110 Millionen Datensätze von Kreditkarteninhabern in den USA gestohlen

Die amerikanische Firma für Sicherheit im Internet, IntelCrawler, hat den Diebstahl von 110 Millionen Kreditkartendatensätzen bekannt gegeben. Lait IntelCrawler soll der Schaden durch das Virus  “Kartocha” verursacht worden sein. Durch die Firma werden russische Hacker verdächtigt.  Der Hacker nenne sich ree4.

Ob europäische oder deutsche Bürger oder Firmen betroffen sind, wurde nicht mitgeteilt.

 

 

(K)eine Hilfe für die staatliche Datensammlung?

Die Datenschutzreform in Europa stockt. Ursprünglich sollten Mindeststandards für den Datenschutz in der EU bereits Ende 2013 verabschiedet worden sein, doch nun dämpft EU-Justizkommissarin Viviane Reding die Erwartungen: Die Novelle werde nicht mehr vor der Europawahl im Mai endgültig verabschiedet, sagte sie in Athen vor einem Treffen der EU-Justizminister. Sie hoffe aber auf eine Einigung der EU-Staaten im Juni, berichteten gestern ua. die Süddeutsche Zeitung.

Auswirkungen hat der Stillstand bei der Neuregelung auf die, so der EU-Slang, „Verbraucherrechte“ der EU-Bürger.  Die Verbraucherrechte umfassen nach Lesart der EU  auch Rechte von Bürgern gegenüber Firmen wie Facebook und Google. Streng genommen geht es hier jedoch regelmäßig um Persönlichkeits- und Freiheitsrechte des einzelnen Individuums  gegenüber Dritten. In aller Regel gibt es keine so klare Geschäftsbeziehung zu dem Anbieter von Internetdiensten wie beim Online-Einkauf, durch die Nutzung des Dienstes unterwirft sich der User (Computernutzer) den rechtlichen Vorgaben des Anbieters quasi im Vorbeigehen. Die Default./Standardeinstellungen bei Anmeldungen sind meistens so gefasst, dass der Nutzer möglichst viel von sich Preis gibt während die Datenschutzbestimmungen für den Anbieter sehr weitgehend gefasst sind, er also mit den Userdaten umfänglich umgehen kann.  Dies kann beispielsweise dazu führen, dass er nahezu unbemerkt das Recht an hochgeladenen Bildern verliert. Insbesondere wird er von Internetdiensteanbietern aber sehr häufig aufgefordert, persönliche Daten zu speichern. Darüber hinaus wird sein Nutzerverhalten (Surfverhalten) untersucht (monitorisiert).

Die EU wollte den Schutz der Verbraucher und ihrer Daten gegenüber Internetkonzernen wie Facebook, Google und Co. stärken. Umstritten ist insbesondere die Frage, ob immer die Datenschutzbehörde jenes Landes zuständig sein soll, in dem ein Unternehmen seinen Sitz hat.

Gerade die intensive Speicherung und Auswertung von Nutzerdaten durch große Konzerne, die häufig in den USA beheimatet sind, macht weite der der Spionage der NSA und die millionenfache Erfassung der persönlichen Daten von EU-Bürgern überhaupt erst möglich.

Sprecher von Google, Microsoft und Facebook erklärten bereits im Oktober 2013 erklärten , sie leisteten keine Hilfe für die staatliche Datensammlung. Dies stimmt so nicht. Der uferlose Big Data Wahn bildet die datentechnische Grundlage. Nun kommunizieren einige große US-Konzerne, gegensteuern zu wollen. Bei Yahoo hieß es, ab Januar würden alle E-Mail-Verbindungen verschlüsselt. Google hatte es erstes Unternehmen bereits 2010 alle seine E-Mail-Verbindungen gesichert. Nach Angaben von Insidern sollte damit teilweise die Sammlung von Benutzer-Informationen in großem Umfang durch die NSA und durch andere Geheimdienste durchkreuzt werden.

Die Rechtfertigung für die gigantische Datensammlung leiten die großen Konzerne aus ihrem Geschäftsmodell und somit dem Recht der Gesellschaften, frei zu handeln und zu wirtschaften her während die NSA weder vom Kongress noch dem speziell zuständigen geheimen Gericht ermächtigt wurden, personenbezogene Daten Unbeteiligter in großen Mengen zu sammeln. Ein hoher Geheimdienstmitarbeiter erklärte im Herbst 2013, das wäre von einem Ort in den USA aus ungesetzlich (WiWo). Der Geheimdienst arbeite deshalb von Standorten in aller Welt.

 

Schäden durch Spionage höher als durch Computerbetrug

Die größte mediale Aufregung über die Spionageaktivitäten der USA in Europa und in Deutschland hat sich seit ein paar Tagen gelegt: Den Veröffentlichungen des BSI zum Thema „millionenfacher Emailklau“ (wir berichteten) sei Dank.

Guckt man sich die Verhältnisse der beiden Ereignisse genau an, fällt ein Umstand ins Auge: das krasse Missverhältnis der entstandenen Schäden. Was nämlich den meisten hier lebenden Menschen und Medien weitgehend verborgen blieb ist die Tatsache, das kriminelle Computerdelikte nur geringe Schäden verursachen. Bezogen auf die deutsche Gesamtbevölkerung dürfte der Schaden im Eurocent-Bereich pro Jahr liegen.  Das Bundeskriminalamt hat die gemeldeten Schäden durch Computerbetrug in Deutschland für 2012 auf 33,5 Millionen Euro beziffert. Der Tatbestand Computerbetrug umfasst nahezu alle Delikte, in denen Bürger via Internet von Cyberkriminellen zur Kasse gebeten werden.

Verhältnis zum Pkw-Diebstahl: 1 : 9,5

Ein Vergleich mit den entwendeten Kraftfahrzeugen fördert folgendes Zutage: insgesamt wurden 2012: 31.549 Kraftfahrzeuge gestohlen – 10,5 Prozent weniger als 2011. Die Gesamtentschädigungssumme ging um 7,1 Prozent auf rund 320 Millionen Euro zurück.

Den weitaus größten volkswirtschaftlichen Schaden erleiden die Bürger und Unternehmen der Bundesrepublik Deutschland durch Spionage, Wirtschafts- und Industriespionage, Verstöße gegen das Urheber- (Patent-)Recht, und andere illegale Aktivitäten, die in aller Regel von Staaten und nicht von Einzelpersonen, Gruppen oder der Organisierten Kriminalität ohne Regierungsfunktion ausgehen. Der geschätzte Schaden durch Wirtschaftsspionage erreicht nach den Angaben des Bundesamts für Verfassungsschutz 30 bis 60 Milliarden Euro.  Trotzdem werden in dem Deliktsbereich Computerbetrug & Co. der Großteil der Ermittler eingesetzt, nicht im wesentlich schadensträchtigeren Bereich der Wirtschaftsspionage.

Jegliche Spionagehandlung zum Nachteil der EU, den EU-Bürgern und somit Deutschland und seinen Bürgerinnen und Bürgern sowie seinen Unternehmen hat -egal von welchem ausländischen Staat durchgeführt- aus Sicht der Auftraggeber sicher mehrere erfolgskritische Aspekte:

  • vorbeugende Terrorbekämpfung (zB gegen terroristische Bestrebungen im Kaukasus oder in arabischen Zirkeln)
  • Strafverfolgung (gegen im Ausland lebende, oftmals mit Haftbefehl gesuchte Schwerstkriminelle)
  • Verfolgung unliebsamer Regimegegner
  • Wirtschaftsspionage, Industriespionage

Insofern kann man auf das Abhören der zur Zeit nicht als Naturwissenschaftlerin tätigen Frau Doktor Merkel ohne eigenen Erkenntnisverlust getrost verzichten.

frauangelamerkel
(c) wegecon 2013

16millionenfacher Identitätsdiebstahl – was bedeutet das eigentlich?

Im Herbst 2012 analysierten Forschungseinrichtungen und Strafermittlungsbehörden deutsche (vermutlich überwiegend oder teilweise deutsche) Botnetze und entdeckten einen millionenfachen Identitätsdiebstahl.

Was sind Botnetze, besser: Botnetzwerke, eigentlich?

Das Wort „Bot“ kommt vom englischen robot, Roboter. Als ein Botnet(z) bezeichnet man eine Gruppe von automatisch ablaufenden Computerprogrammen. Die Rechner, auf denen diese laufen, benötigen ein Netzwerk, überwiegend das Internet und Zugriff auf die lokalen Resourcen des betroffenen Rechners (zB sein Mailprogramm). Betreiber illegaler Botnetze installieren die Bots ohne Wissen der Inhaber auf Computern und nutzen sie für ihre Zwecke. Die meisten Bots können von einem Botnetz-Operator (auch Bot-Master oder Bot-Herder genannt) über einen Kommunikationskanal überwacht werden und Befehle empfangen.

Wir schätzen die Anzahl betroffener Computer allein in Deutschland auf mehrere Millionen.

Insgesamt wurden laut BSI (Bundesamt für Sicherheit in der Informationstechnik)  ca. 16 Millionen kompromittierte Benutzerkonten entdeckt.  Ein Benutzerkonto besteht im Regelfall aus einem Benutzernamen in Form einer E-Mail-Adresse und einem Passwort. Viele Internetnutzer verwenden diese Login-Daten nicht nur für das eigene Mail-Account, sondern auch für Benutzerkonten bei Internetdiensten, Online-Shops oder Sozialen Netzwerken.

Ein von Cyberkriminellen gekaperter Computer kann zu verschiedenen Zwecken missbraucht werden:

  • Versand von Spam:
    Versand von unerwünschter Werbung mittels E-Mail, oft mit weiteren Schadprogrammen (Malware) im Anhang.
  • DDoS-Attacken:
    Überlastung von Internet-Server durch viele Anfragen in kurzer Zeit mit dem Ziel, das diese zusammenbrechen, Sicherheitslücken zeigen usw.
  • Proxies:
    Der Angreifer benutzt einen fremden Rechner im Botnetz als eine Art „Zwischenspeicher“. Nach außen tritt er dann als jemand anders, nämlich als der (Besitzer des) befallenen Computers auf. Die Spur zum Botnetzbetreiber ist nur sehr schwer zurück zu verfolgen.
  • Computerbetrug:
    Die meisten Bots können auf lokal gespeicherte Zugangsdaten zu Anwendungen wie Messenger-Programmen zugreifen oder Daten wie Passwörter und Kreditkartennummern aus Webformularen auslesen. Diese Daten werden dann an den „Master“  des Botnetzes übertragen. Dieser kann damit scheinbar legal einkaufen gehen.
  • Speicherung für illegale Inhalte:
    Die Festplatten der gekaperten Computer können zur Speicherung von illegalen Inhalten genutzt werden. Man kann darüber für sich selbst gefahrlos zB urheberrechtlich bedenkliches Material anbieten.

Was kann der Einzelne tun? Das BSI empfiehlt:

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Mailtest_21012014.html

Betroffene sollten Rechner säubern und Passwörter ändern.

Betroffene Internetnutzer sollten in jedem Falle zwei Maßnahmen ergreifen:

  1. Der eigene Rechner ebenso wie andere genutzte Rechner sollten auf Befall mit Schadsoftware überprüft werden. In den Empfehlungen des BSI zur sicheren Konfiguration von Windows-PCs ist eine Auswahl an geeigneten Virenschutzprogrammen aufgeführt, die hierfür genutzt werden können.
  2. Anwender sollten alle Passwörter ändern, die sie zur Anmeldung bei Sozialen Netzwerken, Online-Shops, E-Mail-Accounts und anderen Online-Diensten nutzen. Es sollten auch diejenigen Passwörter geändert werden, die nicht zusammen mit der betroffenen E-Mail-Adresse als Login genutzt werden. Dies ist deshalb empfehlenswert, weil im Falle einer Betroffenheit die Möglichkeit besteht, dass ein benutzter Rechner mit einer Schadsoftware infiziert ist. Diese kann neben den in den Botnetzen aufgetauchten Benutzerkennungen auch andere Zugangsdaten, Passwörter oder sonstige Informationen des Nutzers ausgespäht haben. Hinweise zur Nutzung sicherer Passwörter erhalten Anwender unter https://www.bsi-fuer-buerger.de/Passwoerter .

Blogverzeichnis

Sammelleidenschaft: NSA sammelt 200 Millionen SMS pro Tag

Der Londoner Guardian berichtet, dass sich die NSA täglich bis zu 200 Millionen SMS-Nachrichten pro Tag beschafft. Dies gehe aus Dokumenten des britischen NSA-Partnerdienstes GCHQ hervor. Das Späh-Programm „Dishfire“ sammele seit 2011 alles was es kriegen kann.

Wie geht das? Wo kommen die SMS  her?

Eine SMS nimmt, vom Handy abgeschickt, zunächst einmal die gleiche Strecke wie ein Telefonat. Über die von der Telefonie bekannten Netzelemente wie Sendemast und Base-Station-Controler (BSC, ugs. Basistation) wird eine SMS an das SMS-C des eigenen Netzbetreibers geleitet. Das SMS-C des eigenen Netzbetreibers ist auch dann für den Kunden zuständig, wenn dieser sich im Ausland aufhält. Unterm Strich ist nur der Weg über die ausländischen Netze bis zum SMS-C länger. So funktioniert der SMS-Versand und -Empfang bei einem Mobilfunknetz (teletarif.de)

Die NSA müsste also die nationalen Telefonnetze anzapfen, um an die einzelnen SMS der Bürger außerhalb der USA zu gelangen. Nach unseren Informationen beschafft sich die NSA die gewünschten Informationen, indem sie die Kurznachrichten über Adressbücher von Mobilfunkkunden, Reiseplänen, Finanztransaktionen, SMS über entgangene Anrufe, Roaming-Benachrichtigungen und Geodaten  speichert. Diese SMS bzw. Text- und Adressinhalte wählen vermutlich ausschließlich den Weg über das Internet (von Rechenzentrum zu Rechenzentrum) und nicht über das sicherere Mobilfunknetz oder das drahtgebundene Telefonnetz.

Über diese Daten ist es der NSA möglich, Verknüpfungen von Personen, deren Aufenthaltsorte, Grenzübertritte und vieles mehr festzustellen. Es geht weniger um den Inhalt der SMS.

Was bedeutet das?

Eine SMS ist vergleichbar mit einer Postkarte. Sie wird vom SMS-Versender mit einem Text, der Nachricht versehen und an den Adressaten, jemanden mit einem Mobiltelefon, verschickt. Die Transport übernehmen ein oder mehrere Mobilfunkprovider. Diese transportieren die SMS im Regelfall über ihre Netze.

Beschafft sich ein Fremder die Postkarte (oder eben eine SMS)  und fertigt eine Kopie von ihr an, ist das strafbar und somit verboten. Es handelt sich in diesem Fall um eine Tat gegen die Persönlichkeitsrechte und einen klaren Verstoß gegen das Datenschutzgesetz, zumindest aus deutscher Sicht. Beeinflusst durch die illegale Speicherung der SMS unverdächtiger Menschen werden deren Freiheitsrechte: die Freiheit zu kommunizieren, die Meinungsfreiheit, die Freiheit (frei von staatlicher Kontrolle) der Privatsphäre.

Eine Sonderform der SMS ist die von Apple angebotene iMessage. Diese wird ausschließlich über das Internet und Apples Rechner in den USA abgewickelt. Es ist davon auszugehen, das iMessages zu 100% von der NSA abgesaugt werden.

Eine  versehentlich gelöschte SMS könnte man sich -theoretisch- vielleicht von der NSA wiederherstellen lassen. Wir raten jedoch ausdrücklich davon ab.

 

 

xmas

 

 

 

 

 

Fehlentwicklungen im Internet

Im Internet ist es in den letzten 15  Jahren zu gesellschaftlichen und strukturellen    Fehlentwicklungen gekommen ist. Diese Fehlentwicklungen lassen sich grob in drei Kategorien Einteilen:

a) Intensivste Nutzung von personalized data monitoring  (dem Beobachten und Auswerten personenbezogener oder personalisierbarer Daten)  unter Ausnutzung des jeweils günstigsten politischen  Gemeinwesens im wirklichen Leben außerhalb des Internet.

b) es hat sich das Prinzip: alles wird für immer gespeichert  entwickelt. Massenspeicher ist in den letzten 20 Jahren  kontinuierlich billiger geworden. Der Besitz an Daten stellt    mittlerweile einen Wert an sich dar. Das Prinzip der „ewigen  Sammlung“ bezieht sich auf nahezu alle Daten, die dem jeweiligen Suchmaschinenanbieter, social media network (gesellschaftlichen Netzwerken) usw. überantwortet werden. Teilweise sind mittlerweile die  Rechtsbeziehungen zwischen Nutzer und Anbieter so angelegt,  dass der User (der Mensch, der das Internet irgendwie benutzt) sein Eigentum an Dateien (zB Bildern) aufgibt   und dem Hoster (die Firma, die die Daten im Internet speichert) übergibt, wenn er Daten bei diesem    speichert.

c) Die einst flache Struktur des Internet -gerade auch im WWW (World Wide Web – weltweites Netz)- ist einer eindimensionalen, hierarchischen Struktur gewichen. Wenige Anbieter generieren nicht nur den meisten Traffic (Datenverkehr  im Internet), sie nehmen insbesondere durch Marketingwerkzeuge mehr und mehr Einfluss auf die Inhalte im Netz.

Kurzum: es wäre nicht völlig verkehrt wenn man sagt: das Internet gehört mehr und mehr wenigen großen Firmen und wird in seiner Struktur von wenigen Staaten „regiert“.

Charta der Kommunikation im Internet

Veröffentlichung/Aufruf für mehr Demokratie, Freiheit und Privatheit aufgrund der Entwicklungen des und im Internet

Charta der Kommunikation im Internet
(Blaupause von Stefan Wetzel, wegecon, 2012)

  1.  Das Netz ist integraler Bestandteil der Menschenrechte,    die Resolution 217 A (III) der UN-Generalversammlung    vom 10. Dezember 1948, Allgemeine Erklärung der    Menschenrechte, bleibt von der Charta der    Kommunikation im Internet unberührt.
  2. Das Netz und der freie Zugang zum Netz gehört zu    den unveräußerlichen Freiheitsrechten aller Menschen.
  3. Das Netz ist neutral und basiert auf den Prinzipien der    Gleichheit, der Heterachie und der Unteilbarkeit.
  4. Jeder Mensch hat das Recht, im Netz seine Meinung    frei zu äußern, ohne staatliche Repressalien fürchten    zu müssen.
  5. Jeder Mensch hat das Recht, auf Inhalte zu verweisen    die nicht sein eigen sind, ohne staatliche Repressalien    fürchten zu müssen.
  6. Jeder Mensch hat das Recht, Inhalte mit anderen    Menschen zu teilen, ohne staatliche Repressalien    fürchten zu müssen.
  7. Jeder Mensch hat das Recht, im Netz wirtschaftlich,    sozial und kulturell zu agieren.
  8. Die im Netz kommunizierenden Menschen haben ein    Recht auf Informationelle Selbstbestimmung.