All posts under Identitätsdiebstahl

Safer Internet Day: Tipps beim Verlust von Daten und Datenträgern

broken-window (adapted) (Image by skeeze [CC0 Public Domain], via pixabay)

Jedes Jahr am zweiten Tag der zweiten Woche des zweiten Monats findet der Safer Internet Day (SID) statt, in diesem Jahr am 7. Februar. Der Safer Internet Day ist ein von der Europäischen Union initiierter jährlich veranstalteter weltweiter Aktionstag für mehr Sicherheit im Internet. Dieser Artikel befasst sich mit dem Thema Verlust von Daten.


Wenn Dritte sensible Informationen durch die Infizierung eines Computers mit Schadsoftware stehlen, nennt man das Phishing. Die dafür genutzte Schadsoftware attackiert Geräte meist über E-Mails, die Links zu Angeboten von beispielsweise Banken, Online-Händlern oder Lieferdiensten enthalten. Vertrauenswürdige Nutzer, die diese Links anklicken, installieren somit unbemerkt die Schadsoftware auf dem eigenen Gerät.

Mit den auf diese Art gesammelten persönlichen Daten, geben sich Kriminelle dann als ihre Opfer aus. Durch die gestohlene Identität versuchen sie unter Umständen auf das Bankkonto ihres Opfers online zuzugreifen oder mit der Identität ihres Opfers teure Wertgegenstände zu bestellen. Die Ware bekommen dann die Täter, ihre Opfer erhalten nur noch die Rechnung. Derartige Vorkommnisse sollten stets der Polizei gemeldet werden.

Es ist deshalb äußerst wichtig, dass Angebote und Aufforderungen in Mails erst einmal geprüft werden. Ist es üblich, dass die eigene Bank einem solche Mails zuschickt? Bin ich überhaupt Kunde bei dem Versandhändler, der mir ein Angebot macht? Andere Hinweise können grammatikalisch falsche Formulierungen oder logische Schwächen in den Ausführungen sein. Verdächtige Mails sollten als Spam markiert und gelöscht werden.

Verlust sensibler Daten durch Cyberangriffe

Viele Phishing-Attacken bleiben trotz guter Anti-Virensoftware unbemerkt. Wenn Betroffene allerdings Unregelmäßigkeiten auf ihren Konten feststellen, sollten sie die Polizei und ihr Bankinstitut sofort darüber informiert und die Sperrung der eigenen Karten beantragt werden. Der genaue Vorgang kann von Bank zu Bank unterschiedlich sein.

Für ein Benutzerkonto oder das eigene E-Mail-Konto, kann ein neues Passwort beantragt werden. Zusätzlich sollten die Dienstanbieter über den Vorfall informiert werden. Viele Plattformen bieten auch zusätzliche Sicherheitsmaßnahmen an, wie beispielsweise das Versenden eines Login-Codes per SMS oder an eine hinterlegte, zweite E-Mail-Adresse.

Sollten Kriminelle mit den persönlichen Informationen eines Opfers weitere Online-Profile angelegt haben, sollten Betroffene die Plattformen sofort über das falsche Profil und den Identitätsdiebstahl informieren. Auf Facebook hilft es auch schon, wenn viele Menschen ein Profil melden. Betroffene könnten ihre Freunde in den sozialen Netzwerken um Hilfe bitten.

Verlust physischer Datenträger mit sensiblen Informationen

Gegen den Diebstahl des Laptops oder des eigenen Smartphones kann man sich natürlich nicht schützen, man kann aber versuchen den Schaden gering zu halten. Von allen Geräten lassen sich Sicherheitskopien erstellen und extern oder online speichern, so dass man bei einem Verlust dann mit einem neuen Gerät auf die eigenen Daten wieder zugreifen kann.

Zugleich sollte man versuchen, den Zugriff von Dritten auf die eigenen Daten zu unterbinden. Beim Verlust des Smartphones sollte umgehend die SIM-Karte gesperrt werden. Im Idealfall hat man den Zugriff auf das eigene Smartphone sowieso schwergehalten, indem man das Gerät nur mit einer PIN entsperren kann.

Es lassen sich auch durch sogenannte „Remote Wipe“-Funktionen nachträglich noch Daten von Computern und Smartphones, die noch online sind, sichern und löschen. Solche Programme müssen aber vorab installiert und eingerichtet worden sein. Des Weiteren lassen sich Festplatten in Computern auch verschlüsseln. Dies ist ein zusätzlicher Schutz neben der üblichen Passwortabfrage gegen Zugriff durch Dritte, nicht nur bei Diebstahl.


Image (adapted) “broken window“ by skeeze (CC0 Public Domain)


Weiterlesen »

Die Opt-out-Kultur der sozialen Netzwerke

Social Media apps (adapted) (Image by Jason Howie [CC BY 2.0] via Flickr)

Wer neue Funktionen in sozialen Netzwerken nicht nutzen möchte, muss beständig auf der Hut sein und Häkchen in den Einstellungen entfernen. Wer Opfer von Identitätsdiebstahl wurde oder durch Profiling-Agorithmen verdächtigt wird, muss seine Unschuld beweisen. Eine Opt-out-Kultur ist entstanden, die der Gesellschaft schadet, so das italienische Forscherkollektiv Ippolita.

Daten von Nutzern werden nach Belieben geändert

Die Macht des Defaults liegt in der Macht der Anbieter der sozialen Netzwerke, für Millionen von Nutzern Voreinstellungen zum Beispiel beim Datenschutz festzulegen und diese nach Belieben und oft ohne Wissen der Nutzer zu ändern. In Hinblick auf die freie Wahl ergibt sich daraus eine praktische Konsequenz, die eine nähere Betrachtung lohnt: eine Opt-out-Kultur entsteht. Wenn Facebook praktisch ohne Vorankündigung die Einstellungen für Millionen von Nutzern ändert und nur undurchsichtige oder jedenfalls nachgeschobene Information dazu liefert, wird stillschweigend vorausgesetzt, dass die Nutzer eigentlich gar nicht wissen, was sie wollen, oder dass der Anbieter es zumindest besser weiß.

Die sozialen Netzwerke akkumulieren enorme Datenmengen über die Vorlieben jedes einzelnen Nutzers und können diese mithilfe ihrer Feedback-Systeme (Votes, Likes, Missbrauchsmeldungen und andere Mechanismen) immer effizienter analysieren und zusammenführen. Sie speichern praktisch die wahre Identität ihrer Nutzer und gewinnen eine umfassendere Sicht auf sie, als die Nutzer sie vielleicht selbst besitzen. Aus der Perspektive der Anbieter sozialer Netzwerke ist es logisch, dass jede Änderung für die Nutzer von Vorteil ist – die gewonnen Daten sind der beste Beweis. Später können die Nutzer immer noch ihr Einverständnis bestreiten und die Neuerung ablehnen (Opt-out).

Die Annahme, dass neue Versionen immer besser sind, wird leichthin akzeptiert, führt jedoch zu einem Diktat der Innovation um ihrer selbst willen. Die Sache ist heikel, denn technisch gesehen wird es immer schwieriger, viele Millionen Nutzer in die Lage zu versetzen, unkompliziert zu entscheiden, was sie teilen wollen und wie. Offensichtlich sind die Betreiber der sozialen Netzwerke nicht allein dafür verantwortlich, ihren Nutzern Datenschutzeinstellungen anzubieten, die schwer in den Griff zu bekommen sind. Auch für Nutzer besteht die “optimale” Strategie in der datengetriebenen Welt der radikalen Transparenz oft darin, die Einstellungen lieber den Anbietern zu überlassen. Delegation gehört zum Wesen dieser Werkzeuge. Die Nutzer erwarten möglichst einfache Anwendungen, wollen jedoch ausdrücklich selbst entscheiden, zu welchem Grad und mit welcher Sichtbarkeit sie Dinge mit anderen teilen.

Freie Entscheidung vs. einfache Anwendungen

Vom Standpunkt der Anbieter sozialer Netzwerke ist es nicht einfach, gleichzeitig nutzerfreundlich zu sein, ein Massenpublikum zu erreichen und die ausdrückliche Zustimmung der einzelnen Nutzer einzuholen. Es ist also für beide – Dienstanbieter wie Nutzer – schwieriger und umständlicher, einer Opt-in-Logik zu folgen als die Entscheidung einfach an einen Algorithmus zu übertragen. Delegieren ist einfacher als alles selbst zu verwalten. Freie Entscheidung und Autonomie sind immer schwierig und riskant; im Massenmaßstab sind sie unmöglich.

Auch können wir in der “Google-Kultur” einen Kult der Innovation, von permanenter Forschung und Entwicklung beobachten, die dazu führt, dass neue Software meist in ungetesteten Beta-Version veröffentlicht wird. Wirklich brauchbar wird die Software erst, nachdem das Feedback der Anwender eingearbeitet wurde. Eine schlechte Neuerung zu riskieren, wird für die Anbieter so zu einem überschaubaren Risiko, weil jeder Schritt korrigiert werden kann, wenn sich zu viele Nutzer beschweren.

Betrachten wir ein praktisches Beispiel: Seit Dezember 2010 stellt Facebook seinen Nutzern eine Gesichtserkennungsfunktion zur Verfügung, um hochgeladene Fotos automatisch mit Nutzernamen zu versehen. Fotos werden durchsucht und Gesichter auf Basis bereits zugeordneter Bilder aus Zuckerbergs Datenbanken identifiziert. Als die Software in den USA eingeführt wurde, löste sie wegen der Gefahren für die Privatsphäre einen Sturm der Entrüstung aus.

Facebook entgegnete, die User könnten die Funktion doch einfach abschalten. Es genüge, einmal in die Privatsphäre-Einstellungen zu gehen und per Opt-out die automatische Foto-Tagging-Funktion zu deaktivieren. Natürlich hat Facebook, als die Technologie eingeführt wurde, es vernachlässigt, seine Nutzer – ob Einzelpersonen oder Firmen – zu benachrichtigen, dass die Gesichtserkennung standardmäßig aktiviert worden war. [In Europa hat Facebook die automatischen Vorschläge zur Gesichtserkennung seit 2012 deaktiviert, Anm. d. Red.]

Die Folgen des “Release early, release often”

Facebook ist nicht allein: Auch Google, Microsoft, Apple und die US-Regierung haben neue automatische Gesichtserkennungssysteme entwickelt. Vorgeblich im Interesse der Nutzer und zu dem Zweck, die Bürger vor gefährlichen Terroristen zu schützen. Aber das Gefahrenpotenzial der Technologie ist erschreckend. Im Worst-case-Szenario kann ein autoritäres Regime halbautomatisiert Gesichter mittels öffentlicher Kameras aufzeichnen, Dissidenten markieren, ein umfassendes System der Überwachung installieren und zu einem beliebigen Zeitpunkt zuschlagen. In demokratischen Gesellschaften wird die Technologie für jeden technisch bewanderten Interessenten verfügbar sein.

Die Logik des Opt-out folgt dabei dem Motto der Software-Entwickler: Release early, release often (RERO) – also der Regel, neue Versionen einer Software so häufig und so früh wie möglich zu veröffentlichen. Mit stetigen Aktualisierungen und Nutzer-Feedback wird die Software sukzessive verbessert. Allerdings können soziale Beziehungen nicht nach Art solcher logischen Kreisläufe kodifiziert werden. Fehlbeurteilungen bei der Einführung neuer Technologien können hier zu großen Kollateralschäden führen.

Unschuldsvermutung wird zur Schuldvermutung

Paradoxerweise führt die “Webisierung” des Sozialen durch massenhaft gesammelte Profile zu antisozialen Ergebnissen, zum Beispiel, wenn allein aufgrund von Zusammenhängen in den Daten auf unsere vermeintliche Schuld an einem Vergehen geschlossen wird – oder bei ihrem Fehlen auf unsere Unschuld. Wenn Entscheidungsträger zukünftig immer mehr ihrer Macht an Algorithmen delegieren, ist mit einer wachsenden Zahl falscher Einschätzungen zu rechnen, die in der Offline-Welt oder in dezentralisierten Systemen leicht vermeidbar gewesen wären. Denselben Namen zu tragen wie ein bekannter Krimineller oder ein polizeilich gesuchter Terrorist, wird per Datenverknüpfung bereits zu einem Vergehen. Die Maschinen machen uns zu Angeklagten, wenn sie uns nicht von einer Person gleichen Namens unterscheiden können.

Ist unsere Identität gestohlen worden, hat jemand unsere Kreditkarte für illegale Aktivitäten genutzt oder werden wir Opfer eines Betrugs, sind wir im Spiegel unseres digitalen Egos zweifelsohne als schuldig zu betrachten. Nicht die Unschuldsvermutung, sondern die Schuldvermutung herrscht in dieser Ordnung. Profiling-Prozeduren, wie sie aus der Erstellung von Täterprofilen stammen, führen zu einer Kriminalisierung der Gesellschaft. Nutznießer sind am Ende diejenigen, die tatsächlich böse Absichten hegen und deshalb von vornherein auf ein Alibi achten.

Einfache Nutzer sind durch ein Profiling, das sie in potenzielle Angeklagte verwandelt, allen möglichen Arten von Missbrauch ausgesetzt. Ein Facebook- oder ein Google-Plus-Account gehört seinem Nutzer letztlich nicht. Es ist ein Raum, der gratis zur Verfügung gestellt wird, um den Nutzer in seine kommerziell interessanten Einzelteile zerlegen zu können. Der einzelne Nutzer selbst trägt dagegen keinen Wert. Muss er zeigen, dass er tatsächlich er selbst ist und auch noch unschuldig, lassen sich leicht Gründe finden, ihm den Zugang zu sperren.

Radikale Transparenz: Facebook plus Melderegister

Bei Facebook ist der häufigste Grund dafür die Nutzung eines falschen Namens. In vielen Fällen ist das leicht zu bemerken, in anderen nicht. “Superman” ist wahrscheinlich ein falscher Name, aber welcher Algorithmus kann herausfinden, ob “Ondatje Malimbi” tatsächlich ein kenianischer Nutzer mit einer schwedischen Mutter ist? Um das zu tun, braucht man Zugang zu Melderegistern, Finanzbehörden und Sozialversicherungs-Datenbanken – eine eigentlich gar nicht so unrealistische Aussicht. Wir sollten aber auch festhalten, dass autoritäre Regierungen augenscheinlich weniger Bedenken gegenüber der Schaffung radikaler Transparenz haben.

Die Manager bei den Anbietern sozialer Netzwerke spielen eine entscheidende Rolle bei der Festlegung, was zulässig ist und was nicht. Sie sind daran beteiligt, die Regeln unserer Gesellschaft zu gestalten. Noch haben sie nicht die Macht, jemanden ins Gefängnis zu schicken, aber sie arbeiten aktiv mit den Regierungen zusammen, um die rechtlichen und gesellschaftlichen Regeln des jeweiligen Landes durchzusetzen. Gerade Google hat seit seinen Anfängen mit der amerikanischen intelligence community zusammengearbeitet. Auch die Aufdeckung von PRISM bestätigt, was über Echolon, globales Tracking und Spionage bereits bekannt wurde, inklusive des Problems der direkten, automatischen Verwicklung der großen digitalen Player. Wir dürfen mit einer Reihe weiterer und ähnlicher Skandale in der Zukunft rechnen.

Dieser Artikel ist ein bearbeiteter Auszug aus Ippolitas Buch „In the Facebook Aquarium. The Resistible Rise of Anarcho Capitalism“. Die englische Ausgabe ist kürzlich in einer neuen, überarbeiteten Auflage in der Reihe „Theory on Demand“ (Institute of Network Cultures) erschienen. Der Auszug steht unter der Lizenz CC BY-SA. Der Beitrag erschien zuerst auf iRights.info in deutscher Sprache. Übersetzung: Andreas Kallfelz.


Image (adapted) “Social Media apps” by Jason Howie (CC BY 2.0)


 

Weiterlesen »

Geknackte E-Mail-Postfächer: Nach dem Hack ist vor dem Hack

Kriminelle gelangten an die Zugangsdaten von mindestens drei Millionen deutscher Kunden. Alle großen deutschen und mehrere internationale E-Mail-Anbieter sind von diesem Identitätsdiebstahl betroffen. Der Vorfall zeigt auch, dass der Schutz unserer digitalen Identität immer wichtiger wird. Dies ist möglicherweise der bisher größte Fall von Identitätsdiebstahl, der deutsche Nutzer betrifft. Die Staatsanwaltschaft Verden stellte dem Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich einen Datensatz mit rund 21 Millionen geknackten Zugangsdaten zur Verfügung. Glück im Pech: Mittlerweile kristallisierte sich heraus, die meisten Betroffenen leben woanders. Bei diesem Datensatz sind „lediglich“ etwa drei Millionen Deutsche betroffen.

Die erbeuteten Zugangsdaten können für die verschiedensten illegalen Anwendungen verwendet werden. Interessenten kaufen diese in Foren, um auf Kosten Dritter Einkäufe zu tätigen oder nach Möglichkeit Kreditkarten oder Bankkonten zu entleeren. Die Übernahme der Identität in sozialen Netzwerken oder der Versand von Spammails ist ebenfalls möglich. Damit lässt sich aber weitaus weniger Geld verdienen. Bisher wurde im Zuge der laufenden Ermittlungen nicht bekannt gegeben, wie die Cyberkriminellen an die Daten gelangt sind. Klar ist lediglich, dass es einen Zusammenhang mit einem unaufgeklärten Datenleak von Januar dieses Jahres geben soll. Die mutmaßlichen Täter kommen aus Osteuropa.

Die United-Internet-Töchter GMX und Web.de begannen gestern mit der gezielten Sperre geknackter E-Mail-Konten. Wer beim Login dazu aufgefordert wird, sein Passwort zu ändern und ein Captcha einzugeben, sollte darüber nicht überrascht sein.

BSI in der Zwickmühle

Sicherheitsberater Sven Krohlas glaubt, das BSI habe bei der Information der Nutzer einen höchst komplizierten Part übernommen. Sollte die Bonner Behörde einfach alle Betroffenen per E-Mail anschreiben, könnte die Warnung von den Kriminellen abgefangen werden. Auch die Option, das eigene Konto über eine eigens dafür eingerichtete Webseite zu überprüfen ist sinnfrei. Dann könnte jeder alle Accounts daraufhin überprüfen, ob sie gehackt wurden. Krohlas bemerkt zudem, dass die wenigsten E-Mail-Provider über eine Telefonnummer oder andere Kontaktdaten verfügen. Die Berichterstattung in den verschiedensten Medien wird zwar von einigen Personen wahrgenommen. Eine flächendeckende Warnung kann damit aber nicht gewährleistet werden. Nicht jeder verfolgt tagtäglich die Nachrichten. Auch die Teilnahme an sozialen Netzwerken ist dafür kein Garant. Viele tauschen sich lieber über das Befinden ihrer Haustiere aus, statt ihren Kontakten mitzuteilen, dass mal wieder massenhaft Daten geklaut wurden.

Es gibt keinen Datendiebstahl!

Und da hätten wir es auch wieder. Daten kann man überhaupt nicht stehlen. Das gilt sowohl für Internet-Tauschbörsen als auch für Hacker. Die Daten wurden lediglich ohne jegliche Zustimmung kopiert. Der Begriff Diebstahl besagt, dass das entwendete Gut hinterher nicht mehr an Ort und Stelle ist. Doch beim Filesharing als auch beim Identitätsdiebstahl gibt es die gleichen Daten am Schluss gleich zwei Mal. Der eine Datensatz verbleibt bei der Quelle, der andere Datensatz beim Cyberkriminellen oder beim Jugendlichen, der sich eine Musikdatei heruntergeladen hat. Unser Strafgesetzbuch legt zudem fest, dass es sich dabei um einen physischen Gegenstand handeln muss. Auch von daher passt der Begriff Diebstahl nicht. Der im IT-Sektor Tätige Peter Piksa schlägt vor, diesen Vorgang in „unrechtmäßiges Kopieren in Tateinheit mit dem Ausspähen von Daten“ umzubenennen. Doch das würde allen Mitgliedern der schreibenden Zunft die Möglichkeit nehmen, weiterhin skandalträchtig von einem Datendiebstahl zu sprechen.

Auch Journalisten tragen Verantwortung

Im schlimmsten Fall wurde der Angreifer aber nur wenige Betroffene durch die Berichterstattung bei SpOn & Co. gewarnt. Der Kriminelle konnte zwischenzeitlich alle hinterlegten Kontaktdaten und Passwörter ändern, um die wahren Eigentümer der Konten auszusperren. Diese könnten sich dann nicht mehr gegenüber ihrem Mailanbieter als solche zu erkennen geben. Krohlas, der selbst bei einem großen E-Mail-Anbieter tätig ist, glaubt, die Presse habe „in diesem Fall vollkommen ihre Verantwortung vergessen„. Ob aus Unwissenheit oder Profitgier könne er nicht beurteilen. Zumindest wurden mit der Story und einer entsprechend reißerischen Überschrift die Klickzahlen der Online-Portale in die Höhe getrieben.

Was bleibt, sind die obligatorischen Ratschläge, die den Surfern nach jedem Vorfall erteilt werden: Die Verwendung starker Passwörter, die nicht wiederverwendet werden. Außerdem sollte man sich ausschließlich über einen verschlüsselten Zugang einloggen. Leider helfen aktuelle PlugIns und Virenscanner nur gegen solche Bedrohungen, die schon bekannt sind. Brandneue Schadsoftware, die in Webseiten oder E-Mails versteckt werden, können damit nicht aufgespürt werden. Das ist auch der Grund, warum diverse CCC-Mitglieder Antivirenprogramme generell als Schlangenöl bezeichnen, weil sie vielfach nur die Taschen der Hersteller füllen, statt die Computer der zahlende Kunden zu schützen.

Microsoft stellt Support für Windows XP ein

Dringender Handlungsbedarf besteht ganz aktuell beim in die Jahre gekommenen Betriebssystem Windows XP. Hersteller Microsoft stellt mit dem heutigen Tag den Support ein. Folglich wird es ab sofort keine Updates mehr geben, obwohl noch immer fast jeder fünfte Internetnutzer damit im Web unterwegs ist. Leider wird es nicht lange dauern, bis der nächste Datenskandal ins Haus steht. Die Redakteure brauchen eine neue Schlagzeile, die Cyberkriminellen und Hersteller von Betriebsystemen möchten ihr Geld verdienen. Und last, but not least, ist nach dem Hack leider auch immer vor dem Hack.

 

Weiterlesen »