Netzpolitik hat anonym Daten aus dem sozialen Netzwerk SchülerVZ zugespielt bekommen, die darauf hinweisen, dass es dort eine größere Sicherheitslücke gibt. Aus einem ähnlichen Vorfall bei StudiVZ scheint man also nix gelernt zu haben. Aber nun Netzpolitik:

Ein Datensatz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (Plus dazu gehörigem Link auf Bild) an.

Wir haben einige Datensätze verifiziert und die Personen bei SchülerVZ gefunden.

Mit den Listen lassen sich einfache Datenabfragen erstellen wie “alle Schüler aus Berlin”, oder “alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule”. Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen.

Das weist darauf hin, dass SchülerVZ ein großes Sicherheitsloch hat und man aus den Erfahrungen mit StudiVZ vor drei Jahren nichts gelernt hat. Damals wurde bekannt, dass man auf ähnliche Weise aus der StudiVZ-Datenbank viele Informationen aus den Profilen auslesen konnte. Bei SchülerVZ ist das Problem noch größer: Hier handelt es sich um Kinder und Jugendliche, die einen besonderes Schutzraum brauchen.

Während um Online-Durchsuchung und Vorratsdatenspeicherung öffentlich gestritten wird, vollzieht sich der Einzug einer anderen Überwachungstechnologie eher schleichend und unbemerkt – die Rede ist von Biometrie. Ein Anlaß für unseren Kollegen Felix Müller sich einmal den Stand der Dinge anzuschauen:

Über den Status eines Pilot-Projekts ist man bei Edeka hinaus: In neuen Filialen ist es üblich, dass der Kunde „mit Fingerabdruck“ bezahlen kann – einmal registriert, weist er sich per Fingerabdruck beim Einkauf aus, das Geld wir von seinem Konto abgebucht. Ein Viertel der Kunden macht schon heute von der Möglichkeit, so zu bezahlen, Gebrauch.

Zahlen ohne Bargeld oder Karte, Grenzen ohne Grenzer, Computer ohne Passwort. Die Biometrie-Industrie soll es ermöglichen. Mit Körpermerkmalen wie Fingerabdrücken, die mit elektronisch gespeicherten Datensätzen verglichen werden, kann die Identität einer Person bestätigt werden – das ist die Idee, die die sie mit ihren Produkten verkauft.Die deutsche Biometrie-Industrie macht gute Geschäfte – und wächst rasant. Ein „zweistelliges Wachstum“ erwartet der Bundesverband der deutschen Hightech-Industrie BITKOM in diesem Jahr – dafür verantwortlich ist der vermehrte Einsatz von Biometrie im privaten Bereich, vor allem aber der biometrische Reisepass. Befürworter argumentieren, dass biometrische Verfahren sicherer wären als Pin oder Passwort. Kritiker sehen das aber ganz anders.

[...]

Eine andere Möglichkeit biometrische Scanner auszutricksen, sind Attrappen. Wie einfach das geht, hat die Bürgerrechtsorganisation Chaos Computer Club zwei Mal gezeigt und mit nachgemachten Fingerabdrücken bei Edeka gezahlt. „Doch der Konzern hat rein gar nichts geändert und nicht mal seine Kunden gewarnt“, sagt Constanze Kurz vom Chaos Computer Club, „dabei ist das definitiv sehr einfach hackbar, sofort vom Konto abbuchbar und die Rechtslage ist unklar.“

Mehr auf taz.de.

Ben Schwan berichtet auf taz.de über die Situation des Sharehosters Rapid Share:

RapidShare erlaubt Nutzern, Dateien ins Netz zu stellen, die von anderen mit hoher Geschwindigkeit heruntergeladen werden können. Das kann beispielsweise eine Band sein, die ihre Musik anbieten will, aber hohe Internet-Provider-Kosten scheut. Oder eine Bürokraft, die schnell einige Dokumente verteilen muss.

Geld verdient RapidShare einerseits mit Werbung, andererseits mit Premiumdiensten, die  die Geschwindigkeit erhöhen oder die strikten Limits seines kostenlosen Dienstes abschalten.

Das Problem: RapidShare wird auch von Raubkopierern genutzt, um Musik oder Filme zu verbreiten. Wie hoch der Schaden tatsächlich ist, ist unklar. RapidShare sieht kein großes Problem, während Rechteinhaber massive Verletzungen geltend machen. Insbesondere die Musikrechteverwertungsgesellschaft GEMA verfolgt genauestens, was auf der Plattform passiert  – wegen des dort aufgetauchten Materials aus ihrem Repertoire.

Gleich mehrere Verfahren laufen und liefen zwischen den Parteien deshalb – in Köln, Düsseldorf und Hamburg. Die Frage dabei: Muss RapidShare die hochgeladenen Dateien vorab kontrollieren? Oder reicht es gemäß Telemediengesetz aus, erst nach  Benachrichtigung tätig zu werden? Der Ausgang war dabei unterschiedlich. Während das OLG Köln keine umfassende Kontrollpflicht sah, betrachtet das LG Düsseldorf RapidShare sogar als “Mitstörer”, was sehr teuer werden kann. Der Dienst müsse alles mögliche und zumutbare unternehmen, ähnliche Verstöße zu vermeiden.

Weil ich derzeit mit der Kollegin Kirsten Küppers an einer längeren Geschichte über das Datenschutzgesetz recherchiere, saß ich eben beim Bundesdatenschutzbeauftragten Peter Schaar im Büro. Der wiederum erzählte mir, Angela Merkel hätte sich auf dem Deutschen Verbrauchertag für das Abschaffen des Listenprivilegs ausgesprochen. Doch während ich hier herumtelefoniere, um mir die Rede im Wortlaut zu besorgen, hat der Mitteldeutsche Rundfunk zumindest schon mal einen Text dazu ins Internet gestellt.

Merkel betonte, Verbraucherschutz brauche nicht nur Kampagnen, sondern auch Gesetze, z.B. beim Datenschutz. Die internationale Finanzmarktkrise habe da gravierende Lücken offenbart. Deshalb werde eine Novelle des Datenschutzgesetzes vorbereitet. Ziel sei es, dass persönliche Daten nur noch verwendet werden dürfen, wenn die Betroffenen zustimmen. Merkel versprach, sie werde sich dafür einsetzen, dass das Vorhaben zu einem guten Ende geführt wird. Sowohl in der Union als auch in der SPD war die Novelle wegen möglicher negativer Folgen für die Wirtschaft auf Kritik gestoßen. Die Beratungen im Bundestag dauern noch an.

Warum ich um ein paar Sätze der Kanzlerin ein solches Aufheben mache? Weil es in der Koalition derzeit nicht so gut aussieht für das BDSG. Die Wirtschaft hat es geschafft, mit ihren Argumenten Gehör zu finden. Die lassen sich vereinfacht so zusammenfassen: 1. Ohne LIstenprivileg kein Direktmarketing und ohne Direktmarketing drohen riesige Verluste bei Arbeitsplätzen und Geld. 2. Und gerade jetzt in der Krise sollte man doch nicht…

Netzpolitik hat darauf mit einer Anrufaktion reagiert – macht mit und überzeugt Eure Abgeordneten persönlich vom Sinn des Gesetzes.

NACHTRAG: Hier steht der relevante Abschnitt der Rede. Die ganze bekommt man beim Bundespresseamt, braucht man aber ein Passwort.

Es bedarf auch klarer und praktikabler Gesetze. Ich will zwei Beispiele aus den letzten
Monaten nennen, die für die Notwendigkeit besserer Verbraucherrechte stehen. Das ist zuerst der Datenschutz. Die parlamentarischen Beratungen dazu dauern an. Ich hoffe, dass sie zu einem wirklich vernünftigen Ende geführt werden. Bundesminister Schäuble hat beim Datenschutzgipfel im Herbst des vergangenen Jahres mit den für den Datenschutz zuständigen Institutionen Verbesserungen beim Schutz vor Datenmissbrauch vereinbart. Genau diese Vereinbarung soll mit der Novelle des Bundesdatenschutzgesetzes umgesetzt werden. Ich werde mich dafür einsetzen, dass das zu einem guten Ende geführt wird.

Dabei ist das Thema nicht wegzudiskutieren, dass wir mehr Transparenz beim so genannten Adresshandel brauchen. Wir wollen damit die informationelle Selbstbestimmung als Grundrecht stärken. Das heißt, in Zukunft soll die Verwendung personenbezogener Daten zu Zwecken der Werbung grundsätzlich nur noch mit Einwilligung der Betroffenen zulässig sein. Jeder weiß, dass Ausnahmen nicht ausgeschlossen sind, wenn das Wort “grundsätzlich” auftaucht. Wir haben auch darüber gesprochen, dass “grundsätzlich” heißt, dass mehr Transparenz vorhanden sein muss. Ich hoffe, dass wir uns genau so einigen werden. Daten über Wohnort, Name und Kaufverhalten sollen nicht ohne Zustimmung einfach verkauft, gehandelt oder zur Profilbildung genutzt werden können. Das ist das Kernstück dieser Novelle des Datenschutzgesetzes.

NACHTRAG: Inzwischen gibt es das ganze auch ohne Passowrt – Danke an Soso.

Gestern haben einmal mehr die Koalitionsfraktionen über das neue Datenschutzgesetz beraten. Der Datenschützer von Niedersachen sieht das ganze Regelwerk eher skeptisch – in einem Interview erklärt er wieso:

Als herauskam, dass Lidl seine Mitarbeiter von Detektiven bespitzeln ließ, durften Sie beim Discounter nach den relevanten Unterlagen fragen. Was wollen Sie noch?

Lidl ist in dieser Hinsicht kein gutes Beispiel. Zwei Detekteien, die der Konzern beschäftigt hatte, fielen in unsere Zuständigkeit. Die eine hat ihr Material an Lidl geschickt und von dort kam es zu uns. Die andere Detektei hat jedoch einfach den Laden dicht und sich selbst aus dem Staub gemacht. Erweiterte Befugnisse wären hier also nicht erforderlich bzw. nicht hilfreich gewesen. Hilfreich könnte es jedoch sein, wenn wir bei unkooperativen Datenverarbeitern Unterlagen beschlagnahmen könnten, auch wenn diese sich auf ein Zeugnisverweigerungsrecht berufen. Nur wenn der Verdacht einer Straftat besteht, ist diese Möglichkeit z. Zt. mit Hilfe der Staatsanwaltschaft gegeben.

Das sind polizeiliche Befugnisse.

Ja genau. Die brauchen wir bei der Verfolgung von Ordnungswidrigkeiten eigentlich auch – wie sie die Polizei nach § 53 Ordnungswidrigkeitengesetz schon hat. Derzeit sind die Landesdatenschützer allerdings damit vorsichtig, mehr Rechte zu fordern.

Wieso das denn?

Weil diese Kompetenzen nur dann Sinn hätten, wenn wir auch die Truppen aussenden könnten, um sie auszuüben. Derzeit habe ich insgesamt etwa 20 Mitarbeiter für acht Millionen Niedersachsen. Damit gehören wir zusammen mit Baden-Württemberg zu den Schlusslichtern. Der Datenschutz kostet hier pro Einwohner etwa 14 Cent. Das reicht nicht aus. In Berlin ist es immerhin etwa 1 Euro pro Einwohner. Die für eine effektive Kontrolle notwendigen Bedingungen wird es wohl auf Jahre hinaus nicht geben.

In den vergangenen Tagen war ich auf dem Euroforum-Datenschutzkongress und dort drehte sich alles um das Bundesdatenschutzgesetz. Dieses Wunderwerk der Regelungskunst soll – neben ziemlich vielen anderen Dingen – auch die Konzerndatenschützer stärken, damit die künftig Daten-GAUe wie bei Lidl, Telekom und Deutsche Bahn verhindern.  Viele betriebliche Datenschützer glauben daran allerdings nicht wirklich, wie man mir so erzälte.

“Diese Regelungen ändern gar nichts”, sagte auch der Datenschützer eines großen Geldinstituts auf dem Euroforum-Datenschutzkongress in Berlin. Von Dienstag bis Donnerstag trafen sich Experten aus ganz Deutschland, darunter viele Firmenbeauftragte. Viele sehen die Gesetzesnovelle kritisch. “Das Grundproblem ist doch, dass wir weiterhin auf den guten Willen der Vorstände angewiesen sind”, sagte der Datenschützer eines Mittelständlers aus Baden-Württemberg. “Wenn uns die Chefs nicht in relevante Entscheidungen einbinden wollen, dann müssen sie das auch nicht.”

Ist es denn die Möglichkeit?! Nach ihrer Serie von Pannen mit Kundendaten hat die Deutsche Telekom am Donnerstag eine Internetseite zur Lage des Datenschutzes im Konzern eingerichtet. Auf der Seite stehen die vom Konzern angezeigten Fälle von Datendiebstahl und Maßnahmen zur Verbesserung des Datenschutzes.

Laut der Telekom soll es auf der Seite auch bald Informationen über mögliche Risiken für Kunden geben. Das Ziel der Seite ist natürlich mehr Datensicherheit und mehr Transparenz. Wieder einmal eine kleine Kosmetikmaßnahme des T-Konzerns nach all den Schlampereien der vergangenen Jahre? Seht selbst!

Nach Spitzelaffäre, Emailkontrolle und dem Verlust von rund 17 Millionen Daten kommt die Deutsche Telekom auf den Trichter, vielleicht doch mal was in Sachen Datenschutz zu tun. Und zwar volle Pulle, damit auch nie mehr irgendwas raus flutscht und widirigen Pornounternehmern in die Hände gerät. Man denke darüber nach, sagte René Obermann heute, den firmeninternen Datenschutzbeauftragten mit der Konzernsicherheit zu verheiraten. Und außerdem wolle man noch einen neue Posten schaffen:

Die Deutsche Telekom geht nach dem Diebstahl von Millionen Kundendaten in die Offensive. Nach dem Auftauchen weiterer Missstände wolle Vorstandschef René Obermann die Datensicherheit “massiv verbessern” und führe dazu eine umfassende Untersuchung der Vorfälle durch, erfuhr die Finanznachrichten-Agentur dpa-AFX am Donnerstag aus Konzernkreisen. Geprüft werde ein Bündelung der bislang getrennten Bereiche Datenschutz und Konzernsicherheit. Dies könne dahin gehen, dass eigens ein Vorstandsposten für diese Funktion geschaffen werde.

Wie es aussieht, sollen morgen auf einer Pressekonferenz die Einzelheiten vorgestellt werden. Mein Kollege Hendrik Heinze wird sich netterweise drum kümmern. Auch am Wochenende ist er unser Datenschutzbeauftragter, da er sich mal angucken wird, was bei der Demo des AK Vorrat so passiert.

Also, so langsam fragt man sich, ob die Telekom in den Jahren 2005/2006 überhaupt irgendeine Art von Führungsspitze besessen hat. Zumindest scheint niemand in der Lage gewesen zu sein, den Laden auch nur im Geringsten unter Kontrolle zu haben. Erst durften irgendwelche Vorständler nach Lust und Laune Arbeitnehmervertreter und Journalisten ausspitzeln, und jetzt berichtet der Spiegel, dass 2006 Diebe auch noch rund 17 Millionen Datensätze klauten:

In den Daten finden sich nicht nur viele Prominente aus Kultur und Gesellschaft wie Hape Kerkeling oder Günther Jauch, sondern auch eine erstaunliche Anzahl geheimer Nummern und Privatadressen von bekannten Politikern, Ministern, Ex-Bundespräsidenten, Wirtschaftsführern, Milliardären und Glaubensvertretern, für die eine Verbreitung ihrer Kontaktdaten in kriminellen Kreisen eine Bedrohung ihrer Sicherheit darstellen würde.

Die Daten wurden der Telekom offenbar bereits Anfang 2006 gestohlen, das Unternehmen erstattete Anzeige. Seither ermittelt die Bonner Staatsanwaltschaft zusammen mit dem Bundeskriminalamt. Bei Hausdurchsuchungen wurden diverse Daten beschlagnahmt. Ein Täter wurde bisher nicht ermittelt. Beim Konzern spricht man aber von einem “Vorgang, der mit höchster krimineller Energie durchgeführt wurde”.

Das Jahr 2006 fiel größtenteils noch unter die Ära von Kai-Uwe Ricke. Aber offenbar kommt ja bei der Telekom alles erst mit zweijähriger Verspätung ans Licht. Da kann man sich ja schon auf das Jahr 2010 freuen. Oder glaubt hier noch jemand, dass beim Telefonriesen auf einmal alles paletti ist, nur weil der Chef jetzt nicht mehr Sommer oder Ricke heißt, sondern Obermann?

UPDATE: Tja, das ganze könnte auch für Obermann zum Problem werden. Denn der Datenklau aus dem Jahr 2006 betraf ja offenbar ausschließlich die Telekom-Mobilfunksparte T-Mobile. Und deren Chef war zu jener Zeit wer? René Obermann:

Von 2002 bis Dezember 2006 war Obermann sowohl Vorstandsvorsitzender der T-Mobile International AG & Co. KG als auch Vorstand für den Bereich Mobilfunk im Konzern. In dieser Zeit setzte T-Mobile seinen Wachstumskurs als einer der weltweit führenden Mobilfunkanbieter mit inzwischen mehr als hundert Millionen Kunden weltweit fort und führte die Marke T-Mobile erfolgreich in elf Ländern ein.

Wäre er schon damals ein solcher Aufklärer gewesen, als der er sich jetzt gern stilisiert, hätte er mit dem Fall ruhig mal an die Öffentlichkeit gehen können. Aber er schwieg lieber, weil er offenbar dachte, dass ließe sich ohne weiteres aussitzen, wie man aus einem dpa-Bericht schließen kann:

Offensichtlich habe sich Der Spiegel durch Dritte Zugang zu den Daten verschaffen können, hieß es bei der Telekom weiter. “Dass dieser Fall aus 2006 uns erneut beschäftigt, trifft uns sehr”, sagte Philipp Humm, Geschäftsführer T-Mobile Deutschland laut einer Unternehmensmitteilung. “Wir gingen bisher davon aus, dass diese Daten im Rahmen der staatsanwaltschaftlichen Ermittlungen in vollem Umfang sichergestellt wurden.”

Die Skandale um Datenschutz in Deutschland und anderswo häufen sich? Kein Grund zur übertriebenen Aufregung, meint Sven Gábor Jánsky, Trendforscher und Leiter des Think Tanks “forward2business”. Taz.de hat eine Mail von forward2business bekommen, in der Jánsky anlässlich einer nun veröffentlichten Studie zum Thema seine Sicht auf den Datenschutz der Zukunft erläutert:

Herr Jánszky, der Datenschutz bekommt derzeit sehr viel Beachtung. Werden wir in Zukunft sensibler mit Daten umgehen?

Ich habe die Diskussion in den vergangenen Tagen mit einer gewissen Faszination beobachtet. Wir erleben so etwas wie das letzte Aufbäumen des klassischen Datenschutzes. In 10 Jahren werden wir über die Diskussionen von heute herzlich lachen.

Wieso das?

Weil es in 10 Jahren normal sein wird, dass wir intelligente Software-Assistenten besitzen, die unser Verhalten tagtäglich beobachten, daraus ein Profil bilden und unsere Daten weitergeben. Sie werden uns unser individuelles Fernsehprogramm zusammenstellen, unseren Einkaufszettel schreiben, sie werden im Auto unsere individuelle KFZ-Versicherungsabrechnung machen, uns die Musikbeschallung fürs Büro nach unserem Geschmack zusammenstellen usw. Auch in der Öffentlichkeit ist der Assistent aktiv. Stellen Sie sich zum Beispiel vor: Ich steige in den ICE, mein elektronischer Assistent kommuniziert mit dem ICE-Sitz und sagt, der Janszky hat gestern Abend zum ersten Mal einen Krimi von Mankell gesehen und nicht weg gezappt – hast Du nicht was von Mankell da? Plötzlich melde sich bei mir der ICE Sitz und sagt: Deinem Telefonanbieter T-mobile tut es leid, dass Du die nächsten 2 Stunden nicht vernünftig telefonieren kannst. Dafür bietet er Dir an einen spannenden Krimi von Mankell zu lesen. Was meinen Sie wie ich strahle: Ist das Kundenbindung? Und abends kurz bevor ich in Berlin am Hauptbahnhof aussteige nimmt mein elektronischer Assistent Kontakt mit dem Bahnhof auf und meldet sich mit den Worten: Du kommst an Gleis 11 an, gleich wenn Du die Treppen runter kommst rechts ist ein REWE-Markt. Nimm doch Obst und Milch mit … und vielleicht den Prosecco, der ist gerade im Sonderangebot. Alternativ kann der auch sagen: Das Hotel XY in der Nähe bietet einen Super-Last-Minute Preis oder für das neue Mankell-Theaterstück wären noch ein paar Restkarten zu haben.

Und wieso sollten wir diese Technologie nutzen?

Weil wir einen Nutzen davon haben und weil wir Angst haben, etwas zu verpassen. Der Nutzen liegt auf der Hand: Bessere Fernsehprogramme, bessere Musik im Radio, interessante Nachrichten und passende Werbung. Den Nutzen gibt es sogar in ärgerlichen Situationen: Wir rechnen damit, dass bei 80% der Anrufe in Callcentern der Grund des Anrufes schon vorausgesagt werden kann und entsprechend geholfen wird. Unternehmen werden diese vom Konsumenten zu Verfügung gestellten Daten lieber nutzen als die veralteten Massendatenbanken. Ein ebenso starker Grund ist aber die Angst etwas zu verpassen. Wenn Sie im Jahr 2020 überall und jederzeit mit dem Internet verbunden sind, werden Sie schnell feststellen, dass Sie die Komplexität nicht überschauen und nicht sinnvoll im Griff haben. Wir werden sehr dankbar sein über eine Technologie, die anhand unserer Daten und unserer automatisch analysierten Bedürfnisse das Interessante für uns aus dem Internet holt.

Und Sie sehen keine Gefahr für den Datenschutz?

Nein! Sehen Sie, unsere bisherigen Datenschutzvorstellungen stammen aus einer Zeit vor 25 Jahren. Es war die Zeit der Volkszählung und des Kampfes der Bürger gegen einen als allmächtig und unheimlich empfundenen Staat. Seitdem hat sich unsere Gesellschaft grundlegend gewandelt. Wir als Bürger sind nicht mehr ängstlich sondern souverän gegenüber dem Staat. Statt unsere Daten zu verstecken schreiben wir heute tagäglich in Twitter oder XING wo wir gerade sind und was wir gerade tun, nutzen selbstverständlich die Payback-Card, Kreditkarten und Google, obwohl wir genau wissen, dass unsere Daten hier gespeichert werden.

Warum tun wir das?

Weil wir wissen, dass der Nutzen überwiegt. Wir erhalten Rabatte oder Anerkennung und haben kaum etwas zu befürchten außer ein paar Werbebriefen und Werbemails, die ungelesen in den Müll wandern.
(…)
Dann werden wir also zu „gläsernen Bürgern“?

Wir sind es ja längst! Und das ist gar nicht schlimm! Ich prognostiziere dass die Menschen in den nächsten Jahren immer genauer erkennen werden, dass unsere Wirtschaft und Gesellschaft darauf basiert, dass die Unternehmen ihren Kunden kommunizieren und entsprechend deren Daten verwenden. Die Bürger werden sich bewusst werden, dass ihre Daten einen wirtschaftlichen Wert haben. Wir werden unsere Daten jenen Unternehmen freigeben, denen wir vertrauen und die am meisten dafür zahlen. Vertrauen wird das wichtigste Wirtschaftsgut des Jahres 2020!

Steile Thesen, über die ich gerne mit Herrn Jánsky sprechen würde – hoffentlich bald in einem Interview. Die Anfrage habe ich gerade losgeschickt.