Sony & Co.: Kundendaten und Sicherheit

Für die Kernkraftindustrie waren Three Mile Island, Tschernobyl und jetzt Fukushima der Größte anzunehmende Unfall (GAU). Jahrzehntelang wurde abgewiegelt "alles ist sauber und sicher". Deutet sich bei großen Internetanbietern jetzt etwas ähnliches an?


Anzeige

Kaum eine Woche, in der man nicht von Datenskandalen in der Presse liest. Da sammelt Apple fleißig Bewegungsdaten [1] von Benutzern seiner Geräte – und will sich nun damit herausreden, dass es ein "Programmierfehler" gewesen sei. Doof nur, wenn gleichzeitig ein Apple-Patentantrag bekannt wird, wo solche Bewegungsdaten für einen neuen Dienst ausgewertet werden sollen.

Die Einschläge kommen näher …

Schaue ich in meinen Posteingang, lese ich eine kurze Mail des Anbieters "Ashampo".

Auch Ashampoo wurde leider Ziel eines Hacker-Angriffs

Sehr geehrter Ashampoo Kunde,

wir schreiben Ihnen in einer wichtigen Angelegenheit, denn wir müssen Ihnen leider mitteilen, dass auch wir auf einem unserer Server-Systeme einen unautorisierten Fremdzugriff festgestellt haben. Wir gehen davon aus, dass die Angreifer Kunden-Daten entwenden konnten. Daten wie Zahlungsinformationen, etc. sind davon nicht betroffen, da Ashampoo diese Daten nicht speichert.

Wir haben Ihnen alle Informationen bezüglich dieses Vorfalls zusammengefasst und möchten Sie bitten, folgende Webseite zu lesen:

Mit freundlichen Grüßen,

Ihr Ashampoo-Team

Na prima. Google [8], Facebook, Microsoft, Apple [2] und wie die Firmen alle heißen, hegen ein gepflegtes Interesse am Sammeln von Daten. Oder im Klartext: Die können den Hals nicht voll kriegen, möglichst alles und jedes von Benutzern und potentiellen Kunden zu erfahren.

Gläserner Bürger: Freiwillig/unfreiwillig – wir kriegen dich immer

Manche Benutzer geben ja die Daten freiwillig an. Facebook gründet sein Geschäftsmodell auf den gepflegten Nihilismus seiner Nutzer. Payback schafft es, mit minimalen Anreizen den Kunden zum "gläsernen Einkäufer" zu machen. Aber auch wer (wie meine Wenigkeit), nach dem Prinzip der Datensparsamkeit möglichst wenig von sich preis gibt, ist vor Überraschungen nicht gefeit. Und gelegentlich gibt es so ein deja vue-Erlebnis, welches einen daran erinnert, wo man überall mit seinen (ggf. falschen) Daten erfasst ist [4] – z. B. wenn man am 1.1. von zig Anbietern zum Geburtstag gratuliert wird, obwohl die Feier doch in einem ganz anderen Monat stattfindet.

Aber oft ist es eine unheilige Allianz von Politik, Lobbyisten und Industrie, die dem Anwender keine andere Wahl gibt, als seine Daten preiszugeben. Will ich bei Amazon bestellen, muss ich meine Daten angeben. Möchte ich ein iPad oder iPhone betreiben, brauche ich Zugang zum Apple iStore, wo dann auch mal gerne Kreditkartendaten (zur Freude unserer Freunde in China [3]) abgefragt werden. Aber auch der gemeine Blogger oder Website-Betreiber hängt unvermittelt am Kanthaken der Datenfischer. Denn in Deutschland hat man mit der üblichen Gründlichkeit alle Betreiber von Telemedien-Dienstleistungen zum Vorhalten eines Impressums verpflichtet – da steht nicht nur die Adresse samt E-Mail und Telefonnummer – sondern u. U. auch die Umsatzsteuer-ID. Und weil dies noch nicht genug ist, verlangen Internet Registrare auch detaillierte Daten bei der Beantragung einer Domain, die über Whois-Dienste von jedermann abgerufen wurden. Die Schnittstellen der Provider zu den Registraren fördern dabei die Übertragung der Daten, wie ich kürzlich zu meiner Überraschung feststellen musste. Da bliebt eine E-Mail mit dem Betreff "Your Domain xxxx.com expires" in meinem Spam-Ordner hängen. Als ich diese nach ein paar Wochen mal kurz unter die Lupe nahm, fiel mir die Kinnlade herunter:

his is a solicitation. Domain Registration Services is not a domain name registrar and does not provide URL registrations, web hosting or email services. Domain Registration Services is a search engine ranking and submission service firm.

Attention: Important Notice

Domain Name: xxxx.COM

Bill To: Guenter Born
Invoice #1301881546

…….. 21, z. Hd. Frau Gru…Invoice Date Apr 3, 2011
Ort, unknown Terms Net 15
PLZ – US Due Date Apr 18, 2011
Tel +49-xxxxx P.O. #

SECURE ONLINE PAYMENT (Link entfernt)

Domain Name ….
Registration ….
Price …
Term  ….

Attn Guenter Born

This letter is to inform you that it's time to send in your search engine registration for XXX.COM.

Failure to complete your search engine registration by Apr 18, 2011 may result in the cancellation of this offer (making it difficult for your customers to locate you using search engines on the web).

….

Da informierte mich die Nachricht in englischer Sprache, dass da irgend eine Registrierung ausläuft. Praktischerweise ist gleich ein Link für sichere Zahlung dabei. Glücklicherweise bin ich der englischen Sprache mächtig genug, um zu erkennen, dass es sich um einen Web-Suchservice handelt, der für die von mir betreute Domain uninteressant war und auch nie gebucht wurde. Was mir aber die Kinnlade herunterfallen ließ, war der Umstand, dass im Anschreiben genaue Daten samt Rechnungsanschrift, Telefonnummern, Zahlungsempfänger in Form eines Vereinsvorstands etc. aufgeführt waren. War da ein Account bei meinem Hoster gehackt worden? Eine kurze Anfrage bei HostEurope löste die ganze Sache auf: Die ganzen Daten stammten aus den Registrierdaten für die Domain, die öffentlich über einen Whois-Server abgerufen werden konnten. Diese Registrierungsdaten werden bei der Beantragung einer Domain vom Provider aus den betreffenden Eingabeformularen mit den Kundendaten extrahiert und an den Registrar geschickt. Und schon steht der Kunde, mehr oder weniger ungewollt, mit heruntergelassener Hose alleine auf weiter Flur. Ich habe mir dann noch die Mühe gemacht, eine Whois-Abfrage auf den Absender der Mail (czj163.com) durchzuführen. Natürlich waren es wieder "die Freunde aus China", die notfalls genügend Manpower besitzen, so etwas auch by hand sammeln zu lassen.


Anzeige

Da passt es auch vom Sprachduktus wunderbar, dass die Spielbranche anlässlich der Gamestage "Frauen und Handy-Nutzer ins Visier" nimmt [9]. Der Angriff ist also angeblasen, tut sich doch ein "Milliardenmarkt auf".

Melange aus Sorglosigkeit, Ignoranz, Borniert- oder Hilflosigkeit

Die Datensammelwut ist da Eine – aber sind die Daten sicher? Momentan kommt es für einige Hersteller knüppeldick, werden Sie doch Opfer von Hackerangriffen, bei denen Kundendaten entwendet werden. Sony muss nach dem Desaster vor wenigen Tagen, als das Playstation-Netzwerk gehackt wurde, ein zweites Datenleck eingestehen. Hacker sind bei Sony Online Entertainment (SOE) eingestiegen und haben Millionen an Kundendaten ausgespäht [5].

Commodo, die auch als Zertifikat-Aussteller agieren, mussten kürzlich feststellen, dass sie von einem Hacker übertölpelt wurden, so dass dieser sich digitale SSL-Zertifikate erschleichen konnte [6, 6a, 6b]. Also kann praktisch niemand mehr sicher sein, dass durch SSL-Zertifikate abgesicherte Mails oder Webseiten nicht kompromittiert sind.

Manchmal ist es einfach auch komplette Sorglosigkeit oder Borniertheit, die da so ihre Stilblüten treibt. Navi-Systeme sind für viele Benutzer nicht mehr wegzudenken. Und TomTom ist einer der ganz Großen, der auch klasse Dienste anbietet. Stauprognosen sind eine feine Sache, wenn nur nicht die Daten der Autofahrer dazu gesammelt werden müssten. Alles kein Problem? Aber wo Daten anfallen, kommt auch die Gier, diese zu Geld zu machen. Also hat TomTom diese Daten flugs an die niederländische Regierung vertickt, deren Polizei diese Bewegungs- und Geschwindigkeitsdaten zur "Optimierung" der Standortplanung von Radarfallen nutzt [7]. Die Beispiele ließen sich beliebig erweitern.

Schöne neue Welt – aber wir machen uns doch gerne zum Affen. Ich für meinen Teil verzichte mittlerweile auf viele Dienste, die im Internet oder bei Geräten angeboten werden. Und falls wir zukünftig Rechner samt Mac OS X- oder Windows-Betriebssystem nur noch über App-Shops mit Anwendungen bestücken können, wird es Zeit, zu einem customized Linux zu wechseln, wo per Paket Manager noch einzelne Pakete installiert werden können. Und es wäre eigentlich an der Zeit, über mehr Internet-Abstinenz nachzudenken.

Links:
1: iPhone-Ordnungsdaten durch Programmierfehler?
2: Big Brother Award 2011 geht an Apple
3: Beitrag zum iPad bei Feierabend.de
4: "Nette" Überraschungen 2011
5: Sony meldet Hackerangriff auf weiteres Netzwerk
6: Comodo Hacker Claims Another Certificate Authority
6a: Der SSL-Hack – schlimmer geht immer
6b: "Ich bin nicht zu stoppen, also fürchtet euch"
7: TomTom vertickt Navi-Nutzerdaten an Polizei
8: Polizei durchsucht Google-Büro in Seoul
9: Gamestage: Spielebranche nimmt Frauen und Handy-Nutzer ins Visier


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Allgemein abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Sony & Co.: Kundendaten und Sicherheit

  1. Peter sagt:

    Bis auf den kleinen Fehler, dass ein Absatz mit "Da passt die aktuelle" abbricht, ist der Artikel wieder 1a.

    Allerdings .. so manchmal ärgert es mich schon ein bisschen, dass ich mit meinem "Uraltknochen" Siemens S55 diesen Blog nicht auch mal unterwegs lesen kann. :-) Na ja man kann nicht alles haben.

    Peter

    • Günter Born sagt:

      @Peter: Danke für's Feedback. Den abgebrochenen Satz habe ich rausgenommen – da musste ich schnell mal einen versuchten Datenklau stoppen ;-).

      PS: Und bzgl. der Uraltknochen a la Siemens S55 – ich habe es noch nicht mal geschafft, ein S55 oder S65 als GPRS-Modem an einem Netbook einzurichten. Also bleibt imho doch nur der Weinberg übrig – obwohl es mein Ruin wäre, denn entweder das Zeugs schmeckt später wie Essig – oder ich komme aus dem Verkosten im Weinkeller nicht mehr heraus …

  2. Pingback: TomTom ick hör dir trapsen « Borns IT- und Windows-Blog

  3. Pingback: SSL-Patch von Microsoft & Co. ausgeliefert « Borns IT- und Windows-Blog

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.