Zum Feierabend noch ein wenig Lesestoff aus dem Land der unbegrenzten (Datensammel-) Träume. In den USA standen 198 Millionen Datensätze von Wählern ungeschützt im Netz – bereitgestellt von einer Analysefirma. Und Leute bekommen plötzlich Post von einer Firma AcurianHealth.
Anzeige
Diese Woche wird der Bundestag das Überwachungsgesetzt zum Einsatz von Polizeitrojanern beschließen (siehe). Aber wo Daten gesammelt werden, gibt es Datenlecks und die Daten gelangen an die Öffentlichkeit. Ich dachte daher, es passt ganz gut, mal wieder einige Kostproben in einem Blog-Beitrag zusammen zu fassen.
Millionen Daten von US-Bürgern im Netz
Es hat schon ein riesiges Stück Nähe von Real Satire, die ganze Sache. Da gibt es die republikanische Partei in Amerika. Wenn die Informationen hier stimmen, wehren sich die Republikaner gegen die Einführung einer Meldepflicht, die in den USA nicht besteht. Wähler müssen sich daher in einem Wählerverzeichnis registrieren.
Die US-Republikaner haben die Wählerverzeichnisse ausgewertet und die Daten von 198 Millionen US-Bürgern in einer Datenbank mit Namen, Geburtsdaten, Adressen samt geographischer Koordinaten, Telefonnummern und weitere personenbezogene Angaben erfasst. Diese Datenbank wurde einer Analysefirma mit dem Namen Deep Root Analytics (DRA) – steht den Republikanern nahe – überlassen.
Die IT-Sicherheitsfirma UpGuard stieß am 12. Juni 2017 auf Amazon Web Services (AWS) auf eine ungesicherte Datenbank mit einer Größe von 1,1 Terabyte, wie man hier berichtet. Diese Datenbank war nicht durch ein Passwort geschützt, die Daten waren unverschlüsselt. Jeder, der die URL des Verzeichnisses kannte, konnte diese Daten abrufen. Erst am 14. Juni 2017 wurden die Daten, nach dem die Firma von UpGuard informiert wurde, vom Server genommen und sind nicht mehr zugreifbar.
Die Firma DRA hat den Vorfall in dieser Meldung bestätigt. Wer die Verlautbarung liest, reibt sich nur noch verwundert die Augen.
Deep Root Analytics maintains industry standard security protocols. We built our systems in keeping with these protocols and had last evaluated and updated our security settings on June 1, 2017.
Man arbeitet nach Industriestandard-Vorgaben und hat am 1. Juni 2017 die Sicherheitseinstellungen überprüft und aktualisiert. Nachdem die Wählerdaten zugreifbar waren – die im übrigen, darauf weist man hin, öffentlich verfügbar seien – und man Kenntnis erlangte, habe man die Zugriffsrechte neu gesetzt. Also alles kein Problem.
Dumm nur, dass das Thema Wellen schlägt. Gizmodo und viele US-Medien haben große Beiträge zum Thema. Bei Gizmodo lässt sich nachlesen, dass die Daten wohl aus vielen Quellen wie das gesperrte Subreddit r/fatpeoplehate über American Crossroads bis hin zu PAC 'angereichert' wurden. Dort kamen dann Informationen über persönliche Präferenzen der Leute zu diversen Themen hinzu. Bei Interesse, heise.de hat diesen Artikel und Spiegel Online diesen Beitrag zum Thema veröffentlicht.
AcurianHealth erfasste heimlich Nutzereingaben
Es hatte schon eine etwas merkwürdige Note: Im Sommer 2015 erhielt die Amerikanerin Alexandra Franco einen Brief von einer ihr völlig unbekannten Firma AcurianHealth. Die Firma AcurianHealth ist im Bereich der Akquisition von Teilnehmern für medizinische Studien aktiv.
Anzeige
Der Brief war persönlich an Alexandra Franco adressiert und lud sie ein, an einer medizinischen Studie zu Psoriasis (Schuppenflechte) teilzunehmen. Das Dumme nur, sie litt nicht an Schuppenflechte. Allerdings erinnerte sie sich, ein Jahr zuvor für einen Bekannten nach dem Thema im Internet gesucht zu haben. Und wenige Monate vorher hatte sie im Internet nach einer Pilzinfektion der Haut gesucht.
Als sie dann in Google nach der Firma AcurianHealth suchte, stieß sie sehr schnell auf ähnliche Berichte. Hier und hier finden sich solche Berichte. Wie Gizmodo hier schreibt, erzielt AcurianHealth diese Information per Datamining (Big Data-Analysen). 2013 führt ein Manager der Firma gegenüber dem Wall Street Journal aus:
"We are now at a point where, based on your credit-card history, and whether you drive an American automobile and several other lifestyle factors, we can get a very, very close bead on whether or not you have the disease state we're looking at,"
Also: Sag mir, welches Auto Du fährst und was Du in der Freizeit tust, zusammen mit deinen Kreditkartendaten sagen wir, an welchen Krankheiten Du leidest. Natürlich kauft die Firma weitere Daten von Datenbrokern und lässt Briefe von Dienstleistern an US-Bürger schicken (dazu später mehr).
Aber das ist wohl nicht die ganze Wahrheit. Eine Analyse von 'Special Projects Desk' hat jetzt offen gelegt, dass die Firma mit Hilfe eines Startups Surfer gezielt ausspäht. Dazu hat AcurianHealth dutzende Webseiten wie www.trialforCOPD.com, www.studiesforyourarthritis.com etc. aufgesetzt.
Dort ist teilweise ein Code von NaviStone eingebettet. Die Firma wirbt damit, dass anonyme Webseitenbenutzer getrackt werden, so dass man diesen kurz darauf Werbung zukommen lassen könne. Dabei spielt man über Bande. Vom Dienstleister Walgreens werden Leute im Auftrag von AcurianHealth angeschrieben und darauf hingewiesen, wie sie an bestimme Medikamente und Behandlungen kommen können. Besuchen die Empfänger der Briefe die angegebenen Seiten, kann NaviStone weitere Daten liefern, so dass AcurianHealth am Ende des Tages ein sehr genaues Profil erhält, wer wie auf die Briefe reagiert. Der NaviStone-Code zeichnet dazu die Tastatureingaben des Benutzer auf, noch bevor er diese über ein Formular abschickt. Die Details sind bei gizmodo.com und bei Hacker News (Englisch) nachzulesen.
Finale Bemerkungen
Die beiden Geschichten zeigen, wie weit das Thema Datenschutz und Erfassung von Daten samt Auswertung von Big Data in den USA bzw. bei US-Firmen bereits vorgeschritten ist und wie lax die mit diesen sensitiven Daten umgehen. Jetzt könnte man natürlich sagen 'was kratzt mich der Sack Reis, der in den USA umgefallen ist'. In dieser Angelegenheit verweise ich ganz einfach auf meinen letzten Blog-Beitrag CDU-Strategiepapier: Datensammelparadies für die Wirtschaft – wo genau diesem Modell Vorschub geleistet werden soll.
2015
Ja das ist eine ganz schlimme Sache die uns eigentlich alle angeht, aber anscheinend ist das den meisten Leuten irgendwie egal, wer mit unseren Daten irgendwie herumspielt, wie unsere Regierung mit neuen Gesetzen den weg dafür ebnet das die Wirtschaft mit unseren Daten handeln kann.
#aber anscheinend ist das den meisten Leuten irgendwie egal
Das Problem, die Wahl haste nur bei der Wahl. Danach hat der einzelne keine Möglichkeiten mehr dagegen. Da die Politiker eh auch alle zusammen hocken und zusammen entscheiden, ist in solchen Wirtschaftsfragen auch fast egal wer gewählt wird. Der Kurs liegt halt an, schließlich sitzen die gleichen Leute weiterhin zusammen.
Der Weg ist schon lange geebnet und wird nur weiter ausgebaut, sonst hätten die Geschichten mit den Daten der Steuersünder ja auch nicht so gut funktioniert. Ärgerlich war wohl nur, das diese Aktionen öffentlich wurden.
Man sieht halt nur die direkten Vorteile, während man die Nachteile nicht überblicken kann. In der Praxis sieht es für die meisten doch so aus, als würde da jemand ein Telefonbuch verkaufen, nur übersieht man dabei, was in "diesem" Telefonbuch so alles an Infos enthalten sein kann.
Du erfährst es ja auch niemals, ob genau diese Infos dafür sorgen, das Du einen Job nicht bekommst, oder ein Kredit verweigert wird, oder, oder, oder…
Allein die Nutzungsmöglichkeiten sind ja schon nicht zu überblicken.
Theoretisch sollten das mittlerweile nicht nur Steuersünder erkennen können.
Datenschutz fängt doch nicht bei der Politik an, man ist doch in erster Linie selbst dafür verantwortlich.
Aber man will ja alles komfortabel und alles mit "einem Wisch" erledigen, immer und überall… und es darf nix kosten…
Ich benutze ein Handy, alles andere erledige ich am PC und zwar sehr bewusst, trotzdem werden meine Daten von allen erfasst…
Alleine die Tatsache, dass meine Telefonnummer bei anderen, die zB. WhatsApp oder Facebook Messenger benutzen, vorliegt ist schon genug um mich nicht mehr dagegen wehren zu können.
Schöne neue Welt.
"man ist doch in erster Linie selbst dafür verantwortlich."
Der war gut!
Wie soll das heutzutage noch funktionieren?
Barzahlung fällt immer häufiger flach.
Praktisch überall "braucht" man ein Kundenkonto.
Was ist mit den Daten, die bei Ämtern und Ärzten elektronisch verarbeitet werden.
Das Smartphone mit seinen Möglichkeiten braucht man an dieser Stelle gar nicht mehr erwähnen, oder?
Wenn Du auf alles verzichten kannst und vollkommen von der Gesellschaft getrennt überleben kannst, ist es dir vielleicht möglich, selbst für deine Daten verantwortlich zu sein, abgesehen vielleicht von den Daten, die schon bei der Geburt entstehen… Ansonsten bist du ein Datenopfer das eben nicht weiß welche Daten wo liegen.
Wer sich Daten klauen lässt, die überall ja so sicher lagern, liegt schon mal überhaupt nicht in unseren Händen. Der offizielle Verkauf der Daten ist ein noch viel größeres Problem
Oder man nutzte die Gunst der Stunde und begann als Flüchtling ein neues Leben, alternativ ginge vielleicht auch ein Eintritt in die Fremdenlegion, um einen neuen sauberen Datensatz von sich selbst zu erschaffen.
Aber in der Hand hat man diese Daten betreffend trotzdem praktisch nix, die Zeiten sind vorbei, zumindest in westlichen Ländern für einen Normalsterblichen.
Das fällt schon abgetauchten Personen schwer, keine Spuren zu hinterlassen. Einfach ist sicher anders…
Sag ich doch.
Man hat ja schon kaum die Möglichkeit der "Überwachung" zu entfliehen, da muss ich das doch nicht noch erleichtern, indem ich alles über zB: Smartphones oder am PC "immer angemeldet" bin… das meinte ich mit bewusst.
Dazu fällt mir eigentlich nur die "Göttinger Erklärung" ein…
https://www.heise.de/newsticker/meldung/Goettinger-Erklaerung-Datenschuetzer-legen-sich-mit-Merkel-Co-an-3673060.html
Die Zeichen der Zeit stehen halt anders, wie Herr De Maizière schon das Grundrecht "Meine Daten gehören mir" nicht mehr für Zeitgemäß hält, https://www.heise.de/newsticker/meldung/De-Maiziere-haelt-Losung-Meine-Daten-gehoeren-mir-fuer-falsch-3630322.html
Dem stimme ich nicht zu, die Daten die ich freiwillig herausgebe bzw. Herausgeben muss (Steuerdaten, Gesundheitsdaten etc) sind sozusagen für lau und für alle anderen Daten sollte es eine meiner Meinung nach eine von mir unterzeichneten Einverständniserklärung geben.
Wer solche einen Unsinn wie Herr De Maizière verbreitet muss eben damit rechnen das er immer wieder Zitiert wird.
Mal abgesehen vom Gut und Böse von Schadsoftware, Konzentrationen in der digitalen Welt und wo dies im weltweiten Großen enden mag,
ist es wohl bereits selbst kaum vorstellbar,
dass allein nur Informations- /Sammel- /Spanner- Schadsoftware mit potentieller Vielfalt oder Zusammentreffen solcher, die elektronischen Systeme nicht stören könnte (vlt. weniger, wenn Hardware und Anwendersoftware diese Aufgabe gleich von Haus aus übernehmen).
Das zunehmende auf Digitalisierung ausgerichtete Konsum- und Sozialverhalten
laden für diese Entwicklung scheinbar geradezu ein oder forcieren sie.