Die Vorratsdatenspeicherung – was nun? Ein Lösungsansatz

Bekanntlich tritt das Gesetz zur neuen Vorratsdatenspeicherung ja nun am 18.12.2015 in Kraft. Das heißt, jede Bewegung des Handys, jedes Telefonat, jede Mail und noch einiges anderes wird pauschal registriert. In Bayern soll sogar das Landesamt für Verfassungsschutz (Ja, genau diese ehrlose Bande der kein vernunftbegabtes Wesen mehr traut), Zugriff auf die derart erhobenen Daten erhalten. Vorbei sind die Zeiten, dass diese Daten nur bei Schwerstkriminalität angefasst werden.

Kann man auch etwas gegen den gläsernen Bürger mittels Vorratsdatenspeicherung tun? Ich denke ja, zumindest wenn man ein paar Resourcen „über“ und einen Freundes/Bekanntenkreis, der sich wehren möchte, hat.

Gegeben sei eine Telefonanlage, auf der erst einmal alle eingehenden Anrufe der Teilnehmer auf einer zu definierenden Festnetznummer terminiert und auf das jeweilige Mobiltelefon weitergeleitet werden. Da die Weiterleitung mittels einer hinterlegten Tabelle realisiert wird, kann man diese Weiterleitungen jederzeit ändern. Im Kleinen kann ich z.B. mit meiner Frau und meiner Tochter einen Ringtausch anstoßen. Wir wechseln einfach zufällig die Telefone und ändern stets die Weiterleitung. Nun werden die Ermittlungsbehörden natürlich wissen, dass ich mich tagsüber an meinem Arbeitsplatz aufhalte, also wird das sich dort eingebuchte Telefon ein Hinweis sein, dass ich es bin der sich dort aufhält. Aber wer von uns ist Abends im Pub, wer im Kino und wer treibt sich auf dem Kiez rum? Mit drei Menschen ist die Verwässerung noch recht überschaubar. Ich kann mir aber vorstellen, dass eine erklecklich grössere Menge von Menschen hier genügend „Unruhe“ in die erfassten Daten bringen können, dass eine Beweisführung mittels „Sie haben sich um $Uhrzeit an $Ort aufgehalten“ schlicht ins Leere geht.

Datenschutz und personenbezogene Daten bei der AOK in Heidelberg

Hach, es gibt so Tage und Gelegenheiten, da wird mir klar, wie wenig das Bundesdatenschutzgesetz (BDSG) in Deutschland Beachtung findet. Das aktuelle Beispiel liefert uns die AOK -Baden-Württemberg, speziell das KundenCenter Heidelberg in der Kurfürsten-Anlage 34-36.

Die beste Ehefrau von allen kündigt (jaja, endlich..) bei der AOK, um sich bei einer anderen Krankenkasse zu versichern. In ihrer Kündigung inkludiert Sie den Satz „Von Rückwerbeversuchen bitte ich abzusehen“. Eine klare Willensäusserung, was mit ihren personenbezogenen Daten eben NICHT zu geschehen hat: Sie zu kontaktieren um sie zurück zu werben.

Und wer ruft bei uns an um sich zu erkunden, warum gekündigt wird und versucht die Kündigung noch rückgängig zu machen? Genau: Das KundenCenter Heidelberg der AOK -Baden-Württemberg. Besonders interessant ist dies, da eine Krankenkasse typischerweise nicht nur Adressdaten, sondern eben auch besonders zu schützende (Gesundheits)Daten be- und verarbeitet. Und wer im Kleinen schon so wenig sorgsam mit personenbezogenen Daten umgeht, dem traue ich nicht so weit wie ich ihn werfen könnte. Besonders possierlich ist in diesem Zusammenhang folgendes Zitat der Webseite der AOK:

Die AOK legt besonderen Wert darauf, dass bei der Nutzung der Internetangebote stets Ihre Privatsphäre gewahrt bleibt.

Deshalb ist das Einhalten der gesetzlichen Bestimmungen zum Datenschutz für uns selbstverständlich.

Genau! Die Einhaltung des gesetzlichen Bestimmungen ist der AOK wichtig… Wissen das auch die Mitarbeiter? Bilden die internen Prozesse dies auch ab? Ich wage dies deutlich anzuzweifeln.

Am Wochenende wird wohl ein Schreiben an den zuständigen Landesdatenschutzbeauftragten aufgesetzt werden müssen.

Anmerkung: Und das mir, der ausgerechnet allein diese Woche zwei ganztägige Weiterbildungsveranstaltungen in Sachen BDSG und Datenschutz besucht hat.

Warum die Deutsche Regierung nicht offen über PRISM sprechen KANN!

Mal angenommen, dass was sich derzeit an Informationen verdichtet, nämlich das bundesdeutsche Behörden seit vielen Jahren nicht nur mit der NSA zusammen arbeiten, sondern auch Daten austauschen, würde der Wahrheit entsprechen. Welche Möglichkeiten hätte die Deutsche Regierung zu reagieren und was könnte es für Deutschland (vor allem die Wirtschaft) bedeuten?

Wenn es tatsächlich der Wahrheit entspricht, dass bundesdeutsche Dienste seit Jahren eng mit der NSA zusammen arbeiten, muss sich daraus die Erkenntnis ableiten, dass die deutschen Behörden seit Jahren zumindest eine Ahnung haben, was die NSA für technische Möglichkeiten nutzt. Nun gibt es genau zwei Möglichkeiten:

  1. Die Dienste haben prima mit den US-Amerikanern Informationen getauscht, ihre Vorteile genutzt aber die Regierung hat davon nichts mitbekommen. Dies würde bedeuten, dass das parlamentarische Kontrollgremium eine Farce – ein Muster ohne Wert ist. In diesem Falle gehören umgehend die unkontrollierbaren Dienste abgeschafft. Es ist schlichtweg nicht in der Verfassung vorgesehen, dass es unkontrollierte/unkontrollierbare Institutionen gibt. Zudem ist jedweder involvierte Mitarbeiter ist wegen schwerem Vertrauensbruch aus dem Staatsdienst zu entlassen, inklusive des lebenslangen Berufsverbot in jedweder Behörde.
  2. Die zweite Möglichkeit ist ungleich folgenschwerer: Die Kontrollgremien haben all die Jahre funktioniert und einzelne Politiker von CDU als auch von SPD, FDP und Grüne (die alle irgendwann einmal an der Regierung beteiligt waren!) haben all die Jahre mit diesem Status Quo leben gelernt. Dies würde bedeuten, dass unsere Regierung über viele Jahre hinweg nicht durch die Verfassung gedeckte Aktionen der US-amerikanischen Dienste geduldet haben.

Welcher Möglichkeit klingt plausibler? Ich mag dies nicht entscheiden. Was aber, wenn die Information des „Wir hören all eure Bürger ab, aber es geht nur um Terrorismus“ seit Jahren in Regierungskreisen bekannt war? Eine Revolution wird schon nicht stattfinden. Der normale Bundesbürger versteht nicht worum es geht, außerdem ist das Betreten des Rasens ohnehin verboten. Viel gefährlicher ist die Folge dieses ungelösten Rätsels für Wirtschaftsunternehmen. Diese können agieren und sind äußerst sensibel. Es gibt nichts auf der Welt, dass so sehr gehegt und gepflegt wird, wie der Shareholdervalue. Sollte es sich herausstellen, dass der Wirtschaftsstandort Deutschland durch das Vorgehen der Bundesregierung geschwächt wurde/wird, dann könnte es merkbare Folgen haben. Ich weiß nicht, ob es diesbezügliche Gespräche bereits zwischen Wirtschaft und Regierung gab. Ich kann es mir aber sehr gut vorstellen. Wie könnte es an der Stelle weiter gehen? Wird das Vertrauen in den Wirtschaftsstandort Deutschland durch „wirtschaftliches Entgegenkommen“ stabilisiert?

Verdammt, es stinkt so sehr!

Eine Mail an den BND

Ein Artikel bei Netzpolitik brachte mich darauf, dass ich mich doch mal um den Datenschutz meiner höchstpersönlichen Daten kümmern sollte. Ich glaube ja nicht, dass da schnell etwas passieren wird, aber ich habe das verdammt Recht auf meiner Seite. Und ich bin nicht geneigt mir Unrecht gefallen zu lassen.

To:  zentrale@bundesnachrichtendienst.de
CC: poststelle@bfdi.bund.de, clemens.binninger@bundestag.de
Subject: Überwachung meine Internetverkehrs

Sehr geehrte Damen und Herren,

den Medien musste ich entnehmen, dass Sie als Merkmal für „nicht zu überwachenden Internetverkehr deutscher Staatsbürger“ allein die Verwendung der Topleveldomain „.de“ definieren. Dies nutzt mir, als in Deutschland lebender Bundesdeutscher Staatsbürger und Nutzer einer „.net“-Topleveldomain, leider nichts. Aufgrund ihres definierten Aufgabenbereich (Auslandsaufklärung) gehört die Überwachung deutscher Staatsbürger (also auch mir) NICHT zu ihrem Aufgabenbereich.

Als Besitzer der Domain „$DOMAIN.net“ (von Ihnen über das Tool „whois“ prüfbar), möchte ich Sie also auffordern, den von und zu meiner privat betriebenen Domain laufenden Internetverkehr aus ihren Überwachungsmaßnahmen auszuklammern.

Außerdem möchte ich Sie auffordern, die von mir genutzten Mailadressen h$Username@$DOMAIN.net(meine Firmenmailadresse bei einem in Deutschland ansässigen, deutschen Unternehmen, der $FIRMA GmbH) sowie $USERNAME@gmail.com (eine weitere, von mir genutzte Mailadresse) ebenfalls aus ihren Überwachungsmaßnahmen auszuklammern.

Ich bitte Sie
1) den Eingang dieser Aufforderung sowie
2) die Umsetzung der Maßnahmen
schriftlich zu bestätigen

Mit freundlichen Grüßen

$Name
$Anschrift

CC: – Die Bundesdatenschutzbeauftragte
CC: – Clemens Binninger, Vorsitzender des Parlamentarischen Kontrollgremiums

 

Sichere Cloud-Anbieter in Deutschland

Keine Bange, hier kommt nun keine Werbung, nur eine Warnung. Jüngst stolperte ich wieder über einen Artikel – diesmal in der Channelpartner – in dem die wunderbaren Dienstleistungen von „Cloud“-Anbietern aus den USA gepriesen werden. Auch geht hier zum Beispiel Amazon voll auf einen Aspekt in Sachen Datensicherheit ein:

Amazon weiß indes ganz genau, dass der Erfolg im B2B-Geschäft mit der Sicherheit der Daten steht und fällt. AWS-Chef-Vordenker Werner Vogels betonte in seiner Eröffnungsrede mehrfach und ausführlich, wie wichtig es der Company ist, dass Kundendaten vor fremden Zugriffen geschützt sind. Dazu hat der Betreiber in den AWS-Diensten mehrere Security-Schranken etwa zur Verschlüsselung eingebaut. Die Betonung der Datensicherheit zielte eindeutig auf die Befindlichkeiten der deutschen Anwender, die durch die Snowden-Enthüllungen in ihrer Skepsis bestätigt wurde. „Wir waren nie Teil von PRISM“, versuchte Vogels das deutsche Publikum zu beruhigen.

Problematisch ist nur: Selbst ohne NSA und Prism, sind deutsche Daten bei Amazon & Co nicht sicher. Schon vor 3 Jahren konnte man auf ZDNET lesen, dass nicht nur die NSA – ohne richterlichen Beschluss – Zugriff auf jegliche Daten erlangen kann:

At the Office 365 launch, Microsoft U.K.’s managing director Gordon Frazer, gave the first admission that cloud data, regardless of where it is in the world, is not protected against the Patriot Act Act.

Für deutsche Unternehmen heißt dies: Finger weg von Datenservices von US-Unternehmen. Es ist egal, ob der Server in Deutschland, Irland oder Kalifornien steht. US-Behörden haben über die US-Mutter immer Zugriff auf die Daten. Dabei muss man nicht einmal an das Bundesdatenschutzgesetz denken. Noch bedenklich sollte für Unternehmen die Möglichkeit der Wirtschaftsspionage sein. Denn gerade im Bereich Mittelstand gibt es sicher viele schützenswerte kleine Schmankerl der Ingenieurkunst. Aber auch auf internationalem Märkten agierende Firmen sollten sich in Acht nehmen, denn nur zu schnell ist nach einem kurzen Blick auf das Angebot eine etwas günstigeres Wettbewerbsangebot eines US-Unternehmens vorgelegt..

Interessant ist die Frage, wie es um deutsche Unternehmen steht, die eine US-Niederlassung haben. Ich würde z.B. zu gern erfahren, wie die T-Mobile USA sich verhält, wenn dort US-Behörden versuchen Zugang zu Daten auf deutschen Servern zu erzwingen. Sind Daten auf deutschen Telekom-Servern dann wirklich noch vor dem Zugriff sicher?

Was also sollte man beachten, wenn man Daten wirklich vor dem Zugriff vor US-Behörden verarbeiten möchte?

  1. Keine Daten bei US-Unternehmen hosten (auch wenn der Server in Wuppertal steht)
  2. Sicherheitshalber auch sehr genau überdenken, ob man seine Daten bei deutschen Firmen mit US-Töchtern verarbeiten lässt.

Immer dran denken: Wenn die Daten erstmal draußen sind, bekommt man sie nie wieder rein. Und auf die deutsche Politik kann man sich leider nicht verlassen.

Betrogene Spammer mit Hilfe der Landesdatenschutzbeauftragten „jagen“

Ich hasse Spammer – und gegen die meisten ist man juristisch machtlos, da man keine Handhabe gegen Spammer im Ausland hat. Bei ausländischen Spammern hilft nur die technische Eindämmung der Auslieferung durch – vorsichtige! – technische Maßnahmen.

Gegen Spammer aus Deutschland allerdings hat man rechtliche Möglichkeiten und behilflich sind hierbei die Landesdatenschutzbeauftragten. Das zeigt auch mein aktueller Problemfall mit der Firma Domainprofi GmbH in Osnabrück. Am 10.04.2014 sandte mir die Firma Domainprofi GmbH eine Briefwerbung mit dem Angebot diverse „Top Domains“ zu zum „Sonderpreis“ an. Zu diesem zweck sandte mir die Firma Domainprofi GmbH ein Werbeschreiben an eine Postanschrift, unter der ich seit ca. 14 Jahren nicht mehr erreichbar bin. Hinzu kommt, dass die Adresse in gewisser Hinsicht recht speziell war – ich habe sie NIEMALS „öffentlich“ genutzt. Sie war nur in einer (öffentlich recherchier-, aber nicht verwertbaren) Datenbank eines Domainregistrars (RIPE) enthalten. 

Wie also kommt die Firma Domainprofi GmbH dazu, mich mit derart alten Adressdaten per Briefpost zu bespammen? Mein Standardanschreiben für Spammer

Sehr geehrte Damen und Herren,

Bezug nehmend auf ihre Briefpost vom 10.04.2014 an die Anschrift:

$Name
$Strasse
$PLZ $Stadt

fordere ich Sie hiermit auf, mir auf Grundlage des §34 Bundesdatenschutzgesetz, mitzuteilen:

1) Die Quelle, aus der Sie meine personenbezogenen Daten bezogen haben,
2) Die Art und den Umfang der über mich gespeicherten personenbezogenen
    Daten
3) Etwaige Stellen, an welche Sie die Daten bereits weitergegeben
    haben(könnten)
4) Den Zweck der Speicherung

5) Ich fordere ich Sie auf - nachdem Sie ALLE oben genannten Punkte recherchiert und beantwortet haben - meine bei
   Ihnen vorliegenden personenbezogenen Daten zu löschen.


Ich setze Ihnen für Obiges eine Frist bis zum $Frist.

wurde kurz und knapp mit „Ist eine Firma, das BDSG greift nicht“ beantwortet. Diese Aussage ist sachlich falsch. Beschrieben habe ich meine Erwiderung bereits hier bei Google+ – ich spare euch hier die Wiederholung des Textes. Kurz: Die Firma irrt massiv, auch Firmen können unter gewissen Umständen unter das BDSG fallen.

Nachdem meine Klarstellung mit der nochmaligen Aufforderung um Klärung an die Firma Domainprofi GmbH unbeantwortet blieb, schaltete ich den Landesdatenschutzbeauftragten des Lande Niedersachsen ein. Seine Antwort war kurz und knapp:

Der Landesbeauftragte für den Datenschutz Niedersachsen

Sehr geehrter Herr Köpke,

Das Unternehmen DomainProfi GmbH, Osnabrück, hat den Adressdatensatz der $FIRMA aus der Firmendatenbank Marketing1 www DOT marketing1 DOT net/de (Link von mir entfernt) erhalten.

Der Adressdatensatz ist von der DomainProfi GmbH nicht an Dritte übermittelt und gelöscht worden.

Mit freundlichen Grüßen 
Im Auftrage

$Bearbeiter

Wir lernen: Die Steuergelder, die uns die Datenschutzbeauftragten von Bund und Ländern kosten, sind (zumindest teilweise) sehr gut angelegt. Nach knapp 14 Tagen hat mir der freundliche Datenschutzbeauftragte eine befriedigende Antwort gesandt. Ich gehe davon aus, dass die Firma Domainprofi GmbH die Daten tatsächlich gelöscht hat (sonst kämen die wohl in „Teufels Küche“). Eine besondere Freude ist es mir, zu wissen dass Domainprofi GmbH von einem Adressverkäufer übers Ohr gehauen wurde, da sie wohl asbach-uralte Datensätze gekauft haben. Geschieht ihnen recht. Schon der Versuch zu spammen soll schmerzhaft sein.

WARNUNG vor Anruf vom „Microsoft-Support“

Sorry, dies ist kein HOAX, es ist mir persönlich eben (am 30.04.2014 um 10:44) tatsächlich passiert. Diese Masche ist – zumindest mir – neu. Es wird nun tatsächlich schon versucht Rechner mittels Spam-Anrufen zu übernehmen. Bitte warnt diejenigen, die im Zweifel darauf reinfallen können. Eure Eltern, aber auch Freunde und Bekannte (OK, ich kenne auch niemanden der darauf reinfallen könnte – aber falls ….)

Das Telefon (Festnetz) klingelt, ein anonymer Anrufer. Ich ahne es bereits …. – habe aber Zeit und Lust dieses Gespräch anzunehmen. Es meldet sich ein – mit asiatischem Akzent englisch sprechender – Herr und erklärt, er würde vom Microsoft-Support bei mir anrufen.

Warnlevel: HIGH!

Ich nehme das Gespräch freundlich an, erkläre dass ich der englischen Sprache mächtig bin. Ich werde informiert, dass Microsoft herausgefunden hat, dass es ein massives Problem mit meinem Rechner geben würde.

Die wissen dass MEIN Rechner (wechselnde IP-Adresse) unsicher ist und wissen wie sich mich telefonisch erreichen? Die Überwachung ist weiter als ich dachte, wenn selbst Microsoft diese Daten verknüpfen kann.

Weil Support bei Microsoft groß geschrieben wird, will mir der freundliche Herr von „Microsoft“ nun helfen, das Problem zu lösen. Ich solle doch bitte an meinen Rechner gehen und diesen starten

Jepp, DAS Spiel spiele ich mit, mal sehen mit welcher Masche Du Widerling versuchst einfachen Nutzern die Kontrolle über ihren PC zu entreissen. Mein Rechner ist zwar „up and running“, aber ich kann prima Zeit schinden, in der dieser Hansel niemanden anderen betrügen kann.

Nachdem ich (ca. 5 Minuten später, mein Rechner ist alt und nicht so schnell) dann erkläre, dass mein Rechner nun gestartet ist und wir loslegen können, werde ich gebeten „WINDOWS-R“ (Kommandoeingabe unter Windows) zu drücken.

Hier kann man nochmal eine Minute verzögern, wenn man die Tastenkombination nicht versteht – „What?“

Nun soll ich den Eventmanager starten

OK, da kann der von draußen noch nichts kaputt machen den Schritt gehen wir mal mit

Ich werde aufgefordert nun in die Kategorie Events/Security klicken und erklären ob hier Einträge vorhanden sind. Ich antworte wahrheitsgemäß mit „ja“ und muss erfahren, dass diese Einträge der Beweis sind, dass in meinen Rechner bereits eingebrochen wurde und ich ein echtes Problem habe: Mein Rechner greift das Internet an! Aber Microsoft will mir ja helfen, er wird mich nun also an den Abteilungsleiter(!) weiter reichen, der mir helfen wird, mein Problem zu lösen.

NUN also gelte ich für die Jungs als lenkbar und geknackt – nun werden sie wohl zum eigentlichen „Angriff“ ansetzen“ – und so kommt es dann auch.

Der „Abteilungsleiter“ übernimmt den Call und fragt, ob der „Test“ stattgefunden hat und ob ich dort Einträge im Journal hatte. Als ich dieses positiv beantworte, werde ich beruhigt, dass er mir nun helfen wird das Problem zu beheben. Ich werde gebeten wieder WINDOWS-R einzugeben. Dann soll ich doch bitte eingeben „www.support.me“ und sagen, was nun passiert.

Hier wird es nun wirklich gefährlich, denn hier muss ich nun einen 6-stelligen Code eingeben und dann den Download der Remote-Control-Software starten. Höchste Zeit den Versuch abzubrechen, wir wissen genug. Denn es ist mir egal, ob bereits der Start der Software oder erst später der Zugriff von außen ermöglicht wird.  Denn hier wird es echt gefährlich!

An diese Stelle erkläre ich dem – ausgesprochen freundlichen – Herrn „Abteilungsleiter vom Microsoft-Support“, dass ich nichts runterladen würde, welches aus ungesicherter Quelle kommen würde. Seine Antwort, dass diese Quelle sicher wäre, schliesslich würde ER – also Microsoft – mich doch dazu auffordern, das ist schon OK, macht bricht meinen Widerstand nicht. Ich verabschiede mich freundlich und bestimmt und wünsche ihm, dass er in Zukunft einen Job bekommt, bei dem er keine Straftaten begehen muss.

Diese Masche ich wirklich dreist. Man scheint mit Viren/Trojaner/Botnetzen tatsächlich viel Geld verdienen zu können, dass dieser Scam sich rechnet. Denn SO wichtig bin ich nicht, dass man gezielt versucht meinen Rechner auf SO dumpfe Art übernehmen zu können.