Phishing-Angriff auf die Arbeitsagentur

Datendiebe können sehr kreativ sein, wenn es um das Abschöpfen von finanziell verwertbaren Datenbeständen geht. Oft wird es ihnen aber auch sehr einfach gemacht. So wurde erst kürzlich bekannt, dass die Bundesagentur für Arbeit Probleme mit ihrer Stellenbörse sowie mit dem Handling interner Datenbestände hat. In der Stellenbörse kann jeder als „Arbeitgeber“ auftreten, eine Überprüfung (Gewerbeschein, Handelsregister …) erfolgt nicht. Sozialdaten von Hartz-IV-Beziehern waren bis vor kurzem allen Beschäftigen der Arbeitsagentur zugänglich, nicht nur den dafür zuständigen Fallmanagern am Meldeort des „Kunden“.

Die Mängel im Sicherheitskonzept der Arbeitsagentur sowie in Teilen ihrer Software sind anscheinend so gravierend, dass sie sich kurzfristig nicht beheben lassen. Das muss sich wohl auch eine Berliner Personalvermittlungsfirma gedacht haben, als sie mehrere Tausend Stellenanzeigen in die Stellenbörse einkippte. So viele in so kurzer Zeit, dass es bei einer internen Prüfung den Betreibern bei der Arbeitsagentur auffiel und man der Sache nachging (was für die Wachsamkeit der Agentursystemadmins spricht). Tatsächlich existierte keine einzige Stelle wirklich. Die ausgeschriebenen Positionen für Facharztstellen über pädagogische Berufe bis hin zu Ingenieuren und Managerposten waren ein Phishing-Angriff auf die Vermittler der Arbeitsagentur sowie die Nutzer der Stellenbörse. Sie sollten ihre Bewerbungsunterlagen an die Berliner Firma schicken, so dass diese ihre Datenbestände damit aufstocken und möglichen Firmenkunden eine Datenbank mit Tausenden von Profilen anbieten kann.

Das ist für Personalvermittler an sich nichts Ungewöhnliches. Firmen wie Hays, Datos oder Progressive bieten interessierten Stellensuchenden die Möglichkeit an, ein Profil in einer Datenbank zu hinterlegen und regelmäßig gegen dort ausgeschriebene Stellen von Firmen gegenchecken zu lassen. Auf Projektvermittlungsbörsen wie Gulp oder Projektwerk können Freelancer Profile einstellen und Angebote von daran interessierten Firmen erhalten. Werben gehört zum Geschäft und wer als Stellensuchender einem Personalvermittler seine Daten gibt, um dessen Stellen mit in seine Stellensuche einzubeziehen, tut das i.d.R. bewusst. Das ist eine übliche Praxis an der es grundsätzlich nichts auszusetzen gibt.

Anders diejenigen Arbeitssuchenden, die sich auf eine konkrete Stelle bewerben, die jedoch gar nicht existiert. Sie würden in einem solchen Fall nur eine Textbaustein-Absage erhalten und das Angebot in der Datenbank des Personalvermittlers zu verbleiben, in der Hoffnung das nochmal eine ähnliche Stelle reinkommt. Seriöse Personalvermittlung sieht anders aus.

Und so sieht auch Anja Huth, Sprecherin der Bundesagentur darin einen eindeutigen Missbrauch des Systems und einen Verstoß gegen die Nutzungsbedingungen. Einen Missbrauch dieser Dimension hat man in der Jobbörse der Bundesagentur noch nie erlebt, so die Sprecherin. Mal sehen, ob das mehr als nur die Sperrung des Accounts zur Folge hat.

Inzwischen ist man damit beschäftigt, die zahlreichen fingierten Stellenangebote zu finden und zu löschen. Was aber noch einige Tage dauern kann, so Frau Huth. Schließlich werden täglich etwa 20.000 Stellenangebote neu erstellt oder abgeändert. Verantwortlich für diese Angebote war demnach die Firma Econsulting24, wo jedoch bislang weder die Arbeitsagentur noch die mittlerweile darauf aufmerksam gewordene Presse jemanden erreichen konnte.

Einen ähnlichen Fall hatte es bereits im Winter letzten Jahres gegeben. Ein privater Jobvermittler hatte immer wieder fingierte Stellen ins System gestellt. Wenn sich Bewerber bei dem Vermittler meldeten, erhielten sie stets die Auskunft, dass die Stelle bereits anderweitig besetzt war. Das Unternehmen bot den Bewerbern jedoch an, gegen Bezahlung Bewerbungen für sie zu verfassen.  Und obwohl die Arbeitsagentur den Account des Vermittlers löschte, meldete er sich stets einfach neu an und spammte fröhlich weiter. Das Problem der mangelhaften Kontrolle vermeintlicher „Arbeitgeber“ in der Jobbörse ist also bereits seit langem bekannt.

Sicheres Programmieren lernen – Der Weg zu guter Software

Sichere Software gewinnt zunehmend an Bedeutung. Sicher im Sinne von „extrem schwer angreifbar“ (Security) ebenso wie im Sinne von „extrem zuverlässig“ (Safety). Das macht es erforderlich, Sicherheitsaspekte bereits in den Entwicklungsprozess der Software zu integrieren, anstatt die Sicherheit erst nachträglich „reinzupatchen“.

Um Abhilfe zu schaffen, haben sich zahlreiche Unternehmen in einem Verein – dem International Secure Software Engineering Council (ISSECO) – zusammengeschlossen. Und dort einen zertifizierbaren Standard für sichere Softwareentwicklung entwickelt.

Will man das Problem der Sicherheitslücken und Qualitätsmängel in Softwareprodukten an der Wurzel packen, muss das Thema Sicherheit in den Entwicklungsprozess integriert werden, um so frühzeitig der Entstehung von Sicherheitslücken entgegenzuwirken.

Das hierfür notwendige Wissen zur Vermeidung von Sicherheitslücken ist jedoch bis heute nur ein Randthema in der Ausbildung von Softwareentwicklern. Auch wenn Fachverbände wie der Arbeitskreis Software-Qualität und -Fortbildung oder die Gesellschaft für Informatik hier bereits seit längerem Verbesserungen anmahnen. Zudem lässt die zunehmende Komplexität von Softwareprodukten erwarten, dass das Ausmaß der Bedrohungen durch Sicherheitslücken und Qualitätsmängeln in den kommenden Jahren weiter zunehmen wird.

Der ISSECO hat daher einen Standard sowie ein Fortbildungscurriculum (ISSECO Certified Professional for Secure Software Engineering – CPSSE) entwickelt, um diese Lücke zu schließen. Das Thema Sicherheit soll dadurch zum selbstverständlichen Bestandteil jedes Softwareentwicklungsprozesses werden. Dieser internationale Zertifizierungsstandard für sichere Softwareentwicklung soll in der Softwareindustrie etabliert werden, um den Anwendern Sicherheit bei der Verwendung von Softwareprodukten zu garantieren und so auch verlorenes Vertrauen in die Softwarequalität zurück zu gewinnen.

Inhalte des Curriculums zur sicheren Softwareentwicklung sind Themen wie die Angreiferperspektive sowie die Kundenperspektive auf Software, Thread Modeling, Methoden sicherer Softwareentwicklung und Lebenszyklusmodelle für Software, Anforderungsanalyse, sicheres Design von Software, sicheres Testen, sicherer Rollout, Reaktion auf Angriffe und Qualitätsmängel sowie Sicherheit mit Metriken transparent machen. Dies wird entlang der Etappen des Softwareentwicklungsprozesses verdeutlicht:
•    Requirements Engineering
•    Design und Spezifikation
•    Programmierung und Test
•    Evaluierung, Distribution & Maintenance

Erste Schulungsangebote zum CPSSE werden derzeit am deutschen Markt etabliert. Zielgruppen sind Anforderungsanalysten, Softwarearchitekten, Designer, Entwickler, Softwarequalitätsmanager, Softwaretester, Projektmanager – kurz alle, die entscheidend an der Entwicklung von guter Software beteiligt sind.

Wenn sich Ideen wie der CPSSE im Markt durchsetzen, kann dies ein wichtiger Schritt zu sicherer und qualitativ hochwertigerer Software sein.

Die Datenbörsen der Arbeitsagentur

In den letzten zwei Wochen konnte man schon den Eindruck gewinnen, bzgl. des Datenschutzes hätte die Wirtschaft inzwischen jede Scham verloren. Ob Bewerber-Bluttests bei Daimler, Beiersdorf und Merck, Bruch des Bankgeheimnisses bei der Postbank, Datenklau bei SchülerVZ, neue Spitzeleien bei der Telekom oder Datenpannen bei Libri – praktisch jeden Tag gab es einen neuen Datenskandal. In einigen Fällen dürfte eine zu schwach aufgestellte IT-Sicherheit oder konzeptionelle Lücken in den Datenschutzbestrebungen der Firmen ursächlich gewesen sein. Oft jedoch auch eine gewisse „Herrenmenschenmentalität“ der jeweiligen Entscheider, die sich dachten „Datenschutz ist für andere – wir machen was wir wollen!“.

Eine besonders dicke Datenschutzsau treibe jedoch ausgerechnet die Agentur für Arbeit derzeit durchs bundesrepublikanische Dorf. Die Arbeitsagentur betreibt mit ihrer Jobbörse eine der größten Datenbanken Deutschlands. In ihr sind etwa 3.800.000 Profile arbeitslos gemeldeter Stellensuchender gespeichert. Darin können potentielle Arbeitgeber anonymisierte Profile, geordnet nach Fertigkeiten und Berufsklassifikationen recherchieren und bei Interesse den zuständigen Bearbeiter der Arbeitsagentur kontakten, damit dieser zwischen Arbeitgeber und Bewerber den direkten Kontakt herstellt. Kürzlich stellte sich aber heraus, dass sich jedermann in den System als „Arbeitgeber“ umtun konnte – auch wenn er weder Unternehmer oder Personaler war und schon gar keine offene Stelle hatte.  Und das er dabei auch an nicht anonymisierte Daten herankam, um sie ggf. auch in größeren Mengen herunterzuladen und für eigene Zwecke weiter nutzen zu können.

Spiegel Online hierzu:

Bei der Jobbörse müssten Arbeitgeber lediglich den Firmennamen, die Branche sowie Anschrift und Ansprechpartner angeben. Die Identität prüfe die Bundesagentur nicht. Nach der Anmeldung bekomme der Arbeitgeber eine persönliche Identifikationsnummer zugeschickt, mit dieser könne bereits ein Teil der Bewerberdaten in nicht mehr anonymisierter Form eingesehen werden. Jeder könne so Bewerbungsunterlagen anfordern, mit Adresse, Telefonnummer, Geburtsdaten, Zeugnissen und Lebenslauf – egal, ob er einen Job zu vergeben habe oder nicht.

Wäre das schon happig, legte die Arbeitsagentur im Bereich Hartz-IV-Empfänger gleich noch nach. Denn das 4-PM („Vier-Phasen-Modell“) , ein System, über das gut 100.000 Mitarbeiter unter anderem Einkommens- und Familiensituation, Schul- und Berufsausbildung, mögliche Erkrankungen und Vorstrafen, Suchtprobleme und Verschuldung von Hartz-IV-Empfängern abrufen können, erwies sich als regelrechte Datenschleuder. Darüber können auch Mitarbeiter, die nichts mit der Betreuung der Arbeitslosen zu tun haben, nach sensiblen personenbezogenen Sozialdaten forschen. Und das bundesweit, also auch außerhalb des eigenen Zuständigkeitsbereiches. Ein Umstand der den Personalräten der Arbeitsagentur schon seit längerem Probleme bereitet. Weshalb sie sich nach wohl fruchtlosen Versuchen, das intern zu regeln, an die Presse wandten und die Sache auffliegen ließen. Sie haben erhebliche Bedenken zum Sozialdatenschutz und sehen das Recht auf informationelle Selbstbestimmung der Bürger verletzt. Diese Bedenken der Personalräte in den Arbeitsagenturen teile ich. Zugleich zeugt das einmal mehr, wie wichtig Mitbestimmungsorgane für das Aufdecken und Angehen fauler Stellen in Wirtschaft und Verwaltung sind.

Zu welchen Formen des Missbrauchs solche Datenlecks führen können, zeigen Insider-Berichte aus der Arbeitsagentur: So wussten die Mitarbeiter der Argen schnell mehr über zwei bestimmte Kandidaten der Fernsehshow von Dieter Bohlen. Das Computersystem der Arbeitsagentur verzeichnete weit über 10.000 Zugriffe auf ihre Datensätze nach deren Auftritt, bei dem die Männer auch ihre zeitweilige Arbeitssuche erwähnten.

Es zeigt sich einmal mehr, dass viele Datenschutz- und Sicherheitsprobleme gar nicht auftreten würden, wenn man sich an banal wirkende Lehrbucherkenntnisse halten würde. Da große Datensammlungen, egal zu welchem Zweck angelegt, immer irgendwann außer Kontrolle geraten und Daten daraus „abfließen“ können, rät schon das Bundesdatenschutzgesetz zu Datensparsamkeit und Datenvermeidung. Daten die erst gar nicht anfallen oder erhoben werden, können auch nicht in falsche Hände geraten. Das ist das Hauptargument, das Datenschützer und Bürgerrechtsaktivisten gegen große zentrale Datensammlungen vorbringen.- Es wird nur leider viel zu selten berücksichtigt.

Zumal solche Datenschleudereien zumindest im öffentlichen Bereich folgenlos bleiben.

Bundesdatenschutzbeauftragter Peter Schaar hierzu in einem Interview mit Ole Reißmannauf Spiegel online:

Ich habe als Bundesbeauftragter für den Datenschutz die Möglichkeit, das zu kritisieren und gegebenenfalls zu beanstanden, mehr nicht. Auch bei der Jobbörse der Arbeitsagentur gibt es ja ein Problem mit dem Datenschutz. Ohne Prüfung der Identität und Seriosität kann sich praktisch jeder als Arbeitgeber registrieren lassen und Unterlagen von Bewerbern anfordern. Das wissen wir seit einem Jahr, unsere Kritik und unsere Hinweise haben nicht geholfen. Es fehlt einfach an der nötigen Sensibilität im Umgang mit persönlichen Daten und an entsprechend wirksamen Durchsetzungsmöglichkeiten für mich als Bundesbeauftragten für den Datenschutz.

…

Wäre die Bundesagentur für Arbeit eine Firma, könnten die zuständigen Datenschützer zumindest Bußgelder verhängen, gegebenenfalls sogar die Datenverarbeitung untersagen, und das Problem müsste öffentlich gemacht werden. Seit September ist das gesetzlich vorgeschrieben. Aber für Behörden gilt diese Verpflichtung nicht – und etwas untersagen oder Geldbußen verhängen, können wir auch nicht.

Narrenfreiheit und Straflosigkeit für Behörden also. Egal was datentechnisch verbockt wird. Da dürften jegliche Anreize fehlen, zumal Stellungnahmen des Bundesdatenschutzbeauftragten für die Behörden wohl nur Empfehlungscharakter zu haben scheinen.

Und das obwohl Privatfirmen für gleichartige Verstöße durchaus zu sechsstelligen Geldstrafen sowie der Abführung der daraus gezogen Gewinne verurteilt werden können.

Man wird die öffentlichen und privaten Datenschleudern wohl nur dadurch stilllegen können, indem hart und unnachsichtig durch Prozesse, Urteile und Skandalisierung Klarheit darüber geschaffen wird, das Verstöße gegen den Datenschutz ähnlich geahndet werden, wie jene gegen das Eigentumsrecht (Betrug, Diebstahl …) oder das Recht auf körperliche Unversehrtheit (tätliche Angriffe, sexuelle Belästigungen …).

Da liegt ein ordentliches Stück Arbeit vor uns. Wird es jedoch angegangen, kann das insbesondere für professionell in der IT-Sicherheit Tätige eine Sonderkonjunktur bedeuten.

Postbank – Wenn die Bank das Bankgeheimnis ignoriert

Die Datenschutzskandale in der deutschen Wirtschaft nehmen einfach kein Ende. Es scheint sich um ein  grundsätzliches Problem der Nichtakzeptanz des Rechts auf Datenschutz zu handeln, sobald diese Daten für andere wirtschaftlich verwertbar sein können.

Und wirtschaftlich verwertbar waren auch die Transaktionsdaten zahlreicher Postbank-Kunden. Denn die Postbank hatte, einem Bericht der Finanztest zufolge, mehreren Tausend freiberuflich tätigen Finanzberatern Zugriff auf die Kontendaten (Kontenstände, Buchungen etc.) ihrer Kunden über eine Datenbank mit Suchfunktion gewährt. Sie sollten damit u.a. Kunden, bei denen größere Geldbeträge eingegangen waren, anrufen und ihnen Finanzprodukte zur Geldanlage anbieten.

Sensible, dem Bankgeheimnis unterliegende Daten, von einer Bank  an externe Dritte herausgegeben zum Zwecke der Vermarktung von Finanzprodukten – da drehen sich jede halbwegs versiertem Datenschützer und IT-Sicherheitsbeauftragten die Zehennägel auf!

Hatten doch in der Vergangenheit solch laxe Praktiken regelmäßig dafür gesorgt, dass Daten aus Unternehmen „abflossen“ und im grauen Sumpf der Datendealer und Cyberkriminellen versickerten.

Der Finanztest liegen nach eigenen Angaben Kontodaten und Briefwechsel zahlreicher Personen aus dieser Datenbank vor. Darunter auch Prominente wie zum Beispiel Axel-Springer-Vorstand Mathias Döpfner, der frühere Präsident von Borussia Dortmund, Gerd Niebaum, oder der Vorstand der Stiftung Warentest, Werner Brinkmann. Sie alle haben der Weitergabe ihrer Daten laut Dateneintrag nicht zugestimmt.

Dagegen schützten sich die Chefs der Postbank-Gruppe gegen allzu große Neugier ihrer Verkäufertruppe, indem sie ihre eigenen Kontodaten von dieser Suchmöglichkeit ausschlossen, wie Recherchen von Finanztest ergaben.

Die für die Postbank zuständige Datenschutzbehörde in Nordrhein-Westfalen hält es der Zeitschrift zufolge für unzulässig, dass freie Berater der Postbank die Girokonten der Kunden einsehen können. Behördensprecherin Bettina Gayk hirzu: „Das ist sicherlich hochproblematisch“. Hoffen wir mal, dass diese Einschätzung in der Folge auch zu rechtlichen Schritten führt. Das erst kürzlich reformierte Datenschutzgesetz sieht hierfür 5-6stellige Geldstrafen vor – für jeden einzelnen Fall. Sowie umfängliche Anzeigepflichten den Betroffenen gegenüber. Falls es in der Folge tatsächlich zu Verurteilungen und Strafen kommt.

Bis dahin schließe ich mich den Empfehlungen der Finanztest an Postbank-Kunden an. Sie rät ihnen folgendes als Ersthilfe:

Tipps für Postbank-Kunden

Forderung: Wenn Sie als Postbankkunde nicht wollen, dass ihre Kontodaten eingesehen werden, sollten Sie sich schriftlich an das Unternehmen wenden. Fordern Sie die Postbank auf, die Weitergabe ihrer Daten zu stoppen.

Widerruf: Sie können außerdem verlangen, dass Ihnen die Postbank Auskunft über gespeicherte und weitergegebene Daten gibt. Bereits erteilte Einwilligungserklärungen können Sie jederzeit widerrufen.

Inzwischen hat die Postbank auch eine eigene Stellungnahme veröffentlicht, in der sie „entschiedenes Vorgehen“ und „strafrechtliche Schritte“ ankündigt sowie „bis zur Klärung des Gesamtzusammenhanges im Dialog mit dem Datenschutz den Zugriff auf die Kontodaten durch die Finanzberater vorsorglich sperren“ lassen will und eine Revision ihrer bisherigen Praxis ankündigt.

Schon wieder Daten „gelidlt“

Seit den Datenskandalen rund um illegale Mitarbeiterüberwachung und Krankenakten bei Lidl stehen die, für ihre aggressiven Personalmanagementpraktiken bekannten Discounter unter verstärkter öffentlicher Beobachtung. Und das Verb „gelidlt werden“ beginnt sich als Bezeichnung für „Informationsbeschaffungsmethoden wirklich freier Unternehmer unter kreativer Ausgestaltung der geltenden Gesetzeslage und flexibler Wahrung von Persönlichkeitsrechten“ zu etablieren.

Und so überrascht es nicht wirklich, auf Spiegel Online zu lesen, dass der irländischen Lidl-Tochter doch tatsächlich ein Server abhandenkam, auf dem Dateien mit Umsatzzahlen, Einkaufsplanungen, Schriftverkehr zwischen dem Unternehmen und Ärzten der Mitarbeiter sowie Krankmeldungen, Diagnosen oder Abmahnungen von Beschäftigten abgelegt waren. Insgesamt etwa 200.000 Dokumente, wie ein ehemaliger deutschen Lidl-Beschäftigter, der mal für das Irland-Geschäft zuständig war, berichtete, dem ein Plattenabzug zugespielt  worden war.

Ärgerlich und peinlich für Lidl. Und übel für die betroffenen Beschäftigten. Andererseits wäre das nicht das erste und bestimmt auch nicht das letzte Datenleck in einer Unternehmens-EDV. Richtig schräg wurde es erst, als der frühere Lidl-Mitarbeiter nach eigener Darstellung versuchte, die Festplatte an Lidl zu übergeben und seine früheren Kollegen für das sich anbahnende Desaster zu sensibilisieren. Denn der Konzern zeigte angeblich kein Interesse und hielt die Daten nicht für brisant.

Simon Columbus schreibt dazu auf Gulli.com:

Sollte Lidl allerdings tatsächlich die erste Kontaktaufnahme mit einem achselzuckenden „na und?“ beantwortet haben, wie sich die Sache bisher darstellt, dann darf man sich um den Geisteszustand der Verantwortlichen Sorgen machen. Schon so ist es erschreckend genug, dass derart intime Daten wie ärztliche Prognosen innerhalb des Unternehmens frei zugänglich waren. Wenn das aber noch nicht einmal als „brisant“ erkannt wird, dann fehlt es eindeutig an Augenmaß im Datenschutz.

Inzwischen hat wohl auch die Rechtsabteilung des Discounters nochmal drüber meditiert. Und den Festplattenfinder dazu aufgefordert, den Datenträger bei der Staatsanwaltschaft abzugeben. Und sich weitere rechtliche Schritte vorbehalten.

Einmal mehr wird ersichtlich, dass IT-Sicherheit auf mehreren Ebenen gedacht und umgesetzt werden muss. Ein noch so gut gegen Netzattacken geschütztes Rechenzentrum ist leicht angreifbar, wenn man dort vor Ort einfach so in Gebäude hinein und an Server und Platten herankommt, die Sekretärin zur Herausgabe sensibler Daten verleiten kann oder lausig bezahlte und schlecht behandelte Mitarbeiter leicht empfänglich für Korruption sind.

Telekom plant Branchengipfel zum Thema Datendiebstahl

Die Deutsche Telekom wird ihre Probleme mit abhanden gekommenen Kundendaten einfach nicht los. Und das obwohl der Konzern sich bereits seit längerem bemüht, sich bzgl. des Datenschutzes besser aufzustellen. Und dazu sogar einen Datenschutzbeirat eingerichtet hat. Nun plant Telekom-Vorstand Manfred Balz die Chefs aller großen Kommunikationsunternehmen zu einer Art Gipfelgespräch einzuladen, um dort zu diskutieren, wie man den Problemen mit gestohlenen und vagabundierenden Kundendaten Herr werden könne.

Soll da ein Telekom-internes Problem verallgemeinert werden? Oder geht es tatsächlich um unternehmensübergreifende Missstände, die auch nur in Zusammenarbeit aller betroffenen Unternehmen gelöst werden können.

Anfang der Woche war bekannt geworden, dass Hunderttausende Kundendaten der Telekom bei dubiosen Firmen bis in die Türkei in Umlauf waren. Denn die Telekom arbeitet bei Marketingkampagnen mit zahlreichen Agenturen,  Dienstleistern und Subunternehmern zusammen, die es wohl nicht immer so ganz genau mit den deutschen Datenschutzgesetzen sowie den Verträgen zur Auftragsdatenverarbeitung mit der Telekom nehmen.

Die Datenpannen sind deswegen teilweise hausgemacht. Die Zuarbeiter der Telekom erhalten für ihre Aufgaben Dateien und Listen mit Kundendaten, um z.B. per Callcenter  auslaufende Verträge verlängern oder neue Produktangebote verkaufen zu können.

Zwar dürfen externe Callcenter, die im Zuge der Auftragsdatenverarbeitung erhaltenen Kundendaten nicht kopieren oder anderweitig nutzen. Das scheint sie jedoch bislang nicht davon abzuhalten, es trotzdem zu tun. So wurde letzte Woche bekannt, dass die Staatsanwaltschaft Bonn nach einer Anzeige der Telekom vom Februar dieses Jahres gegen einen Ring von Datenhändlern und Callcenter-Betreibern ermitteln lässt. Diese sollen wegen der niedrigen technischen Hürden seitens der Telekom im großen Stil Kundendaten automatisiert aus der Telekom-Vertriebsdatenbank abgerufen haben.

Die Telekom als Datensaugstelle für Dealer und Cyberkriminelle?

Dem widerspricht der Konzern in einer Pressemitteilung energisch, räumt aber ein, das die Art der Provisionierung dieser zuarbeitenden Unternehmen eine Rolle bei den Datendiebereien spielen könnte.

Kontrollen haben gezeigt, dass Subpartner ohne Autorisierung Callcenter – teilweise außerhalb der EU – damit beauftragt hatten, Kunden zu akquirieren. Dabei wurde vorgetäuscht, die Aufträge seien durch den stationären Handel generiert worden, wofür höhere Provisionen gezahlt werden als für die telefonische Akquise.

Telekom-Vorstand Balz erläuterte dazu, dass sich im hart umkämpften TK-Geschäft „ein System mit kriminogenen Strukturen“ etabliert habe, das selbst ein Branchenriese wie die Telekom allein gar nicht knacken könne. Es sei ein „gefährliches Provisionskarussell“ entstanden, das zum Betrug geradezu einlade.

Und dessen Regeln üblicherweise von der Telekom und andere Großauftraggebern festgelegt werden. Der von Balz geplant Branchengipfel dürfte daher (auch) zur Planung einer großen Sparrunde dienen, um die Dienstleister stärker an die Leine zu nehmen.

Dieser Schuss könnte aber nach hinten losgehen. Denn zunehmendes Outsourcing sowie Vermachtungsprozesse in den Märkten (starke Konzernkunden, schwache weil austauschbare Dienstleister) fördern letztlich nur die von Balz beklagten kriminogenen Strukturen.

40% aller WLAN-Netze in Deutschland sind schlecht gesichert

Zu diesem Ergebnis kam die „PC-Feuerwehr“ eine als Franchise-System bundesweit tätige Firma, die u.a. einen PC-Notdienst für Privat- und Geschäftskunden anbietet. Techniker der Firma waren bundesweit in Wohn- und Gewerbegebieten unterwegs und prüften dort den Verschlüsselungsstatus erreichbarer WLAN-Funknetze (Wardriving). Dabei fanden sie im Durchschnitt etwa 11% komplett offene (unverschlüsselte) WLAN-Netze sowie weitere gut 30%, die lediglich mit dem veralteten und bereits seit Jahren als unsicher geltenden Verschlüsselungsstandard WEP „geschützt“ waren.

Sein WLAN gar nicht oder nur zum Anschein zu schützen kann unangenehme Folgen haben.  So ist die Privatsphäre aller Benutzer gefährdet, weil über das unsichere drahtlose Netz ihr gesamter unverschlüsselter Datenverkehr komplett mitgelesen werden kann. Aber auch wenn andere über das Netz Illegales treiben steht der Betreiber des WLAN-Routers über die sog. „Störerhaftung“ mit in der Verantwortung und muss für juristische Konsequenzen geradestehen.

Bei der Absicherung der Netze gibt es den PC-Feuerwehrlern zufolge beträchtliche regionale Unterschiede. So sollen in Bad Schwartau um die 40% der WLANs unverschlüsselt sein. Zu den sichersten Städten zählt dagegen Darmstadt mit nur rund 5% unverschlüsselten Netzen. Was auf Gulli.com zu der Vermutung führte, dass die in dieser Region stark durch Unternehmen, Forschung und Lehre vertretene IT-Sicherheit sich dort positiv auf die allgemeine Awareness der Betreiber und Nutzer auswirkt. Die „rote Laterne“ hinsichtlich WLAN-Sicherheit trägt die Stadt Bad Schwartau davon. Dort fanden die Techniker 40 Prozent aller WLANs ungesichert vor.

Nichtsdestotrotz nimmt das Bewusstsein für Sicherheit in Deutschland weiter zu. Denn die PC-Feuerwehr führt diese Überprüfung der Sicherheitsstandards bereits seit fünf Jahren jährlich durch. Vor vier Jahren fand man noch 36 Prozent aller WLANs ungeschützt vor.

Und inzwischen werden WLAN-Router für den privaten Internetzugang meist mit voreingestellter starker Verschlüsselung ausgeliefert, sodass diese nicht erst manuell aktiviert werden muss (was manchem Nutzer gar nicht klar ist).

„Trotzdem spüren wir in der täglichen Arbeit immer noch Unsicherheiten bei unseren Kunden, wie sie sich und ihren Computer gegen ungewollten Missbrauch schützen können“, weiß Geschäftsführer Michael Kittlitz aus der Praxis seines bundesweit tätigen PC-Notdienstes zu berichten.

Dazu hat die PC-Feuerwehr eine Checkliste mit folgenden Empfehlungen erstellt:

1. Im WLAN-Router überprüfen, was als Verschlüsselungsprotokoll voreingestellt ist. Falls da WEP oder gar nichts drinsteht, die bessere Verschlüsselung WPA2 (oder eine andere verfügbare) einstellen.
2. Bei einem neuen WLAN-Router sollte das voreingestellte Passwort sofort geändert werden und aus mindestens acht (besser noch mehr) Zeichen – Zahlen, Buchstaben sowie Sonderzeichen – bestehen. Man sollte dieses Passwort regelmäßig ändern. Es ist der Generalschlüssel zum eigenen Netz.Die Stärke des Passwortes, gemessen an allgemeinen Gütekriterien, kann man auf http://passwortcheck.pc-feuerwehr.de/ testen lassen.
3. Die Fernkonfiguration der WLAN-Einstellungen sollte man möglichst deaktivieren. Dadurch entledigt man sich einer potentiellen Sicherheitslücke, ohne auf täglich benötigte Funktionalität zu verzichten.
4. Das Funknetz kann ohne Bedenken abgeschaltet werden, wenn es gerade nicht benötigt wird, z.B. über eine Steckerleiste. Problematisch wird das allerdings, wenn z.B. auch die Telefonanlage mit dranhängt (Kombigeräte) oder der WLAN-Zugang dauerhaft online sein soll (z.B. in Wohngemeinschaften).
5. Die Techniker der PC-Feuerwehr fanden heraus, dass 26 % der WLANs auf Funkkanal sechs, 24% auf Kanal elf und 18% auf Kanal eins liegen. Diese starke gemeinsame Nutzung weniger Kanäle führt in dicht besiedelten Gegenden oft zu langsamen Internetverbindungen oder Störungen. Deshalb empfehlen sie Kanal zehn, vier oder fünf zu nutzen. Diese werden nur von knapp zwei Prozent der Betreiber genutzt.

Helfershelfer räumen ein: Abmahnungen einträglicher als verkaufte Musik

Was Kritiker des deutschen Abmahnrechts schon länger vermuteten, gesteht nun auch eine Firma ein, die potentiellen Abmahnbetrügern das technische Handwerkszeug zur Verfügung stellt: Durch Abmahnbetrug, also das missbräuchliche Nutzen der zivilrechtlichen Abmahnung um gezielt Geld abzuzocken, lässt sich schneller und leichter Geld verdienen als durch den regulären Vertrieb von Immaterialgütern.

Darüber berichtet Gulli.com, nachdem man auf (inzwischen aus dem Netz genommenen) Werbepräsentationen von Digi Rights Solutions GmbH aufmerksam wurde. Einer Firma die Tauschbörsen nach potentiellen Rechteverletzern und möglichen Abmahnkandidaten ausspäht. Oftmals mit durchaus fragwürdigen Methoden. Und die auf ihrer Website etliche Abmahnkanzleien als „Partner“ aufführt.

So Gulli.com:

Eine PowerPoint-Präsentation des Unternehmens könnte den Eindruck erwecken, als wären Abmahnungen nicht vom Gesetzgeber dafür geschaffen worden, um eine formale Aufforderung zu verschicken, damit ein bestimmtes Verhalten zukünftig unterbunden wird. Vielmehr erscheint es fast so, als wäre der Vertrieb von urheberrechtlich geschützten Werken überflüssig. Man veröffentlicht sie und wartet auf die Filesharer, die sich wie Goldfische auf das Brot stürzen, das man ins Wasser wirft.

So wird möglichen Kunden vorgerechnet, wie man mit Hilfe von Abmahnungen bedeutend mehr Geld „verdienen“ (eher abgreifen) kann, als mit ehrlichen und redlichen Geschäftspraktiken sowie ohne Anwaltskanzlei und digitalen Helfershelfern im Hintergrund.

Der Gulli-Artikel zeigt einmal mehr wie reformbedürftig das deutsche Immaterialgüterrecht an sich inzwischen geworden ist. In seiner jetzigen Form verkommt es zunehmend zu einer Grauzone in der sich Nepper, Schlepper, Bauerfänger – kurz Wirtschaftskriminelle aller Art tummeln.

Gleichzeitig ist dies einmal mehr ein Warnsignal an allzu sorglose Tauschbörsennutzer, sich der Datenspur bewusst zu sein, die sie dort hinterlassen. Und sich rechtzeitig um persönlichen Datenschutz und informationelle Selbstverteidigung zu kümmern.

Die von Gulli.com ausgewerteten Werbematerialien sind inzwischen nicht mehr abrufbar. Sie wurden der Firma wohl doch zu heikel bzw. werden wohl nur noch an persönlich bekannte Interessenten herausgegeben.

Update vom 15.10.2009:
Inzwischen ist die im Artikel erwähnte Präsentation über Wikileaks erreichbar geworden und hat auf internet-law.de zu einem Artikel geführt, dessen Autor meine Ansicht zu teilen scheint. Zum „Geschäftsmodell Filesharing-Abmahnungen“ hat sich zudem im XING-Forum „Gewerblicher Rechtsschutz“ eine Diskussion dazu entwickelt, in der sich Anwälte darüber austauschen, wie mit Abmahnbetrügern rechtlich verfahren werden kann.

Kopiergeschützte Produkte verkaufen kann teuer werden

Vor einigen Jahren sorgte Sony für viel Ärger als man dort auf die schräge Idee kam, Musik-CDs mit einen auf Schadsoftware basierenden Kopierschutzverfahren (XTP – extended copy protection) auszuliefern. Wer eine solche CD auf einem Computer abspielen wollte, musste dazu einen proprietären Player installieren, der dem Rechner u.a. ein Rootkit unterschob. Zumal es rasch Exploits und Trojaner gab, die das Sony-Rootkit für eigene Zwecke nutzten. Der Einsatz von XTC  zog weltweit Klagen und Prozesse gegen Sony nach sich, so dass andere Firmen die Finger von der Idee des Einsatzes von Schadsoftware zum Zwecke der Rechtedurchsetzung ließen.

Doch damit ist das Problem nicht vom Tisch. Denn kürzlich verkaufte ein CD-Fan eine solche Schad-CD von Sony und verursachte so ungewollt die Verseuchung eines Rechnernetzes mit Schadsoftware des Typs „rootkit.b“.

Als Folge davon forderte der CD-Käufer vom Verkäufer Schadensersatz in Höhe von 1.500 € für die Wiederinstandsetzung von drei verseuchten Rechnern, Wiederherstellung von Daten, nötige Zuarbeiten durch einen IT-Spezialisten sowie Anwaltskosten und einen durch die Störung entgangenen Gewinn als Freiberufler. Das Amtsgericht Hamburg-Wandsbek verurteilte den Wiederverkäufer der Schad-CD letztlich dazu 1.200 € zu zahlen (Az. 712 C 113/08).

Vor allem in der ersten Hälfte des Jahrzehnts setzte die Musikindustrie großflächig „Kopierschutztechnologien“ ein, von denen sich das Sony-Rootkit am tiefsten in Windowssysteme einnistete. Aber auch einige andere Verfahren versuchten, ohne Wissen des Nutzers Software zu installieren oder Konfigurationen zu verändern, was teilweise zu Funktionseinschränkungen, Sicherheitslücken und diversen anderen Problemen führte. Inzwischen sind „technische Schutzmaßnahmen“ solcher Art, für welche die Rechteverwerter sogar eine EU-Richtlinie und ein Verbot von „Umgehungsmethoden“ im deutschen Urheberrecht erwirkten, zumindest bei Musik-CDs seltener anzutreffen.

Um es klar herauszustellen: Kopierschutzmethoden, die die Verwendbarkeit von Produkten einschränken (fehlende Gebrauchstauglichkeit) oder gar Abspielgeräte des Kunden schädigen, sind Sachmängel und berechtigen den Kunden zur Rückerstattung des Kaufpreises (Umtausch gegen ein mängelfreies Produkt ist i.d.R. ja nicht möglich). Solche Produkte sind im Grunde genommen „defective by design“, d.h. Ausschussware.

Es sein denn der Verkäufer weist klar auf die Nutzungsvoraussetzungen und Defekte hin. Dann darf auch ein schadhaftes Produkt legal verkauft werden. Das genau hatte der CD-Verkäufer nicht getan und deswegen bekam er den Ärger.

So sieht § 95d des Urheberrechts vor, dass Werke, die mit technischen Maßnahmen geschützt werden, sind deutlich sichtbar mit Angaben über die Eigenschaften der technischen Maßnahmen zu kennzeichnen sind.  Aber auch dann haftet ein Verkäufer auf Basis von Schuldrecht und Vertragsrecht sowie dem Produkthaftungsgesetz immer für Schäden, die sein Produkt bei bestimmungsgemäßer Nutzung anrichtet.

Es empfiehlt sich daher, grundsätzlich auf den Kauf kopiergeschützter Produkte zu verzichten. Dort wo das nicht möglich ist, sollten die Produkte nach dem Erreichen des Endes ihres Lebenszyklusses nicht weiterverkauft sondern entsorgt werden. Auf die Nutzung kommerzieller Unterhaltungsprodukte auf betrieblich genutzten Produktivsystemen sollte gänzlich verzichtet werden.

Das neue Bundesdatenschutzgesetz

Am 01.09. dieses Jahres trat eine neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Die zahlreichen Datenschutzskandale in der Wirtschaft hatten eine lang andauernde und noch keineswegs abgeschlossene Diskussion über strengere Datenschutzstandards sowie das Schließen von Lücken in der Datenschutzgesetzgebung ausgelöst.

Allerdings sorgten Lobbydruck aus der Wirtschaft (speziell der kommerziellen Datenhändler) sowie ein genereller politischer Unwillen dafür, dass bei Fragen der Neuregelung der Datennutzung zum Zwecke der Werbung sowie der Markt- oder Meinungsforschung großzügige Übergangsfristen festgeschrieben werden. Manche im Gesetz enthaltene Veränderungen werden daher erst im Laufe der kommenden Jahre rechtswirksam.  Nicht zuletzt hatte ja auch das Finanzministerium Steuergelder zum Ankauf gestohlener Daten ausgegeben, um so geheime Auslandskonten deutscher Steuerzahler in Staaten mit starkem Bankgeheimnis aufspüren zu können.

Bereits zum 01.04. waren Veränderungen im Datenschutzgesetz in Kraft getreten, mit dem Ziel ausufernden Datenhandel und Scoring mit Hilfe intransparenter Geheimverfahren in den Griff zu bekommen. Gegenstand des nun zweiten Änderungspaketes im Datenschutz sind vor allem die Themen

•    Stärkung der Rechte des Datenschutzbeauftragten (§ 4f Abs. 3)
•    Ordnungsgemäße Auftragsdatenverarbeitung (§ 11 Abs. 2)
•    Umgang mit Adresshandel und Werbung (§ 28 Abs. 3, § 34 Abs. 1a)
•    Elementarer Arbeitnehmerdatenschutz (§ 32)
•    Mitteilungspflichten bei Datenschutzverstößen (§ 42a)
•    Erhöhung der Bußgelder (§ 43 Abs. 3)

Stärkung der Rechte des Datenschutzbeauftragten
Ein betrieblicher Datenschutzbeauftragter genießt jetzt ähnlich starken Kündigungsschutz wie ein Betriebsrat. Um sicherzustellen, dass seine Kenntnisse auf dem aktuellen Stand der Technik bleiben, muss er sich regelmäßig fortbilden. Sein Arbeitgeber muss ihm dazu die Teilnahme an Fortbildungen ermöglichen und die entstehenden Kosten übernehmen.

Auftragsdatenverarbeitung
Von Auftragsdatenverarbeitung spricht man, wenn jemand im Auftrag und nach Weisung eines anderen dessen Datenbestände erhebt, verarbeitet oder nutzt. Ein gutes Beispiel hierfür ist die betriebliche Lohnabrechnung, die von vielen kleineren und mittleren Unternehmen an Dienstleister abgegeben wird. Dabei verbleibt die Verantwortung für das korrekte Tun des Auftragnehmers beim Auftraggeber. Er muss durch entsprechende vertragliche Vereinbarungen und tatsächliche Prüfungen sicherstellen, dass der Auftragnehmer datenschutzrechtlich korrekt arbeitet.  Im Gegensatz zur bisherigen Rechtslage können Nachlässigkeiten hierbei nun mit Bußgeldern von bis zu 50.000 € pro Fall geahndet werden.

Adresshandel und Werbung
Bislang genossen Adresshändler das sogenannte „Listenprivileg“. Sie durften Verbraucherdaten in Tabellenform zu Werbezwecken und zu Zwecken der Markt- und Meinungsforschung an Dritte weitergeben, wenn darin nur bestimmte Kategorien von Daten enthalten waren. Das umstrittene Listenprivileg bleibt auch weiterhin erhalten. Allerdings müssen Unternehmen künftig den Empfänger eines Werbeschreibens darüber informieren, woher sie die über ihn vorhandenen Daten haben. Die Werbung zwischen Unternehmen (B2B) ist davon allerdings nicht betroffen.

Weitere Erleichterungen wurden für Werbemaßnahmen an Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach im Gesetz genauer definierten Transparenzgeboten normiert.

Zudem sind Adresshändler nun verpflichtet, die Herkunft der von ihnen verwendeten Daten sowie die Identität des Empfängers für zwei Jahre zu speichern. Denn bisher scheiterten datenschutzrechtliche Anfragen von Verbrauchern bei Adresshändlern häufig daran, dass diese über die Herkunft ihrer Daten keine Auskunft geben konnten (oder wollten). Dem soll so ein Ende gemacht werden.

Arbeitnehmerdatenschutz
Spitzelskandale wie z.B. die bei Lidl oder der Deutschen Bahn wurden von Verantwortlichen im Nachhinein mit dem Bedürfnis nach präventiven Maßnahmen gegen Wirtschaftskriminalität begründet. Auch wenn hier oftmals Zielsetzung und Vorgehensweise auch bei wohlwollender Betrachtung nicht zusammenpassen wollten. Jetzt dürfen Beschäftigtendaten nur noch bei konkretem und nachweisbarem Anfangsverdacht zur Aufdeckung von Straftaten verwendet werden. Es muss zudem eine Interessensabwägung zwischen den schutzwürdigen Interessen des Beschäftigten und denen des Arbeitgebers stattfinden und dokumentiert werden, die im Zweifel einer rechtlichen Überprüfung standhält.

Mitteilungspflichten
Kommt es in Unternehmen künftig zu einem datenschutzrechtlich relevanten Vorfall und wird dieser bemerkt, so müssen die davon Betroffenen sowie die Datenschutzaufsichtsbehörden informiert werden. Ein solcher Vorfall tritt stets dann ein, wenn es um folgende, besonders sensible Informationsarten geht:

1. Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben,
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen, Ordnungswidrigkeiten oder den Verdacht auf solches beziehen,
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten.

Inhaltlich muss diese Information bestimmten Mindestanforderungen genügen und unverzüglich herausgegeben werden. Lediglich laufende Ermittlungen der Polizei dürfen die Benachrichtigung Betroffener zeitlich verzögern. Würde die Benachrichtigung aller Betroffenen einen unverhältnismäßigen Aufwand nach sich ziehen, können statt persönlicher Kontaktierung auch eine (mindestens) halbseitige Anzeige in zwei bundesweit erscheinenden Tageszeitungen oder andere vergleichbare Maßnahmen eingesetzt werden.

Fallbeispiel :
Dem Bereichsleiter Vertrieb wird auf einer Dienstreise der Laptop mit darauf gespeicherten Kunden- und Abrechnungsdaten gestohlen (schwerwiegende Beeinträchtigung der Rechte der Betroffenen). Er muss den Vorfall der zuständigen Aufsichtsbehörde melden. Sobald eine Information an die Betroffenen im Falle einer Strafanzeige einen polizeilichen Ermittlungserfolg (Diebstahl) nicht mehr gefährdet, müssen diese ebenfalls über den unrechtmäßigen Datenabfluss informiert werden.

Erhöhung der Bußgelder
Der Bußgeldrahmen für Verstöße gegen den Datenschutz wurde für einfache Verstöße auf 50.000 € und für schwerwiegende Verstöße auf 300.000 € pro Fall aufgestockt. Wurden aus Datenmissbrauch Gewinn gezogen, kann dieser durch höhere Bußgeldansätze eingezogen werden, da künftig der Grundsatz gilt, dass die Geldbuße den wirtschaftlichen Vorteil aus den Datenschutzverstößen übersteigen soll.

Zusammenfassend lässt sich sagen, dass ein Teil der Forderungen, den Datenschutzexperten bereits seit Jahren erheben, nun nach offensichtlichem Handlungsbedarf tatsächlich umgesetzt wurde. Es bleibt abzuwarten, in wie weit die personell nur sehr sparsam ausgestatteten Datenschutzaufsichtsbehörden jedoch überhaupt in der Lage sein werden, das Gesetz angemessen umzusetzen.

Allerdings halte ich es nur für eine Frage der Zeit, bis z.B. Verbraucherschutzverbände und Gewerkschaften öffentliche Datenbanken einrichten, in denen meldepflichtige Datenschutzverstöße allgemein zugänglich gesammelt werden. Der damit verbundene Reputationsverlust dürfe speziell große Unternehmen und Markenfirmen erheblich mehr treffen, als das (gewinnmindernde und daher steuerlich absetzbare) Bußgeld.

Wie so etwas aussehen könnte, ist unter http://datalossdb.org/, einer von der Open Security Foundation betriebenen öffentlichen Datenbank für datenschutzrelevante Sicherheitsprobleme, zu sehen (auch als RSS-Feed sowie über Twitter abonnierbar).