Sind Polizeicomputer wirklich sicher?

Die Anzahl bekannt gewordener erfolgreicher Angriffe auf die IT großer Unternehmen und staatlicher Institutionen hat seit Jahresanfang „gefühlt“ deutlich zugenommen. Kürzlich hat es auch die Bundespolizei erwischt. Im Juli waren Hacker, die sich selbst der „No Name Group“ zurechnen, in einen Server des Zolls eingedrungen, der als Software-Downloadrechner zur behördeninternen Verteilung von Software-Updates eingesetzt wurde. So konnten sie durch die Einspeisung manipulierter Updates ein verteiltes System zur Ermittlungsunterstützung und Zielverfolgung angreifen und daraus Daten kopieren. Dazu zählten u.a. Bewegungsprofile und Positionsdaten von GPS-Peilsendern an den Fahrzeugen überwachter Personen. Die Hacker stellten diese Daten anschließend ins Internet, die Polizei musste die Nutzung der betroffenen Systeme vorübergehend einstellen und einen außerplanmäßigen Sicherheitsaudit durchführen.

Unklar ist, ob es sich dabei tatsächlich um Daten aus Ermittlungsverfahren handelt, bei denen ein Richter die Überwachung Verdächtiger erlaubt hat. Denkbar wäre zum Beispiel auch, dass die Behörden eine neue Software zur Analyse von Bewegungsprofilen in einem Feldversuch getestet haben, wie Spiegel Online vermutete.

Zwischenzeitlich konnten die intensiv ermittelnden Ordnungshüter mehrere Verdächtige festnehmen, darunter auch der Hacker „Darkhammer“, der sich in der Hacktivistenszene bereits im Zusammenhang mit Hackerangriffen auf NPD-Websites einen Namen machte.

Das wirft die Frage auf, wie sicher die IT-Systeme von Behörden eigentlich sind, die als Folge der Versicherheitsstaatlichung Deutschland immer mehr und immer sensiblere Daten der Bürger beinhalten. So hatten bereits 2010 Hacker Systeme des Zolls angegriffen und mit Trojanern infiziert, was trotz vorhandener Virenschutzsoftware erst Mitte 2011 bemerkt wurde.

Die bereits erwähne Revision der Zollsystem ergab jedenfalls gravierende Mängel, wie es in einem vertraulichen Bericht heißt, der seinen Weg in die Spiegel-Redaktion fand. Veraltete Hardware und Software, nicht vorhandene oder unzureichend ausgelegte Sicherheitssysteme, Mängel im technischen Datenschutz – und das in einem System, welches sensible Daten über verdeckte Ermittler, V-Leute und geheime Operationen enthält.

Neben der Technik fehlt es der Bundespolizei aber wohl auch am qualifizierten Personal. So fehlten an Schlüsselpositionen geeignete Mitarbeiter, die Fehler feststellen und beheben könnten. Dazu aber wären sie, dem Revisionsbericht zufolge aber wegen mangelhafter Systemdokumentation ohnehin kaum in der Lage. Hinzu kämen Defizite im Konfigurations- und Rechtemanagement, in der Zugriffsprotokollierung, in der Handhabung mobiler Datenträger sowie beim Fernzugriff, der über unverschlüsselte Klartextprotokolle abgewickelt würde.

Und so kamen die Prüfer zu dem vernichtenden Ergebnis, dass Hacker nach wie vor in das Polizeinetz eindringen könnten, um dort relativ einfach an geheime Daten gelangen, die Software manipulieren und systemrelevante Einstellungen verändern zu können.

Doch warum ist das so?

Der Kern des Problems dürfte schlicht darin bestehen, dass es der Bundespolizei am Budget für angemessene Ausstattung auf aktuellem Stand der Technik fehlt. Und dass entsprechend qualifizierte Sicherheitsexperten gehaltstechnisch kaum noch in die Tarif- und Besoldungssysteme des öffentlichen Dienstes einzupassen sind, während gleichzeitig Personaleinsparungen und Haushaltskonsolidierungen laufen. Ein Zielkonflikt, der künftig häufiger zu Kollateralschäden in Form gehackter Rechner und abhanden gekommender Behördendaten führen dürfte.

Wurde die Schufa gehackt?

In den letzten Wochen gab es alle paar Tage Berichte in der Tagespresse über spektakuläre Hacks auf die Rechner von Unternehmen. Kürzlich musste sogar der Weltwährungsfonds eingestehen, unerwünschte „Gäste“ in seinen Systemen gehabt zu haben.

Und jetzt scheint die Schufa dran zu sein. Auf Gulli.com wurde über einen Angriff auf die Webserver der Wirtschaftsauskunftei berichtet, bei dem über Local File Inclusion Zugriffe auf dort vorhandene, aber nicht direkt zum Webangebot gehörende Daten möglich waren. Solche Attacken auf Webserver gehen üblicherweise Angriffen auf Systeme „weiter im Inneren“ einer Organisation voraus. Gleichzeitig sind sie aber auch Gradmesser für die Ernsthaftigkeit mit der eine Organisation IT-Sicherheit betreibt. Denn Webserver, die über leicht auffindbare Sicherheitslücken wie SQL Injection, File Inclusion und Cross-Site Scripting angegriffen werden können, deuten i.d.R. auf mangelndes operatives IT-Risikomanagement und fehlende Routinen zur sicherheitstechnischen Aktualisierung von außen erreichbarer Systeme hin. Der Hinweis an die Gulli-com-Redaktion kam von einer ungenannten Quelle und wurde von Sicherheitsexperten per Proof-of-Concept bestätigt. Auch Tagesschau.de griff das Thema auf und wies auf die Problematik der Kombination aus Massendatenspeicherung, fragwürdiger “Freiwilligkeit” der faktisch erzwungenen Datenabgabe durch Verbraucher und scheinbar laxe Sicherheitsstandards bei der Schufa hin.

„Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein und zeigt erneut, dass jede Form der personenbezogenen Datensammlung ein Sicherheitsproblem darstellt“, so Sebastian Nerz, angehender Informatiker und Bundesvorsitzender der Piratenpartei Deutschland in einer Pressemeldung. „Ob SCHUFA oder andere große Datenbestände wie die deutschen Zensusdaten, die digitalen Steuerdaten oder die Arbeitnehmer-Datenbank ELENA: Nur wenn Daten erst gar nicht gespeichert werden, sind sie vor unbefugten Zugriffen sicher. Datensparsamkeit muss daher oberstes Gebot sein. Leider ist diese Erkenntnis immer noch nicht in der Politik angekommen. Große Datenhalden werden nach wie vor als eine Lösung und nicht als Teil des Problems gesehen.“

Und die Daten der Schufa dürften in der Tat einen beträchtlichen Wert am Datenschwarzmarkt darstellen, falls es Hackern mit wirtschaftskriminellen Motiven gelänge sie zu erbeuten. Hat doch die Schufa eine monopolartige Position erreicht, die es Verbrauchern fast unmöglich macht, am täglichen Geschäftsverkehr teilzunehmen, ohne laufend standardisierte Schufa-Einwilligungsklauseln zu unterschreiben. Eine Praxis, die z.B. im Arbeitsrecht bereits dazu geführt hat, dass dort datenschutzrechtliche Einwilligungen aufgrund des Machtungleichgewichts zwischen Arbeitnehmern und Arbeitgebern als rechtlich unbeachtlich angesehen werden, da die „Freiwilligkeit“ ihres Zustandekommens bezweifelt wird. Die Schufa dürfte über einen deutschlandweit wohl einzigartigen Bestand an Finanzdaten fast aller Inhaber von Bankkonten, Handynutzern, Kreditnehmern oder Kartenzahlern besitzen. Die enormen Vorratsdatenbestände der privatwirtschaftlichen Schufa kamen nur durch die oligopolartige Stellung der Wirtschaftsauskunfteien zustande, die es Verbrauchern nahezu unmöglich macht, an ihnen vorbei Bankgeschäfte oder bargeldlose Zahlungen zu tätigen.

Eine solche Organisation ist aufgrund vieler Gründe ein herausforderndes Ziel für Hacker. Sei es als Versuch zu Ruhm und Anerkennung innerhalb der Szene zu kommen, sei es aus räuberischen Motiven, sei es im Rahmen eines Vergeltungsschlages gegen eine, ihrer Ansicht nach zu mächtig gewordene Organisation.

Die in der Überschrift gestellte Frage kann  man mittlerweile als bereits beantwortet ansehen. Denn David Vieira-Kurz, der Gulli-com den Proof-of-Concept geliefert sowie die Schufa-Verantwortlichen gewarnt hat, berichtet auf seinem Blog Secalert.net dass die Schufa-Verantwortlichen ihm als Dank eine Flasche Sekt versprochen hatten, nachdem sie die Lücke im Webserver geschlossen hatten.

Unklar ist allerdings noch, ob nicht zwischenzeitlich auch Dritte die Lücke ausnutzen und sich Schufa-Daten beschaffen konnten.

Erneuter Hackerangriff auf NPD-Websites

Hacker haben in den letzten Tagen etliche Websites der Nationaldemokratischen Partei Deutschlands (NPD) gehackt sowie sich Zugang zu parteiinternen Daten verschafft und diese veröffentlicht.

Die diversen Websites der NPD zählen zu den Lieblingszielen der hackenden Besucher des alljährlich zu Jahresende in Berlin stattfindenden Chaos Communication Congress. Fast jedes Jahr werden beträchtliche Mengen an Arbeitszeit der freischaffenden Sicherheitsexperten der NPD „gespendet“ um deren Systeme durch kreatives Penetration Testing u.ä. auf Sicherheitslücken durchzuprüfen. Daher sollten die NPD-Rechner inzwischen eigentlich zu den bestgeprüftesten und gehärtesten Parteiservern in Deutschland zählen.

Das dem wohl eher nicht so zu sein scheint, stellte kürzlich die Hackergruppe „No Name Crew“ unter Beweis. Sie drang in Dutzende Websites der NPD ein und konnte sogar parteiinterne Datenbanken kopieren und diese zusammen mit etlichen anderen NPD-Dokumenten auf ihrer eigenen Website zur gefälligen Begutachtung bereitstellen.

Besonders heikel: Die Hacker der „No Name Crew“ haben eine Liste von angeblichen NPD-Spendern veröffentlicht. Darin werden über 400 Personen mit Namen und Adresse aufgelistet, die der rechtsextremen Partei in einem allerdings nicht genannten Zeitraum Geld gespendet haben sollen.

Allerdings distanzierte sich die Hackergruppe von der Antifa und den Aktivisten der Gruppe „Anonymous“, nachdem zunächst vermutet wurde, dass die Angreifer aus dem Umfeld antifaschistisch geprägter Polithacker kommen würden. Publicity ist den Hackern der „No Name Crew“ jedoch gewiss – berichteten doch neben Insiderseiten wie Gulli.com auch u.a. Spiegel Online, die Sueddeutsche oder auch Welt Online über den NPD-Hack. „Ich weiß, dass ich mit meiner Aktion auf ein breites Interesse der Öffentlichkeit stoßen werde“, so der Anführer der Truppe, der sich selbst „Darkhammer“ nennt.

Und in der Tat: Der Hack dürfte die NPD wie der sprichwörtliche Hammer aus der Dunkelheit getroffen haben. Denn derzeit scheint der Provider der NPD („naweko – Agentur für Neue Medien“, eine Firma, die dem Landesvorsitzenden der NPD Saarland, Frank Lanz gehört) immer noch mit Schadensbegrenzung beschäftigt zu sein. Die Defacements der gehackten Seiten wurden vom Netz genommen und etliche der betroffenen NPD-Domains sind nicht mehr erreichbar. Ob die NPD sicherheitstechnisch nachbessert, werden wir wohl spätestens im Dezember erfahren, wenn der nächste Chaos Communication Congress stattfindet.

Allerdings weiß man bei allen Skandalen und Aufregerthemen, welche die NPD betreffen ja letztlich nie so genau, was davon auf die braune Truppe selbst zurückführbar ist und wo der Verfassungsschutz die Hände mit drin hatte. Zudem bleibt abzuwarten, ob die NPD Strafanzeige erstatten und staatsanwaltliche Ermittlungen in der Sache anstreben wird.

Sicherheitsexperten entdecken Leck in Android-Handys

Smartphones mit dem zunehmend beliebter werdenden Android-Betriebssystem von Google erweisen sich im täglichen Gebraucht als etwas zu mitteilsam, wie deutsche Sicherheitsexperten kürzlich bekanntgaben. Sie melden sich automatisch und ohne Zutun ihres Nutzers in freien WLAN-Netzen an, in denen sie bereits einmal angemeldet waren, sobald das Gerät in die Funkreichweite des entsprechenden WLAN-Routers kommt. Steht die Verbindung, so wird ebenso automatisch eine Synchronisierung mit Google-Diensten wie Mail, Calender, Contacts, oder Picasa gestartet, wobei Authentifizierungsdaten (authToken) zum Teil sogar unverschlüsselt über eine einfache http-Verbindung gesendet werden. Diese Authentifizierungsdaten lassen sich am WLAN-Router mitschneiden (z.B. per Sniffer-Software) und können dann im Einzelfall für bis zu 14 Tage dazu benutzt werden, mit der Identität des Nutzers in dessen Google-Konten zu stöbern.

Auch Apps anderer Anbieter könnten von dem Problem betroffen sein, da nicht nur Google-eigene Apps dieses Anmeldesystem verwenden. So z.B. die Kalendersynchronisation des beliebten Mailprogramms Thunderbird der Mozilla Foundation.

„Der Informationsklau funktioniert besonders gut, wenn der Name des Netzwerks einem bekannten Anbieter ähnelt, also etwa T-Online“, so die Medieninformatiker Bastian Könings, Jens Nickels und Florian Schaub. Dazu reicht es nach Ansicht von Königs, die gut dokumentierten Google-Schnittstellen für externe Entwickler zu benutzen.

Dass mobile Geräte und beliebte Apps sensible Daten unverschlüsselt in die Welt hinausblasen, wird in Expertenkreisen bereits seit einiger Zeit zunehmend kritisch diskutiert.

Kurzfristig raten Fachleute Android-Nutzern zu folgenden Selbsthilfemaßnahmen:
•    Zügig auf die aktuellste Version 2.3.4. von Android updaten, in der das Problem so nicht mehr besteht.
•    Die automatische Datensynchronisation in den Einstellungen deaktivieren.
•    Die Liste bereits konnektierter WLAN-Netze im Handy regelmäßig löschen (nur auf der Liste befindliche Netze werden automatisch konnektiert).
•    Offene WLAN-Netze möglichst meiden, wenn datensensible Dienste und Apps genutzt werden.

Zumindest der erste Punkt der Empfehlungen ist für zahlreiche Smartphone-Nutzer jedoch gar nicht so leicht umsetzbar. Zwar ist Android ein (weitgehend) offenes System. Jedoch haben viele Smartphone-Hersteller ihre Geräte mit individuellen Oberflächen und Zusatzprogrammierungen „gebrandet“, so dass sie Upgrades des zugrunde liegenden Android-Betriebssystems nur zögerlich, falls überhaupt ausrollen. So ist derzeit ein ganzer Zoo von unterschiedlichen Android-Versionen im Markt unterwegs.

Doch es sind nicht nur Android-Handys betroffen. Grundsätzlich funktioniert die Methode, in offenen WLANs Daten mitzuschneiden und zweckzuentfremden auch bei anderen Mobilgeräten wie etwa Laptops, Navis oder Tablets, sofern diese Daten unverschlüsselt in den Äther blasen.

Inzwischen plant Google kurzfristig ein außerplanmäßiges Sicherheitsupdate an alle Android-Geräte zu verteilen und dabei nicht den Weg über die einzelnen Handyhersteller und Distributoren zu gehen. Der Patch soll die Kommunikation zwischen Gerät, WLAN-Router und mobilen Diensten verschlüsselt über das https-Protokoll abwickeln. Das allein ist jedoch nur die halbe Lösung, solange solche Kommunikationen versteckt im Hintergrund und ohne Kenntnis und Zustimmung des Benutzers ablaufen.

Wenn Daten zum Problem werden

Die letzten zwei Wochen waren wieder sehr „gehaltreich“ für Leute, die sich mit Fragen der Informationssicherheit beschäftigen.

Zunächst entdeckten zwei Softwareentwickler, dass Apples Flaggschiffe iPad und iPhone vom Benutzer unbemerkt nahezu ständig Positionsdaten in einer lokalen Datenbank auf dem Gerät mitloggen und diese auch auf einen mit dem Gerät synchronisierten PC sowie über den Umweg von WLAN-Positionsabfragen auch auf Apple-Server hochladen. Und zwar auch dann, wenn der Benutzer entsprechende Funktionen in den Geräten deaktiviert hat. So entsteht eine Datenbank, welche zwar kein vollständiges Bewegungsprofil des Anwenders, jedoch die Koordinaten von WLAN-Routern und Mobilfunkzellen in seiner Nähe zusammen mit einem Zeitstempel enthält. Sie entwickelten daraufhin eine App namens iPhone Tracker, mit der sich diese Daten auslesen und auf einer Karte grafisch darstellen lassen.

Parallel kämpft Sony derzeit mit wiederholten Hackerangriffen und Datendiebstählen. Zunächst drangen Hacker in die Datenbanken des Playstation-Networks (PSN) und des Musik- und Filmedienstes Qriocity ein und konnten Datensätze von etwa 77 Millionen Nutzerkonten kopieren. Inhaltlich können diese Daten am Schwarzmarkt verkauft und später für gezieltes Spear-Phishing oder Kreditkartenbetrug verwendet werden. Einige Tage später wurde bekannt, dass auch 25 Millionen Nutzerdatensätze des kommerziellen Spiele-Netzwerks Sony Online Entertainment (SOE) abhanden kamen. Wohl bei demselben Raubzug. Schon vor Wochen hatte Sony aus der Szene Hinweise auf bestehende Sicherheitslücken erhalten. Der Konzern hatte diese jedoch ignoriert bzw. war sogar gerichtlich gegen einen Hacker und Homebrew-Programmierer vorgegangen, der es geschafft hatte, sicherheitskritische Teile seiner eigenen Playstation-3-Spielekonsole zu hacken und der dies öffentlich gemacht hatte. Statt den Mann einzustellen und zur weiteren Verbesserung der betreffenden Systemkomponenten einzusetzen, hatte Sony eine einstweilige Verfügung erwirkt, um ihm das Verbreiten seiner Erkenntnisse zu erschweren. Das haben andere Hackergruppen dem Konzern wohl nachhaltig verübelt.

Dann wurde bekannt, dass TomTom, ein Anbieter von Navigationssystemen, gespeicherte Verkehrsdaten der Nutzer an die niederländische Regierung verkauft hatte. So wertet Tomtoms Verkehrsinformationsdienst HD Traffic beispielsweise anonymisierte Bewegungsprofile von Navigationsgeräten mit Internetanbindung sowie von Smartphones mit Tomtom-App aus, um Staus möglichst früh zu erkennen und in die Navigation miteinzubeziehen. Dabei werden auch Daten wie Fahrgeschwindigkeitswerte übermittelt bzw. können durch Zeit/Ort-Differenzabgleich errechnet werden. Mit diesen Daten lassen sich Stellen im Straßennetz finden, wo besonders häufig gegen Geschwindigkeitsbegrenzungen verstoßen wird und wo es daher lukrativ sein kann, „Blitzer“ aufzustellen. Obwohl aus Tomtoms Sicht legal und in verallgemeinerter Form sogar Bestandteil der Nutzungsbedingungen, zeigt diese „Zweitverwertung“ von Nutzerdaten doch, dass Daten auch ganz ohne Zutun von Hackern in falsche Hände gelangen können um dann den Nutzern zu schaden. Kürzlich wurde zudem bekannt, dass Tomtom auch mit der australischen Regierung über solche „Datenzweitverwertungen“ verhandelt. Aus dem ersten Fehler wurde wohl nichts gelernt.

Vor kurzem musste Amazons Cloud-Service EC2 seinen Kunden gegenüber eingestehen, dass es nach einem mehrstündigen Systemausfall zu einem größeren, nicht mehr wiederherstellbaren Datenverlust gekommen ist. Der Dienst, der von Amazon mit dem Motto „Die Cloud, auf die Sie sich verlassen können“ beworben wird, hatte beim Wiederanlaufen mit nicht mehr behebbaren Inkonsistenzen in seinen Datensicherungen zu kämpfen. Wohl dem, der Alternativen in der Hinterhand hatte.

Manche Unternehmen sparen bei der IT-Sicherheit und werden daher Opfer von Hackerattacken, da es leicht ist, bei ihnen Daten abzugreifen. Andere hingegen praktizieren quasi-militärische Hochsicherheitsstandards – und werden ebenfalls Opfer von Hackern, die sich technologisch herausgefordert fühlen. Wieder andere versuchen wie Sony gegen kleinere Ärgernisse aus der Hackerszene gerichtlich vorzugehen. Mit der Konsequenz, dass sich daraus sehr große und rechtlich nicht mehr in den Griff zu bekommende Probleme entwickeln können. Und auch dort wo es aus der Perspektive der Informationssicherheit zu keinen nennenswerten Vorfällen kam, machen sich Probleme mit der Softwarequalität bemerkbar. So gab z.B. Apple bekannt, dass das Geodatenlogging im iPhone letztlich ein Programmierfehler gewesen sein soll. Auch wenn Apple bereits 2009 für etwas von der Idee her sehr Ähnliches ein US-Patent beantragt hat. Patentierte Fehler?

Was ist nun die gemeinsame Konsequenz all dieser Dinge?

Unternehmen nutzen (zu) viele Daten und betreiben (zu) datenintensive Geschäftsmodelle. Wer aber viele Daten nutzt, muss auch umfangreiche, teure und wegen ihrer Komplexität fehleranfällige Maßnahmen zu ihrer Absicherung mit einplanen. Und wird oftmals gleich vom Gesetzgeber zu entsprechender Vorsorge verpflichtet.

Daten haben in Unternehmen also nicht nur den Charakter eines wertvollen Besitzes oder eines notwendigen Produktionsfaktors. Sie werden auch zum Risiko und zum Kostenfaktor. Daher sollten sie nach Möglichkeit sehr sparsam verwendet werden. Geschäftsprozesse sollten den Prinzipien der Datensparsamkeit und Datenvermeidung Rechnung tragen, wie es das Bundesdatenschutzgesetz im §3a für personenbezogene Daten ohnehin fordert.

Es ist ein Stück weit ähnlich wie mit produktionsbezogenem Problemmüll. Er ist oft in hohem Maße giftig oder anderweitig schädlich, so dass er auf spezielle Art und Weise gesichert und entsorgt werden muss. Mehr Müll bedeutet dann höhere Kosten. Vermeidet man Müll, indem man im Produktionsprozess sparsamer und effizienter mit Rohstoffen umgeht, senkt das unmittelbar die Entsorgungskosten sowie die Prozesskosten für die Behandlung und Lagerung der giftigen oder strahlenden Abfälle.

Ähnlich verhält es sich mit den Datenvolumina, der Kritikalität von Daten sowie den Kosten zu ihrer informationstechnischen Absicherung. Auch hier bedeutet ein Weniger an Daten auch ein Weniger an Kosten. Gleichzeitig gehen Unternehmen, die schlampig mit Daten umgehen oder diese sehr einseitig zu ihren Gunsten nutzen, ähnliche Risiken für ihr Ansehen in der Öffentlichkeit ein, wie Firmen, die hochgiftige Abfälle einfach in den Fluss kippen oder auf dem Meer verklappen lassen.

Scareware – Mit Nervsoftware abkassieren

Es gibt viele Möglichkeiten, mit Schadsoftware Geld zu verdienen. Eine, die eher auf Trickbetrug, als auf Diebstahl von Daten oder Rechnerkapazitäten hinausläuft, ist sog. „Scareware“. Das ist Software, die den Nutzer verängstigen und verwirren soll, um ihn so zu Handlungen zu verleiten, von denen der Autor profitiert. Wenn man will also automatisiertes Social Engineering.

Das Prinzip ist einfach: Dem surfenden PC-Nutzer wird beispielsweise eine kostenlose Analyse seines Rechners auf Viren angeboten. Kostenlose und gute Virenkiller gibt es ja von mehreren Anbietern. Dazu muss er lediglich ein Programm aus dem Internet herunterladen, installieren und starten. Tut er dieses, so generiert das Programm rasch und mit zunehmender Häufigkeit und Penetranz Warnmeldungen, dass dieser oder jener Virus im System sei und das man möglichst rasch eine kostenpflichtige Sicherheitslösung kaufen, runterladen und einspielen möge. Bis hin zur Unbenutzbarkeit des Rechners, weil fast jeder Vorgang mit diesen Warnmeldungen unterbrochen wird. Folgt man den Hinweisen und lädt das zu bezahlende Update herunter, ist für einige Zeit Ruhe bis es erneut losgeht.

Nur: Es war zu keiner Zeit echte Schadsoftware auf dem Rechner. Dem Nutzer wurde lediglich vorgegaukelt, er hätte ein Problem. Das Problem kam erst mit dieser Art von Trickbetrug auf seine Festplatte. Das Prinzip der Scareware setzt auf den eher unmündigen, arglosen und neugierigen Nutzer, der viel ausprobiert und die oft eher kryptischen Meldungen inhaltlich nicht hinterfragt. Im schlimmsten Fall hat der Nutzer durch das Installieren der Scareware auf seinem Rechner erst vormals noch nicht vorhandene Sicherheitslücken aufgerissen. Schließlich läuft das Programm in aller Regel mit den (meist recht weitreichenden) Rechten des Benutzers und hat vollen Zugriff auf seine Daten.

Das Prinzip ist nicht wirklich neu. Heise Security berichtete bereits 2008 darüber.

Linux-Anwender sind hier, wie oftmals bei Schadsoftware außen vor, da sich deren Entwickler meist auf das deutlich verbreitetere Windows-Ökosystem konzentrieren.

Ein typischer Vertreter dieser Gattung von Nervsoftware ist „System Tool 2011“, eine Art Trojaner, der sogar als Drive-by-Download allein durch ungeschütztes Surfen im Internet seinen Weg auf die lokale Festplatte finden kann. Der aber auch von interessierten Nutzern oftmals gezielt runtergeladen und installiert wird.

Bis zu 100 Infektionen meldet das Tool bereits nach dem ersten Prüflauf. Allerdings existiert davon keine tatsächlich. Dafür wird man von System Tool rasch zum Bezahl-Dialog geführt, um die fiktiven Schädlinge sowie sein reales Geld loszuwerden. Mit ca. 50 $ für eine 24-Monatslizenz ist man dabei.

Richtig dreist wird die Scareware, wenn sie zur „Ransomware“  (ransom: Lösegeld) mutiert und Teile der Datenbestände des Benutzers löscht, verschlüsselt oder auf andere Art unbrauchbar macht – bis er diese durch Bezahlung einer Gebühr per Kreditkarte ins Ausland wieder auslöst.

Letztlich hilft da nur die Installation eines „richtigen“ Schutzprogramms gegen Schadsoftware aller Art. Es bringt i.d.R. Filter und Signaturen mit, die solche, auch PUPS („possibly unpopular software“) genannten Programme, erkennen und entfernen können.

Außerdem lohnt es sich, sich an die „12 Geboten der sicheren Computernutzung“ zu erinnern und nichts, das zum Ausprobieren aus dem Internet runtergeladen wurde, auf seinem Arbeits-PC zu installieren. Wer es sich gar nicht verkneifen kann, sollte hierfür einen isolierten Testrechner oder eine virtuelle Maschine innerhalb einer gesicherten Virtualisierungsumgebung verwenden.

Angriffsziel Handy – wie verwundbar sind Mobiltelefone wirklich?

Die Zeit als Mobiltelefone hauptsächlich zum Telefonieren benutzt wurden, ist bereits seit Längerem vorbei. Heute sind Handys Hilfsmittel zur Verwaltung des eigenen Lebens. Dementsprechend sind Handys technisch gesehen spätestens ab der Gerätegeneration der sog. „Smartphones“ schlicht vollwertige Computer mit funktionell reduzierten Ein- und Ausgabemöglichkeiten. Das Smart im Phone steht dabei für die erweiterten und verbesserten Einsatzmöglichkeiten dank flexibler Technologie.

Jeder Computer ist aber programmierbar, d.h. er kann Anweisungen in Programmform ausführen und tun, was ihm vorgegeben wird. Jeder Computer kann dementsprechend so programmiert werden, dass er Schadcode ausführt und den nichtsahnenden Benutzer „hintergeht“. Viren, Trojaner und co.  gibt es auch für Smartphones.

Lange Zeit aber war Schadsoftware für Mobiltelefone ein eher akademisches Thema. Die grundsätzliche Machbarkeit („proof of concept“) war nachgewiesen, trotzdem spielte das Thema in der Praxis kaum eine Rolle. Denn jeder Handyhersteller gab seinem Gerät ein eigenes Betriebssystem und eigene herstellerspezifische Software mit. Das machte es aufwendig und zugleich uninteressant, für jedes Handy eigene Varianten von Schadsoftware zu entwickeln. Außerdem funktionierten gefundene Schwachstellen und Sicherheitslücken der Software nur eben auf dem jeweiligen Gerätetyp. Zudem war das Spektrum an Möglichkeiten der so gehackten Geräte überschaubar.

Heute stecken in einem Smartphone oftmals mehr persönliche Daten als in einer Geldbörse voller Ausweise und Kreditkarten. Man kann es dazu benutzen, um auf Kosten des Simkartenbesitzers Daten zu übermitteln oder kostenpflichtige Dienstleistungen in Anspruch zu nehmen. Oder ihm Verträge über Abzockaboabrufseiten unterzujubeln. So berichtet z.B. die aktuelle ct‘ über Abofallen in Smartphone-Apps, die durch das ahnungslose Berühren von Werbeeinblendungen ausgelöst werden. Ein Vorgang der sich ebenfalls per Schadsoftware automatisieren lässt.

Und heute basieren auch nahezu alle aktuellen Smartphones auf einer von nur wenigen Betriebssystemplattformen. Apples iOS, das quelloffene Android-System von Google, das ebenfalls quelloffene MeeGo sowie (mit abnehmender Bedeutung) Symbian und Windows Mobile. Für jedes der Betriebsysteme gibt es zahlreiche funktionell sehr ähnliche Geräte mit im Wesentlichen gleichartigen Systeminterna und Schwachstellen. Auch werden zunehmend herstellerübergreifende Standards für Inhalte wie Flash und Java eingesetzt.

In Summe nimmt so die Attraktivität der Smartphone-Welt für Schadcodeautoren rasch zu, da eine Version eines Trojaners auf vielen Geräten lauffähig ist. So sind z.B. für das aktuelle Edelphone von Apple sowie dessen „großen Bruder“ das i-Pad  gleich mehrere Sicherheitslücken aktenkundig, vor denen etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits warnt.

Das lässt die Bedeutung von Virenschutzsoftware für Handys zunehmen. Noch wichtiger aber ist die bewusste und überlegte Nutzung der Geräte. So muss ein Handy im Normalfall keine Bluetooth-Verbindung offen halten (kann man abschalten) – es wird dadurch aber für Mobilfunkhacker leicht aus der Entfernung identifizierbar. Und wer seinem i-Phone eine neue App spendiert (d.h. aus dem App-Store im Internet runterlädt), sollte sich im Anschluss daran fragen, ob z.B. wirklich alle angeforderten Rechte für eine einwandfreie Funktion erforderlich sind. Nicht jede Spiel-App benötigt Vollzugriff auf alle privaten Daten im Gerät oder die Möglichkeit im Hintergrund Datentransfers von und nach sonstwohin abzuwickeln. Passen angeforderte Rechte nicht zum eigentlichen Verwendungszweck der App sollte man ruhig auch mal beim Hersteller anfragen. Unbefriedigende oder ausweichende Antworten sollten zu einem Aussortieren der Software führen.

Ein eigenes Thema wäre zudem der Schutz der Daten auf verloren gegangenen oder gestohlenen Geräten. Auch hierfür bilden sich am Markt zunehmend Lösungen in Form spezieller Software heraus. Schließlich kann man ein Smartphone durchaus auch aus der Ferne orten oder dazu bringen, sich zu sperren und gespeicherte Daten zu verschlüsseln oder zu löschen.

Auch sollte man sich bezgl. Neuigkeiten zum Betriebssystem und der Software des verwendeten Smartphones auf den Laufenden halten. Das Thema Handyviren und Smartphonetrojaner ist erst noch im Kommen. Die Berichterstattung in den Medien dürfte dazu in den nächsten Monaten deutlich zunehmen, wenn sich auch Tablet-PCs basierend auf Smartphone-Plattformen weiter ausbreiten.

Viele Smartphone-Nutzer, sind bisher zwar beim Arbeiten am PC halbwegs sicherheitssensibel, achten auf den Einsatz aktueller Software und Patches für ihren PC, setzen Virenschutz und Firewall ein oder arbeiten gleich mit einer gehärteten Linux-Distribution. Aber ihr Handy benutzen sie wie einen Haarfön: Einschalten und loslegen ohne weitere Hintergedanken. Ist doch die Technik praktisch kinderleicht, wartungsfrei und ausfallsicher gestaltet. Das wird sich ändern (müssen). Spätestens wen Handyviren in größerem Umfang damit beginnen kostenpflichtige Mehrwertdienste anzurufen (wie zu Zeiten des Einwahlinternets im Gebührentakt die Dialerprogramme), Abofallen auszulösen, wichtige Daten zu stehlen oder das Gerät gleich unbrauchbar zu machen, bis man es mit Hilfe eines vom Virenautor gegen „Lösegeld“ zu kaufenden Entsperrcodes wieder aktiviert (sog. „Ransomware“).

Das Arschgeweih im Internet – von der Langlebigkeit der Daten in sozialen Netzwerken

Das Internet vergisst nichts. Was einmal an Informationen hineingeraten ist, ist nur sehr schwer daraus wieder zu entfernen. Je länger Daten im Netz stehen, desto schwerer sind sie zu löschen, da sie dann schon von anderen weitergetragen, kopiert, zitiert usw. wurden und sich gewissermaßen ins „Langzeitgedächtnis der Welt“ eingebrannt haben. Sammeln sich auf diese Weise genügend Informationen über eine Person an – ob aktuell und zutreffend oder nicht – so kann eine Art „zweite Identität“ dieser Person im Netz entstehen. Und die muss mit dem Original nicht unbedingt allzuviel gemeinsam haben. Sie kann u.U. sogar eine Art „Eigenleben“ entwickeln, wenn  ihr immer mehr Daten zufließen, welche die Suchmaschinen und Aggregatoren zusammentragen.

Das Thema der digitalen Identität bzw. Reputation kann gerade für Jugendliche zur tickenden Zeitbombe werden. Den sie haben ihre berufliche Laufbahn noch vor sich, beginnen sie aber immer häufiger mit einer ansehnlichen Zahl „digitaler Altlasten“, verteilt auf diverse soziale Netzwerke.

Und so startete auch VR-Future, das Jugendportal der Volksbanken und Raiffeisenbanken kürzlich eine Artikelserie zum Umgang mit persönlichen Daten in sozialen Netzwerken. Treffend  verglich deren Chefredakteurin Susanne Dietz solche Daten in ihrer Haltbarkeit mit Körperkunst: „Es ist fast wie bei einer Tätowierung: Man muss sich heute die Frage stellen, ob man mit den veröffentlichten Informationen auch in fünf Jahren noch gut leben kann“. Und ergänzt: „Wir wollen Jugendliche beim Umgang mit sozialen Netzwerken dafür sensibilisieren, nicht unnötig viel von der eigenen Identität preiszugeben. Jeder weiß, dass es ein schlechtes Licht auf ihn wirft, wenn er anrüchigen Gruppen beitritt oder etwas veröffentlicht, was andere verunglimpft. Aber auch künftige Arbeitgeber nutzen soziale Netzwerke zu ihrer Information – so kann aus einem Jugendspaß schnell eine Spaßbremse für die eigene Karriere werden. Außerdem sollte Jugendlichen klar sein: Das Internet vergisst nie, denn Online-Dienste wie web.archive.org liefern auch nach Jahren noch alte Daten, die man selbst für gelöscht hielt“.

Es lohnt sich also, sich zum einen eine Strategie im Umgang mit sozialen Netzwerken zurechtzulegen: Was will man dort erreichen? Welche Ziele sollen mit den dort bereitgestellten persönlichen Informationen verfolgt werden? Und sich zum anderen intensiv mit den Datenschutzmöglichkeiten sowie den Methoden zu befassen, mit denen Informationen in dem jeweiligen System geschützt und gezielt für bestimmte Zielgruppen verfügbar gemacht oder gesperrt werden können. Auch hier gilt wieder der Grundsatz, dass das was „draußen“ ist, kaum mehr wirksam zurückgeholt werden kann.

Für die beiden weit verbreiteten sozialen Netzwerke Facebook und StudiVZ haben die Leute von VR-Future Leitfäden von Klicksave.de, einem EU-Projekt zum Thema Sicherheit für Verbraucher und Endnutzer im Internet, verlinkt. In ihnen lässt sich von der Einstellung der Zugriffsrechte auf das persönliche Profil über den Umgang mit Freundeslisten bis hin zur Verwendung von Zusatzapplikationen (Apps) alles nachschlagen, was für den bewussten und datensparsamen Umgang mit Facebook bzw. StudiVZ wichtig ist.

Klicksave.de – Facebook-Leitfaden

Klicksave.de – StudiVZ-Leitfaden

Clickjacking – der entführte Mausklick

Eine (nicht mehr ganz so) neue Angriffsmethode auf die Daten argloser Internetnutzer hinterlässt zunehmend Spuren in der Fachpresse: das Clickjacking.

Beim Clickjacking werden durch manipulierte Codeteile in Webseiten deren Nutzer dazu gebracht, durch Mausklicks Aktionen vorzunehmen, die tatsächlich zu ganz anderen Auswirkungen führen können, als es erwartet und angezeigt wurde.

Ein vereinfachtes Beispiel: Ein Nutzer klickt auf einen „Gefällt mir“-Button auf irgendeiner Webseite. Die erwartete Funktion besteht darin, dass nun die Webseite im Nachrichtenfluss der  Facebook-Freunde dieses Nutzers erscheint. Tatsächlich hat er aber in einem (optisch unsichtbar gemachten) Menü einen Link mit der Funktion „Webcam meines Rechners für den Zugriff von außen freischalten“, „Inhalt meines Mailadressbuchs an Adresssammelserver X schicken“ oder gar „Schadsoftware X im Hintergrund runterladen und installieren“ angeklickt.

Alles so vorbereitet und automatisiert dass es der Nutzer nur noch abnicken, äh -klicken muss. Da nur wenige Nutzer dazu zu bewegen sind, das freiwillig zu tun, muss es ihnen unbemerkt untergeschoben werden. Dabei hilft das Clickjacking. Technisch ist es bereits seit längerem kein Problem mehr, Webseiten mit für den Leser unsichtbaren Komponenten „anzureichern“, die im Hintergrund Aktivitäten entfalten. Dazu zählen z.B. Zählpixel auf Nachrichtenseiten, mit deren Hilfe Verwertergesellschaften abschätzen können, wie hoch der Anteil des einzelnen Urhebers an einem zu verteilenden Tantiementopf ausfällt. Oder im Hintergrund unbemerkt aufgebaute Verbindungen zu Werbemittelservern, die abhängig von ihnen übermittelten statistischen Nutzerdaten bestimmte Werbebanner ausliefern.

Zum Teil werden diese Funktionen von aktivem Programmcode, sog. „Scripts“, bewerkstelligt, die der Browser mit der Webseite herunterlädt und dann beim Rendern der Daten auf dem lokalen Rechner ausführt.

Für geplante böswillige Manipulationen und Attacken auf Nutzer werden die Webseiten entweder gezielt dafür erstellt und die Links darauf in Spam-Mails oder per Social-Media verbreitet. Oder aber es werden bekannte Webseiten, z.B. Nachrichtenportale möglichst unbemerkt gehackt und der Schadcode in sie eingebaut. Ein besonders beliebtes Ziel für Clickjacking-Angriffe sind Social-Media-Plattformen wie Facebook, Twitter oder XING, da dort die Nutzer ständig und in Größenordnungen selbst erstellte Inhalte verbreiten können, die dann in den Browsern (und auf den Rechnern) anderer Nutzer landen.

Doch wie genau wird nun der Anwender dazu gebracht, eine für ihn nachteilige Aktivität auszulösen?

Immer wieder gern genommen werden dafür iFrames (inline frames). Das sind HTML-Codeelemente mit denen sich Inhalte anderer Quellen (z.B. die bereits erwähnten Schadcodefragmente) in Webseiten einfügen lassen. Das kann dann auch ein Javascript sein, dass mit einem anklickbaren aber unsichtbaren Bedienelement unbemerkt dem Mauszeiger folgt. Der Anwender wird also, egal ob er auf Ja, Nein, den Rand oder sonst einen Bereich klickt, immer den Angriff auslösen – daher der Name „Clickjacking“.

Der Ansatzpunkt für Schutz gegen Clickjacking besteht also darin, es nur vertrauenswürdigen Webseiten zu gestatten, aktive Inhalte wie Scripts auf den eigenen Rechner zu übertragen und dort zur Ausführung zu bringen. Dabei können browserspezifisch getroffene Sicherheitseinstellungen in aktuellen Webbrowsern helfen. Oder auch PlugIns wie NoScript für Firefox, dass es dem Nutzer erlaubt jeder Website genau „auf die Finger zu sehen“ von woher sie welche Inhalte bezieht und es ihr für jeden Inhalt und jede Quelle einzeln zu erlauben oder zu verbieten. Speziell NoScript wurde erst kürzlich um Filterfunktionen für unsichtbare Inhalte wie sie mit Clickjacking-Attacken einhergehen erweitert.

Allerdings hat diese Vorgehensweise auch zwei Nachteile:

1. Ein Großteil der Webseiten funktioniert ohne Scripts nicht oder zumindest nicht richtig. Man kommt also ohne Prüfungen im Einzelfall sowie überlegtem Wählen von Sicherheitseinstellungen nicht herum – je nachdem welche Seiten man regelmäßig benutzt und wie gut der Schutz sein soll.
2. Man muss wissen was man tut.

Deutlich weiter reichen die Möglichkeiten für Unternehmen, um ihre Arbeitsplatzrechner vor scriptbasierten Attacken zu schützen.

Zeitlich begrenzte Sitzungen: Webapplikationen, bei denen der User ständig eingeloggt bleiben kann – wie z.B. bei Facebook – sind sehr anfällig für Clickjacking-Attacken. Deshalb sollten Anwender in regelmäßigen Abständen bzw. nach einer gewissen Zeit der Inaktivität automatisch abgemeldet werden. Oft beenden Anwender auch ihre Sitzungen nicht durch Abmelden sondern durch Schließen des Browserfensters. Die Sitzung bleibt dann im Hintergrund noch offen und kann ggf. von Dritten unbemerkt übernommen werden (z.B. durch Session Hijacking).

Anti-Spam-Maßnahmen: Clickjacking beginnt damit, dass der User zum Aufrufen gefährlicher Webseiten verleitet wird. Das geschieht häufig über Spam-Mails mit darin enthaltenen Links. Werden die Müllmails durch einen wirksamen Spamschutz gefiltert, nimmt diese Bedrohung bereits deutlich ab.

Gefilterte Webzugriffe: Web-Filter am Proxy-Server eines Unternehmens können Schadcodeverteilseiten blockieren oder User zumindest davon abhalten, gefährliche Seiten zu besuchen, die vielleicht Clickjacking-Code beinhalten. Wahlweise können sie Schadcodefragmente zu erkennen versuchen (heuristischer Filter) oder rein sperrlistenbasiert den Zugriff auf bestimmte Seiten blocken. Beides arbeitet allerdings nicht wirklich zuverlässig. Weder erkennt die Heuristik alles, noch sind die Sperrlisten stets aktuell und vollständig.

Webapplikationen vor Clickjacking-Scripts schützen: Web Application Firewalls können den gesamten Inhalt einer Website nach verdächtigem Code durchforsten und machen es Angreifern so sehr schwer, seinen Schadcode auf der Webseite einzuschleusen. Die Schutzmaßnahme der Wahl für Seitenbetreiber, die um ihren Ruf fürchten, wenn ihnen Hacker Schadcode unterschieben, der dann an die Kunden des Unternehmens verteilt wird.

Webanwendungs-Formulare schützen: In Webseiten mit Foren, Kommentarfunktionen und anderen Möglichkeiten für Nutzereingaben können  Web Application Firewalls dafür sorgen, dass diese Eingaben nicht ungeprüft und ungefiltert in nachgelagerten Systemen verarbeitet und weiterverbreitet werden.

Erneut geht es also um ein Hase-und-Igel-Spiel zwischen Angriff und Abwehr.

Der Datenbrief des Chaos Computer Club

In den Datenbanken der Unternehmen sammeln sich immer mehr Daten an. Vieles wird erst durch das Herstellen von Zusammenhängen zwischen vormals unabhängig voneinander entstandenen Datenbeständen für die Firmen ersichtlich. Oftmals eher zum Schaden als zum Nutzen der Bürger und Kunden, die meist gar nicht wissen, wer alles Daten über sie in welchem Umfang und wofür eigentlich speichert und verwertet.

Unternehmen aber reagieren in wettbewerbsintensiven Umfeldern zunehmend sensibel auf Kostensteigerungen. Da lag es nahe, das Sammeln und Halten von Daten zu einem bemerkbaren Kosten- und Aufwandstreiber für Firmen zu machen.

Genau das soll die Idee des Datenbriefes vom CCC tun. Die Bürger dafür sensibilisieren, wer aus welchem Grund wie viele und welche Daten genau über sie speichert. Und das Speichern der Daten bei den Unternehmen und Behörden zu verteuern. Der Datenbrief soll die Funktion eines „Kontoauszugs“ übernehmen, der gesamthaft und vollständig auflistet, wer was warum über den „Kontoinhaber“ speichert. Undokumentierte Datenhaltung auf „Schwarzkonten“ an der „Bilanz“ und den „Büchern“ vorbei wäre dann illegal.

Denn die sollen durch den Datenbrief gesetzlich dazu verpflichtet werden, Betroffene regelmäßig über die über sie gespeicherten Daten zu informieren. Schriftlich und in jedem Einzelfall. Das umfasst auch Daten, die erst durch Anreicherung und Verknüpfung mit anderen Datenquellen zustande kommen, also Profilbildung, Scoring, Annahmen über Vorlieben, interne Kundenklassenzuordnungen usw. Der so entstehende Verwaltungsaufwand soll Wirtschaft und Verwaltung dazu bewegen, verstärkt „Datencontrolling“ zu betreiben, also die schlichte Notwendigkeit einer weiteren Speicherung der Daten regelmäßig zu überprüfen und so schon aus Kostengründen Datensparsamkeit und Datenvermeidung (§ 3a BDSG) umzusetzen.

Das Ziel des Datenbriefes aus Sicht des CCC ist es, für jeden Bürger transparent zu machen, wer wo die eigenen Daten verarbeitet. Der Bürger oder Verbraucher wird zukünftig bewusster mit seinen Daten umgehen, wenn er erst mal einen Überblick bekommen hat, welche Daten über ihn gespeichert sind. Das Recht des Betroffenen auf Auskunft hat dabei Vorrang vor etwaigen Geschäfts- oder Behördengeheimnissen der speichernden und verarbeitenden Firmen. Persönlichkeitsrechte Dritter müssten selbstverständlich gewahrt werden.

Die eher wirtschaftsfreundlich agierende Bundesregierung steht dem Vorhaben eher skeptisch gegenüber obwohl sich Bundesinnenminister Thomas de Maizière (CDU) zunächst interessiert zeigte und sich die Forderung zueigen machte, womit er der  Debatte um das Thema erst so richtig Schub gab. Während die Wirtschaft dagegen ist, dass Unternehmen künftig einmal jährlich schriftlich mitteilen müssen, welche Daten sie gespeichert haben, wird das Vorhaben von Verbraucherschützern begrüßt.

Unternehmen und Wirtschaftsverbände lehnen die Idee ab. Denn wenn der Datenbrief nicht zügig zur großen Löschaktion in Unternehmen und Behörden führte, so würde er jährlich beträchtliche Mengen an Papier in die Briefkästen der Bürger (und oft genug von dort in die Mülleimer) befördern. Zumal Geschäftsmodelle, die auf der Ausbeutung von quasi erzwungenen“ Datenbeständen (Stichwort „Schufa-Klausel“) wie z.B. durch Wirtschaftsauskunfteien oder Versichertendatenbanken schwieriger umzusetzen wären und erheblich mehr Geld kosten würden.

Dennoch sehen Datenschützer die dahinter stehende Idee positiv, so dass darüber auf Fachkongressen und in Projektgruppen zur Entwicklung neuer Gesetzesentwürfe für notwendige Veränderungen der Datenschutzgesetze beraten wird. Erstmals würde den Bürgern klar werden wer alles ihre Daten speichert und nutzt. Verständlich, dass darin die Wirtschaft kein Interesse haben kann, weshalb auch der Interessensverband der Informationswirtschaft BITKOM die Idee des Datenbriefes in einer Stellungnahme als unverhältnismäßig kritisiert, dabei aber auch durchaus berechtigte Einwände gerade zur daten(schutz)technischen Abwicklung eines Datenbriefes erhebt. Etwa wenn Firmen vormals getrennt geführte Datenbestände für den Datenbrief zusammenlegen und dessen Erstellung an einen Dienstleister auslagern. Zumal es oft auch um Daten geht, die aufgrund ihrer Sensibilität nicht dazu geeignet sind, mit einfacher Briefpost oder gar per Mail und Fax zum Empfänger transportiert zu werden. Hinzu käme der Umstand, dass ein solches Regularium nur dann flächendeckend funktionieren würde, wenn Verstöße dagegen aufgedeckt und bestraft werden könnten. Doch die Aufsichtsbehörden haben mit ihrer zu knapp bemessenen Stellenzahl heute bereits Probleme, Datenschutzverstöße durch Betriebsprüfungen aufzudecken und zu ahnden.

Der CCC hat mit seiner mit seiner Datenbrief-Idee aber bereits einen ersten Teilerfolg  erreicht: Über die Ideen eines Pradigma-Wechsels (Datenspeicherung muss regelmäßig geprüft und legitimiert werden), einem Streben nach mehr informationeller Transparenz sowie der Rechtfertigungsnotwendigkeit von Wirtschaft und Verwaltung dem Kunden und Bürger gegenüber solle Dinge wieder ins Lot gebracht werden, die im Laufe der Zeit durch Aneignungs- und Vereinnahmungsbestrebungen gerade der Wirtschaft immer mehr aus dem Gleichgewicht geraten sind. Dass darüber auf Fachebene sowie in der Öffentlichkeit diskutiert wird, ist ein klarer Fortschritt.