Mein TomTom ist mir Fluch und Segen zugleich. Damit ich nicht planlos durch die Welt irren mus, habe ich mir vor geraumer Zeit ein TomTom-Navigationsgerät zuglegt. Da mit meinem Alter auch die Preise meiner ‘Spielzeuge’ steigen, hatte ich mich für das damalige Flaggschiff, das 920T entschieden. Leider sollte es mir mehr Probleme als Freude bereiten: Für den teureren Preis hat das Gerät einige Extras, die wohl lange entwickelt werden mussten: Der Touchscreen hat eine eigene Meinung und reagiert nur so, wie er will. So springt das Gerät bei einer Adresseingabe öfter mal eine Seite zurück und die Eingabe ist weg! Außerdem sind die Batterien in der Fernbedienung anscheienend mit einer ganz trickreichen Diebstahlsicherung geschützt: ich bekomme die Fernbedienung nämlich auf Gedeih und Verderb nicht mehr auf – dabei möchte ich doch nur die leeren Batterien wechseln…

Wie dem auch sei: zusammen mit einigen weiteren Mängeln schickte ich das Gerät ein, und bekam es prompt (fast) unbearbeitet zurück. Eine neue Firmware wurde aufgespielt, doch sämtliche beschriebenen Mängel waren noch vorhanden.

“Wie ist denn nun Ihr Passwort?”

Ein erneuter Anruf bei der Kundenhotline brachte schließlich interessante Vorgänge zu Tage: Da der Telefonist die Historie meiner ersten Einsendung ansehen wollte, fragte er mich nicht nur nach der Vorgangsnummer, sondern auch nach meiner Mailadresse und meinem Passwort. Plötzlich nicht nur gegenüber der Serviceleistung misstrauisch geworden fragte ich, wofür er es bräuchte.

“Damit ich die Daten hier einsehen kann”, war die lapidare Antwort.
“Aha. Das war doch sonst auch nicht nötig?” fragte ich verwirrt.
“Ja, aber [begründungslose Antwort ausgeblendet]. Wie ist denn nun Ihr Passwort?”.

Ich entschied mich, zu bocken und herauszufinden, wohin der Weg führt:“Das weiß ich grad’ nicht mehr” sagte ich und setzte noch drauf: “Irgendwas Dummes!”.
“Ach das macht nichts, ich logge mich hier kurz im anderen System ein, und dann hole es mir da.”, entgegnete er mir.
“Moment!”, unterbrach ich ihn, “Wollen Sie mir etwa sagen, dass Sie dort in Ihrem System mein Passwort im Plain text sehen können?”
Verwirrung in der Hotline: “Also ich weiß jetzt nicht, was Sie mit diesem ‘Plain text’ meinen, aber ich kann Ihr Passwort dann hier sehen, ja.”.

Leicht geschockt wollte ich mir das noch einmal in den Ohren zergehen lassen:
“Nur damit ich das jetzt auch wirklich richtig verstehe: Sie können gleich mein Passwort einsehen? Mein Kundenpasswort, von meinem Account, mit dem ich mich auf Ihrer Webseite einlogge. Mit dem ich nicht nur den Support anschreibe und auch im Onlineshop einkaufen kann?”
“Ja.”
“Das ist ja kaum zu glauben! Haben Sie schonmal was von Datenschutz oder Datensicherheit gehört?” empörte ich mich. “Sie können doch nicht einfach Kundenpasswörter im Plain text speichern… dafür verwendet man gesalzene Hashes! Was für ein Unsinn ist das denn bitte, die Passwörter ‘unverschlüsselt’ zu speichern?”

Nach einer erwartungsgemäß verwirrten Pause folgte die Antwort:“Also das macht sehr wohl Sinn. Was meinen Sie, wie oft hier Kunden anrufen, die ihr Passwort vergessen haben. Die sind eigentlich immer froh, wenn wir es ihnen sagen können. Sagen Sie mal, sind Sie Informatiker oder so?”
“Was war ihr erster Hinweis?” fragte ich zurück.
“Naja, diese komische Emailadresse” entgegnete er. (Anmerkung: (tomtom@nospam.[meinedomain].[tld])
“Ja, die ist dafür da, dass ich sofot mitbekomme, wenn Sie meine Adresse verkaufen. Das mache ich inzwischen bei allen Firmen so.” erklärte ich.
“Also wir verkaufen Ihre Adresse bestimmt nicht weiter!”
“Sehen Sie, dann hat es ja funktioniert.” konterte ich frech.
“Haha, der ist gut! [tippt auf seiner Tastatur] Also ich hab jetzt ihr Passwort. Es ist: [XXXXXXXX]. Und so dumm ist es eigentlich gar nicht, da gibt es ganz Andere”

Ja, das Passwort (hier natürlich nicht ausgeschrieben) war tatsächlich richtig. Und mir fehlen die Worte bei so viel ‘Kundenservice’.

Der AWD sind anscheinend 27.000 Kundendaten entwendet worden und wurden dem NDR zugespielt.

Diese enthalten Kundennummer, Adresse, Telefonnummer, Berufsbezeichnung, Geburtstag und die Vertragsabschlüsse der einzelnen Kunden. Daraus ist unter anderem ersichtlich, welche Kunden eine Lebensversicherung abgeschlossen haben und wie viel Geld sie angelegt haben. Zusätzlich gibt der Datensatz Auskunft über die Laufzeit der Verträge.

Da werden über die EU Projekte finanziert die normale Videoüberwachung alt aussehen lassen. Natürlich alles heißer gekocht als gegessen aber trotzdem schon ein starkes Stück das Wissenschaftler sich mal wieder für sowas einspannen lassen.

Das Projekt Indect (15 Mio Euro) soll verdächtiges Verhalten erkennen, mehrere sich bewegende Personen verfolgen können und dabei Überwachungskameras und alle möglichen “multimedialen” Inhalte sollen gesammelt und “intelligent” verarbeitet werden.

Weiterhin soll eine Suchmaschine entwickelt werden die alle öffentlichen Quellen abgrast, z.B. Facebook, Private Homepages etc pp.:

Die Wissenschaftler wollen, so die Beschreibung des Forschungsprojekts, Agenten entwickeln, “kontinuierlich und automatisch öffentlich zugängliche Quellen wie Websites, Diskussionsforen, Usenet-Gruppen, Datenserver, P2P-Netzwerke sowie individuelle Computersysteme zu überwachen und so ein internetbasiertes, aktives und passives Datensystem zu konstruieren”. Dabei soll auch die Bedeutung von Worten analysiert werden, selbst Stimmungen sollen irgendwie erfasst werden.

Am besten koppeln wir das ganze dann noch an ein unfehlbares Drohnensystem der Amis und dann sind wir Ruckzuck das Terrorproblem los.

UPDATE: Die Zeit schreibt mittlerweile auch drüber: Link

Natürlich auch direkt die aufgebohrte Variante mit RFID-Chip und  darauf gespeichertem Foto und Fingerabdruck. Die Abdrücke sollen von privaten(!) Firmen erfasst werden. “Adresshandel 2.0″ inkl. Fingerabdruck und Foto…

Ein Interessierter Autor engagierte sich einen Hacker der prüfen sollte wie sicher die neuen Chips wirklich sind. Das, wenig verwunderliche, Ergebnnis: Innerhalb von wenigen Minuten konnte der Chipinhalt auf eine andere Karte kopiert und auf dem Ausweis gespeicherte Daten geändert werden.

Dazu benötigte der Hacker nichts weiter als einen Laptop und ein Handy.

Und solche Ausweise stehen bei uns auch schon in den Startlöchern….

Natürlich wieder nur zur Terrorbekämpfung.

Der Server stand bisher in den USA und wurde von den Geheimdiensten überwacht. Damit dies nicht mehr möglich ist soll der Server in die Schweiz verlegt werden. Das geht natürlich nicht und so will die USA die bisher illegale Praxis über die EU legalisieren lassen und alle spielen mit.

Über den SWIFT Server laufen täglich über 15Mio. Transaktionen von über 8000 Banken.

Das die Daten in den unzähligen Datenbanken der amerikanischen Behörden versinken und garantiert auch nach den angepeilten 5 Jahren dort anzufinden sind dürfte jedem klar sein.

Und weil die USA darf will die EU auch.

Besser währ keiner die Daten vom anderen aber das währ ja nicht mit dem Strom sondern dagegen.

Vor ein paar Tagen hat der Bundestag das Gesetz zur “Vertiefung der Zusammenarbeit bei der Verhinderung und Bekämpfung schwerwiegender Kriminalität” beschlossen.

Klingt erst mal wichtig. Ist es auch für die USA. Das Gesetz erlaubt die Weitergabe sensibler personenbezogener Informationen über Deutsche an die US-Behörden wie z.B. Zugriff auf alle deutschen, behördlichen DNA und Fingerabdruck-Datenbanken.

Natürlich nur bei “schwerwiegenden” Straftaten oder terroristisch verdächtigen. Schwerwiegend ist aber nicht näher definiert ist also imho Einschätzung/Definition der jeweiligen Beamten/Gerichte/der USA.

Eine Auflage zum Datenschutz und Speicherungsfristen gibt es nicht. Was bedeutet das die Datensätze wahrscheinlich für immer gespeichert werden. bestes Beispiel ist die NTCT Liste der USA von der es so gut wie unmöglich ist wieder gelöscht zu werden.

Und wenn es “besonders relevant” ist werden auch Daten wie diese übertragen:

• die Rasse
• ethnische Herkunft
• politische Anschauungen
• religiöse oder sonstige Überzeugungen
• die Mitgliedschaft in Gewerkschaften
• die Gesundheit
• das Sexualleben

Ironischerweise gab es einen Tag vorher folgende Nachricht: Bundestag verabschiedet Datenschutzreform

Klar da ging es um Adresshandel und die Weitergabe von personenbezogenen Daten an Dritte.

Die “Reform” kann man kaum als solche bezeichnen, da fast alle Punkte die für den Verbraucher gut gewesen währen gestrichen wurden.

Aber schon scheinheilig so zu tun die persönlichen Daten der Bürger  schützen zu wollen, in dem es eine Datenschutzreform gibt und am nächsten Tag das Tor nach draußen so weit aufzureißen das deutlich sensiblere Daten als Adressen und Einkommen mehr oder weniger frei verteilt werden.

Zum nachdenken mal eine Beschreibung was mit Daten der Behörden in den USA passiert (natürlich weis ich nicht ob das DNA und Fingerabdrücke einschließt aber warum nicht):

In den USA werden die Behördenakten als “öffentliches Eigentum” gesehen, auf die jeder Zugriff hat. [Quelle]

Aber wozu braucht man schon Privatsphäre und das recht auf informationelle Selbstbestimmung.

NACHTRAG:

Hier gibt es den Entwurf als PDF.

Besonders schön sind auf Seite 2 die Punkte C,D und E.

• Alternativen gibt’s nicht
• Kosten tut das nix
• und die Milch wird auch nicht teurer.

Auch schön ist auf Seite 8 zu §3:

Das Abkommen sieht vor, dass personenbezogene Daten, die eine Vertragspartei nach dem Abkommen erhalten hat, mit Zustimmung der übermittelnden Vertragspartei auch zu anderen Zwecken verarbeitet (Artikel 13 Absatz 1 Buchstabe d) und an Dritte weitergegeben werden dürfen

Die Daten waren mal wieder nicht verschlüsselt. Eigentlich würden ja alle Daten in dieser Bank verschlüsselt. Bei den laptops habe man das aber wohl vergessen.

Aber es bestünde kein Grund zur Sorge: Der Zugriff auf die Daten sei mit Benutzernamen und Kennwort “geschützt”.

Das ist bestimmt sehr sicher.

Also: Da wird eine Festplatte mit Patientendaten der Lüdenscheider Klinik in der Iserlohner Innenstadt gefunden. Erst vermuten sie es ist eine Platte die ein Mitarbeiter mit nach Hause genommen hatte und von dort gestohlen wurde.

Dann ist es wahrscheinlich doch eine defekte, ordnungsgemäß entsorgte andere Platte. Die aber wieder heile in der Innenstadt aufgetaucht ist.

Ein paar Fragen:

• Warum nimmt ein Mitarbeiter eine Festplatte mit nach Hause?
• Wie kann eine defekte, ordnungsgemäß entsorgte Platte wieder heile irgendwo auftauchen?
• Warum waren die Daten nicht verschlüsselt?
• Warum lernt eigentlich niemand aus den letzten 35 Datenskandalen?

Da löscht der Ex-Staatsanwalt, der abgestellt wurde die Datenaffäre der deutschen Bahn aufzuklären, zufällig eine der wichtigsten Datenbanken (lässt löschen)

Und das anscheinend inkl. aller Backups. Schon ein Ding wenn man bedenkt das Firmen normalerweise in einer GFS Rotation Backups machen. Das bedeutet: Mindestens ein paar Jahresbänder, 11 Monatsbänder, 3 Wochenbänder und 4 Tagesbänder die alle gelöscht werden mussten. Das passiert natürlich ganz plötzlich, unerwartet.

Huch ?!?!?

Auf der Datenautobahn jedoch sieht das schon anders aus. Ich konnte meinen Augen fast nicht glauben, als ich den letzten elektronischen ‘Newsletter’ des ADAC erhielt. Ich folgte einem Link auf die ADAC-Seite, um mich über ein Angebot zu informieren. Und als mein Blick in die Adresszeile des Browsers fiel, sah ich meinen gesamten Mitgliedsdatensatz in der Adresszeile.

Der Schreiberling des Newsletters hatte es für nötig befunden, in der (HTML-)Email alle Links mit den persönlichen Daten zu versehen (sog. GET-Methode):

http://www.adac.de/pfad/seite.asp?name=xxx&lastname=xxxxx&usernumber=xxxx&street=xxx&[...]

Mein gesamter Adressdatensatz ist somit unverschlüsselt als Webseitenaufruf durchs Internet gewandert. “Onkel Schäuble” wird sich freuen…

Da ich mich sehr darüber geärgert hatte, habe ich kurzerhand den Datenschutzbeauftragten des ADAC angeschrieben, und ihn auf den Missstand hingewiesen. Einige Tage später bekam ich ein Schreiben, in dem er versprach, dass so etwas nicht mehr passieren würde, und er mich nun aus dem Newsletter ausgetragen hätte. Da ich nun keine News mehr empfange, können auch meine Daten nicht mehr drin stehen, soweit korrekt. Ich frage mich nur, ob das eigentliche Problem auch verstanden wurde…