Kategorien
E-Business Rechtliches Social Media

Desaster-Report: Die größten Datenschutz-Flops des Jahres 2012

<< Blättern Sie zurück zur Einleitung

Unsere Auswahl der größten Flops des Jahres 2012

Die Causa DigiTask

Bereits im Februar wurde die Veröffentlichung eines Berichts bekannt, der nie ans Tageslicht kommen sollte. Das nämlich ist die Schattenseite der vielen Daten: Man weiß nie, wer sie im Laufe der Jahre ergattert und was am Ende damit passiert. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, untersuchte die Vorfälle zum Thema Staatstrojaner. Aus gutem Grunde sollten diese unter Verschluss bleiben.

Laut dem Bericht von Peter Schaar existiert für den Hessischen Softwareentwickler DigiTask nachweislich ein Rahmenvertrag. Weitergehend konnte Schaar die behördliche Schadsoftware nicht untersuchen lassen, weil keine Bundesbehörde den Quellcode erhalten sollte. Teilweise lag laut dem Bericht nicht einmal ein Handbuch oder eine Versionskontrolle der Software vor. Witziges Detail am Rande: In der Mehrzahl wurde die Anti-Terror-Software dafür eingesetzt, Personen dingfest zu machen, die gegen das Betäubungsmittelgesetz verstoßen haben. Man hat die Staatstrojaner also nicht nur mangels Dokumentation und dem fehlenden Zugang zu den Quellcodes quasi im Blindflug benutzt, sondern auch zu Zwecken, für die der Trojaner nie geschrieben wurde.

SPD-Computer gehackt

Bleiben wir noch ein wenig politisch, denn im April 2012 wurde die Parteizentrale der SPD gehackt. Die möglicherweise hacktivistisch angehauchten Täter prahlten via Twitter damit, sie seien in die Infrastruktur der Domain www.willy-brandt-haus.de eingedrungen. Zugangsdaten und Passwörter von rund 1.900 Benutzern wurden dabei erbeutet.

Wer nicht des Geldes wegen hackt, will den Namen seiner Gruppierung oder seines Pseudonyms in der Öffentlichkeit sehen und kontaktiert nach dem Datenklau die größeren wie kleineren Medien. Um den Raub zu beweisen, werden die erbeuteten Zugangsdaten häufig bei PasteBin oder anderen Programmierer-Portalen veröffentlicht, die das Hochladen ohne vorherige Identifikation erlauben. Andere Online-Aktivisten laden gleich gigabyteweise Daten bei Filehostern hoch, die man sich dann als Cyberkrimineller ganz bequem, schnell und verhältnismäßig anonym herunterladen kann. Warum sie das tun? Ganz einfach. Sie tun dies in der Hoffnung, sie können damit auch das E-Mail-Konto, den Paypal-, Facebook- oder World of Warcraft-Account des Opfers übernehmen, weil dieser seine Passwörter gleich mehrfach benutzt. Wieder andere Täter verbreiten ihre Beute in Form größerer Archive via BitTorrent. Das hat für die Hintermänner den Vorteil, dass man dort hinterlegte Inhalte nur schwer wieder aus dem Netz klagen kann. Wer sich mit dem Internet schon mal intensiver beschäftigt hat, weiß, dass jegliche Inhalte nur noch schwerlich aus dem Netz zu tilgen sind.

Passenger Name Records: Der Absturz der Privatsphäre

Wir bewegen uns in unserem Rückblick von Berlin nach Brüssel. Die EU hat im April 2012 ein Fluggastdatenabkommen verabschiedet, welches der zuvor gängigen Praxis einen rechtlichen Rahmen geben sollte. Zahlreiche Angaben wie Name, Anschrift, E-Mail-Adresse, Sitzplatz- und Kreditkartennummer jedes EU-Passagiers werden seitdem völlig legal, dabei anlasslos zwecks „Terrorbekämpfung“ an die US-Behörden übergeben. Dazu gehören auch Details wie Vielfliegerprogramme, Menüwünsche der Fluggäste, Buchungen von Hotels und Mietwagen und vieles mehr. Warum dem einseitigen Abkommen zugestimmt wurde, denn die Daten gehen nur von hier über den großen Teich und nicht anders herum, bleibt wohl auf ewig ein Geheimnis.

Ist den Abgeordneten Fußball wichtiger als Datenschutz?

Was aus dem 57-Sekunden-Gesetz wurde

Zurück in die Bundeshauptstadt. Mit 57 Sekunden dauerte es weniger als eine Minute, das Gesetz zur Fortentwicklung des Meldewesens zu verabschieden. Die Politiker waren in Eile, sie drohten ansonsten das Fußball EM-Spiel Deutschland gegen Italien zu verpassen, weswegen überhaupt nur rund 30 Abgeordnete den Weg in den Bundestag fanden. Rein theoretisch war man auch nur deswegen beschlussfähig, weil keine der Oppositionsparteien die Beschlussfähigkeit prüfen ließ. Was da im Schweinsgalopp abgesegnet werden sollte, hätte für alle Bürger weitreichende Konsequenzen gehabt.

So wollte man auf Bundesebene regeln, unter welchen Voraussetzungen die Weitergabe der Daten der Meldeämter an die Werbewirtschaft erfolgen darf. Zum Glück der Aktivisten war der Bundestag nicht das letzte Gremium, das das Gesetz passieren musste. Nachdem der öffentliche Protest aufgrund einer digitalen Werbekampagne mehrerer Datenschutz- und Verbraucherschutzvereinigungen hohe Wellen schlug, nahm die Regierung vorerst Abstand vom noch immer geplanten Meldegesetz. Zwar hören sich die neuen Regelungen für ungeübte Ohren wenig schlimm an. Doch im Detail betrachtet hat es das Gesetz in sich.

So sollte aus einer Einwilligungs- eine Widerspruchslösung werden. Dementsprechend hätten die Bürgerinnen und Bürger nicht zuvor zustimmen müssen, wollten die Meldeämter ihre Daten an private Unternehmen verkaufen. Wird nicht widersprochen, hätte man den Datenverkauf automatisch durchführen können. Auch wollte man es beinahe unmöglich machen, dagegen vorzugehen. Laut §44 MeldFortG wäre ein Widerspruch zwecklos geworden, sofern Teile der Adresse schon zuvor bekannt waren. Da in den allermeisten Fällen lediglich Aktualisierungen der alten Adressdaten vorgenommen werden, hätte sich kaum jemand mit Erfolg gegen die Weitergabe wehren können.

http://www.youtube.com/watch?v=jtJauIV2ff4
Video: Die Berliner Rekord-Abstimmung vor leeren Rängen

ACTA – der Sturm im Wasserglas?

Auf politischer Ebene hat sich im Jahr 2012 noch so einiges ereignet, was zumindest am Rande mit dem Datenschutz zu tun hat. Die Proteste gegen das internationale Anti-Piraterieabkommen ACTA brachten viele Menschen zum Schäumen, obwohl sich das deutsche Urheberrecht dadurch nicht großartig geändert hätte. Was einige Juristen zumindest in der vorliegenden Fassung als wenig skandalträchtig einschätzen, brachte dennoch die im kalten Februar demonstrierenden Datenschützer zu Tausenden auf die Barrikaden.

Die ACTA-Gegner befürchteten ausufernde Kontrollmechanismen des Internet und bemängelten, dass die Verhandlungen ausnahmslos hinter verschlossenen Türen stattfanden. Hier wie im Fall Peter Schaar tauchten zwischenzeitlich Dokumente im Netz auf, die geheim gehalten werden sollten. Wie dem auch sei; ACTA ist hierzulande vorerst vom Tisch. Nachdem etwa 22.000 Menschen auf die Straße gingen, nahm selbst die Bundesregierung Abstand von diesem Vertragswerk. Es bleibt abzuwarten, ob die geplante Online-Kontrolle nicht später unter einem anderen Namen quasi durch die Hintertür eingeführt wird.

Geklaute CDs sind für Finanzminister „besonders ertragreich!

Was fällt einem noch zum Thema Datenschutz 2012 ein? Natürlich die vielfach in den Medien erwähnten Steuersünder-CDs, die gleich mehrfach von der Landesregierung Nordrhein-Westfalens erworben wurden. Steuersünder-CDs sind Speichermedien, deren Inhalt mit illegalen Mitteln bezogen wurde, um sie unter höchst ominösen Umständen gegen Bezahlung an die Ermittler der Finanzämter zu veräußern.

Höchstwahrscheinlich hat sich auf diese Weise einer der Techniker seine Tätigkeit bei einer der vielen Schweizer Banken vergolden lassen. Auch die Kassen in ganz NRW klingelten sehr laut, weil sich nach dem Ankauf der Daten-CDs zahlreiche säumige Steuerzahler vorsichtshalber selbst angezeigt haben.

Die üblichen Verdächtigen: WhatsApp & Facebook

Die erste und wichtigste Regel bei Facebook

Erwähnenswert wären im Zuge des Rückblicks auch die wiederholt bekannt gewordenen Sicherheitslücken bei WhatsApp, die das Mitschneiden und Versenden von Nachrichten unter einem fremden Account ermöglicht haben.

Die vielen Zwischenfälle bei Facebook sind hingegen kaum noch nennenswert, weil jeder schon davon gehört hat. Beim Thema Facebook und Datenschutz sind bestimmt so manche Leser geneigt, auf Durchzug zu schalten, weil derartige News schon fast zum Alltag gehören. Spannend bleibt vor allem die Auseinandersetzung mit den Wiener Jurastudenten von „Europe vs. Facebook“. Max Schremm und seine Mitstreiter fanden im Vorfeld heraus, dass sich Facebook trotz unzähliger Server und dem Hauptsitz in den USA in vielen Fällen an europäisches Recht halten muss. Die deutlich strengeren EU-Datenschutzgesetze gelten für alle Facebook-User außerhalb von Kanada und den USA. Die Initiative versucht beim weltweit beliebtesten sozialen Netzwerk zu erreichen, dass dieses transparenter, offener und datensparsamer agiert.


Video-Anleitung: Wie ich Facebook das Ausplappern verbieten kann.

Instagram: Nutzungsbedingungen nur ein Missverständnis?

Da wirkte das geplante Richtlinien-Update des Fotosharing-Anbieters Instagram schon schockierender, weil die von den Usern geschossenen Fotos sogar für kommerzielle Zwecke genutzt werden sollten. Schon im April 2012 teilte Facebook offiziell mit, man habe Instagram zum Preis von umgerechnet 760 Millionen Euro gekauft. Kritiker äußerten ihre Bedenken, die Rekordsumme habe das Unternehmen nicht ohne Hintergedanken investiert.

Letzten Monat gab die Facebook-Tochter bekannt, man sei gänzlich missverstanden worden, weswegen Instagram die im Netz heftig kritisierte AGB-Passage gestrichen hat. Fest steht: Nachdem am 17. Januar die neuen Geschäftsbedingungen in Kraft getreten sind, findet ein umfassender Datenaustausch zwischen der Konzernmutter und ihrer Tochter statt. Viele Nutzer kündigten in den vergangenen Wochen auf Facebook an, sie würden auf Instagram all ihre Bilder und ihren Account löschen. Wie viele sich diese Arbeit tatsächlich gemacht haben, ist leider nicht bekannt.

Fazit und Ausblick

Für das Jahr 2012 zählten die Mitarbeiter von „Projekt Datenschutz“ 16 kleinere und größere Datenlecks nach Hackangriffen. Wer in dem Bereich arbeitet, weiß, dass es sich dabei nur um die Spitze des Eisberges handeln kann. Kaum jemand gibt ein Problem im IT-Bereich freiwillig zu. Selbst große Konzerne mit Verantwortung für höchst sensible Daten sind dazu übergegangen, nur das an Fakten preiszugeben, was sie gegenüber der Presse nicht mehr verheimlichen können. Zu groß ist die Sorge um den Schaden am eigenen Ruf.

Ob Cloud oder nicht; der Wille der Entscheidungsträger Geld auszugeben, egal wie wichtig der Schutz der Daten ist, hat in den vergangenen Jahren nicht zugenommen, eher sind gegenläufige Tendenzen erkennbar. Dazu kommt, dass wir zunehmend in einer von Technik dominierten Welt leben und gleichzeitig immer mehr auf die Sicherheit selbiger angewiesen sind. Wer trotzdem nicht den Überblick verlieren und zum Opfer eines Cyberkriminellen werden will, muss daher eigenverantwortlich so bewusst wie möglich mit seinen Daten umgehen, und alles menschenmögliche dafür tun, um seinen Computer oder sein Smartphone vor Hackerangriffen zu beschützen.

Was dabei immer hilft, ist das Befolgen des Grundsatzes: Die besten Daten sind keine Daten.

(dpe)

Von Lars Sobiraj

Ich habe mir über die Jahre stets eine gesunde Portion Neugier in Bezug auf alles Unbekannte erhalten können und hoffe, dass diese niemals nachlassen wird.

9 Antworten auf „Desaster-Report: Die größten Datenschutz-Flops des Jahres 2012“

„…, denn was spricht eigentlich gegen Datenschutz? Überraschenderweise eine ganze Menge. Denn die Absicherung der Informationen kostet Geld, viel Geld.“

Was ist das für eine Logik? Geld spricht dann gegen beinahe alles. Auch deine Krankenversicherung, ein Dach über dem Kopf, ausreichend Essen, etc.

Das ist die Logik der Marktwirtschaft, Sam. Alles was Geld kostet und aus Sicht des Anbieters verzichtbar ist, wird gerne weg gelassen. Und Datenschutz, den sieht man nicht.

Deine anderen Beispiele passen da eher – sagen wir – nicht so.

Das Dumme an WhatsApp ist leider, dass die meisten Anwender sich überhaupt nicht darüber im Klaren sind, dass es einen Grund haben könnte, dass sie diesen Dienst ohne monatliche Kosten in Anspruch nehmen dürfen. Eine Tochter meiner Lebensgefährtin verschickt im Monat ca. 2.000 Nachrichten. Da bleibt neben dem üblichen chit chat viel Material übrig, was man analysieren und verkaufen kann.

What’s App Verschlüsselung schützt nicht vor Auslesen durch What’s App!
Ich gehe mal davon aus, dass damit SSL gemeint ist, sonst erübrigt sich mein Kommentar.
Durch eine SSL-Verschlüsselung wird nur die Kommunikation zwischen Endgerät und Server verschlüsselt, der Server verarbeitet die Daten wieder im Klartext, kann also jegliche Statistik fahren, die oben beschrieben ist.
Bei einer Ende-zu-Ende-Verschlüsselung müssten Sender und Empfänger wiederum Private/Public Keys besitzten und die Public Keys ausgetautscht haben. Viel zu kompliziert für genau diese Zielgruppe!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.