191 – Datenleaks =^_^=

Ich glaube so langsam hat es sich schon bis in die letzte Ecke unserer hochtechnisierten Welt herumgesprochen, dass das eigentliche Gold dieses Jahrhunderts unsere Daten sind. Mit deren Hilfe werden oft unglaublich nützliche Dienste aufgebaut, aber es gibt natürlich auch immer das Bedürfnis nach Schutz von Privatsphäre. Es müssen sinnvolle Bedingungen herrschen. Und wir wollen Kontrolle über unsere Daten erhalten oder doch zumindest sicher sein, dass wir Daten und Informationen, die wir sozusagen im Vertrauen ablegen, auch dort bleiben, wo wir sie eigentlich untergebracht haben.

Dass das gar nicht so einfach ist, ist aber offensichtlich, wenn man die aktuellen Nachrichten verfolgt. Kaum eine Woche vergeht, ohne dass irgendwo eine Meldung über ein Datenleck veröffentlicht wird. Manche sind groß, manche sind klein, manche sind gewollt, manche sind aus Versehen, manche sind geradezu bösartig. Immer ist es so, dass ungewollt Informationen veröffentlicht wurden. Ungewollt von den Betroffenen, ungewollt durch die Firmen usw.

Dabei gibt es, wie gesagt, mehrere Arten von Datenlecks – wollen wir es doch mal so nennen. Da sind zum einen die mutwillig gestohlenen Daten. Das ist erstaunlich oft ein Insiderjob. Das heißt, jemand der in einer Firma arbeitet und Zugriff auf Daten hat, nimmt die mit und veröffentlicht die anschließend. Je nach Kontext kann sowas durchaus auch wünschenswert sein. Denn ein Edward Snowden oder auch andere sogenannte Whistleblower veröffentlichen die Daten ja nicht, um sich selbst zu bereichern oder notwendigerweise andere zu schädigen, sondern um auf einen Missstand, der in Konflikt zu ihren Werten steht, hinzuweisen.

Etwas schwieriger für mich wird es dann mit Steuer-CDs, die ja obendrein oft auch noch gekauft werden. Das heißt, irgendjemand klaut Daten, bietet die den Behörden zum Kauf an und wir mit unseren Steuergeldern finanzieren dann diesen Zukauf. Es ist natürlich keine Frage, dass das Hinterziehen von Steuern eine Straftat ist und wir ein Interesse als Steuerzahler haben, dass solche Straftäter dingfest gemacht werden. Aber: Wir schaffen damit auch einen Markt – einen Markt für geklaute Daten aus Finanzgeschäften. Ich bin mir nicht sicher, ob man das eigentlich möchte.

In beiden Fällen, also sowohl bei diesen Steuerdaten als auch bei diesen Whistleblowaktionen, könnte man davon ausgehen, dass die Daten eigentlich von Insidern – also von Leuten, die Zugriff auf die Datensätze hatten – gezogen und weitergereicht wurden. Es gibt aber auch noch eine Kategorie von Datenleaks, in denen Systeme mutwillig aufgebrochen werden, in denen Sicherheitslücken ausgenutzt werden oder eine Kategorie von Leaks, in denen die Administratoren der Systeme einen Fehler beim Schutz der Daten gemacht haben und damit versehentlich Zugriff aus dem weltweiten Internet zugelassen haben.

Ein solcher Fall traf letztes Jahr die US-Behörden, die dafür zuständig waren, das US-amerikanische Wählerverzeichnis zu sichern. Die war eben nämlich genau das nicht – gesichert. Man konnte aus dem Netz darauf zugreifen und ein – wie die Medien es nannten – Whitehead Hacker hat das schließlich offen gelegt und damit Zugriff auf 191 Millionen Datensätze amerikanischer Wähler veröffentlicht. 300 GB Datensätze beginnend im Jahr 2000 waren das. Erfreulicherweise waren keine Finanzdaten oder so Dinge wie Social Security Numbers, das ist ja in den USA eine sehr wichtige Identifikationszahl, da drin enthalten, aber es gab genügend persönliche Informationen und eine Menge Spaß mit diesen Daten zu haben – woops.

Aber das war ja mitnichten nicht das größte Datenleck, das wir so kennen. Da gibt es durchaus noch einige andere, die ähnlich interessant und manchmal viel brisanter mit Daten unterlegt sind. Auf der Webseite www.informationisbeautiful.net findet man eine interaktive Grafik, mit der man sich die verschiedenen bekannten Leaks anschauen kann. Und da gab es Datenleaks, in denen beispielsweise auch Zahlungsinformationen und ähnliches enthalten sind und es sind sehr viele prominente Namen dabei: Apple, Adobe, Evernote, Ubisoft, British NHS, das US-Militär. Sehr prominent das Leak rund um Sony oder Ashley Madison – eine Datingplattform.

Apropos Datingplattform: Eine andere Meldung rund um ein “Datenleak” habe ich auch gefunden, nämlich 70.000 Ok Cupid Profile – auch wieder so ein Dating Service – die von Forschern veröffentlicht wurden. Das war allerdings weder Datendiebstahl, noch war es eine Sicherheitslücke. Die Forscher hatten einfach einen Crawler geschrieben, also ein Stück Software, das sich durch Webseiten hangeln und Daten, die es dort findet, einsammeln kann. Sie haben diesen Crawler über Ok Cupid drüber laufen lassen und alle Informationen, die es dort zu finden und zu lesen gab, eingesammelt. Da waren dann die Benutzernamen der einzelnen Paarungswilligen – naaa, so kann man das wohl nicht sagen. Liebeshungrigen, kann man das so sagen? – Naja, jedenfalls auf der Suche befindlichen Menschen auf Ok Cupid plus all der Antworten, die sie auf die Persönlichkeitstest oder den Fragebögen rund um persönliche Vorlieben etc. gegeben hatten. Das kann dann schonmal recht spannend sein, glaube ich.

Trotzdem war es kein Leak im eigentlichen Sinne, denn das waren öffentlich zugängliche Informationen. Ich glaube aber, es ist sicher anzunehmen, dass die Benutzer von Ok Cupid sich nicht so ganz bewusst waren, dass sie in einer öffentlich zugänglichen Datenbank abgelegt sind bzw. dass man diese Webseiten auf denen die Profile stehen natürlich auch voll automatisch auswerten kann.

Auf jeden Fall leben wir in spannenden Zeiten und wer heute sich mit Data Security und Data Science beschäftigt, der hat auf jeden Fall auf absehbare Zeit einen sicheren Job. Ach und wo wir jetzt schonmal dabei sind: Falls Du, so wie ich, eine Menge mit den Google-Tools machst – ich meine, Full Disclosure: Ich bin ja auch bei Google angestellt, aber auch so gibt es ja den ein oder anderen Nutzer – und Dich fragst “Was sind eigentlich die Dinge, die Google über Dich weiß? Was sind die Dinge, die Du vielleicht auch unterbinden möchtest?” Dann empfehle ich Dir, im Google Privacy Dashboard vorbeizusurfen.

Da lässt sich nämlich detailliert nachschauen, was Google über Dich weiß und ggf. auch Funktionen abstellen. Beispielsweise Location Services, also die Erfassung Deiner Position oder die Geschichte Deiner Suchanfragen usw. Es ist wirklich interessant 1. zu schauen, was denn Google weiß, 2. vielleicht die Kontrolle darüber zu haben und das abschalten zu können, aber 3. auch eine Verbindung herstellen zu können, zwischen was sind die Daten, die erfasst werden und wofür wird das benutzt? Für welchen Dienst wird das eigentlich gebraucht? myaccount.google.com ist die Adresse, wo man das alles machen kann.

Und als letzte kleine Seiteninfo: Entwickelt wird das übrigens in Deutschland, nämlich genau genommen im Engineering Center in München. Es ist halt auch einfach so, dass wir hier in Deutschland einen guten Ruf haben, wenn es darum geht, auf Privacy und Security wert zu legen. Da ist es dann auch ganz nützlich hier gleich vor Ort die entsprechenden Entwicklerteams sitzen zu haben.

Bis bald.