Warnung vor O2. (Und vor Emnid. Bitte weitergeben!)

Ich habe heute einen Telefonanruf von Emnid auf eine Telefonnummer bekommen, die in keinem Telefonbuch steht, nirgends sonst veröffentlicht ist, niemals von mir angegeben wird und die ansonsten nur sechs Menschen bekannt ist.

Meiner Meinung nach gibt es nur eine Erklärung dafür, wie diese spezielle Telefonnummer in den Datenbestand von Emnid kommen konnte: Indem O2 in großen Paketen Telefonnummern (und wer weiß schon: vielleicht auch weitere Kundendaten) an derartige Fäkalmaden verkauft. Das ist vermutlich das, was man bei O2 unter dem Dienst am zahlenden Kunden versteht: Dass diese „PENETRANT WIEDERHOLTE, STÖRENDE UND SINNLOSE ANRUFE“ auf ihrem Händi bekommen. Ich hoffe, dass der Insolvenzverwalter sich bald dieses Ladens annimmt und kann bis dahin nur vor O2 warnen. Es soll ja Alternativen geben.

Ach ja: Mit welchen halbseidenen Methoden und auf welcher Grundlage die Umfrageergebnisse zustande kommen, die dann überall von Glotze und Journaille als „Wille und Stimme des Volkes“ präsentiert werden, ist damit auch mal etwas klarer geworden. Denkt bei der nächsten Dummfrage aus den Medien daran — und nein, bis zu deutlichen Indizien für das Gegenteil habe zumindest ich nicht den geringsten Glauben darin, dass die anderen Demographie-Klitschen anders vorgehen.

Der akkreditierte De-Mail-Anbieter GMX…

Der akkreditierte De-Mail-Anbieter GMX scheint ein… ähm… kleines Problem mit der Sicherheit der Nutzerdaten seines gewöhnlichen E-Mail-Dienstes zu haben, wenn man den folgenden Beobachtungen betroffener Nutzer glauben darf:

Ich frage mich, woher die persönliche Anrede kommt: ich habe solche Mails auf zwei GMX-Accounts bekommen, die ich derzeit nicht nutze, und deren Vornamen und Nachnamen nur abgekürzt bzw. gekürzt im GMX-System vorhanden sind.

Jetzt frage ich mich, wie die Versender an diese Daten, die eigentlich nur GMX kennt, kommen.

Quelle

bei mir dasselbe, hab die Mail im Wortlaut vor einer Woche bekommen. Ein Fakename den nur GMX kennt. Den ich mir bei der plötzlichen Aufforderung zur Eingabe persönlicher Daten vor gefühlten 10 Jahren nur für GMX ausgedacht und nie wieder benutzt habe

Quelle

Bekam eine dieser Mails mit realname Anrede auf einer gmx Adresse, die mit meinem Realnamen nichts zu tun hat (ist auch bei gmx nicht angegeben zu dieser Adresse)

Quelle

Natürlich ist „Christoph Arschleck“ nicht mein Name, aber so meldete ich mich einst NUR bei GMX an. […]

Bei den Daten, die die Spammer verwenden, um die Spamopfer mit vollen Namen anzusprechen, kann es sich als NUR um (nicht aktuelle) Daten handeln, die bei GMX abgefischt wurden.

Quelle

Ich bekomme glücklicherweise extrem wenig Spam auf meine privaten Mailadressen, vielleicht mal zwei bis drei pro Woche. Vor ein paar Tagen bekam ich eine, die mich allerdings schon verblüfft hat: sie kam von einer gmx-Adresse und ging an meine gmx-Adresse und hatte bereits meinen echten Nachnamen im Betreff. Die Mailadresse lässt allerdings überhaupt nicht auf meinen echten Namen schließen […]

Quelle

Ich habe in den letzten Wochen auf mehreren Wegwerfadressen von GMX „persönlichen“ Spam erhalten. Die Besonderheit sind in meinem Fall aber die bei GMX hinterlegten fiktiven (!) Namen, die in den Mails auftauchen. Diese Namen habe ich ich selbstredend nie extern verwendet, sondern nur deshalb bei GMX gespeichert, weil die Anmeldung einen Klarnamen verlangt

Quelle

Meine Freundin und ich geben eine Adresse von GMX.de nicht weiter heraus. Auf diese E-Mail Adresse bekommen wir in letzter Zeit gehaeuft persoenliche Spam. [das heißt hier: mit namentlicher Ansprache]

Die E-Mail Adressen haben wir nicht anderweitig verwendet (Wegwerfadresse) und sie beinhaltet unseren Klarnamen […]

Quelle

Aber immerhin, in all dieser Trübnis gibt es auch ein kleines, heitres Lichtelein, denn GMX scheint nicht nur (hoffentlich unfreiwillig) Daten an spammende Verbrecher, sondern auch an die ehemalige GEZ weitergegeben zu haben:

Vor etlichen Jahren hatte ich mal aus Jux einen GMX-Account für meinen alten Kater eingerichtet. Die E-Mail-Adresse wurde nie verwendet, die Daten waren also ausschließlich GMX und mir bekannt. Ich habe bei diesem Account ausschließlich das GMX-Mediacenter zum Speichern von Katzenbildern benutzt.

Nach einer gewissen Zeit bekam mein Kater Post von der GEZ, er möge doch bitte seinen Fernseher anmelden. Ich hatte meinen Kater nicht bei der GEZ angeschwärzt.

Miaau… ähm… Quelle

Zumindest ich sehe keinen Grund, alle diese Erfahrungsberichte mit bei GMX gespeicherten Daten für eine Lüge zu halten, und in einigen Fällen — am schrillsten sicherlich bei der Adressweitergabe an die GEZ — ist vollkommen klar, dass GMX selbst mit Nutzerdaten Handel treibt, wenn diese Geschichten nicht erlogen sind.

Der sich geradezu aufdrängende Schluss, der sich daraus ziehen lässt: Der E-Mail-Anbieter GMX, der von der 1&1 Mail & Media GmbH betrieben wird, ist ein Anbieter, den man vermeiden sollte, wenn einem die eigene Privatsphäre etwas bedeutet und wenn man keine gefährliche, überzeugend formulierte Spammail mit namentlicher Ansprache erhalten möchte. Eine Mail „von der Bank“, in der man mit Namen angesprochen wird, kann leider verheerend überzeugend sein und keineswegs nur unerfahrene Internetnutzer zu Opfern der organisierten Kriminalität machen.

Zum Glück gibt es Auswahl.

Datenschutz? So Nie!

Wer wissen möchte, warum man auch großen Firmen mit einer unbestrittenen Reputation nach Möglichkeit keine persönlichen Daten anvertrauen sollte: Bitte an den PSN-Hack bei Sony denken.

Viele Nutzer von PSN und Qriocity haben in den letzten Tagen eine Mail erhalten, aus der unter anderem Folgendes hervorgeht (Hervorhebungen im Zitat sind von mir):

Auch wenn wir derzeit noch bei der Untersuchung aller relevanten Details zu dem Vorfall sind, meinen wir, dass sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network / Qriocity Passwort und Login sowie PSN Online ID. Es kann darüber hinaus möglich sein, dass auch Ihre Profilangaben widerrechtlich abgerufen wurden inklusive Ihrer Kaufhistorie und Ihrer Rechnungsanschrift (Stadt, Bundesland, Postleitzahl). Falls Sie einem zweiten Konto für einen Unterhaltsberechtigten zugestimmt haben, kann es sein, dass oben genannte Angaben Ihres Unterhaltsberechtigten ebenfalls angeeignet wurden. Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurden, können wir diese Möglichkeit nicht gänzlich außer Betracht lassen […]

[Danke S., für die Weiterleitung der Mail, die übrigens wie eine Spam ohne persönliche Anrede daherkommt, obwohl auf Seiten Sonys ein Name bekannt ist.]

Betroffen von diesem kriminellen Angriff sind rund einhundert Millionen Sony-Kunden.

SoNieErmöglicht wurde das massenhafte Abgreifen von Daten durch äußerste Nachlässigkeit mit der Internet-Sicherheit. Es wurde veraltete Serversoftware mit allgemein bekannten, von Angreifern ausbeutbaren Lücken verwendet und es gab keine üblichen Absicherungen gegen solche Angriffe. Diese Probleme waren auch auf Seiten Sonys bekannt. Die gleiche Firma, die ihre Kunden so gern mit DRM (am besten als digital restrictrion management) in ihren völlig entbehrlichen Produkten knechtet und dabei vor noch gar nicht so langer Zeit nicht einmal davor zurückschreckte, Audio-CDs auf den Markt zu werfen, die mit heimlich installierter, perfide programmierter und gefährlicher Schadsoftware das Auslesen der Musikstücke verhinderten, diese Firma hat selbst keinerlei Mühe darauf verwendet, die angesammelten Kundendaten in irgendeiner Weise abzusichern.

Oder kurz gesagt: Sony sind seine Kunden scheißegal.

Sicher, die sollen kaufen und bezahlen, die sollen sich darüber freuen, dass sie ihr Geld für enteignende und entrechtende DRM-Scheiße ausgeben; die sollen sich auch ja nicht an eine Zeit erinnern, in der Computerspiele auch ohne Internetzugang möglich waren — aber dass sich das mit einer so „großen“ Wertschätzung der Kunden verbände, so dass auch nur die üblichen Investitionen in die Sicherheit der Internetanwendungen gemacht würden, um die akkumulierten Kundendaten zu sichern, das wäre doch zu viel verlangt. Und dass man ein paar kompetente Administratoren damit beschäftigte, die mit dem Internet verbundenen Datenverarbeitungsanlagen — jeder Recher mit einer Internet-Verbindung ist ein Opferrechner, und wo sich die Beute so sehr lohnt, da kommen Täter irgendwann ganz sicher — überwachten und auf einen leidlich sicheren technischen Stand hielten… ach nein, die Leute müsste man ja bezahlen, das kostete ja Geld, und das kann man doch auch einsparen. Das ist ja auch besser für den Profit. Es ist ja auch nicht in erster Linie Sonys Problem, wenn Kreditkartendaten von Kriminellen benutzt werden und durch den Missbrauch der Identitäten der Kunden teilweise große Schäden entstehen, sondern es ist das Problem der Kunden und ihrer Banken. Genau so, wie das Mailpostfach voller Spam und krimineller Attacken nicht ein Problem Sonys, sondern ein Problem der Kunden ist.

Welche „Kaufempfehlung“ für Sony-Produkte aus diesem Vorgang hervorgeht, erklärt sich hoffentlich von selbst.

Welche viel allgemeinere Empfehlung für den Umgang mit persönlichen Daten aus diesem Vorgang hervorgeht, sollte aber genau so klar sein. Auch große wirtschaftliche Unternehmen sind nicht vertrauenswürdig. Ihr Agieren ist darauf gerichtet, Gewinn zu erwirtschaften, und dabei können berechtigte und vernünftige Ansprüche ihrer Kunden — in diesem Fall: der berechtigte und vernünftige Anspruch auf die Sicherheit persönlicher Daten — schon einmal auf der Strecke bleiben.

Hier nur ein kleines Zahlenspiel, um das Volumen der von Kriminellen bei Sony abgegriffenen Daten etwas fassbarer zu machen.

Es soll sich um ungefähr 100 Millionen Datensätze mit folgenden Merkmalen pro Datensatz handeln:

  • Name
  • Anschrift
  • Wohnort
  • PLZ
  • Staat
  • Geburtstag
  • Passwort
  • Login
  • eine ominöse ID
  • vielleicht noch Kreditkartendaten
  • vielleicht eine Rechnungsanschrift

Wenn man für diese Felder „mal eben schnell“ eine durchschnittliche Feldlänge schätzt, kommt man pro Datensatz auf folgende Datenmengen:

  • 16 Zeichen für Vor- und Nachnamen
  • 16 Zeichen für die Anschrift
  • 10 Zeichen für den Wohnort
  • 5 Zeichen für die Postleitzahl
  • 3 Zeichen ISO-Code für den Staat
  • 8 Zeichen für den Geburtstag
  • 64 Zeichen für das (hoffentlich gehashte) Passwort
  • 10 Zeichen für die Login-Kennung
  • 8 Zeichen für die ID

Das macht beim sicher eingeräumten Volumen der mitgenommenen Daten, wenn man einmal ein Byte pro Zeichen annimmt und eher technische Zusatzinformationen (Feldtrennung, Trennung zwischen den Datensätzen) ignoriert, 140 Bytes pro Datensatz. Bei 100 Millionen Datensätzen ergibt sich so, dass rund 13 Gigabyte Daten von Sonys Servern abgegriffen wurden. Wird die Rechnungsanschrift mitberücksichtigt, wurden rund 17 Gigabyte Daten abgegriffen, und nimmt man für die Kreditkartendaten einmal 20 Byte an, so handelt es sich, falls diese auch in die Hände der Verbrecher gelangt sind, was übrigens wahrscheinlich ist, um satte 20 Gigabyte Daten. Da in dieser Betrachtung technische Elemente in den abgegriffenen Datensätzen ignoriert wurden, ist das wirkliche Volumen um einen unbekannten Betrag höher.

Selbst über schnelle Internetanbindungen lässt sich eine derartige Datenmenge nicht „mal eben in ein paar Minuten“ übertragen, das Abgreifen der Daten muss also bei üblichen Downloadraten mehrere Stunden gedauert haben.

Und in dieser ganzen Zeit ist es bei Sony keinem technischen Administrator aufgefallen, dass plötzlich in der Größenordnung von mindestens 13 Gigabyte Daten aus den Kundendatenbanken möglicherweise in einer Transaktion an eine einzige IP-Adresse gesendet werden. Aber selbst, wenn das Abgreifen der Daten über ein Botnetz erfolgte, wäre ein solcher Vorgang auffällig.

Es gibt dafür nur eine Erklärung: So etwas wie ein Monitoring der betroffenen Server durch dafür bezahlte Administratoren hat nicht stattgefunden — denn bei einer derartigen Transaktion sollten schnell alle Alarmglocken klingeln. Das Geld, das für eine technische Überwachung und Betreuung der Sony-Rechenzentren ausgegeben werden müsste, wurde von Sony einfach eingespart, weil Sicherheit „zu viel Geld kostet“ — eventuelle Schäden haben ja andere. Eben die Kunden. Und die sind Sony ja scheißegal, solange sie sich am Geldbeutel melken lassen.

Dass ein derartiges Monitoring nicht stattgefunden hat, passt übrigens prächtig dazu, dass nicht einmal die verwendete Serversoftware auf einen aktuellen und gegen Angriffe sicheren Stand gebracht wurde — für die Durchführung solcher elementarer Tätigkeiten für die IT-Sicherheit hätte man ja bei Sony jemanden beschäftigen und bezahlen müssen. Wie schon gesagt, bei der gleichen Firma Sony, die ihre Kunden mit DRM an allen Ecken und Enden gängelt.

Alle Ächtung!

Was sind Schlecker die Kundendaten wert?

Offenbar sind Schlecker die Kundendaten nicht sehr viel wert — warum sollte dieser Ramscher, der auch seine „Mitarbeiter“ eher wie billige Verfügungsmasse betrachtet, auch der kaufenden Verfügungsmasse gegenüber eine menschlichere Einstellung haben. Und weil die Kundendaten nicht viel wert sind, hat Schlecker sie einen externen Dienstleister verwalten lassen, ganz so, als könne so etwas überhaupt keine Probleme verursachen und als gäbe es keine einträglichen Geschäfte durch den Handel mit guten Adressdatensätzen. (Natürlich wird dieser Dienstleister ein derartiges Geschäft augeschlossen haben, aber natürlich arbeiten auch dort Menschen, die Zugriff haben und die einem kleinen Nebenerwerb nicht abgeneigt sein werden. Was glaubt man eigentlich, warum ein solches Outsourcing billiger ist als der eigene Betrieb?)

Und natürlich ist es mal wieder schief gegangen.

Im Gespräch mit Focus Online wird der Dienstleister Artegic AG, der für Schlecker einen personalisierten Newsletterversand betreibt, konkreter: „Die Kundendaten auszuspähen war nur möglich, weil eine Person die die Zugangsdaten zum Server besaß, ein Programm aufgespielt hat.“

Aber Schlecker „entschädigt“ jetzt ja seine Kunden, nachdem klar ist, dass da vorsätzlich eine Infrastruktur zum Ausspähen von Kundendaten angelegt wurde. Mit der grandiosen Entschädigung von fünf Euro. Und die natürlich nicht in bar, sondern für Schlecker überaus preisgünstig und kundenbindend als Einkaufsgutschein für Schlecker. Man spart eben, wo man kann.

Ich glaube ja, dass so genannte „Datenpannen“ in der BRD wesentlich seltener wären, wenn es dabei genau wie bei trivialen Urheberrechtsverstößen in privaten Websites zu einer Abmahnung mit Kosten im Bereich einiger hundert bis einiger tausend Euro für jeden Einzelfall käme. Und ich glaube, dass man „Schlecker“ nach dieser Nummer der Firmierung die Buchstaben „Ar“ vorwegstellen sollte, damit klarer wird, was das für ein Laden ist.

Ach ja: Wer angesichts der hier herrschenden Zustände irgendeinem Anbieter irgendwo im Internet echte Daten von sich selbst preisgibt, dem ist nicht mehr zu helfen…