Überwachungsorgan

Aufgrund des Datenlecks bei T-Mobile, bei dem sämtliche Kundendaten von T-Mobile über das Internet abrufbar waren, ist der T-Mobile-Chef Philipp Humm von seinem Amt als Sprecher der Geschäftsführung des Telekom-Konzerns zurückgetreten.

Mehr u.a. bei futureZone, heise.de und Spiegel Online.

Mittlerweile ist es fast schon bedauerlicher Alltag: in Großbritannien ist zum wiederholten Mal ein Datenträger verloren gegangen. Auf einem öffentlichen Parkplatz fand sich ein USB-Stick mit Zugangsdaten und Quellcode einer Regierungsseite, auf der z.B. Steuererklärungen und Kindergeldanträge eingestellt werden können. Die Seite wurde vorerst geschlossen.
Mehr bei Spiegel Online und heise.de.

Die Telekom hat den Vorstandsposten für Datenschutz nach einigem Hin- und Her doch besetzt. Gewählt wurde Manfred Bald, der als Wunschkandidat von Telekom-Chef Rene Obermann galt, auf der ersten Sitzung überraschend aber nicht gewählt wurde.
Via CTRL-Blog.

Futurezone und heise.de berichten über eine Vorabmeldung des Spiegels. Anscheinend waren ab dem 1. September mehrere Wochen lang alle Daten von Anzeigenkunden des WBV Wochenblattverlags im Internet einsehbar. Name, Adresse, Telefonnummer und dass die Bankverbindung auch davon betroffen ist muss man mittlerweile ja fast schon als traurigen "Standard" bezeichnen.
Besonders heikel für die Betroffenen: auch von anonymen (Chiffre-) Anzeigen aus der Rubrik "Heiraten und Bekanntschaften" waren alle Daten per einfacher Google-Anzeige auffindbar. Offenbar handelt es sich in der Mehrzahl um Anzeigenkunden aus dem Berliner und Hamburger Raum.
Die Lücke soll Ende September behoben worden sein, bis vor kurzem waren die Daten aber noch über den Google Cache abrufbar, sollen aber mittlerweile auch dort gelöscht sein. Futurezone spricht von bis zu 18.000 Datensätzen, zitiert aber auch den WBV-Geschäftsführer Peter Prawdzik, der nur von einigen tausend Betroffenen spricht. Die Differenz entstehe durch mehrfach erfasste Dauerkunden. Die Hamburger Datenschutzaufsicht soll "kurz nach" dem Hinweis auf das Leck informiert worden sein. Das Schreiben, an die Datenaufsicht, aus dem der Spiegel zitiert, stammt offenbar vom 8. Oktober, somit ist "kurz nach" (mindestens) eine Woche.

Wer also demnächst von Kollegen unvermittelt gefragt wird, ob denn die Suche nach einer Frau oder einer "Bekanntschaft für erotische Gespräche" erfolgreich gewesen sei, darf sich nicht zu sehr wundern und die WBV verfluchen...

Auf heise.de findet sich ein längerer Artikel über den Schlagabtausch während der Debatte zur 1. Lesung des Entwurfs zur Änderung des Bundesdatenschutzgesetzes.

Die Telekom hat vorgestern beschlossen, einen Vorstandsposten für Datenschutz, Recht, Datensicherheit und Compliance einzurichten. Nur berufen konnte noch niemand werden, der von Rene Obermann favorisierte Kandidat fiel offensichtlich durch. Mehr dazu z.B. in Spiegel Online und heise.de.
Die Frage ist, ob sich nun etwas ändert...

Bei Mainzer Erotikunternehmer und Adresshändler, der eigenen Angaben zufolge schon seit 2006 in Besitz der 17 Millionen gestohlenen T-Mobile-Datensätzen sitzt, beschlagnahmte die Polizei Rechner, er selbst wurde von der Staatsanwaltschaft befragt. Mehr bei golem.de.

Futurezone hat am Montag gemeldet, dass wieder einmal ein Datenträger in Großbritannien verschwunden ist. Wieder einmal eine Festplatte, offensichtlich mit den Daten von 1,7 Millionen Armeeangehörigen und Bewerbern. Es sei "unwahrscheinlich", dass die Daten verschlüsselt seien - warum auch, die britische Armee war ja in den letzten Wochen auch schon wegen Datenverlusts in den Schlagzeilen (siehe z.B. hier)...

...so dürften einige heimlich in einer Bonner Firmenzentrale denken. Das Chaos im internationalen Finanzwesen drängt den Skandal über den Datenverlust bei T-Mobile in den Hintergrund.
17 Millionen Kundenstammdaten sind T-Mobile im Jahr 2006 gestohlen worden. T-Mobile hatte laut Wikipedia 2006 31,4 Millionen Kunden. Da es aber mittlerweile in Deutschland mehr Handyverträge als Einwohner gibt und auch bei T-Mobile mehr Verträge als reale Personen geben dürfte, reden wir wohl von einem überwigenden Großteil der Kundendatenbank.
Wie auch schon bei den letzten Skandalen betreibt die Telekom wieder Rückzugsgefechte. Informiert wird nur über Dinge, die schon in der Presse standen (wie auch bei der mangelhaften Datensicherung der Kundendaten der Telekom). Man hätte erwarten können, dass die Telekom beiden Gesprächen im Innenministerium auf den Verlust hinweisen würden - offensichtlich war das Gegenteil der Fall, es wurde explizit verneint. Auf heise.de dazu vom Bundesdatenschützer Peter Schaar:

Gegenüber Stern.de monierte der Datenschützer ferner, dass Telekom-Mitarbeiter konkrete Nachfragen zu weiteren Datenabflüssen nach dem Skandal um die Bespitzelung von Aufsichtsräten und Journalisten mit "Nein" beantwortet hätten. "Dass man mich und die Betroffenen im Dunkeln gelassen hat, halte ich für ziemlich befremdlich und ärgerlich."

Die Telekom sagt, sie sei bisher davon ausgegangen, dass die Daten bei den Beschuldigten sichergestellt wurden. In Spiegel Online liest man:

"Wir gingen bisher davon aus, dass diese Daten im Rahmen der staatsanwaltschaftlichen Ermittlungen in vollem Umfang sichergestellt wurden", sagte T-Mobile-Deutschland-Chef Philipp Humm.

Weiter heißt es in dem Artikel:

Recherchen im Internet und in Datenbörsen hätten keine Anhaltspunkte geliefert, dass die Daten im Schwarzmarkt angeboten worden seien, versicherte ein Telekom-Sprecher.

Interessanterweise sagt aber ein Mainzer Erotikunternehmer in der taz, dass er bereits kurz nach dem Diebstahl Bescheid wusste - und die Daten auch bald in der Hand hielt:

Woher wussten Sie zu diesem Zeitpunkt, dass bei T-Mobile Daten illegal kopiert wurden?

Das hatte ich schon einige Wochen vorher erfahren, von einem Branchen-Insider

Wie kamen Sie an diese Daten?

Ein Mann aus Österreich hat sich bei mir gemeldet, er wolle seine Kundendatenbank versilbern. Er gab mir ein Kennwort, so dass ich mir die Daten, die auf einer Webseite gespeichert waren, anschauen und herunterladen konnte. Mir wurde aber schnell klar, dass das keine normale Kundendatenbank war.

Warum?

Weil es einfach zu viele Daten waren. Welches Unternehmen hat schon 17 Millionen Kunden? Außerdem hatten alle eine Telefonnummer von T-Mobile. Da dachte ich mir, das müssen die geklauten T-Mobile-Daten sein.

Halten wir fest: die Telekom war entweder unwillig oder unfähig bei der Suche nach den gestohlenen Datensätzen (schließlich brauchten Verbraucherschützer ganze 2 Tage und 850 Euro für Millionen Datensätze). Kaum vorstellbar, dass verdeckte Ermittler eines Großkonzerns keinen blassen Schimmer hatten, während Adresshändler wenige Wochen später Bescheid wussten. Vielleicht war es aber auch pure Berechnung. Solange keine schlafenden Hunde geweckt wurden, hatte man ja offensichtlich keine Veranlassung, an die Öffentlichkeit zu gehen.
Fast schon amüsant wirkte, wie im Zuge der Veröffentlichung durch den Spiegel hektisch bei Prominenten die Handynummern geändert wurden. Immerhin ging es nicht nur um Fernsehstars und B-Promis, sondern auch um Politiker, Minister und Ex-Bundespräsidenten bei denen es auch um die Sicherheit ihrer Person geht. Noch nicht mal bei diesem Personenkreis machte T-Mobile eine Ausnahme und informierte sie vorher. Natürlich hätte man damit riskiert, den Skandal an die Öffentlichkeit zu bringen. Auf der anderen Seite hätte man durch konsequentes und entschlossenes Handeln verlorenes Vertrauen zurückgewinnen können.

Die gestohlenen Daten - laut der Telekom zwar keine Zahlungsdaten und Bankverbindungen, sondern "nur" Name und Anschrift, Handynummern und Mailadressen sollen laut heise.de mittlerweile von Datenschützern bei dem Mainzer Erotikhändler sichergestellt. Die Meldung auf golem.de klingt aber ganz anders:

Edgar Wagner, der Landesdatenschützer von Rheinland-Pfalz, sagte Golem.de, es handle sich bei Berichten über eine "Sicherstellung von Daten" um eine Falschmeldung. "Wir haben nichts sichergestellt oder geprüft. Es gab heute ein Gespräch, das fortgeführt wird. Wir sind als rheinland-pfälzische Behörde für die Firma Huch zuständig", so Wagner. "Da muss man dann mal nachsehen." Der 27jährige Huch habe sich kooperativ gezeigt.

Und selbst wenn die Daten sichergestellt worden wären, wo sie aber noch schlummern, ist wohl kaum herauszufinden.
Politiker der Oppositionsparteien erneuerten ihre Kritik an der Vorratsdatenspeicherung. Mit der Vorratsdatenspeicherung würden die Daten natürlich noch viel attraktiver werden, schließlich lässt sich dann auch sagen, wer mit wem in den letzten Monaten telefoniert hat - und wer vielleicht für Erotikwerbung empfänglicher ist, weil er in den letzten Monaten 0900er-Nummern angewählt hat... Der Bundesdatenschutzbeauftragte Peter Schaar scheint fassungslos, er und seine Mitarbeiter rennen nun schon seit Monaten der Telekom hinterher und werden alle paar Wochen mit neuen, noch größeren Lücken konfrontiert.

Jetzt als T-Mobile-Kunde (bzw. ehemaliger T-Mobile-Kunde, schließlich ist die Rufnummernportierung mittlerweile auch Alltag) hektisch die eigene Nummer ändern zu lassen bringt wohl kaum etwas. Datenschützer gehen mittlerweile davon aus, dass sowieso alle Adressdaten im Umlauf sind. Solange nicht besonders viel Telefon-Spam eintrifft, kann man sich die Rufnummer-Änderung auch sparen - es sei denn, man war schon immer mit der eigenen Rufnummer unzufrieden oder man möchte einen neuen Anfang machen...
Wenn der eigene Vertrag ausläuft muss man dann überlegen, ob man weiterhin bei der Telekom bleiben will. Hier muss jeder selbst entscheiden. Sicherlich jagt gerade bei der Telekom ein Skandal den nächsten. Auf der anderen Seite kann es aber auch bedeuten, dass Mängel behoben werden, die bei Konkurrenten evtl. noch bestehen könnten - vielleicht aber auch nie bestanden haben...

Offensichtlich hat die Telekom bis in den August 2007 ihre Kundendaten zwar mit Login/Passwort geschützt, die Daten waren aber nicht etwa nur im Intranet sondern ohne weitere Sicherung aus dem Internet abrufbar. Laut dem Stern wurden die Zugangsdaten damals auch schon auf einschlägigen Seiten verkauft. Aufgefallen ist das Ganze erst, als man einem Datendiebstahl aus einem Callcenter in Bremerhaven auf die Schliche kam. Die Sicherheitslücke sei dann am 21. August 2007 geschlossen worden.
Eine Notwendigkeit, die Öffentlichkeit zu informieren sah man offenbar nicht, so dass die Sache erst jetzt publik wird. Es geht dabei ja laut Stern "nur" um 30 Millionen Festnetz und 38 Millionen Mobilfunkkunden.

Via datenschutz-ist-bürgerrecht.de/stern.de.

Update: Gegenüber golem.de sagte ein Telekom-Sprecher:

Dass Kundendaten der Deutschen Telekom vor allem mit Blick auf Kontonummern für Trickbetrügereien missbraucht worden sind, ist bisher nicht bekannt

In unserer Reihe Datenpannen in Großbritannien präsentieren wir heute: die Geheimdienstkamera bei ebay.

Ein 28jähriger hat auf ebay eine Digitalkamera ersteigert, teuer war sie auch nicht, umgerechnet 21 Euro. Er freut sich und nimmt die Kamera mit in den Urlaub. Wieder zu Hause lut er die Bilder auf den PC und entdeckte zwischen den Urlaubsfotos unter anderem Bilder von Raketenabschussrampen, Al-Quaida-Verdächtigen (inkl. Namen und Fingerabdrücken) - vermutlich Bilder des britischen Auslandsgeheimdienstes MI6. Er wurde stutzig und ging zur Polizei. Ein paar Tage später statteten ihm dann Geheimdienstbeamte einen Besuch ab und beschlagnahmten die Kamera.

Merke: wer an geheime Daten will, muss einfach nur nach Großbritannien gehen...

Via Spiegel Online und heise.de