Die digital-analog Wandlung erinnert mich an einen Vorschlag zum sicheren Löschen von Dateien: Ausdrucken und shreddern

Xamit hat sich vor der Wahl einen guten Namen durch die Studie “Parteien und Datenschutz – Datenschutzpraxis deutscher Parteien und parteinaher Organisationen” (pdf) gemacht. Aufschlussreich ist auch das “Datenschutzbaromter 2008 – Datenschutz im Internet” (pdf), bereits Ende 2008 veröffentlicht und inzwischen aktualisiert. An den Zahlen wird sich wenig geändert haben.

Mehr als 26.000 deutsche Webpräsenzen wurden untersucht, darunter knapp 10.000 mit installiertem PHP. Davon hatten nur 29% die damals aktuelle Version installiert.

162 Webshops mit Standardshopsoftware konnten erkannt werden. Was schätzen Sie, wie viele dieser Shops a) eine aktuelle PHP-Version und b) die aktuelle Version ihrer Standard-Shopsoftware im Einsatz hatten?

Es waren ganze 19 (neunzehn) Prozent.

Klartext: 81% der entdeckten Online-Shops mit Standard-Shopsoftware auf PHP-Basis waren zum Zeitpunkt der Untersuchung anfällig für bereits bekannte Angriffe von außen. Die Kundendaten waren potentiell in Gefahr.

Wer sich nicht nur aufregen, sondern handeln will: Bei selbst regelmäßig genutzten Webshops nachschauen oder nachfragen, ob und wie die eigenen Daten geschützt sind. Höflich, formlos, bestimmt.[Update 05.11.2009 Habe ich heute bei 10 "meiner" Shops gemacht. Siehe nächster Artikel] Für ein umfassenderes Bild könnte sich auch das Verfahrensverzeichnis nach § 4e Bundesdatenschutzgesetz (BDSG) nützlich machen, aber die Wahrscheinlichkeit ist gering, in der Praxis auf ein gut erhaltenes und aussagefähiges Exemplar dieser seltenen Spezies zu stossen.

Kann man natürlich alles auch ohne Fragen herausbekommen, aber das sprengt den Rahmen des Artikels

Heute bin ich auf die Pressemitteilung der Immowelt AG vom 14.10.2009 aufmerksam geworden: “Kamera im Hausflur: Deutsche haben keine Angst vor Überwachung” Dort heisst es im Aufmacher:

Das Bedürfnis nach Sicherheit wiegt mehr als die Sorge, überwacht zu werden – das ist das Ergebnis einer Umfrage von Immowelt.de, eines der führenden Immobilienportale.

Freundlicherweise stellt uns Immowelt die Zahlen zur Verfügung:

Wie ist Ihre Meinung zu Kameraüberwachung in Mietshausfluren?

Lehne ich klar ab – 45,7 %
Nicht toll, würde mich aber nicht stören – 16 %
Immerhin bleiben unerwünschte Besucher weg – 10,8 %
Findet ich gut, das erhöht die Sicherheit – 27,5 %

Mir fällt auf: Die Verteilung der Antwortmöglichkeiten an sich ist schon – äh – nicht unbedingt symmetrisch. Schwamm drüber.
Die “Nicht toll”-Typen sehe ich eher als neutral an – so auch die Studie: “Eher achselzuckend verhält sich fast ein Fünftel der 1.184 Befragten”

Dann heißt es also 45% klar dagegen – 38% mehr oder weniger dafür.
Nun wissen wir, dass sich Vermieter gern mal verrechnen, aber 45>38 – das ist doch wirklich nicht schwer, oder?

Nebenbei wird eines deutlich: Fast jeder zweite Mietshausbewohner lehnt die Flurüberwachung klar ab. Wie hoch ist da noch die Wahrscheinlichkeit, in einem 2-, 4- oder 8-Familienhaus ungestört seinem Überwachungsbedürfnis nachgehen zu können?

Ich kann die Sorgen vieler Vermieter gut verstehen. Aber Videoüberwachung ist nicht die schnelle und billige Lösung, für die sie oft gehalten (und als die sie gern verkauft) wird.  Sie wirkt – besonders im nicht-öffentlichen oder “halb-öffentlichen” Raum – nur gemeinsam mit anderen Maßnahmen und nicht gegen den Willen der Beteiligten.

Seltsam: Im Durchschnitt angeblich nur 10% richtige Antworten. Bei aller deprimierenden Praxiserfahrung aus dem Datenschutzalltag: Das scheint mir zu wenig.

Since initiating the project last December, the Intrusion Detection researchers have scanned 130 million IP addresses and found nearly 300,000 devices whose administrative interfaces were remotely accessible from anywhere on the internet. The 21,000 devices with default passwords are the most vulnerable, but the rest are theoretically vulnerable to brute-force password-cracking attacks, Stolfo said. Extrapolating from the numbers they’ve gathered, the researchers estimate that 6 million vulnerable devices are likely connected to the internet.

Liebe Neu-Breitbandnutzer, das Suchen von Standardpasswortlisten im Internet gehört zum kleinen 1×1 der Scriptkiddies – und bei einer Erfolgschance von 9% braucht man nicht lange zu scannen, um ein Opfer zu finden.

Dank an watchyourweb für die Info zum Artikel von Martin Unger. Dort auch ein paar erste Tipps zur Absicherung des eigenen Routers.

Der Preis ist der wichtigste Faktor für einen erneuten Kauf bzw. eine Weiterempfehlung. Auch die Mitarbeiter eines Unternehmens und der Datenschutz haben einen großen Einfluss auf die Kaufentscheidung. Das hat eine Online-Befragung von Client Vela und TU München ergeben. 89 Prozent der Kunden lassen sich demnach vom Preis stark oder sehr stark beeinflussen. Die Freundlichkeit und Kompetenz der Mitarbeiter ist für 81 Prozent wichtig. Gut drei Viertel achten stark oder sehr stark auf den Datenschutz. Die angebotenen Serviceleistungen rangieren dahinter, allerdings noch vor den Kernleistungen des Produkts selbst. Erhoben wurden die Meinungen von rund 300 Kunden. Weitere Ergebnisse finden Sie hier. (ms)

Kurze Ergänzung: Auf die Frage “Wie beeinflussen die folgenden Faktoren Ihre Absicht, bei einem Unternehmen erneut zu kaufen und/oder dieses weiterzuempfehlen?” erhielt der Punkt “Datenschutz” insgesamt die drittbeste Bewertung, wurde aber von 43%  als “sehr starker” Faktor genannt – Spitzenwert!

Eigentlich mag ich das Wort “Kundenbindung” überhaupt nicht – aber hier zeigt sich: Kundenbindung ohne Datenschutz funktioniert langfristig nicht.

Was u.a. bei CIO als aktuelle Studie angepriesen wird, ist zwar schon vom Juli 2008, aber trotzdem interessant; Quelle: “Airport Insecurity” vom Ponemon Institut (zu Ponemon siehe auch hier):

• 12.200 verlorene Laptops pro Woche in den 106 größten Flughäfen der USA, dabei knapp 5.000 in den Big 5

• 3.400 verlorene Laptops pro Woche in den 7 größten Flughäfen Europas, dabei 300 in Frankfurt

Die Studie mit den angeführten Gründen für die Verluste (Hektik oder zu viele Gepäckstücke) und den vorhandenen Sicherheitsmechanismen (Deutschland führend bei  der Daten- und Festplattenverschlüsselung) ist ganz lesenswert.

Zum gestrigen Thema der gefühlten Sicherheit:

Over 28% of European and 34% of U.S. business travelers who say they do take steps to protect the sensitive or confidential information in their laptop computers don’t know how this information is protected.

Wohlgemerkt, die völlig ungeschützten Kisten sind da gar nicht mehr berücksichtigt (22% in Deutschland – 57% in Spanien). Die anderen fühlten sich wenigstens sicher: “Irgendwie hatte ich meine Daten geschützt, aber wie nur???”

Mehr als eine Million Kameras sind in Großbritannien installiert – doch pro 1.000 Kameras wird nur eine Straftat aufgeklärt, [...] Dazu kommentiert David Davis MP, ehemaliger Schatteninnenminister: “Es wird Zeit darüber nachzudenken, wofür das Budget für Kriminalitätsprävention ausgegeben wird. CCTV führt zu massiven Ausgaben mit einer minimalen Effektivität.”

Der zitierte Report nennt eine weitere Zahl:

Each case helped by the use of CCTV effectively costs £20,000 to detect, Met figures showed.

Das sind knapp 22.000 Euro. Dazu fallen mir eine Menge bissiger Kommentare ein…

Die Auftraggeber der Studie sind dennoch zufrieden, denn:

The Home Office defended the use of CCTV, with a spokesman saying cameras could “help communities feel safer”.

Gefühlte Sicherheit. Dazu fällt mir wiederum gar nichts ein.

Das ist traurig.

Noch viel trauriger stimmt mich der Blick auf die verwendeten Passwörter, mit denen die abgefischten Benutzer ihre E-Mailkonten gesichert hatten. Eine Statistik darüber findet sich bei acunetix; hier nur ein paar Beispiele aus den Top 20 (insgesamt 10.024 Accounts):

• “123456″ wurde von 64 Nutzern verwendet – Platz 1
• “1234567″ 8 Nutzer – Platz 9
• “12345678″ 9 Nutzer – Platz 8
• “123456789″ wurde von 18 Nutzernm verwendet – Platz 2

Nicht fehlen dürfen natürlich

• “111111″ mit 10 Vertretern und Platz 4
• “000000″ mit 7 Nennungen auf Platz 13
• “654321″ mit 6 Nutzern auf Platz 15

42% der Benutzer verwendeten nur Kleinbuchstaben; 19% nur Ziffern. Lediglich 6% der Accounts waren durch einen Zeichenmix von Buchstaben, Ziffern und Sonderzeichen geschützt.

Ja, bei einer Phishing-Attacke wie dieser sind letztlich alle Varianten gleich schwach. Gute Gründe für starke Passwörter gibt es trotzdem genug.
Im Datenschutzalltag stellt sich oft die Frage nach der optimalen Passwortrichtlinie. “Hauptsache, besser sein als die Hotmail-Nutzer” , möchte ich ausrufen. Persönlich enmpfehle ich lieber lange Passwörter als häufig wechselnde (die oft zu Post-Its am Bildschirm oder unter der Tastatur führen) sowie einen (Mindest-)Mix aus Groß- und Kleinbuchstaben. Zwangsziffern sind – wegen der Entropie – nicht das Gelbe vom Ei, das habe ich von Thomas Maus gelernt, z.B. hier oder umfangreicher in der DuD.

Dabei könnte es so leicht sein: Manche meiner hochkomplexen Passwörter bringen mich mitten im Datenschutzalltag zum Lächeln – und das verdanke ich diesem Film. Nicht die reine Lehre, ich weiß – aber besser als 123456

Er ist im Schnitt 41 Jahre und schon zehn Jahre in der Firma – Verräter von Dienstgeheimnissen oder Wirtschaftsspione kommen zu 70 Prozent aus dem eigenen Unternehmen, ergab eine Studie zur Wirtschafts- und Industriespionage in Baden-Württemberg, die am Freitag in Karlsruhe bei der Sicherheitsmesse SAFEKON vorgestellt wurde. Externe Täter hatten im Schnitt seit sechs Jahren eine Geschäftsverbindung. Bei Verstößen gegen das Urheberrecht kommen die Täter aber am häufigsten aus Asien, gefolgt von deutschen und westeuropäischen Firmen-Spionen, so die Untersuchung, die unter anderem vom Ferdinand-Steinbeis-Institut erarbeitet wurde.

Was mich erschreckt, ist die himmelschreiende Selbsttäuschung bezüglich der eigenen Mitarbeiter:

Insgesamt zeigt sich, dass der Verrat von Geschäfts- und Betriebsgeheimnissen typischerweise von unternehmensnahen Tätern begangen wird. Dennoch schätzen die Unternehmen ihr Risiko, dass ihre Geschäfts- und Betriebsgeheimnisse ausgespäht oder verraten werden, durch technische Angriffe (24%) weitaus höher ein, als durch interne Mitarbeiter/Manager (9%) oder externe Personen/Unternehmen (8%).

Fast zwei Drittel (64%) halten es sogar für unwahrscheinlich, dass eigene Mitarbeiter/Manager betroffen sein könnten. Dies ist eine folgenschwere Fehleinschätzung, wie die Studie belegt. Die größte Tätergruppe stammt aus dem eigenen Unternehmen (44%).

Quelle: SiFo-Studie 2009

Hier hat wohl jemand Paul Baehr wörtlich genommen:

Ja, teurer Freund, du hast sehr recht:
Die Welt ist ganz erbärmlich schlecht,
ein jeder Mensch ein Bösewicht.
Nur du und ich natürlich nicht.

Wer nur von zufriedenen, zuverlässigen und fachkundigen Mitarbeitern und Geschäftspartnern umgeben ist, braucht sich natürlich auch nicht um Sensibilisierung und Sicherheitskonzepte kümmern:

Bedenklich ist außerdem: Schulungen zur Sensibilisierung der Mitarbeiter zum Thema Schutz von Unternehmens-Know-how sind bei weniger als jedem dritten Unternehmen vorhanden (29%) und nur 8% beabsichtigen diese einzuführen. Gleiches gilt für die Einbindung von Geschäftspartnern und Subunternehmern in das Sicherheitskonzept (vorhanden 22%, geplant 5%) oder die Einführung eines Hinweisgebersystems (vorhanden 19%, geplant 7%).

Spätestens hier sind die Parallelen zur aktuellen Datenschutzdiskussion offensichtlich, schließlich liegen die Bereiche eng beieinander.

Wir brauchen informierte und selbst-bewusste Mitarbeiter. Aus der Wahrnehmung und Achtung der eigenen Grundwerte und Grundrechte wächst die Bereitschaft und oft auch die Fähigkeit zum Schutz der Unternehmenswerte. Betriebliche Datenschutzbeauftragte sollen in ihrem Bereich einen Beitrag dazu leisten. Das können sie nur, wenn sie entsprechend ausgebildet und ausgerüstet sind. Die neue butterweiche Fortbildungsverpflichtung im BDSG ist nur ein erster Schritt.

Die “Einbindung von Geschäftspartnern und Subunternehmern in das Sicherheitskonzept” gehört aktuell zum Datenschutzalltag vieler Datenschutzbeauftragter: Spätestens seit dem 01.09.2009 werden überall die angestaubten Verträge zur Auftragsdatenverarbeitung aus den Schubläden geholt und – optimistisch gesehen – mit Leben erfüllt. T-Mobile-Skandal und Gesetzesnovelle sei Dank.

[...] Die Marktforscher von „ The Ponemon Institute“ haben gemeinsam mit PGP die Ergebnisse ihrer jährlichen Studie „German Enterprise Encryption Trends“ vorgestellt. Demnach hatten 53 Prozent der Befragten Unternehmen einen Datendiebstahl in den letzten zwölf Monaten zu vermelden. Ponemon führte die Studie nun schon zum dritten Mal in Deutschland durch. Befragt wurden 490 IT- und Security-Verantwortliche. [...]

Laut der Studie stufen 82 Prozent der deutschen Unternehmen das Thema Datenschutz als „wichtig“ oder „sehr wichtig“ ein.  [...]

Die komplette Studie „German Enterprise Encryption Trends“ kann in Kürze unter www.encryptionreports.com heruntergeladen werden. (ala/Tecchannel)

Quelle: Computerwoche

Grund genug, sich die Studie mal anzuschauen – inzwischen steht auch die deutsche Zusammenfassung auf http://www.encryptionreports.com/ zur Verfügung. Warum der Anbieter (für eine Datenschutz-Studie!) meine komplette Adresse nebst Telefonnumer für den Download braucht, bleibt sein Geheimnis. So ist er eben, der Datenschutzalltag. Jedenfalls gibt man sich  fast überall mit “nn” zufrieden.

Zur Aussage “82 Prozent der deutschen Unternehmen (stufen) das Thema Datenschutz als „wichtig“ oder „sehr wichtig“ ein” findet sich leider keine Folie. Schade! Beim Weiterlesen beschleicht mich das leise Gefühl, dass wieder einmal nicht sauber zwischen Datenschutz (im Sinne des BDSG) und Datensicherheit unterschieden wurde

Zum Ausgleich wird es auf Seite 9 richtig lustig:  35% der Befragten gaben an anderer Stelle an, dass sie sensible/vertrauliche Daten verschlüsseln, um die gesetzlichen Datenschutz- und -sicherheitsbestimmungen einzuhalten.

Bei der Frage, welche dieser Bestimmungen für sie denn besonders wichtig wären, kreuzten

• 81% “Bundesdatenschutzgesetz” und
• 43% “Deutsches Bundesdatenschutzgesetz”

an. Ich bin seit gefühlten tausend Jahren Datenschutzberater – vermutlich habe ich das “Deutsche Bundesdatenschutzgesetz” bisher irgendwie übersehen!? Die Befragten waren “490 in Deutschland ansässige IT-Manager und Geschäftsführer, Analysten und leitende Angestellte aus den IT-Abteilungen” und haben durchschnittlich  “mehr als elf Jahre Erfahrung im Bereich der Datensicherheit” (Beides aus Studie, S. 7).

Au Backe.  Am Ende doch nicht so lustig, oder?

Kennen Sie die “Prüfanstalt für technische Wiedergutmachung”? Nein? Können Sie auch gar nicht, denn dieses Institut gibt es gar nicht. Wir haben einen Kollegen auf die Straße geschickt, ausgestattet mit einem erfundenen Prüfsiegel, einem nachgemachtem Fragebogen und den nötigen Utensilien, um sogar eine DNA-Probe nehmen zu können – Das ganze gedreht mit der versteckten Kamera.

Ganz freundlich fragen wir Passanten, welche Krankheiten sie haben und wie viel sie verdienen, bitten um Kontonummern und den Personalausweis. Sie glauben, niemand gibt Auskunft? Irrtum!

Quelle c’t-TV

“Gucken Sie doch einfach mal selbst”, meint der Moderator.

Nach deprimierenden 8 Minuten bleibt nur die vage Hoffnung auf eine kommende Generation, die schon zeitig aus selbst erlittenem Schaden klug wird.

Oder hat jemand eine bessere Idee?