#Digiges auf Zensursulas Pfaden?

„Wer ein Datenleck verursacht, muss beweisen, dass es nicht sein Leck war das zu Missbrauch geführt hat“, heißt es in einer Mitteilung. Und da für den Einzelnen der Nachweis kaum möglich sei, dass Betrugsfälle beispielsweise mit gestohlenen Kreditkartendaten aus dem Pool der betroffenen Firma stammen, müssten dann diese Unternehmen nachweisen, dass dies nicht der Fall sei.

Lese ich als eine der Forderungen der „Digitalen Gesellschaft“(Digiges), eine Lobbyvereinigung die – so wie Sie auftritt – vorgibt die Interessen der „Bürger im digitalen Zeitalter“ zu vertreten, aber mit der Ahnungslosigkeit des Ältestenrates des CDU-Kreisverbandes Hintertupfingen auftritt.

Harte Worte, oder? Aber als jemand, der sich seit Jahren mit Daten- und Systemsicherheit auseinander setzt, möchte ich mal die Frage stellen, wie ein Unternehmen denn den Nachweis antreten soll, dass es nicht schuld ist, dass meine Daten bei einem Drittunternehmen missbraucht werden.

Die Verteilung unserer Daten

Wieviele Unternehmen haben z.B. meine Bank/Kreditkartendaten? Bestelldienste im Internet wie Amazon, Ottoversand, Paypal etc.. Wo habe ich mit Kreditkarte bezahlt? Wo mit einem Verrechnungscheck/Überweisung? Es gibt „Unendlich minus 1“ Möglichkeiten, wo meine Bankdaten rumliegen können. Sollen nun all diese Unternehmen erstmal unter Generalverdacht stehen, wenn irgendwo meine Kreditkartendaten auftauchen? Und wie soll ein Unternehmen nachweisen, dass es nicht schuld daran schuld ist, dass meine Daten in fremde Hände gelangt sind?

Der Beweis der Unschuld

Die Blogger-Profis um Beckedahl herum, sollen mir mal beweisen, dass niemand auf dem Server von netzpolitk unberechtigten Zugriff hat. Weder durch Weitergabe von privilegierten Zugriffsdaten, noch durch Softwarefehler, noch durch physikalischen Zugriff auf dem Server. Desweiteren sollen mir die Möchtegernprofis der digitalen Gesellschaft einmal aufzeigen, wie ich nachweise, dass niemand Zugriff hatte:

  • Auswerten der Logdateien? Die werden vom Hacker als erstes gelöscht, das können sogar Klicki-Bunti Rootkits
  • Logdateien auf separat gesicherten Severn? Und wenn die auch gehackt werden?
  • Gar kein externen Zugriff? Dann habe ich (wie meist) das Problem inhouse – obiges bleibt bestehen.

Jeder Nutzer, der von dem SONY-Debakel betroffen ist, könnte sich nun hinstellen und bei etwaigen Unstimmigkeiten der Kreditkartenabrechnung SONY in die Pflicht nehmen. Ob die Daten durch die Lücke bei SONY den Weg in die Freiheit genommen haben, oder bei dem Internethändler „Billig und Geil“ in Palermo, bei dem ich vor 2 Monaten per Kreditkarte zahlte, oder der Keylogger oder oder oder. Laut der Forderung der Digitalen Gesellschaft muss SONY nachweisen, dass der Betrüger die Daten nicht aus deren Datenbestand hat. Wie soll das funktionieren?

Nachwort

In meinen Augen haben sich die Leute der Digitalen Gesellschaft mit dieser Forderung auf das Niveau einer Frau von der Leyen begeben: Forderungen stellen ohne sich vorher eingehend mit der Materie auseinander gesetzt zu haben, mal mit einem gesprochen zu haben, der etwas davon versteht(SCNR).

Abgesehen von dem – in meinen Augen – Blödsinn, den die Digiges hier verzapft, gibt es natürlich Handlungsbedarf in Sachen Datenschutz und Datensicherheit. Allerdings muss man hier sehr genau darauf achten was man fordert und welche Lösungen man vorschlägt, da man sich sonst schnell in Abseits manövriert.

Nur Bares ist Wahres

Nach Abrechnungsunternehmen und Kreditkartenfirmen nun auch Sparkasse:

Genießer, Hedonisten, Performer: In solche Sparten ordnet die Hamburger Sparkasse Kunden ein, ohne dass sie davon wissen. Laut NDR sollen Berater durch die Psycho-Profile gezielter Produkte an die Leute bringen. Die Bank teilt mit, sie wolle nur die „Sprache der Kunden verstehen“.

Quelle Spiegel. Der NDR geht in der Recherche weiter und lässt auch Edda Castelló von der Hamburger Verbraucherzentrale zu Wort kommen:

Und für Edda Castelló gibt es ein großes Fragezeichen: Denn woher die Daten für die Typisierung der Haspa-Kunden stammen, wurde zumindest im Schulungsraum der Sparkasse nicht weiter erwähnt. Fakt ist: Kein anderes Unternehmen weiß so viel über seine Kunden wie eine Bank – jede Kontobewegung, jede Überweisung enthält wertvolle Informationen über die Verbraucher. Ohne Zustimmung der Kunden ist eine Auswertung von Kontodaten jedoch nicht erlaubt – schon gar nicht, wenn die Verbraucher nicht wissen, was ein Kreditinstitut mit ihren Daten macht.

und es gibt auch einen Verdacht, woher die konkreten Daten kommen, welche die Sparkasse nutzt um die Auswertungen zu realisieren:

Bei der Haspa müssen die „Joker“-Kunden ihre Daten preisgeben, um in den Genuss des Rabattkontos zu kommen – und sie entbinden dafür die Sparkasse vom Bankgeheimnis. Die Bank beteuert zwar, alles laufe streng nach datenschutzrechtlichen Vorgaben. Welche Daten die Haspa und ihre Partnerfirmen nutzen, ist jedoch nicht klar. Die Haspa schreibt in den jüngsten Vertragsbedingungen lediglich nebulös, dass Daten zum Beispiel zum Zweck der „Leistungsoptimierung“ an eine Beratungsfirma namens Affinion in die USA geschickt werden – und „zusammen mit weiteren, der Haspa vorliegenden Daten (…) durch die Haspa oder ihren Dienstleister ausgewertet werden dürfen“. Von Neuromarketing, „Sensus“, „Performern“ oder „Bewahrern“ ist dagegen nicht die Rede.

Leute, macht es wie ich: Bargeld, Bargeld, Bargeld. So viel wie möglich mit Bargeld zahlen. Auch ruhig grössere Anschaffungen mal Bar-Kasse finanzieren. Ein Vorteil dabei ist, dass man gerade bei grösseren Anschaffungen auch mal über Skonto reden kann:“ Ich würde ja mit Karte zahlen, aber ich hätte es auch Bar – wäre bei Barzahlung ein Nachlass möglich?“. Wenn ihr mit dem Inhaber sprecht, wird er euch zu 95% einen Rabatt gewähren, da er sich das Handling der Kreditkartenabrechnung spart. 2% Skonto sind deutlich realistisch.

Und wenn ihr schon mit Karte zahlen „müsst“, dann bitte schön: Gut verteilen! Mal mit dieser Karte, mal mit jeder – umso deutlicher eure Spuren gelegt sind, desto besser werdet ihr von „denen“ in ein Raster gelegt. Raster – an was erinnert mich das nochmal? Achja! Rasterfahndung! Deine Spuren auf diesem Planeten gehören DIR! Privatsphäre ist ein Grundrecht! Bewahre es dir.