Wo Datenmisthaufen sind, da sind auch Datenkäfer.

Es gibt ein ganz einfaches Gesetz beim Bilden von Vorratsdatenhaltungen: Sammle Daten wie ein Weltmeister und du wirst Freunde gewinnen, von denen du später weißt, dass du sie in diesem Zusammenhang am besten nie kennengelernt hättest. Das müssen sich vor allem Leute heutzutage fragen, die in der Ära Mehdorn in der Führungsriege der Deutschen Bahn gearbeitet haben.

Immer wieder erstaunlich ist dabei, wer da alles in welchen Daten herumgeschnüffelt hat und es offenbar lange Zeit null Widerstände oder ein „unangenehmes Bauchgefühl“ bei Verantwortlichen gab. Die hübscheste Randnotiz dabei ist das, was der Heise-Newsticker heute schreibt, nämlich dass in den Jahren 1994 und 1998 die Deutsche Bahn im Auftrag der Gewerkschaft (!) Transnet überprüft hat, ob Mitarbeiter der Deutschen Bahn, die in Transnet gewerkschaftlich organisiert sind, auch satzungsgemäße Gewerkschaftsbeiträge abführen, die sich grundsätzlich nach der Gehaltshöhe orientieren.

Und das ist dann eine sehr spannende Verquickung, denn die Gewerkschaften sind im Aufsichtsrat der Deutschen Bahn AG vertreten und zudem eigentlich auf der anderen Seite des Managements und auf Seiten der Mitarbeiterschaft. Wenn es aber gilt, den eigenen Hintern einpudern zu lassen, dann gibt es offenkundig keine Skrupel mehr.

WISO und das Datenleck.

Ich halte das ZDF-Verbrauchermagazin WISO schon seit einer ganzen Weile für ein hyperventilierendes Skandal-Aufdecken-Magazin für die eher nicht ganz so überbemittelte Bevölkerungsschicht. Noch nicht für das Prekariat, sondern eher für die engagierten Bürger auf der Stufe des mittelständigen Unternehmers oder des Gymnasiallehrers, die morgens beim Kaffeeziehen am Automaten nicht ganz so proletenhaft auftreten mögen, wie die Belegschaft der unteren Gehaltsgruppen. Lange her die Zeiten, als frühere Inkarnationen von WISO (damals noch ein Kunstwort aus „Wirtschaft + Soziales“) tatsächlich noch wirtschaftliche Sachverhalte erklärte, aber in der langjährigen Bewegung des ZDF, Magazinsendungen einfacher für des Volkes Verstand zu machen, fiel auch das zum Opfer, neben einer ganzen Reihe von weiteren Magazinsendungen, die komplett aus dem Programm gebügelt wurden.

Da passt es auch toll ins Schema, dass in der WISO-Ankündigung für die heutige Sendung von einem unglaublichen „Datenleck beim elektronisch lesbaren Reisepass“ gesprochen wurde. Quasi jeder könne den digital gescannten Fingerabdruck Anderer in seinen Reisepass schmuggeln und suggeriert wird, als ob das mit einer gewaltigen Einfachheit verbunden ist, die die ganze Maschinerie „Fingerabdruck im Reisepass“ sofort aushöhlen könnte. Sowas schreit förmlich danach, sich den Sendetermin ganz fest einzuplanen und frisches Popcorn zu machen. Und wie es üblich ist bei eher laschen Beiträgen: Sie kommen ganz am Ende der Sendung.

Was war denn in der Geschichte überhaupt passiert? Ein IT-Spezialist und „Ex-Hacker“ (Selbstdarstellung) namens Gunnar Porada hat entdeckt, dass der Fingerabdruckleser in den Meldebehörden die eingescannten Daten unverschlüsselt an den angeschlossenen Computer übermittle:

„So funktioniert der Angriff: Die Fingerabdrücke werden vom Lesegerät an den Behördencomputer übertragen – unverschlüsselt: eine entscheidende Schwachstelle. Der Hacker schleust, etwa übers Internet oder mittels eines präparierten Datenträgers, einen Trojaner, ein speziell entwickeltes Schadprogramm, in den Behördenrechner ein und kann dann die Fingerabdrücke mitlesen und manipulieren.“
Webseite zum Beitrag auf wiso.zdf.de

Ach, so einfach ist das? Beim nächsten Reisepass nehme ich einfach eine CD-ROM mit und bitte den netten Schalterbeamten, diese einfach einzulegen. Oder ich lasse mir seine E-Mail-Adresse geben und maile ihm dann einen Trojaner. Oder ich hacke mich in das Netzwerk einer mittelgroßen Stadt mit mindestens einer vierstelligen Zahl von Rechner im Netzwerk ein, finde die paar Rechner der Meldebehörde, hacke mich da eben mal schnell hinein und manipulieren dann. Ah ja?

„Sicherheitslücken in Behördenrechnern seien, wie bei allen Computern, nicht die Ausnahme, erklärt Gunnar Porada: ‚Die Meldeamtscomputer sind online und wie alle Computer auch des Öfteren von Schwachstellen betroffen, die einfach nicht geschützt werden können. Das heißt: Diese Computer kann man angreifen.'“

Ah ja. Alles klar. Wir haben gelernt:

  • Trojaner sind gefährlich.
  • Rechner in Meldebehörden sind quasi Selbstbedienungsterminals.
  • Der Reisepass ist unsicher.

Wie gut, dass es WISO gibt. Und wie gut, dass es Ex-Hacker gibt. Mit einer komplett flash-basierten Baukasten-Website aus dem Jahre 2005 und ohne Impressumsangaben. Kimble hat in seiner Zeit des „Ex-Hackertums“ wenigstens gelegentlich schöne Fotos gemacht.

Microfiches als moderne Archivierungsmethoden.

Der Sysadm.in-Oliver aus meiner Oliver-Phalanx schreibt in seinem Blog, dass er beim aktuellen Datenklau der Landesbank Berlin in erster Linie bemängele, dass da Microfiches zum Archivieren genutzt werden. Da er in seinem Blog keine Kommentare zulässt (eine Krankheit, wie ich finde), hier mal eine Antwort von mir:

Microfiches mögen zwar altmodisch sein, sind aber in Sachen Haltbar- und Lesbarkeit jedem eletronischen Datenträgersystem, das derzeit existiert, höchstwahrscheinlich mehrfach überlegen. Bei Microfiches setzt man als Mindesthaltbarkeit (bei korrekter Lagerung) mindestens 400 Jahre an und vor allem ist das Auslesen von Microfiches denkbar einfach – man braucht einfach nur ein optisches Lesegerät. Will man einen bewußten Medienbruch in einem Archivierungskonzept haben, sind Microfiches immer noch unschlagbar in der Langzeitarchivierung.

Social failing.

Ich habe gerade im Auto die 16-Uhr-Nachrichten gehört und musste bei der allerersten Nachricht aufpassen, vor Lachen und Staunen nicht in die Leitplanken zu fahren. Der Datenskandal bei der Landesbank Berlin hat sich nämlich aufgeklärt. Wir erinnern uns: Dort ist ein Paket mit offensichtlich sensiblen Kreditkartendaten verschütt gegangen und der Redaktion der Frankfurter Rundschau zugespielt worden.

Des Rätsels Lösung: Zwei Kurierfahrer haben verbotenerweise einen Christstollen, den sie eigentlich hätten liefern sollen, aufgefuttert. Und? Nun, so clever, wie die beiden offenkundig waren, haben sie den Christstollen aufgefuttert, den Versandaufkleber aber sicherheitshalber auf ein anderes Paket gepappt, zufälligerweise eben auf das Paket mit den sensiblen Daten der LBB. Und dummerweise stand auf dem Versandaufkleber als Empfänger die Redaktion der Frankfurter Rundschau, an die eigentlich der Christstollen adressiert war.

Das ist mal sowas von dumm gelaufen, da muss man wirklich schon staunen. 😉

Nachzulesen bei WELT Online, SPIEGEL Online und der Netzeitung. Vorsicht, volle Kaffeetassen vorher abstellen.