21. Februar 2008
Ist das Bundesdatenschutzgesetz bzw. die vergleichbaren Regelungen der Bundesländer in den jeweiligen Landesdatenschutzgesetzen eigentlich noch ein richtiges, relevantes und zu befolgendes Gesetz oder längst zur reinen Verarsche verkommen? Sozusagen ein Feigenblatt der Scham zur Beruhigung besorgter Bürger über dem hemmungslosen Missbrauch der Daten durch die Unternehmen?
Aktueller Anlass: der Fall der Stuttgarter Volksbank
Die baden-württemberger Datenschützer wollten sich den Fall ja genauer anschauen. Dazu schreibt Heise heute, die Datenschützer attestieren tatsächlich ein Fehlverhalten. Und die Konsequenz:
„Obwohl die Datenschützer der Bank damit ein klares Fehlverhalten bescheinigen, hat der Vorgang keine weiterreichenden Konsequenzen für das Geldinstitut: Die unzulässige Nutzung von Videoaufzeichnungen und Kontodaten erfülle keinen Bußgeldtatbestand“
Keine. Wenn der normale Bundesbürger auch nur 10 km/h zu schnell auf der Straße unterwegs ist, dann gibt es einen ausgefeilten Bußgeldkatalog. Wenn die Unternehmen private Daten verschludern, passiert nichts. Ich habe noch mehr Beispiele:
Peter Huth ist auch so ein Fall. Das ist der angebliche „Sicherheitsexperte“ von Sat.1 und Pro7. In dessen Webseite wurde wegen eines schlampig programmierten PHP-Skripts eingebrochen und Kunden- sowie Kreditkartendaten geklaut. Was passiert? Nichts. Die Staatsanwaltschaft Berlin hat das Verfahren eingestellt, weil die Daten nicht gemäß den Anforderungen des § 202a StGB gesichert waren. Also ein klarer Verstoß gegen das Bundesdatenschutzgesetz. Und dazu sagt die Staatsanwaltschaft:
„Es gebe zudem keine strafrechtlichen Ermittlungen gegen Huth: Wie dieser mit seinen Kunden umgeht beziehungsweise diese über die Problematik unterrichtet, bestimmt sich allein aus dem zivilrechtlichen Innenverhältnis.“
Gut zu wissen … wenn das nächste mal die Datenschutzbehörde prüft, ob wir den vorgeschriebenen Datenschutzbeauftragten im Unternehmen haben, kann ich denen ganz trocken mitteilen, das bestimmt sich allein aus dem zivilrechtlichen Innenverhältnis und geht die gar nichts an. Aber in Bayern haben die eh andere Probleme. Ich kenne keine einzige Firma aus meinem Umfeld bei der sich schon jemals eine Datenschutzbehörde gemeldet hätte.
In der Praxis hält sich nicht einmal das Bundesjustizministerium an seine eigenen Gesetze. Das Amtsgericht Berlin hat dem Budesjustizminsterium in Person von Frau „ich habe gar keine Ahnung“ Zypries inzwischen eine Geldstrafe von 250.000 Euro, alternativ bis zu 6 Monate Ordnungshaft angedroht, wenn die illegale Sammlung von Webserver-Logfiles nicht aufhört.
Weitere Fälle gewünscht (gerne auch Ergänzungen in den Kommentaren)?
- Das BKA sammelt auch gerne IP-Adressen harmloser Besucher
- Der Bundesbeauftragte für den Datenschutz Peter Schaar hält das Sammeln von Daten bei Flatrates für legal (im Gegensatz zu den Gerichten übrigens). Eigentlich können wir den Schaar auch abschaffen, der blubbert eh nur.
- Bei Swift wird von der Politik auch lieber beschwichtigt anstatt geklärt.
- Was das Postgeheimnis noch Wert ist, erklärt uns gerade die Deutsche Post.
Eigentlich kann man das Datenschutzgesetz auch gleich ganz abschaffen.
19. Februar 2008
Dan Geer, ehemals @stake CTO und gefeuert, weil er sich kritisch über den wichtigen @stake-Kunden Microsoft geäußert hat, hat sich die Mühe gemacht, eine Übersicht der Ursache von Identitätsdiebstahl zusammenzustellen (kompletter Datensatz hier).
| Business |
| Insider |
68,1% |
| Laptop |
17,1% |
| Exposed |
11,1% |
| Hacking |
1,3% |
| Missing |
1,0% |
| Sonstiges |
1,3% |
|
| Bank/Finance |
| Insider |
98,2% |
| Laptop |
0,9% |
| Sonstiges |
0,8% |
|
| Government/Military |
| Missing |
33,2% |
| Laptop |
31,1% |
| Exposed |
10,6% |
| Paper |
9,6% |
| Hacking |
9,4% |
| Insider |
3,1% |
| CD stolen |
1,9% |
| Breakin |
1,2% |
| Sonstiges |
0,1% |
|
| Medical/Health Care |
| Missing |
76,6% |
| Laptop |
15,2% |
| Hacking |
2,5% |
| Exposed |
2,0% |
| Insider |
1,7% |
| CD stolen |
1,5% |
| Sonstiges |
0,5% |
|
| Educational |
| Exposed |
42,3% |
| Hacking |
39,6% |
| Laptop |
12,1% |
| CD stolen |
4,0% |
| Missing |
1,2% |
| Sonstiges |
0,9% |
Interessant finde ich, dass gerade die Finanzinstitute praktisch nur Insider-Probleme haben. Entweder ist die äußere IT-Sicherheit hier besonders groß oder die Mitarbeiter sind extrem skrupellos (vermutlich beides). Dafür hat das (US-)Militär vermehrt mit Datenträger- und Laptop-Verlusten zu kämpfen. Anscheinend hat sich hier die Datenverschlüsselung noch nicht durchgesetzt. Hackingangriffe passieren wiederum vermehrt im Hochschulumfeld, dort können die Systeme gar nicht so restriktiv abgesichert werden wie es manchmal nötig wäre.
<Bullshit-Speak>Für Drücker Vertriebsmitarbeiter Customer Account Representatives könnte so eine etwas detailliertere Übersicht interessant sein, um für vertikale Segmente angepasste Angebotspakete zu kreieren</Bullshit-Speak>
14. Februar 2008
Vorgestern, am 12.02. fand unter der Schirmherrschaft der EU-Kommissarin Viviane Reding der Safer Internet Day statt. Die Ziele lesen sich auch schon ausreichend schwammig um alles oder nichts zu sagen:
- die Sensibilität für das Thema „Sicheres lnternet“ zu fördern und damit die Menschen dazu zu bewegen, der Sicherheit im Internet mehr Aufmerksamkeit zu widmen
In der Praxis handelt es sich beim Safe Internet Day nur noch im eine Rahmenveranstaltung in der sich diverse Lobbygruppen tummeln und unwidersprochen ihre (meist falschen) Ansichten verbreiten dürfen. Zum Thema Urheberrecht hat beispielsweise die GVU einen Flyer beigesteuert, der falsche (und natürlich im Interesse der Content-Industrie liegende) Angaben z.B. zur Privatkopie macht.
Klicksafe gibt sich zwar Mühe und ab und an findet man sogar nicht durch Lobbyarbeit beeinflusste Informationen, z.B. zum Webbrowser. Da kommt der IE sogar schlechter weg als er es verdient hat. Aber letztendlich wird dann doch wieder auf Werbung von Microsoft verlinkt.
Den Vogel abgeschossen hat aber das ZDF, das zum Thema Sicherheit im Internet und Datenschutz ein Interview ausgerechnet mit StudiVZ geführt hat, dem Unternehmen, das für seine hohen Datenschutzstandards bekannt ist. So bastelt das ZDF an der Legende, denn eigentlich hat StudiVZ nichts neues erfunden sondern lediglich zufällig zum richtigen Zeitpunkt Facebook kopiert.
Nachtrag:
Ich hätte dieses Youtube-Video vom ZDF-StudiVZ-Interview ja gerne direkt eingebunden aber vermutlich ist dem ZDF der Beitrag inzwischen so peinlich, dass sie das direkte Einbinden nicht mehr erlauben.
11. Februar 2008
Falls ihr hier zufällig The Register lest, dann kennt ihr den Artikel über die Laptop-Auktion schon. Falls nicht, hier der Text:
„DIFFERENT WAYS YOU CAN STEAL THIS LAPTOP OFF ME:
PAYPAL: Paypal is currently ebays preferred method of stealing high value electrical items off sellers. There are a number of various ways you can use to steal this laptop using paypal.
1: A Fake “Item Not Received” (I.N.R) Claim – All you simply have to do here is purchase my item using an unverified paypal account. Then when you receive the laptop, simply claim that you didn’t receive it at your registered (credit card) and paypal will give you all your money back !
2: A Fake “Item Significantly Not As Described” (S.N.A.D) This is a great way to steal items off sellers. Simply start a dispute after you get the laptop making up some lie about the item being damaged etc – You could use Photoshop to make up fake pictures of damage. Paypal will ask you to send the item back to me, but don’t bother – they never enforce that on buyers and after a short wait you will get all your money back and you will still have the laptop.
3: A fake “Unauthorised Use” Claim – This is a super way of stealing items on ebay and is widely used. Simply claim that someone hijacked your account (paypal & ebay) and that you didn’t order the laptop. Then in conjunction with a fake I.N.R claim you can simply steal the laptop and of course, get your money back.
4: A Stolen Credit card – Of course, ebay make no real attempt to vet any of its buyers, so hey, just register a new ebay account using fake ID information and link it to a paypal account set up with a stolen credit card – and hey presto – A free laptop.
Although officially banned on ebay, fake western union payments are the preferred way for Nigerian Scammers to steal high value electrical items. Simply email me (using pigeon English) telling me that you would like to buy this item using Western Union – Tell me that you would be happy to pay over the odds for the laptop and that it is a present for your mother in law. Then send me a fake western union payment notification and I send you the laptop – Perfect. This method of stealing items off sellers is very widely used on ebay and of course, as ebay do not properly verify buyers its easy to do. Make sure you use Pigeon English as I am really really stupid and it’s bound to fool me.
If you are a traditionalist like me you may prefer a good old mugging. Simply offer to meet me on some dodgy housing estate somewhere and have a load of you mates hiding behind a hedge with a few iron bars. Again, offer to pay me over the odds as there is nothing better than using a sellers greed to bait them into a scam. I would be grateful if you could avoid killing me as this will cause bad publicity for ebay which would be terrible.
In the unlikely event that you are actually a genuine buyer then you really should be shopping in a real shop and not this scammers paradise. However this laptop does really exist and is really for sale. You can email me or skype me with suggestions on how we may actually transact this item to both our satisfaction – with both our safety in mind. Don’t even think of buying it using paypal. I’ve only listed it as accepted because ebay run a protection racket that means I have to accept it. If you do pay by paypal I will simply refund your payment and give you a nice new shiny NEG.
Of course you will no doubt be aware that from May onwards you will be able to blackmail sellers into giving you free P&P / discounts etc. You will be able to give them neg feedback and they will not be able to give you any.. I regret to advise you that because this rule does not come in until May this option of scamming me is not open to you yet.
I would grateful if some sad failed traffic warden could report this auction for two reasons
1: Ebay will see this listing and will hopefully close my account, saving me a 180 days wait to do it myself.
2: You will save me listing fees, making this a free advert.
Dem ist meines Erachtens nichts mehr hinzuzufügen.
5. Februar 2008
Manchmal fragt man sich ja schon, haben die Leiter der deutschen Finanzunternehmen noch den geringsten Funken Anstand im Leib? Man erinnert sich ja gerne an das Victory-Zeichen von Herrn Ackermann oder seine Bekanntgabe eines Rekordergebnisses bei gleichzeitiger Entlassung mehrerer Tausend Mitarbeiter.
Im kleinen findet man so ein Verhalten beispielsweise in der Stuttgarter Volksbank wieder. Die Bank hatte Videoaufzeichnungen ihrer Geldautomaten sowie die Daten wer dort Geld abgehoben hatte verwendet, um einer Mutter und ihrer Tochter eine Rechnung über 52,96 Euro Reinigungskosten für die Verschmutzung des Vorraums durch die kleine Tochter zu schicken.
Nun heißt es recht eindeutig im Bundesdatenschutzgesetz, die Überwachung (und natürlich auch die Auswertung) ist nur zur Wahrnehmung berechtigter Interessen und für konkrete Zwecke zulässig. Dazu gehört sicher die Abwehr von Vandalen und Betrügern am Geldautomat. Ob es aber um Hundedreck geht wage ich zu bezweifeln. Besonders kritisch ist dabei der Abgleich der Aufnahme mit den Abhebungen am Geldautomaten zu sehen. Nicht umsonst hat der zuständige Datenschutzbeauftragte des Landes Baden-Württemberg ein paar kritische Fragen an die Bank.
Naive Menschen hätten jetzt eine Entschuldigung und einen Strauß Blumen erwartet. Die Volksbank hingegen sieht laut Heise „grundsätzlich kein Problem“. Gut zu wissen, nun befindet sich wieder ein Unternehmen auf meiner privaten schwarzen Liste der Unternehmen von denen man lieber die Finger lässt. Für mich persönlich wäre dieses Verhalten Grund genug, eine andere Bank zu suchen.
Nachtrag:
Die Stuttgarter Volksbank sieht jetzt plötzlich alles ganz anders und behauptet das Gegenteil. Naja, eigentlich bedauert sie in dieser Pressemitteilung (PDF) nicht das eigene Fehlverhalten sondern nur die daraus folgende Eskalation. Offensichtlich ist die Volksbank immer noch der Meinung, alles richtig gemacht zu haben.
26. Januar 2008
Die meisten Menschen gehen ja recht fahrlässig mit ihren persönlichen Daten um. Ein wenig Suche im Internet und man findet praktisch alles, was man sich so vorstellen kann.
Die Welt hat das Thema plakativ mit „Wie Google Karrieren zerstört“ überschrieben und damit vermutlich nicht mal so unrecht. Das Problem ist … wie schützt man sich dagegen?
„Selbst wenn die „formalen“ Anforderungen erfüllt sind, weigern sich Webseiten-Betreiber häufig, Beiträge zu löschen. Dann können sich Betroffene entweder an den Datenschutz-Beauftragten wenden oder rechtliche Schritte einleiten. Letzteres will … gut überlegt sein.“
Hmm … der Welt-Artikel erwähnt den Reputation Defender, der angeblich die ganze Arbeit übernehmen soll … da schreib ich im nächsten Artikel noch was dazu. Eine einfache Lösung ist aber nicht in Sicht und die Persönlichkeitsrechte werden von einigen Gerichten überraschend hoch eingeschätzt. Für mich sieht das so aus als würden noch spannende Probleme die nächsten Jahre auf die juristische Zunft zukommen.
25. Januar 2008
15. Januar 2008
In Großbritannien hat es mit Jeremy Clarkson den richtigen erwischt:
Der Moderator der Fernsehsendung „Top Gear“ behauptete in einem Beitrag in der Zeitung Sun, der Verlust von 25 Millionen Datensätzen sei Kinderkram und die ganze Aufregung nicht wert. Konsequenterweise veröffentlichte er als Beweis im gleichen Artikel seine eigenen Daten mit der Behauptung, das schlimmste was passieren könnte wäre, dass jemand Geld einzahlen würde.
Wenige Tage später und 500 Pfund ärmer musste er zugeben, dass seine Behauptungen nicht der Realität entsprachen. Sein Fazit:
„Contrary to what I said at the time, we must go after the idiots who lost the discs and stick cocktail sticks in their eyes until they beg for mercy“
Ich hoffe, ein paar Idioten merken dann endlich auch einmal was. Der CCC hat ja Fingerabdrücke von Hr. Schäuble, die bitte publizieren weil ist ja angeblich alles gar nicht so schlimm. Ich habe ein paar spannende Tatorte wo ich diese Abdrücke gerne hinterlassen würde.
(via The Register)
9. Januar 2008
Daten werden immer wichtiger. Insbesondere möglichst personalisierte Daten über die Nutzer eines Dienstes, egal ob Google, Facebook oder StudiVZ. Die Google Vizepräsidentin für Suchprodukte Marissa Mayer hat das jetzt gegenüber Tim O’Reilly zugegeben:
„When you type in „GM“ into Google, we know it’s „General Motors.“ If you type in „GM foods“ we answer with „genetically modified foods.“ Because we’re processing so much data, we have a lot of context around things like acronyms.“
Dabei bleibt der Datenschutz natürlich schnell mal auf der Strecke. Egal ob Facebook Beacon, bei dem alle Freunde automatisch mitgeteilt bekommen, welche Bücher ein Nutzer bei Amazon bestellt hat (was vielleicht noch egal wäre) oder welche sonstigen Artikel bei Dildoking.com (was vermutlich nicht mehr egal ist). Oder der Google RSS Reader, der alle abonnierten Feeds allen in der Google Kontaktliste mitteilt (in der sich vielleicht auch Geschäftspartner befinden die private Sachen nichts angehen). Und wir erinnern und auch daran, dass AOL ein paar Millionen Suchanfragen wissentlich und bewußt im Internet veröffentlicht hat, auch wenn die Spin-Doktoren heute gerne von einem „versehen“ reden. TechCrunch hat das schön zusammengefaßt:
„The most serious problem is the fact that many people often search on their own name, or those of their friends and family, to see what information is available about them on the net. Combine these ego searches with porn queries and you have a serious embarrassment.“
Google mag vielleicht nicht „evil“ sein, aber sobald die Daten existieren (siehe Vorratsdatenspeicherung) gibt es garantiert sofort einen neurotisch-paranoiden Schizophrenen im Rollstuhl (Ähnlichkeiten mit real existierenden Innenministern sind rein zufällig) der sich per Gesetzesänderung Zugriff auf die Daten sichern will.
Ich frage mich ja, was macht jemand der Zugriff auf alle diese Daten hat?
6. Januar 2008
„LSO, also known as Flash Cookies or Flash Shared Objects, are somewhat nasty: There are persistent across browsers, don’t get deleted on browser exit nor is there an obvious way for viewing and managing them. One possibility is to use NoScript, disable Flash entirely or disable read/write access to the directories where they get stored is another. But I personally find it interesting to see what sites are actually using those cookies for tracking. So a good solution for this specific issue would something to take back control and have an overview over those sites without giving them access to LSOs.There is one simple solution and it is even supplied by Adobe itself: The Flash Player Settings Manager. It’s actually a Flash movie which is able to access the file system and store the settings.I know, it is weird that it resides on Adobes website and it is far from being perfect at all since it would be much nice to have a real interface to it.“
Direkt geklaut von Fukami. Ich kenne niemanden der sich in Deutschland mit Flash besser auskennt. Es lohnt sich, sein Blog und sein Wiki zu lesen.
Aus den Kommentaren: Für Firefox gibt es die Objection Erweiterung, die ebenfalls LSOs bearbeiten kann.
