Ãœber die Auswirkungen von mangelhaftem Datenschutz beispielsweise im Einzelhandel berichtet golem.de: “TJX: Vermutlich Daten von 45 Mio. Kreditkarten gestohlen“. Neben den Kreditkartendaten sind scheinbar auch noch diverse andere, persönliche Daten von Kunden durch Dritte abgerufen worden …
Solche Meldungen (die Bekanntmachung des Datenlecks ist im Übrigen bereits am 17.1.2007 erfolgt) erscheinen in der Presse aufgrund der puren Menge der betroffenen Personen. Es wäre aber blauäugig zu denken, dass diese durch die Presse gehenden Fälle die einzigen sind. Die Realität gibt einem eher Anlass zu der Vermutung, dass Personendaten den Unternehmen nicht besonders viel bedeuten, bzw. dass die Unternehmen die für die von Ihnen gespeicherten Daten existierenden Gefahren und Risiken noch nicht realisiert haben. 
Zum Hintergrund: In den USA gibt es ein Gesetz, dass es den Unternehmen vorschreibt, Datenschutzprobleme, d.h. Datendiebstahl, Verlust von Rechnern oder Festplatten mit (Person-) Daten etc. zu veröffentlichen. Wer sich die ständig fortgeführte Liste (”A Chronology of Data Breaches“) ansieht, erkennt schnell, dass die eigenen Daten bei den Unternehmen bei weitem nicht so gut geschützt sind, wie man das erwarten sollte.
Was secureworks kann (siehe vorhergehendes Post), kann McAfee (siehe “Advertising malware…“) schon lange 
Unbestritten haben die Hersteller von Anti-Virus Software wohl ein Interesse daran, Bedrohungsszenarien “darzustellen”, die den Nutzer dazu bringen ihre Schutzsoftware einzusetzen… – alternativer Titevorschlag “Advertising anti virus software …”
Nichts desto trotz wird man nicht dümmer, wenn man sich die Analyse der Funktion und Vermarktung von Schadsoftware einmal etwas näher ansieht. Wem das Original auf Englisch zu aufwendig ist, kann auch den im Spiegel online veröffentlichten Artikel “Wie russische Cracker deutsche Banken knacken” lesen (zumindest solange er noch nicht in das kostenpflichtige Archiv verschoben wurde ).
Beeindruckend, wie in Gozi Trojan von Don Jackson im Detail die Funktionsweise und insbesondere die Nutzung des Trojaners als Service zur Beschaffung von persönlichen Daten (Kontendaten etc.) auseinandergenommen wird. Meines Wissens das erste Mal, dass mit derartiger Akribie Malware untersucht und die Ergebnisse der informierten Öffentlichkeit vorgestellt werden. Interessant dabei ist – für die, die die technischen Details eher weniger interessieren – welch eine ausgefeilte Organisation um den Trojaner herum hochgezogen wird: Datenbanken für die ausgespähten Daten, Webspace zum hosten der zugehörigen Applikationen etc.
Der Artikel ist absolut lesenwert für alle, die bis dato nur eine diffuse Vorstellung von “Malware” haben! 
Als kleine Anmerkung für die Verfechter von “im Betriebssystem gespeicherten” digitalen Zertifikaten sei noch erwähnt, dass der Trojaner diese “Client Zertifikate” und andere Authentisierungsdaten aus dem “geschützten Speicherbereich von Windows” als allererstes an seine “Herren” verschickt hat …
Offensichtlich doch ein interessantes Thema – auch für unsere Politiker: “Bundestag will sich für mehr Datenschutz stark machen” (Heise)
Zumindest wird wieder über Datenschutz diskutiert. Ist doch schon mal ein Schritt in die richtige Richtung
Trau keiner Statistik, die Du nicht selbst gefälscht hast…
Einen Anhaltspunkt liefern die Zahlen von Prof. Howard (Heise: “USA: 6 Millionen persönliche Daten geraten monatlich in falsche Hände“) aber sicher. Zusammen mit den Aussagen, dass Identitätsdiebstahl der am schnellsten wachsende Strafbestand ist und die meisten “verlorenen” Datensätze durch Nachlässigkeit abhanden kamen, liefert dies einen deutlichen Hinweis darauf, wie wichtig der Datenschutz in unserer elektronisierten Welt ist (siehe letztes Post …).
Warum wird in unserer elektronischen Welt weniger und weniger Wert auf Datenschutz gelegt?
So wenig Wert, dass die entsprechenden Konzepte – zumindest nach Golem.de unter Mobiltelefon als Bahn- und Busfahrkarte (Update) – bei so zentralen Fragen wie Bewegungsprofilen erst in einem zweiten Schritt erarbeitet werden?
So angenehm die Vorstellung ist, ohne den Kauf einer Fahrkarte, einfach durch ein- und auschecken (warum muss dieser Schritt überhaupt noch manuell initiiert werden ) mit dem Handy reisen zu können, so unangenehm erscheint die Vorstellung, dass es eine individuelle Datenspur über jede einzelne Station meiner Reise, ein persönliches Reiseprotokoll gibt, d.h. im Extremfall sogar mit etwas Fantasie nachvollziehbar ist, mit welchem konkreten Bus bin ich gefahren, welchen Wagon habe ich genutzt, wo habe ich gesessen, habe ich das WC besucht? etc.
Geht man auf das konkret beschriebene Szenario ein, so kann man einwenden, dass die Mobilfunkgesellschaft sowieso anhand meines Handys exakt nachvollziehen kann, wie mein Bewegungsprofil aussieht. Dies ist eine Tatsache, die ich gerne verdränge, derer ich mir aber durchaus bewusst bin – und immerhin lassen sich durch Ausschalten des Handys große Lücken in das Profil reissen
Stellt mein Handy aber die Fahrkarte dar, so ist mir diese triviale Möglichkeit erst einmal genommen…
Wenn wie im beschriebenen Szenario Geld fließen soll und unterschiedliche Betreibergesellschaften und Verkehrsverbünde Zugriff auf die Abrechnungsdaten bekommen müssen, hat meines Erachtens ein umfassendes Datenschutzkonzept eine höhere Priorität als die reine technische Machbarkeit, die ich im übrigen nicht anzweifle, bei der ich aber befürchte, dass die erzielten Kostenersparnisse nur in Form von Preiserhöhungen (gerechtfertigt durch den höheren Kompfort ) an die Reisenden weitergegeben werden.
Naja, erstmal ein bißchen Frust abgelassen Im Rahmen dieser Site möchte ich den Datenschutz an anderer Stelle noch einmal etwas weniger emotional diskutieren und in die IT-Sicherheit im Allgemeinen einordnen – dauert aber wohl noch etwas.
Bei heise.de wird am konkreten Beispiel über die BKA Forensik in Sachen Computersysteme / Festplatten berichtet: “BKA-Forensiker entlöschen Bombenbaupläne”
Fazit: Dateien von seinem Computer (seiner Festplatte) wirklich zu entfernen ist alles andere als trivial und verlangt nach tiefergreifenden Mitteln als der “Löschen / Formatieren” Funktion von Windows…
Wie weit geht die Computer-Forensik, d.h. die Analyse der auf einem Computer ehemals bzw. aktuell gespeicherter Daten und gegebenenfalls Nachvollzug von Benutzeraktionen, wenn sich Experten des Problems annehmen?
Im Normallfall ist es schwer, solche Informationen auf verlässliche Art und Weise zu bekommen, da hier oft Spekulationen im Vordergrund stehen. Ein interessanter Fall zu diesem Thema ist gerade aber in der Netzzeitung (”Porno-Nutzer verklagt Microsoft“) dargestellt.
Ein Benutzer hat versucht seinen Rechner durch ein restriktiv konfiguriertes Betriebssystem sowie diverse, im Artikel nicht genannte Programme, zu schützen und damit sicherzustellen, dass von seinem Rechner keine ihn belastende Daten herausgegeben werden. Die Ermittlungsbehörden konnten trotzdem Zugriff auf seine Daten nehmen – die zwar nicht für den konreten Verdachtsfall kritisch waren, aber trotzdem für den Benutzer unangenehm (siehe Titel des Artikels) waren. In der Folge verklagte der Benutzer die Softwarehersteller – außer dem im Titel genannten, sind noch weitere mit “Spezial-Programmen” betroffen, weil diese nicht wie versprochen arbeiteten..
Soviel zum Thema Sicherheit
Wenn man mit kommerzieller Software arbeitet und nicht genau weiss, wie diese funktioniert, wird es sehr schwer, ein System “dicht” zu machen – für Open Source gilt mehr oder weniger das gleiche, wenn man kein Experte ist.
Der Vergleich von Virenscannern ist eine komplexe Geschichte, da hier viele Faktoren zu berücksichtigen sind. Wer an einem ersten Überblick interessiert ist, kann vielleicht einen Blick auf die Website http://www.av-comparatives.org/ werfen. Wen allein die Interpretation der Ergebnisse interessiert, ist vielleicht besser bei der Computerbase bedient.
Letzten Endes muss man aber seine eigenen Erfahrungen sammeln – der Vergleich der unterschiedlichen Programme hinsichtlich der Performance und des “Nerv-Faktors” ist wichtig. Anhand der Trial-Versionen auch kein Problem
In der Rubrik Datenverschlüsselung gibts unter der Ãœberschrift “Hör mal, wer da sendet” einen kurzen Artikel zur Notwendigkeit der Datenverschlüsselung in der Internetkommunikation und beim “Telefonieren”. Dem Artikel fehlen zwar wirkliche Inhalte – er wirkt auf mich an der einen oder anderen Stelle etwas reißerisch (Werbung??) – aber die grundsätzliche Botschaft erscheint mir unterstützenswert: Die Privatsphäre ist sowohl im Privatleben als auch im geschäftlichen Umfeld eine wertvolle Sache. Ihr Schutz durch die Verschlüsselung von sämtlicher? Kommunikation (Email, Online-Banking, Verabredungen etc.) ist in Anbetracht der Mittel, die zum “Abhören” von Kommunikation über das Internet bereitstehen überlegenswert.
Insbesondere da die notwendigen Mittel für sichere Kommunikation, dazu gehört nicht nur die Verschlüsselung, sondern auch die Möglichkeit Sender und Empfänger eindeutig zu identifizieren, frei verfügbar sind, sind Gedanken in diese Richtung alles andere als realitätsfremd – meine Kommunikation läuft schon zu einem deutlichen Teil verschlüsselt.
Allerdings sei an dieser Stelle ausdrücklich darauf hingewiesen, dass das Verschlüsseln von Kommunikation einen nicht unerheblichen Aufwand schaffen kann. Mit dieser Aussage ziele ich weniger auf die im Artikel erwähnten “Verschlüsselungstelefone” ab, als viel mehr auf einen speziellen organisatorischen Belang beim Verschlüsseln: Ich muss sehr sehr sicher stellen, dass sich verschlüsselte Nachrichten von mir auch zu einem späteren Zeitpunkt noch öffnen lassen… Nichts ist ärgerlicher, als sich selbst auszusperren.
Bei Gelegenheit werde ich mich dem Aspekt der sicheren Kommunikation über das Internet auf dieser Site noch ausführlicher widmen und die zugehörigen Konzepte erläutern.
