Die Gefahren personalisierter Onlinewerbung

Eben bekam ich mittels Briefpost eine Werbepostkarte eines unserer Hardwarepartner. Es wurde kaum erzählt worum es bei dieser Werbung eigentlich geht, sondern ich wurde schlicht aufgefordert eine personalisierte Webseite aufzurufen.

Die URL setzte sich zusammen aus DOMAIN.TLD/NameVorname. Da der Partner einer von der besseren/netteren Sorte ist, rief ich die Domain auf und nach einigem „Blättern“ kam ich auf die Seite auf der ich nur anklicken musste „Rufen Sie mich zurück“. Meine Rufnummer wurde mir bereits dargeboten – ich könnte diese auch ändern.

Das Spielkind in mir erwachte, meine Ganglien machten schalt-schalt-schalt und ich gab als URL mal den Namen meines Chefs ein. Voila, es wurde mir seine Durchwahl-Rufnummer angezeigt. Wenn ich nun – try and error – diverse Vorname-Namen durchprobierte, bekam ich diverse Durchwahlnummer von mir bekannten oder auch unbekannten Personen angezeigt – jeweils unter dem Rufnummernfeld der „Rufen Sie mich zurück“-Option.

Ich hätte so – problemlos – die Durchwahlnummern diverser Kunden meines Partners ausspähen können. Eben die Durchwahlen, die typischerweise nicht unbedingt auf der Visitenkarte stehen und welche das Vorzimmer auch eher nicht heraus gibt.

Ich wollte schon die nächste Stufe zünden und – mittels Webproxy, ich bin ja nicht blöd – diverse Kunden dieses Lieferanten mittels „Rufen Sie mich zurück“ mal ein wenig unruhig zu machen. Aber für solch einen Scheiss bin ich zu alt, also entschied ich mich die Firmenzentrale zu kontakten, um mich über diesen Umgang mit meinen personenbezogenen Daten zu beschweren. Die Dame (wahrscheinlich aus dem Marketing), die dann meinen Anruf bearbeitete , war für meine Kritik dann auch empfänglich.  Bereits nach ca. 15 Minuten erhielt ich einen Rückruf und tatsächlich die Rufnummern wurden nicht mehr angezeigt.

Solche kleinen Debakel können jedem passieren. Manchmal ist es schlicht Unachtsamkeit, manchmal Dummheit. Hier unterstelle ich Unachtsamkeit und bin angenehm überrascht, wie schnell das Problem behoben wurde.

Merke: Nicht alles, was technisch möglich ist, ist auch gut!

Die – auf derselben Seite – stehenden Informationen zum Datenschutz lese ich – nach der Erfahrung – aber dennoch nur mit einem Schmunzeln:

Der Schutz Ihrer Privatsphäre bei der Nutzung unserer Webseiten und die vertrauliche Behandlung persönlicher Daten ist uns besonders wichtig.

Wir geben unter keinen Umständen und in keiner Form Ihre Daten an Dritte zu Marketing- oder Werbezwecken weiter insbesondere werden diese nicht verkauft, vermietet oder eingetauscht.

Durch ständige Kontrollen gewährleisten wir, dass Ihre Datenschutzrechte bei [von mir anonymisiert] streng gewahrt werden

Firmen gehen in die Cloud – und schenken der US-Wirtschaft ihre Daten

Bislang warnte ich potentielle Cloud-Interessenten davor, ihre Daten in einer Cloud in den USA hosten zu lassen. Heute muss ich sagen: Hände weg von jeglicher Cloud amerikanischer Unternehmen. Dazu zählen neben den üblichen Verdächtigen wie Amazon und Google auch die neuen Kinder auf dem Cloud-Spielplatz wie HP, IBM und andere.

Cloud-Anbieter wie Microsoft müssen US-Strafverfolgungsbehörden Zugriff auf von Kunden gespeicherte Daten gewähren, berichtet der US-Branchendienst ZDNet. Das betrifft auch in der EU ansässige Firmen und in europäischen Rechenzentren liegende Daten, wie Microsofts britischer Direktor Gordon Frazer anlässlich der Markteinführung von Microsofts Office 365 in London erklärte. Er antwortete damit auf die Frage, ob Microsoft zusichern könne, dass in seinen EU-Rechenzentren gespeicherte Daten Europa niemals verlassen könnten.

Da das Unternehmen seinen Firmensitz in den USA habe, müsse es die dortigen Gesetze befolgen, sagte Frazer. Das gilt insbesondere für den Patriot Act, der US-Strafverfolgern weitreichende Zugriffsrechte auf Daten gibt.

Quelle Heise. Es ist bekannt, dass die US-Amerikaner nicht gerade zimperlich sind, wenn es um ihre eigenen wirtschaftlichen Interessen geht und die NSA schon mal Faxe europäischer Unternehmen abfangen, um diese an die US-Unternehmen weiter zu geben. International tätige Unternehmen können – wenn sie ihre Entwicklungsdaten in einer Cloud bearbeiten – die Dokumente auch direkt an den in den USA ansässigen Wettbewerber faxen/mailen.

Wenn ich dazu lese, dass sich der BKA-Chef Ziercke heute beklagt

Im vergangenen Jahr ist die erfasste Internet-Kriminalität um 19 Prozent angestiegen. Laut Polizei ist dadurch ein Schaden von rund 61,5 Millionen Euro entstanden.

erscheinen mir diese 61,5 Millionen Schaden eher ein Kindergeburtstag zu sein – im Vergleich zu dem potentiellen Schaden, der der deutschen Wirtschaft durch Spionage durch die US-Behörden entstehen kann. Wo ist die bundesdeutsche Politik denn wenn es um den internationalen Datenschutz (nicht nur der Unternehmensdaten) geht?

#Digiges auf Zensursulas Pfaden?

„Wer ein Datenleck verursacht, muss beweisen, dass es nicht sein Leck war das zu Missbrauch geführt hat“, heißt es in einer Mitteilung. Und da für den Einzelnen der Nachweis kaum möglich sei, dass Betrugsfälle beispielsweise mit gestohlenen Kreditkartendaten aus dem Pool der betroffenen Firma stammen, müssten dann diese Unternehmen nachweisen, dass dies nicht der Fall sei.

Lese ich als eine der Forderungen der „Digitalen Gesellschaft“(Digiges), eine Lobbyvereinigung die – so wie Sie auftritt – vorgibt die Interessen der „Bürger im digitalen Zeitalter“ zu vertreten, aber mit der Ahnungslosigkeit des Ältestenrates des CDU-Kreisverbandes Hintertupfingen auftritt.

Harte Worte, oder? Aber als jemand, der sich seit Jahren mit Daten- und Systemsicherheit auseinander setzt, möchte ich mal die Frage stellen, wie ein Unternehmen denn den Nachweis antreten soll, dass es nicht schuld ist, dass meine Daten bei einem Drittunternehmen missbraucht werden.

Die Verteilung unserer Daten

Wieviele Unternehmen haben z.B. meine Bank/Kreditkartendaten? Bestelldienste im Internet wie Amazon, Ottoversand, Paypal etc.. Wo habe ich mit Kreditkarte bezahlt? Wo mit einem Verrechnungscheck/Überweisung? Es gibt „Unendlich minus 1“ Möglichkeiten, wo meine Bankdaten rumliegen können. Sollen nun all diese Unternehmen erstmal unter Generalverdacht stehen, wenn irgendwo meine Kreditkartendaten auftauchen? Und wie soll ein Unternehmen nachweisen, dass es nicht schuld daran schuld ist, dass meine Daten in fremde Hände gelangt sind?

Der Beweis der Unschuld

Die Blogger-Profis um Beckedahl herum, sollen mir mal beweisen, dass niemand auf dem Server von netzpolitk unberechtigten Zugriff hat. Weder durch Weitergabe von privilegierten Zugriffsdaten, noch durch Softwarefehler, noch durch physikalischen Zugriff auf dem Server. Desweiteren sollen mir die Möchtegernprofis der digitalen Gesellschaft einmal aufzeigen, wie ich nachweise, dass niemand Zugriff hatte:

  • Auswerten der Logdateien? Die werden vom Hacker als erstes gelöscht, das können sogar Klicki-Bunti Rootkits
  • Logdateien auf separat gesicherten Severn? Und wenn die auch gehackt werden?
  • Gar kein externen Zugriff? Dann habe ich (wie meist) das Problem inhouse – obiges bleibt bestehen.

Jeder Nutzer, der von dem SONY-Debakel betroffen ist, könnte sich nun hinstellen und bei etwaigen Unstimmigkeiten der Kreditkartenabrechnung SONY in die Pflicht nehmen. Ob die Daten durch die Lücke bei SONY den Weg in die Freiheit genommen haben, oder bei dem Internethändler „Billig und Geil“ in Palermo, bei dem ich vor 2 Monaten per Kreditkarte zahlte, oder der Keylogger oder oder oder. Laut der Forderung der Digitalen Gesellschaft muss SONY nachweisen, dass der Betrüger die Daten nicht aus deren Datenbestand hat. Wie soll das funktionieren?

Nachwort

In meinen Augen haben sich die Leute der Digitalen Gesellschaft mit dieser Forderung auf das Niveau einer Frau von der Leyen begeben: Forderungen stellen ohne sich vorher eingehend mit der Materie auseinander gesetzt zu haben, mal mit einem gesprochen zu haben, der etwas davon versteht(SCNR).

Abgesehen von dem – in meinen Augen – Blödsinn, den die Digiges hier verzapft, gibt es natürlich Handlungsbedarf in Sachen Datenschutz und Datensicherheit. Allerdings muss man hier sehr genau darauf achten was man fordert und welche Lösungen man vorschlägt, da man sich sonst schnell in Abseits manövriert.