Überwachungsorgan

Aufgrund des Datenlecks bei T-Mobile, bei dem sämtliche Kundendaten von T-Mobile über das Internet abrufbar waren, ist der T-Mobile-Chef Philipp Humm von seinem Amt als Sprecher der Geschäftsführung des Telekom-Konzerns zurückgetreten.

Mehr u.a. bei futureZone, heise.de und Spiegel Online.

Die Telekom hat den Vorstandsposten für Datenschutz nach einigem Hin- und Her doch besetzt. Gewählt wurde Manfred Bald, der als Wunschkandidat von Telekom-Chef Rene Obermann galt, auf der ersten Sitzung überraschend aber nicht gewählt wurde.
Via CTRL-Blog.

Futurezone und heise.de berichten über eine Vorabmeldung des Spiegels. Anscheinend waren ab dem 1. September mehrere Wochen lang alle Daten von Anzeigenkunden des WBV Wochenblattverlags im Internet einsehbar. Name, Adresse, Telefonnummer und dass die Bankverbindung auch davon betroffen ist muss man mittlerweile ja fast schon als traurigen "Standard" bezeichnen.
Besonders heikel für die Betroffenen: auch von anonymen (Chiffre-) Anzeigen aus der Rubrik "Heiraten und Bekanntschaften" waren alle Daten per einfacher Google-Anzeige auffindbar. Offenbar handelt es sich in der Mehrzahl um Anzeigenkunden aus dem Berliner und Hamburger Raum.
Die Lücke soll Ende September behoben worden sein, bis vor kurzem waren die Daten aber noch über den Google Cache abrufbar, sollen aber mittlerweile auch dort gelöscht sein. Futurezone spricht von bis zu 18.000 Datensätzen, zitiert aber auch den WBV-Geschäftsführer Peter Prawdzik, der nur von einigen tausend Betroffenen spricht. Die Differenz entstehe durch mehrfach erfasste Dauerkunden. Die Hamburger Datenschutzaufsicht soll "kurz nach" dem Hinweis auf das Leck informiert worden sein. Das Schreiben, an die Datenaufsicht, aus dem der Spiegel zitiert, stammt offenbar vom 8. Oktober, somit ist "kurz nach" (mindestens) eine Woche.

Wer also demnächst von Kollegen unvermittelt gefragt wird, ob denn die Suche nach einer Frau oder einer "Bekanntschaft für erotische Gespräche" erfolgreich gewesen sei, darf sich nicht zu sehr wundern und die WBV verfluchen...

Die Telekom hat vorgestern beschlossen, einen Vorstandsposten für Datenschutz, Recht, Datensicherheit und Compliance einzurichten. Nur berufen konnte noch niemand werden, der von Rene Obermann favorisierte Kandidat fiel offensichtlich durch. Mehr dazu z.B. in Spiegel Online und heise.de.
Die Frage ist, ob sich nun etwas ändert...

Bei Mainzer Erotikunternehmer und Adresshändler, der eigenen Angaben zufolge schon seit 2006 in Besitz der 17 Millionen gestohlenen T-Mobile-Datensätzen sitzt, beschlagnahmte die Polizei Rechner, er selbst wurde von der Staatsanwaltschaft befragt. Mehr bei golem.de.

Bei jedem neuen Datenschutzskandal der Telekom denkt man, dass jetzt irgendwann doch mal Schluss sein muss - aber es gibt jede Woche etwas Neues.
Heise.de und golem.de berichten über eine Vorabmeldung des Spiegels. Dem Magazin zufolge soll es bis zum 9. Oktober möglich gewesen sein, über das Internet nur mit einigen Benutzerangaben und einem Passwort auf alle T-Mobile-Kundendaten zuzugreifen und diese zu ändern. Ja, alle Kundendaten, inkl. Bankdaten. Selbst eine SIM-Sperre war möglich, genauso wie eine Tarifänderung oder das Anlegen/Ändern von Einzugsermächtigungen.
Die Meldung klingt so frappierend nach der schon Anfang Oktober bekannt gewordenen Lücke, dass ich zuerst dachte, hier würde kalter Kaffee wieder aufgewärmt. Aber Pustekuchen, es handelt sich um eine neue Lücke - die dafür diesmal "nur" die T-Mobile-Kunden - hierbei handelt es sich ja auch "nur" um 37 Millionen (laut Wikipedia).

Anscheinend haben sich Spiegel-Redakteure in die Datenbank einloggen können und Daten ändern können. Die Telekom sagt, sie hätte die Lücke innerhalb von 24 Stunden geschlossen und auf ein PIN/TAN-Verfahren umgestellt, bei der Kunde die TAN per SMS auf sein Handy zugesandt bekommt.
Aber mal ein Blick hinter die PR-Angaben: es gab bis 2007 genau so ein Leck bei den Telekom-Kundendaten. Auch hier waren die Kundendaten über das Internet einsehbar, durch Passwort und Benutzerkennung geschützt. Im August 2007 ist nach Angaben der Telekom diese Lücke dann geschlossen worden. Und dann? Bei der Telekom kommt niemand auf die Idee, dass ein ähnliches System bei T-Mobile genauso unsicher ist? Oder wurde das System geändert und es handelte sich bei der Lücke schon um eine "sicherere" Variante? Ich bin mir nicht sicher, was schlimmer ist...

Da wundert es auch nicht, dass T-Mobiles neue Sicherheitsoffensive mit Einrichtung eines Vorstandsposten für Datenschutz eher skeptisch aufgenommen wird. Die Telekom hat dabei auch angekündigt, ab nächster Woche bei neuen Datenpannen die Kunden umgehend zu informieren. Damit hat man sich für dieses Mal noch aus der Affäre gezogen, wohl um dem Spiegel die Exklusivmeldung zu überlassen.

Warten wir ab, was als nächstes passiert. Wetten werden entgegen genommen...

...so dürften einige heimlich in einer Bonner Firmenzentrale denken. Das Chaos im internationalen Finanzwesen drängt den Skandal über den Datenverlust bei T-Mobile in den Hintergrund.
17 Millionen Kundenstammdaten sind T-Mobile im Jahr 2006 gestohlen worden. T-Mobile hatte laut Wikipedia 2006 31,4 Millionen Kunden. Da es aber mittlerweile in Deutschland mehr Handyverträge als Einwohner gibt und auch bei T-Mobile mehr Verträge als reale Personen geben dürfte, reden wir wohl von einem überwigenden Großteil der Kundendatenbank.
Wie auch schon bei den letzten Skandalen betreibt die Telekom wieder Rückzugsgefechte. Informiert wird nur über Dinge, die schon in der Presse standen (wie auch bei der mangelhaften Datensicherung der Kundendaten der Telekom). Man hätte erwarten können, dass die Telekom beiden Gesprächen im Innenministerium auf den Verlust hinweisen würden - offensichtlich war das Gegenteil der Fall, es wurde explizit verneint. Auf heise.de dazu vom Bundesdatenschützer Peter Schaar:

Gegenüber Stern.de monierte der Datenschützer ferner, dass Telekom-Mitarbeiter konkrete Nachfragen zu weiteren Datenabflüssen nach dem Skandal um die Bespitzelung von Aufsichtsräten und Journalisten mit "Nein" beantwortet hätten. "Dass man mich und die Betroffenen im Dunkeln gelassen hat, halte ich für ziemlich befremdlich und ärgerlich."

Die Telekom sagt, sie sei bisher davon ausgegangen, dass die Daten bei den Beschuldigten sichergestellt wurden. In Spiegel Online liest man:

"Wir gingen bisher davon aus, dass diese Daten im Rahmen der staatsanwaltschaftlichen Ermittlungen in vollem Umfang sichergestellt wurden", sagte T-Mobile-Deutschland-Chef Philipp Humm.

Weiter heißt es in dem Artikel:

Recherchen im Internet und in Datenbörsen hätten keine Anhaltspunkte geliefert, dass die Daten im Schwarzmarkt angeboten worden seien, versicherte ein Telekom-Sprecher.

Interessanterweise sagt aber ein Mainzer Erotikunternehmer in der taz, dass er bereits kurz nach dem Diebstahl Bescheid wusste - und die Daten auch bald in der Hand hielt:

Woher wussten Sie zu diesem Zeitpunkt, dass bei T-Mobile Daten illegal kopiert wurden?

Das hatte ich schon einige Wochen vorher erfahren, von einem Branchen-Insider

Wie kamen Sie an diese Daten?

Ein Mann aus Österreich hat sich bei mir gemeldet, er wolle seine Kundendatenbank versilbern. Er gab mir ein Kennwort, so dass ich mir die Daten, die auf einer Webseite gespeichert waren, anschauen und herunterladen konnte. Mir wurde aber schnell klar, dass das keine normale Kundendatenbank war.

Warum?

Weil es einfach zu viele Daten waren. Welches Unternehmen hat schon 17 Millionen Kunden? Außerdem hatten alle eine Telefonnummer von T-Mobile. Da dachte ich mir, das müssen die geklauten T-Mobile-Daten sein.

Halten wir fest: die Telekom war entweder unwillig oder unfähig bei der Suche nach den gestohlenen Datensätzen (schließlich brauchten Verbraucherschützer ganze 2 Tage und 850 Euro für Millionen Datensätze). Kaum vorstellbar, dass verdeckte Ermittler eines Großkonzerns keinen blassen Schimmer hatten, während Adresshändler wenige Wochen später Bescheid wussten. Vielleicht war es aber auch pure Berechnung. Solange keine schlafenden Hunde geweckt wurden, hatte man ja offensichtlich keine Veranlassung, an die Öffentlichkeit zu gehen.
Fast schon amüsant wirkte, wie im Zuge der Veröffentlichung durch den Spiegel hektisch bei Prominenten die Handynummern geändert wurden. Immerhin ging es nicht nur um Fernsehstars und B-Promis, sondern auch um Politiker, Minister und Ex-Bundespräsidenten bei denen es auch um die Sicherheit ihrer Person geht. Noch nicht mal bei diesem Personenkreis machte T-Mobile eine Ausnahme und informierte sie vorher. Natürlich hätte man damit riskiert, den Skandal an die Öffentlichkeit zu bringen. Auf der anderen Seite hätte man durch konsequentes und entschlossenes Handeln verlorenes Vertrauen zurückgewinnen können.

Die gestohlenen Daten - laut der Telekom zwar keine Zahlungsdaten und Bankverbindungen, sondern "nur" Name und Anschrift, Handynummern und Mailadressen sollen laut heise.de mittlerweile von Datenschützern bei dem Mainzer Erotikhändler sichergestellt. Die Meldung auf golem.de klingt aber ganz anders:

Edgar Wagner, der Landesdatenschützer von Rheinland-Pfalz, sagte Golem.de, es handle sich bei Berichten über eine "Sicherstellung von Daten" um eine Falschmeldung. "Wir haben nichts sichergestellt oder geprüft. Es gab heute ein Gespräch, das fortgeführt wird. Wir sind als rheinland-pfälzische Behörde für die Firma Huch zuständig", so Wagner. "Da muss man dann mal nachsehen." Der 27jährige Huch habe sich kooperativ gezeigt.

Und selbst wenn die Daten sichergestellt worden wären, wo sie aber noch schlummern, ist wohl kaum herauszufinden.
Politiker der Oppositionsparteien erneuerten ihre Kritik an der Vorratsdatenspeicherung. Mit der Vorratsdatenspeicherung würden die Daten natürlich noch viel attraktiver werden, schließlich lässt sich dann auch sagen, wer mit wem in den letzten Monaten telefoniert hat - und wer vielleicht für Erotikwerbung empfänglicher ist, weil er in den letzten Monaten 0900er-Nummern angewählt hat... Der Bundesdatenschutzbeauftragte Peter Schaar scheint fassungslos, er und seine Mitarbeiter rennen nun schon seit Monaten der Telekom hinterher und werden alle paar Wochen mit neuen, noch größeren Lücken konfrontiert.

Jetzt als T-Mobile-Kunde (bzw. ehemaliger T-Mobile-Kunde, schließlich ist die Rufnummernportierung mittlerweile auch Alltag) hektisch die eigene Nummer ändern zu lassen bringt wohl kaum etwas. Datenschützer gehen mittlerweile davon aus, dass sowieso alle Adressdaten im Umlauf sind. Solange nicht besonders viel Telefon-Spam eintrifft, kann man sich die Rufnummer-Änderung auch sparen - es sei denn, man war schon immer mit der eigenen Rufnummer unzufrieden oder man möchte einen neuen Anfang machen...
Wenn der eigene Vertrag ausläuft muss man dann überlegen, ob man weiterhin bei der Telekom bleiben will. Hier muss jeder selbst entscheiden. Sicherlich jagt gerade bei der Telekom ein Skandal den nächsten. Auf der anderen Seite kann es aber auch bedeuten, dass Mängel behoben werden, die bei Konkurrenten evtl. noch bestehen könnten - vielleicht aber auch nie bestanden haben...

Offensichtlich hat die Telekom bis in den August 2007 ihre Kundendaten zwar mit Login/Passwort geschützt, die Daten waren aber nicht etwa nur im Intranet sondern ohne weitere Sicherung aus dem Internet abrufbar. Laut dem Stern wurden die Zugangsdaten damals auch schon auf einschlägigen Seiten verkauft. Aufgefallen ist das Ganze erst, als man einem Datendiebstahl aus einem Callcenter in Bremerhaven auf die Schliche kam. Die Sicherheitslücke sei dann am 21. August 2007 geschlossen worden.
Eine Notwendigkeit, die Öffentlichkeit zu informieren sah man offenbar nicht, so dass die Sache erst jetzt publik wird. Es geht dabei ja laut Stern "nur" um 30 Millionen Festnetz und 38 Millionen Mobilfunkkunden.

Via datenschutz-ist-bürgerrecht.de/stern.de.

Update: Gegenüber golem.de sagte ein Telekom-Sprecher:

Dass Kundendaten der Deutschen Telekom vor allem mit Blick auf Kontonummern für Trickbetrügereien missbraucht worden sind, ist bisher nicht bekannt

Über den Eintrag im CTRL-Blog hatte ich ja schon etwas geschrieben. Nun findet sich in der taz ein kurzes Interview mit Sven Gábor Jánszky.
Gegenüber dem Blog-Eintrag allerdings nicht viel Neues, er wiederholt nur seine Thesen, dass die Menschen den Datenschutz für die Vorteile (wie z.B. Rabatte) selbst aufgeben werden und der Datenschutz nur noch gegen kriminelle Aktivitäten wirken wird.

Das Interview findet ihr auf den Seiten der taz.

Im CTRL-Blog findet sich ein Brief von Sven Gábor Jánsky, Leiter des Think-Tanks "forward2business". Er stellt ohne auf mögliche Risiken oder Missbrauch einzugehen die vernetzte Zukunft im Jahr 2020 dar.
Besonders nett die Antwort auf die Frage, warum wir uns auf diese Vernetzung einlassen werden:

Weil wir wissen, dass der Nutzen überwiegt. Wir erhalten Rabatte oder Anerkennung und haben kaum etwas zu befürchten außer ein paar Werbebriefen und Werbemails, die ungelesen in den Müll wandern.

Ich schließe nicht aus, dass viele die von ihm dargestellte Vernetzung wirklich nutzen - man sieht ja, wie viele Menschen ihre Daten über Payback und weitere "Kundenkarten" für Rabatte zwischen 0,3 und 4% preis geben.
Trotzdem geht es kaum verharmlosender und bei den aktuellen Diskussion so einseitig die Vorteile der Datenweitergabe an Unternehmen darzustellen zeugt von Mut - oder einer gewissen Betriebsblindheit. Auf der anderen Seite ist es natürlich die Aufgabe eines wirtschaftsnahen Think-Tanks, den Verbrauchern die Weitergabe ihrer Daten schmackhaft zu machen.

Den Brief findet ihr komplett im CTRL-Blog. Um ein Interview wurde auch gebeten. Wir dürfen gespannt sein.

Eintrag auf Gilly's playground: Auf dem Server des Webshops New Underwear fand sich per Google-Suche nach einer Adresse eine Kundenliste mit 837 Einträgen als .txt-Datei (nicht ausgeschlossen, dass das die komplette Kundendatei war). Selbst die unverschlüsselten Passwörter waren dort zu finden.
Auf eine Mail hin wurde die Datei schnell entfernt, auf eine Antwort auf die Mail wartet Gilly aber noch.

Wer dort jemals gekauft haben sollte, sollte besser das Passwort ändern (ebenso auf allen Seiten, auf denen das gleiche Passwort oder gar die gleiche Passwort-/Mailadressen-Kombination verwendet wurde). Wie auch bei dem Verlust von 56.000 Datensätzen bei PwC ein weiterer Grund, das gleiche Passwort nicht an mehreren Stellen zu verwenden.

Mehr auf Gilly's playground.