Auskunft verlangen

Paula Coehler zum Wert persönlicher Daten

Ich habe die Frage vor einer Weile schon einmal aufgeworfen – die Frage, warum wir uns eigentlich so wenig dafür interessieren, wer über welche persönlichen Daten von uns verfügt.

Der Sony-GAU hat auf erschreckende Weise noch mal gezeigt, wie nötig das ist. Wir bezahlen immer und überall mit unseren Daten. Nicht nur, wenn wir einkaufen und unsere Kreditkartendaten hinterlassen. Auch die kostenlosen Dienste bezahlen wir mit unseren Daten. Facebook ist ein Unternehmen, das nichts produziert und es soll mittlerweile 65 Milliarden Dollar wert sein. Dieser Wert errechnet sich allein aus den Daten, über die Facebook verfügt – und aus der Spekulation, wozu man diese Informationen zukünftig möglicherweise nutzen könnte. Die Informationen über unsere Vorlieben und Gewohnheiten sind nicht nur Facebook bares Geld wert.

Harte Währung

Unsere persönlichen Daten sind also harte Währung. Warum aber passen wir so schlecht auf sie auf? Warum überlassen wir sie jedem x-beliebigen Unternehmen, das uns sein paar Cent Rabatt verspricht? Warum interessieren wir uns nicht dafür, was Unternehmen mit unseren Daten tun?

Rechte nutzen

Wir sind dem Datenmissbrauch nicht ganz hilflos ausgeliefert, auch wenn es manchmal so aussieht. Es gibt Rechte, die können wir nutzen und die sollten wir nutzen. Bei Sony wurden um die 100 Millionen Kundendaten gestohlen. Der Konzern ließ sich gut eine Woche Zeit, die Nutzer überhaupt von diesem GAU zu informieren. Wenn auch nur 5 Prozent der potentiell geschädigten Nutzer Auskunft verlangen, Schadensersatzklagen androhen und hartnäckig Fragen nach Schutzmaßnahmen stellen würden, könnte Sony die nicht mehr einfach so übergehen. Das Recht auf Auskunft wahr zu nehmen kostet allerdings Mühe und Aufwand. Aber an anderen Stellen investieren wir diese Mühe ja auch, um Dinge abzusichern, die uns wichtig sind. Warum also nicht unsere persönlichen Informationen?

Weitere Datenbank von Sony angegriffen

Quelle: datenschutz.de, 03.06.2011

Erneut wurde Sony Opfer eines Angriffs auf Kundendaten: Die Gruppe “LulzSec” hat nach eigenen Angaben die Website von Sony Pictures angegriffen und hatte Zugang zu den persönlichen Daten von Administratoren, sowie Anschriften, Telefonnummern, Mailadressen und Passwörtern von über einer Million Nutzern. Darüber hinaus hatte die Gruppierung offenbar Zugang zu Gutscheincodes, sowie zu den Datenbanken der niederländischen und belgischen Zweigstellen von SonyBMG.

Der Angriff erfolgte über eine SQL-Injection-Lücke auf der Website zu dem Film Ghostbusters. Nach ersten Berichten erfolgte die Speicherung der Kundendaten auch in dieser Datenbank von Sony im Klartext. Als Beweis für die Tat haben die Täter 39.000 Kombinationen aus E-Mail-Adresse und Passwort, sowie 12.500 Kombinationen aus E-Mail-Adresse, Passwort, Anschrift und Geburtsdatum ins Netz gestellt.

Die Täter gaben an, „aus Ressourcengründen“ nicht die gesamte Datenbank kopiert zu haben, übernahmen jedoch gleichzeitig auch die Verantwortung für die kürzlich verübten Angriffe auf die Internetauftritte der Fernsehsender Fox und PBS, wobei unter anderem die Website der US-Castingshow “X-Factor” angegriffen und auf der Homepage von PBS ein falscher Artikel eingestellt wurde, wonach der 1996 getötete Rapper Tupac Shakur noch leben würde.

Sony hat den erneuten Datendiebstahl derzeit noch nicht bestätigt. “Wir untersuchen diese Angaben”, erklärte der Vizepräsident der Sony-Tochter Sony Pictures Entertainment, Jim Kennedy.

Sony konnte Sicherheitsbedenken des BSI bisher nicht ausräumen

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Pressestelle, 20.05.2011

 Bonn, 20. Mai 2011. Sony konnte die im Zusammenhang mit den IT-Sicherheitsvorfällen bei dem Online-Dienst Sony Playstation Network, dem Musik- und Videodienst Qriocity sowie dem Onlinespiele-Netzwerk Sony Online Entertainment entstandenen Sicherheitsbedenken des Bundesamts für Sicherheit in der Informationstechnik (BSI) bisher nicht ausräumen. Da auch Nutzer in Deutschland von den Sicherheitslücken betroffen sind, hat das BSI unmittelbar nach Bekanntwerden der Sicherheitslücken mit Sony Kontakt aufgenommen, um im Auftrag des Bundesministeriums des Innern Informationen zu Einzelheiten des Angriffs, das genaue Ausmaß des eingetretenen Schadens sowie den getroffenen Maßnahmen zu erhalten. Im Zuge des zunächst konstruktiven Dialogs hat das BSI Sony konkrete Lösungsvorschläge in Form eines Eckpunktepapiers mit Mindestanforderungen zur Informationssicherheit bei eCommerce-Systemen unterbreitet. Das Unternehmen hat jedoch mit Verweis auf laufende technische Analysen die konkreten Fragen des BSI nicht beantwortet. Der Bitte des BSI nach einem Gesprächstermin, um die Vorfälle zu analysieren und die Auswirkungen für die Nutzer in Deutschland zu erörtern, ist Sony bisher nicht nachgekommen.

“Ich bedaure, dass Sony unserem Ersuchen nach Informationen zu den IT-Sicherheitsvorfällen, die auch Bürgerinnen und Bürger in Deutschland betreffen, bisher nicht in ausreichendem Maße nachgekommen ist”, erklärt Michael Hange, Präsident des Bundesamts für Sicherheit in der Informationstechnik. “Insbesondere mit unserem Eckpunktepapier zur Informationssicherheit in eCommerce-Systemen haben wir Sony eine gute Basis für konstruktive, lösungsorientierte Gespräche geboten. Aus Sicht des BSI als Interessenvertreter der Bürgerinnen und Bürger in Deutschland wäre eine Präsentation der bestehenden und verbesserten Sicherheitsmaßnahmen vor Wiederinbetriebnahme der Online-Dienste uns gegenüber wünschenswert, damit wir gemeinsam die Sicherheit der Kundendaten verbessern können.”

Konkrete Empfehlungen zum Selbstschutz für die Nutzer von eCommerce-Angeboten veröffentlichte das BSI am 3. Mai 2011 auf seiner Webseite “BSI für Bürger” unter

https://www.bsi-fuer-buerger.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Datendiebstahl_bei_Sony.html

Datenschutz: Gefährliche Erpressung in der Politik

Quelle: Financial Times Deutschland, 28.04.2011

Der neue Datenskandal bei Sony und Apple verdeutlicht die Wichtigkeit einer Zertifizierungsstelle für Unternehmen. Eine selten gute Idee der Liberalen – die das Bundesinnenministerium verschleppt, um sich bei den Themen Verhandlungsmasse zu sichern. Damit muss Schluss sein.

Da hat die FDP mal eine gute Idee, die selbst der konservativste Innenminister argumentativ nicht entkräften kann – und trotzdem droht sie am innerkoalitionären Ränkespiel zu scheitern. Die Rede ist von der lange geplanten Stiftung Datenschutz, einer Zertifizierungsstelle für Unternehmen, die gewissenhaft mit Nutzerdaten umgehen.

Angesichts der jüngsten Datenskandale um Sony und Apple scheint die Einrichtung einer solchen Stelle dringlicher denn je. Das wird auch Bundesinnenminister Hans-Peter Friedrich wissen. Und trotzdem verschleppt er das Projekt, um Verhandlungsmasse bei anderen Bürgerrechtsthemen wie der Vorratsdatenspeicherung zu behalten. Gut, mag man sagen, so läuft das nun mal in Berlin: Gibst du mir dies, geb ich dir das. Doch im Fall der Stiftung Datenschutz ist der politische Erpressungsversuch besonders ärgerlich. Denn er gefährdet ein Projekt, das es verdient hätte, möglichst schnell umgesetzt zu werden.

Die Stiftung wird natürlich nicht alle Datenschutzprobleme lösen können. Solange es das Internet gibt, wird es wohl auch erfolgreiche Hackerangriffe geben. Aber wenn das Projekt richtig angegangen wird, kann es ein marktwirtschaftliches Element einbringen: Wettbewerb.

Ein einheitliches Datenschutzsiegel, das sich an nachvollziehbaren Kriterien orientiert, ermöglicht es den Unternehmen, sich von ihren Konkurrenten positiv abzusetzen. Zugleich erhalten die Verbraucher endlich die Möglichkeit, aus einem transparenten Angebot auszuwählen, statt sich wie bisher auf ihr Bauchgefühl oder uneinheitliche Eigensiegel der Anbieter zu verlassen. Das Beispiel Stiftung Warentest zeigt, dass ein solches Modell sehr gut funktionieren kann.

Es setzt jedoch mündige Verbraucher voraus, die bereit sind, sich zu informieren, und ihre Daten nicht gedankenlos weiterreichen. Mit jedem neuen Datenskandal steigt die Chance, dass diese Voraussetzung erfüllt wird.

Nach Sony-Datenraub Forderung nach strengen internationalen Regeln

Quelle: AFP, 28.04.2011

Köln – Nach dem Diebstahl sensibler Daten von Onlinenutzern der Sony-Playstation hat der Bundesdatenschutzbeauftragte Peter Schaar mehr Unterstützung von der Bundesregierung gefordert. Notwendig seien “stärkere internationale Instrumente, um den Datenschutz zu gewährleisten”, sagte er am Donnerstag im ARD-”Morgenmagazin”. Derweil warnte auch Microsoft vor Problemen beim Online-Dienst seiner Spielekonsole.

Sony hatte am Dienstagabend bekanntgegeben, dass Hacker in der Vorwoche das Online-Netzwerk von Playstation und des Musikdienstes Qriocity geknackt und sensible Daten gestohlen hätten. Rund 77 Millionen Nutzer weltweit habe der Konzern daraufhin per E-Mail vor möglichem Datenklau gewarnt.

Schaar erklärte aufgrund der Vorkommnisse, notwendig sei ein nicht nur in Deutschland, sondern auch international sehr hohes Datenschutz-Niveau. Das forderte auch der Präsident des High-Tech-Verbands Bitkom, August-Wilhelm Scheer. Deutschland habe bereits mit den schärfsten Datenschutz weltweit. “Der aktuelle Fall macht deutlich, dass scharfe deutsche Gesetze in der globalen Welt des Internets nichts bewirken”, erklärte Scheer. Statt nationale Gesetze zu verschärfen, sollten sich internationale Organisationen mit dem Thema befassen.

Der Leiter des Unabhängigen Datenschutzzentrums Schleswig-Holstein, Thilo Weichert, sieht allerdings auch hierzulande Nachbesserungsbedarf: Weltkonzerne wie Sony, Facebook und Google seien in Deutschland faktisch nicht für Versäumnisse beim Datenschutz haftbar zu machen, sagte er der “Neuen Osnabrücker Zeitung” von Donnerstag. “Die Unternehmen haben zwar Vertriebsgesellschaften in Deutschland gegründet, die juristisch Verantwortlichen sitzen aber in Japan oder den USA.” Sie seien für die Datenschutzbehörden nicht zu greifen.

Nutzer von Online-Netzwerken seien bislang auf eigenes Risiko unterwegs, da der Gesetzgeber “diese rechtliche Grauzone noch immer toleriert”, kritisierte Weichert. Wer Daten deutscher Verbraucher via Internet zu wirtschaftlichen Zwecken erhebe, müsse künftig gesetzlich verpflichtet werden, eine juristisch verantwortliche Stelle in Deutschland einzurichten, forderte er.

Sony räumte derweil ein, dass die Datendiebe möglicherweise auch Kreditkarten-Informationen ausgespäht hätten. Gemeinsam mit der Polizei suche der Konzern nun nach den Tätern. Darüber hinaus habe das Unternehmen eine “angesehene Technologie-Sicherheitsfirma” engagiert, um eine “vollständige Untersuchung” des Hacker-Angriffs vorzunehmen, erklärte Sony-Sprecher Patrick Seybold via Nachricht auf der Playstation-Webseite.

Konkurrent Microsoft warnte unterdessen die Nutzer seines XBox-Live-Angebots vor einem ähnlichen Angriff wie bei Sony. Probleme gebe es bei registrierten Nutzern des Spiels “Modern Warfare 2″. Während des Spiels könnten Nutzer Nachrichten erhalten, die sensible Daten erfragten. “Wir kennen das Problem und sind dabei, es zu beseitigen”, erklärte Microsoft.

Wann Sony sein Playstation-Angebot wieder online stellt, ist derzeit noch unklar. Einige Dienste sollen Konzernangaben zufolge innerhalb der nächsten Woche wieder laufen. Das gesamte Angebot soll laut Seybold erst dann wieder bereitgestellt werden, “wenn wird sicher sein können, dass es sicher ist”.

Datenschutz – Hacker stehlen Sony Millionen Kundendaten

Quelle: Financial Times Deutschland, 27.04.2011

Es könnte einer der größten Datenklaus der Geschichte sein: Bei einem Angriff auf Sonys PlayStation Network haben Kriminelle möglicherweise Kreditkartennummern erspäht – davor warnt der Konzern mehr als 75 Millionen Kunden.

Daten-GAU bei Sony: Hacker haben Informationen von Millionen Nutzern der Online-Dienste des Konzerns erbeutet. Es geht um Adressen, Passwörter und möglicherweise auch Kreditkarten-Nummern, warnte Sony die mehr als 75 Millionen Nutzer des PlayStation Network und des Video- und Musikservices Qriocity. Es könnte einer der größten Datenklaus der Geschichte werden. Der japanische Elektronik-Riese hatte nach dem Hacker-Angriff vor einer Woche einfach den Stecker gezogen und die Dienste komplett abgeschaltet.

Eine unbekannte Person habe sich Zugang zu persönlichen Daten wie Name, Adresse, E-Mail oder Geburtsdatum verschafft, schrieb Sony am späten Dienstag in Firmenblogs weltweit und informierte die Betroffenen. Auch Logins und Passwörter seien nach derzeitigem Kenntnisstand ausgespäht worden, möglicherweise auch die Liste der Käufe.

“Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarten-Informationen widerrechtlich zugegriffen wurde, können wir diese Möglichkeit nicht gänzlich außer Betracht lassen”, warnte Sony. Die Kunden sollten nun besonders wachsam sein, um keinem Betrug aufzusitzen, und ihr Konto kontrollieren.

Das PlayStation Network und der Qriocity-Service haben weltweit mehr als 75 Millionen Kunden, viele davon in Deutschland. Über das PlayStation-Netzwerk können Nutzer miteinander Spielen, Chatten und Filme ansehen. Immer mehr Spiele für die Konsole PlayStation 3 und auch die mobile PlayStation Portable haben inzwischen Online-Komponenten. Unter dem Namen Qriocity vertreibt der Konzern Musik und Videos.

Die Hacker waren vom 17. bis zum 19. April in die Kundendatenbanken eingedrungen. Wann die Dienste wieder eingeschaltet werden könnten, ließ Sony offen. In US-Medien hieß es, bis dahin könnte noch eine Woche vergehen.

Wer hinter der folgenschweren Attacke stand, blieb zunächst unklar. Eine Vermutung ist, dass der Angriff ein Racheakt aus der Szene gewesen sein könnte, nachdem Sony einen Playstation-Hacker verklagte. Der junge Mann, der schon Apples iPhone gehackt hatte, knackte den Schutzmechanismus der Konsole, so dass auf ihr kopierte und selbst gemachte Spiele laufen konnten. Die Anleitung dazu veröffentlichte er im Internet. Nach der Klage einigten sich der Konzern und der Hacker außergerichtlich. Er musste versprechen, die Knack-Software nicht mehr zu vertreiben und schrieb daraufhin in einem Blog, er schließe sich einem Boykott von Sony-Produkten an. Sonys High-Tech-Konsole galt als besonders gut geschützt.

Anmerkung der Redakiojn:

Wir empfehlen verantwortungsbewusste, kompetente Datenschutzberatungsunternehmen, die dazu beiragen können, dass solche Datenschutz-Pannen nicht passieren.