eine neue illustration für eine neue kolumne. aus diesem anlass möchte auch ich nochmal dazu aufrufen sehr vorsichtig mit seinen sensiblen daten im netz zu sein. macht euch eine zweite email-adresse für onlinebestellungen u.ä., gebt nicht euer geburtsdatum an, wenn es nicht unbedingt notwendig ist, und schreibt emailadressen bei mails an mehrere leute  als bcc (also blindkopie), dann bleiben sie versteckt. es wird so viel mist im netz verschickt und datenschindluder  getrieben, da kann man gar nicht vorsichtig genug sein!

link zur kolumne folgt

Heute am 15.09. findet im Innenausschuss des Bundestages eine öffentliche Anhörung zum BKA Gesetz statt, berichtet Golem. Bundesdatenschutzbeauftragter Peter Schaar lehnte im Vorfeld die geplanten Erweiterungen für das BKA ab. “Je mehr im Vorfeld eines Verdachts Menschen überprüft werden, umso mehr Kontakt- und Begleitpersonen ins Blickfeld geraten, umso mehr Daten werden registriert”, so Schaar. Durch die heimliche Überwachung, die unter der Überschrift der “Abwehr von Gefahren des internationalen Terrorismus” erfolgen sollen, werde der “Kernbereich der Privatsphäre nicht ausreichend geschützt”, beklagt Schaar, was nicht den Vorgaben des Bundesverfassungsgerichts entspricht. Nach dem Gesetzentwurf kann das Bundeskriminalamt Journalisten zur Herausgabe von Recherchematerial zwingen oder Onlinedurchsuchungen gegen sie vornehmen. Bei der Anhörung wird auch BKA Präsident Jörg Ziercke gehört. Laut Ziercke bietet des Gesetzentwurf die Grundlage für eine “noch effektivere Zusammenarbeit” von Polizei und Geheimdiensten. Der Niedersächsische Innenminister Uwe Schünemann (CDU) will ebenfalls mehr Befugnisse für das BKA. “Es ist eine klare Regelung nötig, damit BKA-Beamte auch heimlich die Wohnung betreten dürfen”, so Schünemann.

Nach Recherchen der Wiso-Redaktion des ZDF wurden rund 56.000 Personen per Email darauf aufmerksam gemacht, daß sich deren Email Adresse incl. Passwort auf einem chinesischen Server befinden. Die Daten stammen aus einer externen Datenbank für Jobsuchende der Beratungsgesellschaft PriceWaterhouseCooper (PwC), so Heise. Wiso versprach, die vorliegenden Daten zu löschen, aber was passiert mit den Daten auf dem chinesischen Server, auf die man keinen Einfluss nehmen kann? Die gestohlenen Daten wurden für Angriffsversuche auf Zahlungsdienstleister Moneybookers und Click&Buy missbraucht. Betroffen sein sollen rund 13.000 Datensätze von Kunden des Mail-Dienstes GMX, 12.000 Adressen von Web.de, 3300 Adressen von Hotmail, 2700 Yahoo und 2200 T-Online Adressen, berichtet Heise in einem Update. Wiso empfahl den Nutzern, deren Passwort bei allen Diensten zu ändern.

Coreflood wartet, bis sich ein Administrator am System anmeldet und infiziert dann alle im Netzwerk erreichbaren Rechner über das Admin-Tool PsExec. So konnten Angreifer mehr als 14.000 Rechner einer großen Hotelkette infizieren und Bankdaten stehlen, berichtet TecChannel. In den letzten 16 Monaten soll es den Entwicklern gelungen sein, mehr als 378.000 Rechner zu infizieren.

Laut Heise und der Onlineausgabe der New York Times haben sich Diebe um mehrere Millionen US-Dollar bereichert, indem sie sich Zugriff auf das bankinterne Geldautomatennetz der Citibank verschafften und PIN-Daten abfingen. Der Zugriff erfolgt über die Netzwerkverbindung der in der US-Handelskette 7-Eleven aufgestellten Automatensysteme. An die PINs sind die Betrüger gelangt, indem sie die Gegenstellen attackierten, welche die PINs gegenüber den Automaten autorisieren. Das zeigt wieder, daß Standards nicht immer so eingehalten werden, wie sie eingehalten werden sollten!

Heutzutage wird alles g”E”t… wir haben den elektronischen Reisepass, die elektronische Gesundheitskarte, die eTickets und auch der Personalausweis soll nicht verschont bleiben. Wen wunderts? Ein Gesetzentwurf sieht vor, daß auch auf dem Personalausweis Fingerabdrücke elektronisch gespeichert werden sollen, schreibt Golen. Der Entwurf stößt aber bei Opposition und SPD noch auf keine große Begeisterung, da der Personalausweis, im Gegensatz zum Reisepass, zu den Pflichtdokumenten gehört.  

Die US “Bank of New York Mellon” hat vor ca. drei Monaten ein Band mit rund 4,5 Millionen Kundendaten verloren, berichtet Heise. Dabei handelte es sich um so sensible Daten wie Namen, Geburtsdaten und Sozialversicherungsnummern, die nicht verschlüsselt gewesen sein sollen. Der Vorfall wurde von der Bank erst vergangene Woche bestätigt.

Studenten der Ruhr-Uni Bochum wollen es geschaft haben, Security-Tokens des neuen Authentifizierungs-Frameworks CardSpace zu stehlen. Dadurch kommt man an Nutzerdaten wie z.B. Passwörter, Kreditkartennummern und Lieferadressen. Mit CardSpace soll man auf die Passwort-Authentifizierung verzichten können. Die Studenten wollen die Token mittels DNS-Spoofing abgefangen haben. Wer es mal ausprobieren möchte, der findet HIER eine Anleitung der Studenten. Ich bin noch nicht dazu gekommen und bei Heise hat der Test wohl nicht funktioniert. Wer den Test bereits gemacht hat und mir berichtet möchte, der schreibe mir doch bitte einen Kommentar!

Angreifer kommen nicht immer von außerhalb eines Unternehmens. Der Email Dienstleister Proofpoint befragte mehrere US Unternehmen mit mindestens 20.000 Beschäftigten. Dabei ist herausgekommen, daß 44 Prozent der befragten Unternehmen die ausgehenden Emails ihrer Mitarbeiter analysieren, wie Heise berichtet. Aber nicht nur Emails stehen im Interesse der Unternehmen, auch Weblogs, Foren und Soziale- Onlinedienste werden nach sensiblen Daten durchsucht

gulli.com berichtet in Berufung auf yahoo.com:

“Ein chilenischer Hacker hat sich Zugang zu über sechs Millionen Daten seiner Regierung verschafft und diese für einige Stunden im Netz publiziert.” Es ging um sensible Daten der staatlichen Telefongesellschaft, der Wahlbehörde und des Gesundheitsministeriums – darunter: “Telefonnummern, Adressen, Ausweisnummern und soziale Hintergründe vieler Bürger”.

Wieder ein Beweis dafür, dass Datenspeicherung die Gefahr zum Datenverlust/-diebstahl beinhaltet. Absolute Datensicherheit ist nie zu erreichen.