, muss beweisen, dass es nicht sein Leck war das zu Missbrauch geführt hat“, heißt es in einer Mitteilung. Und da für den Einzelnen der Nachweis kaum möglich sei, dass Betrugsfälle beispielsweise mit gestohlenen Kreditkartendaten aus dem Pool der betroffenen Firma stammen, müssten dann diese Unternehmen nachweisen, dass dies nicht der Fall sei.

Lese ich als eine der Forderungen der „Digitalen Gesellschaft“(Digiges), eine Lobbyvereinigung die – so wie Sie auftritt – vorgibt die Interessen der „Bürger im digitalen Zeitalter“ zu vertreten, aber mit der Ahnungslosigkeit des Ältestenrates des CDU-Kreisverbandes Hintertupfingen auftritt.

Harte Worte, oder? Aber als jemand, der sich seit Jahren mit Daten- und Systemsicherheit auseinander setzt, möchte ich mal die Frage stellen, wie ein Unternehmen denn den Nachweis antreten soll, dass es nicht schuld ist, dass meine Daten bei einem Drittunternehmen missbraucht werden.

Die Verteilung unserer Daten

Wieviele Unternehmen haben z.B. meine Bank/Kreditkartendaten? Bestelldienste im Internet wie Amazon, Ottoversand, Paypal etc.. Wo habe ich mit Kreditkarte bezahlt? Wo mit einem Verrechnungscheck/Überweisung? Es gibt „Unendlich minus 1“ Möglichkeiten, wo meine Bankdaten rumliegen können. Sollen nun all diese Unternehmen erstmal unter Generalverdacht stehen, wenn irgendwo meine Kreditkartendaten auftauchen? Und wie soll ein Unternehmen nachweisen, dass es nicht schuld daran schuld ist, dass meine Daten in fremde Hände gelangt sind?

Der Beweis der Unschuld

Die Blogger-Profis um Beckedahl herum, sollen mir mal beweisen, dass niemand auf dem Server von netzpolitk unberechtigten Zugriff hat. Weder durch Weitergabe von privilegierten Zugriffsdaten, noch durch Softwarefehler, noch durch physikalischen Zugriff auf dem Server. Desweiteren sollen mir die Möchtegernprofis der digitalen Gesellschaft einmal aufzeigen, wie ich nachweise, dass niemand Zugriff hatte:

  • Auswerten der Logdateien? Die werden vom Hacker als erstes gelöscht, das können sogar Klicki-Bunti Rootkits
  • Logdateien auf separat gesicherten Severn? Und wenn die auch gehackt werden?
  • Gar kein externen Zugriff? Dann habe ich (wie meist) das Problem inhouse – obiges bleibt bestehen.

Jeder Nutzer, der von dem SONY-Debakel betroffen ist, könnte sich nun hinstellen und bei etwaigen Unstimmigkeiten der Kreditkartenabrechnung SONY in die Pflicht nehmen. Ob die Daten durch die Lücke bei SONY den Weg in die Freiheit genommen haben, oder bei dem Internethändler „Billig und Geil“ in Palermo, bei dem ich vor 2 Monaten per Kreditkarte zahlte, oder der Keylogger oder oder oder. Laut der Forderung der Digitalen Gesellschaft muss SONY nachweisen, dass der Betrüger die Daten nicht aus deren Datenbestand hat. Wie soll das funktionieren?

Nachwort

In meinen Augen haben sich die Leute der Digitalen Gesellschaft mit dieser Forderung auf das Niveau einer Frau von der Leyen begeben: Forderungen stellen ohne sich vorher eingehend mit der Materie auseinander gesetzt zu haben, mal mit einem gesprochen zu haben, der etwas davon versteht(SCNR).

Abgesehen von dem – in meinen Augen – Blödsinn, den die Digiges hier verzapft, gibt es natürlich Handlungsbedarf in Sachen Datenschutz und Datensicherheit. Allerdings muss man hier sehr genau darauf achten was man fordert und welche Lösungen man vorschlägt, da man sich sonst schnell in Abseits manövriert.

22 Gedanken zu „#Digiges auf Zensursulas Pfaden?

  1. Mir gefällt der Gedanke, die Beweislast umzukehren. Gerne vergleiche ich „Datenklau“ mit einem Bankraub.

    Wird die Bank überfallen (von mir aus auch gehacked) kann es nicht sein dass ich als Kunde in die Pflicht genommen werde. Ich muß dem Unternehmen vertrauen können, mit meinem Eigentum (Geld) und auch mit meinen Daten.

    „Fordert“ ein Unternehmen (wie Sony) für eine Dienstleistung oder ein Produkt meine Daten, muß ich als Kunde darauf vertrauen können dass diese sicher sind.

    Jetzt sagen viele, das geht doch gar nicht, kein Unternehmen kann absolute Sicherheit, gerade im virtuellen Raum, garantieren.

    Richtig.

    Doch dann muß das Unternehmen Möglichkeiten schaffen bzw anbieten dieser Problematik aus dem Weg zu gehen.

    Steam erreicht dies z B dadurch dass sie Zahlungsverkehr ohne persönliche Daten ermöglichen (PaySafeCard) der Kunde hat also die Wahl ob er/sie seine/ihre Daten preisgeben möchte.

    Sony war und ist (aus Gründen) sehr interessiert an den Daten ihrer Kunden und sollte somit auch in der Pflicht stehen diese verantwortungsvoll und sicher zu verwahren. Kann ein Unternehmen wie Sony dies aus verständlichen Gründen nicht, dann sollte es auch davon absehen Daten zu speichern.

    Natürlich mag dem Profi diese Sichtweise naiv oder gar dumm vorkommen, aber das ist unerheblich da es, im Fall von Sony, um Millionen von Kunden geht und da kann niemand erwarten dass die sich erst einmal mit Security- oder Post-Privacy-Fragen beschäftigen.

    • @nuttenpapst:

      Bei einem Diebstahl (Bank) ist es auch leicht. Nur ist eben Kopieren kein Raubdelikt – es verschwindet nichts (wie es bei einem Bankraub der Fall wäre), sondern es wird ein „mehr“ generiert (man sagt auch geguttenbergt. Wenn ein KFZ (hier wird es noch deutlicher) gestohlen wird, kann sich dieses nur an einer Stelle befinden. Das Foto des KFZs kann aber überall sein. Wer sagt, ob das Foto von Flickr oder Facebook heruntergeladen wurde?

      Bei dem Vertrauen auf einen SEHR sensiblen Umgang mit den Daten bin ich dann wieder zu 100% bei dir – wäre ja blöd wenn nicht 🙂

      Wenn Kunde X seine Daten nicht nur bei SONY hatte, sondern auch bei Luigi in Palermo und Luigi nun auch die Kundendaten verschlampt hat. An wen würde sich der Kunde dieser Tage wenden? Natürlich an SONY. Wie aber soll SONY beweisen, dass der Datenmissbrauch nicht aufgrund des aktuellen Debakels bei SONY, sondern durch ein anderes, der Öffentlichkeit nicht bekanntes, Datenschutzproblem entstand, bei Luigi in Palermo?

      Wie gesagt: Auch ich bin – und dass sollte bekannt sein *gg* – 100%ig auf der Seite der Privacy und des Datenschutzes, aber es muss fair bleiben.

      • @reizzentrum:

        Ich wusste es 😉

        Der Bankraub und das digitale Zeitalter, ja, passt nicht wirklich, weil wie Du schon schrubst ja nichts verloren geht.

        Geschenkt.

        Ich denke, es muß einfach ein Klima geschaffen werden in dem die Beweislast tatsächlich bei den Unternehmen liegt, denn nur so wird sich etwas verändern.

        Kommt ein Unternehmen, abgesehen vom kurzzeitigen Imageverlust, immer ungeschoren davon und kann überdies die Schuld dem Kunden zuweisen, wird sich von Unternehmensseite gar nichts verändern.

        Übergebe ich den Unternehmen die Verantwortung werden diese Zahlungswege schaffen die „datenarm“ zu nutzen sind.

        Bild und private Informationen zB bei FB sind dagegen absolut mein eigenes Problem, das passt wiederum aus meiner Sicht nicht als Vergleich zum Diebstahl von Zahlungsdaten.

        • @nuttenpapst:

          Gern würde ich die Beweislast umkehren – wenn es denn umsetzbar und realistisch möglich wäre 🙁

          Ganz zum Schluss sind WIR für unsere Daten verantwortlich (und die Spackeria kann mir mal im Mondschein begegnen …). Wir müssten diese Verantwortung und Macht nur nutzen um bei einem Verstoss den Verantwortlichen abzustrafen.

          Denn so würde ein Schuh draus werden: SONY als Lieferant stumpf ignorieren, kein Produkt mehr kaufen, keine Verträge mehr schliessen. Die Folge wäre, dass SONY Konkurs anmeldet oder zumindest bemerkenswerte (!) Umsatzeinbrüche hinnehmen muss. Als nächstes dann die Telekom oder Apple. Als Lieferant ignorieren -> Bankrott/Umsatzeinbrüche -> Ruhe

          Wenn – und genau das ist leider aufgrund unserer eigenen Dummheit unrealistisch – erstmal ein oder zwei Unternehmen merken wie teuer es ist die Daten nicht zu schützen, würde sich sofort ein anderes Selbstverständnis etablieren.

          Die Gesellschaft braucht gar nichts zu fordern, sie muss nur aktiv in den Markt eingreifen.

  2. Um auch mal einen konstruktiven Ansatz zusammenzuspinnen: Ich schütze mich vor Spam – und das seit etlichen Jahren ziemlich erfolgreich – durch die etwas umständliche „Opt in“-Methode. Sprich: Wann immer ein Unternehmen (berechtigterweise, denn ohne triftigen Grund würde ich sonst sofort Alt+F4 drücken) eine Email-Adresse von mir will, generiere ich extra für diesen Zweck einen Alias auf meinem Mailserver (und als Abschreckung gegen eventuelle Dummbratzen heißt die z.B. für Firma Meier dann auch „firma-meier@…“). „Catch-All“/“Maildrop“ und beliebte Fallen wie „info@“ etc. gibt es bei mir nicht. Wer den Erstkontakt will, muß bzw. darf mein Kontaktformular verwenden. Sollte doch mal – was ehrlich vielleicht ein, zwei mal im Jahr passiert, wenn überhaupt – mißbräuchliche Nutzung stattfinden, weiß ich a) sofort, wer geschlampt oder vorsätzlich Mist gebaut hat und kann b) diese Adresse sofort deaktivieren – falls ich das nicht beim regelmäßigen Aufräumen eh schon getan habe.

    Um zum Punkt zu kommen: Dies sollte man mal für Zahlungsmittel weiterdenken. Anstelle dieser heute, weil noch aus den Zeiten der Ritschratsch-Geräte stammenden, sinnfreien dreistelligen „Verifikationsnummer“ auf der Rückseite sollte es irgendeinen[tm] Weg geben, für jeden Zahlungsempfänger (der ja seinerseits sowieso individuell bei den Kartenherausgebern akkreditiert sein muß) eine einzigartige Karten-„Sub“-Nummer zu generieren, die sich auch nicht rückentschlüsseln läßt (Hash-Prinzip). Damit ist sichergestellt*gewährleistet, daß die Daten nur für Transaktionen mit diesem Empfänger genutzt werden können. Kommen diese Daten abhanden, sind sie für den Dieb zumindest als Zahlungsmittel wertlos. Obendrein könnte man, wenn irgendwann irgendwo irgendwelche Datensätze auftauchen, sofort nachvollziehen, wer offenbar gschlampt hat.

    Bleibt der übliche Serm: „Ist teuer, umständlich etc“ -> insofern stimmt es, der Verbraucher müßte „den Markt“ zwingen. Direkt oder indirekt (durch Wahl der richtigen Partei. Haha).

    *was ist schon sicher.

    • @David:

      Ach mein Bruder im Geiste – so etwas hatte ich (tatsächlich) auch schon im Kopf. Eine Art „laufende“ Nummer für vergebene Daten, wie auch ich Mailaccounts (aber auch manchmal Brief-Adressangaben) kontaktbezogen generiere.

      Bei Mail ist es – wenn dann Spam kommt – einfach: /etc/aliases editieren und newaliases aufrufen. Wie aber setzt man das mit der Kreditkarte um? Ein „neutraler“ Dritter scheidet aus -> Next failure.
      Im Zweifel tatsächlich jede Zahlung mittels TAN autorisieren. Dann wird – zumindest mit der Kreditkarte – kein Unfug mehr gemacht.

      Die Kosten dafür tragen – über Kreditkartenunternehmen + Akzeptanzstellen – natürlich wir.

      • @reizzentrum:
        Vielleicht ist es einfacher: Nimm PGP als Beispiel. Ich verschlüssele meine Kreditkartennummer und die Händler-ID auf den öffentlichen Schlüssel des Instituts. Der Händler kennt aber den privaten Schlüssel des Instituts nicht. Er leitet beim Zahlungsvorgang also den ihm intransparenten Datensatz blind (eventuell unter Beilage eines zusätzlichen Händlerschlüssels, nicht sicher ob nötig) an das Institut weiter, dieses kann mit seinem privaten Schlüssel meine Kartennummer und die Händler-ID auslesen, für beide Teile die Legitimation prüfen und dem Händler dann entweder einen Status 200 oder ein 403 (oder 404 ;-)) zurückgeben.

        Ab hier sollten wir glaube ich mal die öffentliche Diskussion beenden und zum Patentamt gehen 😉

        Edit: Warum werden meine Kommentare manchmal moderiert? Schlüsselwörter? Frequenz? Zufallsprinzip?

          • @reizzentrum: Oh, nein, nicht mitbekommen – was war da? Fand Akismet immer recht zuverlässig!

            Ansonsten: Hallo? Monsanto läßt sich Samen und Schnitzel patentieren, was beweist, daß es nur einer guten Powerpoint-Folie und einer schicken Krawatte bedarf und ggf. eines neuen Schlauches bedarf, um Leuten alten Wein für gutes Geld zu verkaufen. Aber Patent hin oder her, klar, es gibt genug Beispiele. Daß die noch niemand auf den Zahlungsverkehr (außerhalb bankinterner Geschichten jedenfalls) übertragen hat, ist doch der allseits beliebten Idiotie geschuldet, analoge Zahlungsmittel 1:1 digitalisieren zu wollen (ich sage nur: Leute, die Webseiten standardmäßig im „Buchlayout“ vorhalten und am liebsten noch alle 5 Absätze ein javascriptbasiertes Umblätterflasheffektdingsbums einbauen ;)).

            Andererseits schätze ich wiederum selbst die bis heute immer noch vereinzelt anzutreffende archaische und stromunabhängige Option, mittels Ritschratsch und Unterschrift bezahlen zu können. Hm.

  3. Wer fordert, dass die Beweislast umgedreht werden soll, der gehört weggesperrt, und zwar in eine Geschlossene.
    Beckedahl und seine Jünger fordern da den Fuß in der Tür, vor dem sie an andere Stelle immer lautstark warnen. Wenn diesese Rechtsstaatsprinzip, für das ich sehr dankbar bin, einmal gekippt wurde, wird es auch an andere Stelle auch gekippt. (CDU-Politiker werden da sicher zur Höchstform aufsteigen.) Und dann bin ich sicher wird sich jemand finden, der Beckdahl einfach mal anzeigt:
    Soll er mal beweißen, dass er keine Kinderopornos irgendwo gespeichert hat. Unter jeder Diele kann ja ein USB-Speicher versteckt sein, oder vll hat er noch irgendwo ein Bankschließfach?, oder oder oder

    Wie sagte eine bekannte Sängerin vor kurzem: ICH GLAUB ES HACK!

  4. Abgesehen von der Kritik an der reißerischen und unpassenden Überschrift: #Digiges auf Zensursulas Pfaden?“ mal die ganz platte Feststellung: Wenn eine gewinnorientierte Firma ein Bezahlverfahren anbietet, das nicht 100% sicher ist, dann ist es natürlich Aufgabe dieser Firma zu beweisen, das nicht sie den Fehler gemacht haben, wenn ich Opfer einer auf diesem Bezahlsystem basierenden Straftat werde. Was diese Forderung mit Frau vd Leyen oder dem (Un-)Rechtsverständnis der CDU zu tun hat, ich kann es nicht nachvollziehen. Und wenn ich lese: „Wieviele Unternehmen haben z.B. meine Bank/Kreditkartendaten? Bestelldienste im Internet wie Amazon, Ottoversand, Paypal etc.. Wo habe ich mit Kreditkarte bezahlt? Wo mit einem Verrechnungscheck/Überweisung? Es gibt “Unendlich minus 1″ Möglichkeiten, wo meine Bankdaten rumliegen können.“ drängt sich mir die Frage auf, ob der Autor vielleicht zu leichtsinnig mit seinen Daten umgeht. Genau für wegen diesen sorglosen Umgang mit eigenen Daten kommt ja die Forderung von digiges, die Beweislast zugunsten des Verbrauchers umzudrehen.

    • @BohemianBerlin:

      Wieso unpassende Überschrift: Die grösste Kritik an von der Leyen war, dass Sie etwas forderte, dass Sie technisch und argumentativ nicht überschaute.

      Wenn eine gewinnorientierte Firma ein Bezahlverfahren anbietet, das nicht 100% sicher ist, dann ist es natürlich Aufgabe dieser Firma zu beweisen, das nicht sie den Fehler gemacht haben, wenn ich Opfer einer auf diesem Bezahlsystem basierenden Straftat werde.

      Platte Feststellung? Nunja, hast Du denn auch eine Idee, WIE die betreffenden Firmen das tun sollen?

      Es gibt “Unendlich minus 1″ Möglichkeiten, wo meine Bankdaten rumliegen können.” drängt sich mir die Frage auf, ob der Autor vielleicht zu leichtsinnig mit seinen Daten umgeht. Genau für wegen diesen sorglosen Umgang mit eigenen Daten kommt ja die Forderung von digiges, die Beweislast zugunsten des Verbrauchers umzudrehen.

      Weil ich eben NICHT (zu) sorglos mit meinen Daten umgehe, weiss ich wo diese Daten überall rumliegen. Seit einigen Jahren fahre ich (typischerweise) nach der Maxime „Nur Bares ist Wahres“. Aber bezahl mal einen Leihwagen mit Bargeld, oder das Hotel, oder ein Essen mit Geschäftspartnern. Deine Buchhaltung wird sich freuen und dich fragen, ob Du deine Kreditkarte verloren hast. Eine 14-tägige Reise kann mal schnell mehrere Tausend Euro Spesen verschlingen, trägst Du die im Brustbeutel mit die rum?

      Deine Argumentation (und nimm dass bitte nicht als persönliche Anmache) deckt sich mit der, welche von der Digitalen Gesellschaft vorgebracht wird: Hört sich toll an, ist aber ein wenig weg von der Realität.

  5. 2 kurze Antworten:
    1) Meine Kritik an der Überschrift: Sie suggeriert, dass Digiges sich für Internetsperren einsetzt.
    2) Du schreibst: „Aber bezahl mal einen Leihwagen mit Bargeld, oder das Hotel, oder ein Essen mit Geschäftspartnern. Deine Buchhaltung wird sich freuen und dich fragen, ob Du deine Kreditkarte verloren hast.“
    Stimmt – nur für Leihwagen habe ich überhaupt eine Kreditkarte. ABER: Ich finde das eh total dreist von den Leihfirmen, schließlich nötigen Sie mir eine Kreditkarte auf. Wieso kann ich nicht einfach Bar zahlen / Bar eine Kaution hinterlegen oder das per Überweisung tätigen? (es gibt übrigens Autovermieter, die dies anbieten, sind bei mir immer erste Wahl). Wenn diese Firmen also meinen, Sie müssen mich zur Kreditkarte drängen (siehe auch Flieger), dann ist es auch ihr Problem, das diese Zahlungsweise nicht sicher ist. So einfach ist das.

    • @BohemianBerlin:

      Erstmal danke, dass Du meine harschen Worte (ich bin halt laut und deutlich *gg*) nicht persönlich genommen hast.

      Bargeldlose Zahlungsmittel haben noch einen weiteren Vorteil: Ich muss im (ausser-€) Ausland nicht Unmengen von Devisen mitschleppen. Ich bin heute – dankenswerter Weise – nicht mehr oft beruflich unterwegs. Früher – als dies normal war – war ich für die Kreditkarte dankbar. Denn sie vereinfacht wirklich vieles. Ich hätte nicht immer all das Bargeld (und noch unterschiedliche Währungen) mit mir rumschleppen wollen.

      Selbst meine Eltern (Rentner und erzkonservativ) wissen mittlerweile das Plastik zu schätzen.

      Ich schätze auch hier – wie in vielen Bereichen – liegt die wirkliche Antwort auf den technologischen Wandel in Aufklärung und Reaktion des Verbrauchers. Leider ist der Verbraucher viel zu dämlich und träge, als dass er (siehe auch Atomstrom) „denen“ zeigt, was er von „ihnen“ hält. Schlicht durch bewusste Kaufentscheidungen.

      Denn ich frage nochmal: Wie willst Du (als Unternehmen) den Beweis antreten, dass die Daten NICHT von dir stammen.

    • @BohemianBerlin:
      Ich war ja gleich ganz oben für Axel und Ilse 😉

      Im Ernst, natürlich hast du vollkommen Recht mit dem Boykottargument. Ich bin ehrlich der gleichen Meinung. Habe aber stellenweise längst resigniert, da man sich dabei irgendwann erstens wie Don Quichote fühlt, zweitens eines Tages in seinem Keller festsitzt und höchstens noch ab und zu was beim Bauern nebenan zu kaufen kriegt. Sag jetzt bitte nicht „Gruppendruck“ oder sowas, das weiß ich selbst, aber was willst du machen? Davon mal abgesehen, daß bargeldloser Zahlungsverkehr unter bewußter Nichtbetrachtung der unappetitlichen Begleiterscheinungen, die so ein toller freier Markt („wenn wir die Daten nicht mißbrauchen tut’s ein anderer und dann wird DER reich und nicht wir“) scheinbar zwangsläufig mit sich bringt, ja an sich ne echt prima Sache ist. Finde ich jedenfalls. Schon weil man nie weiß, wer den guten alten Geldschein oder die Münze wann aus welchem Grund und zu welchem Zweck an oder in welchem Körperteil hatte…

  6. Letzte kurze Antwort (muß leider gleich weg): Habe ja nix mit digiges zu tun, kann es also nicht persönlich nehmen 😉 .
    –Denn ich frage nochmal: Wie willst Du (als Unternehmen) den Beweis antreten, dass die Daten NICHT von dir stammen.–
    Ich sehe es nicht als meine Aufgabe als Verbraucher, dieses Problem zu lösen. Wenn bei meiner Bank-Karte eine Skimming-Straftat stattfindet, möchte ich ja auch das Geld zurück haben.

    • @BohemianBerlin:

      Ich sehe es nicht als meine Aufgabe als Verbraucher, dieses Problem zu lösen.

      Ich – als jemand der hofft von der Materie Ahnung zu haben – tue mich schwer damit Dinge zu fordern, von denen ich überzeugt bin, dass sie einfach nicht umsetzbar sind. Und genau DAS ist auch dasd Problem, dass ich an der Stelle mit Digiges habe…

      Wenn ich fordere, muss ich auch aufzeigen können, wie diese Forderung erfüllbar ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert