“Flüchtigkeitsfehler” bei Kundendaten!

meine Flaggen

Derzeit treffen zwei Überraschungen aufeinander: Die Bevölkerung und teile der Datenschutz-Gemeinde und Presse tun überrascht, dass massiv Daten illegal weitergegeben werden. Aktive IT-Experten sind dagegen überrascht, dass die bisher gezahlten Schweigegelder z.B. bei Datenklau in Banken ausreichten, die eklatanten Sicherheitsmängel und Löcher zu überdecken. Man fragt sich manchmal, warum noch nicht wesentlich mehr passiert ist. Sind Unternehmen, die abhängig von Kundendaten sind, ausreichend gegen interne und externe Angriffe gewappnet oder sind die publik gewordenen Skandale nicht nur die Spitze des Eisbergs und Vorbote einer Welle “flüchtiger Daten” ?

Daten-Skandale in Deutschland von 2008

Folgende Schlagzeilen begleiteten uns, chronologisch geordnet, durch das Jahr 2008:

“BND kauft für 4,2 Mio. € DVD mit Daten aus Liechtensteiner Stiftungen”, Berichte vom 28. Februar

Die Aufdeckung von Steuerhinterziehungen wie die von Ex-Post Chef Zumwinkel mit Hilfe von gestohlenen Daten bleibt umstritten.

“Rene Obermann stößt Aufarbeitung von Telekom Inhouse Spionage an”, Ende April

Seit 2005 versuchte die Geschäftsleitung per illegalem Abhören von Mitarbeitern und Journalisten “Löcher zu stopfen”. WDR-Bericht

“LDAP-Exploit von 26.000 Studentendaten der Uni Göttingen”, Heise Bericht vom 2. Oktober

Hacker verweisen auf Sicherheitslücke und stellen nach Ignorierung der Warnung Daten ins Web. Heise-Artikel

“Diebstahl von 17 Millionen T-Mobile Kundendaten wird publik”, Spiegel-Bericht vom 4. Oktober

Spiegel publiziert Massendiebstahl von Mobil+Adressdaten den T-Mobile bereits 2006 zur Anzeige gebracht hatte.

“T-Mobile Kundendaten inklusive Bankverbindung per Web einsehbar”, Spiegel-Bericht vom 11. Oktober

Spiegel deckte auf das jeder zweite Kunde von T-Mobile im Exploit nicht nur sichtbar war, sondern z.B. auch seine Bankverbindung änderbar.

“LottoTeam bzw. dessen externe Dienstleister missbrauchen 17.000 Kundendaten”, Berichte vom 12. Oktober

Scheinbar von der SKL stammende Daten werden für Spamanrufe mit anschließend fingierte Verträge kriminell missbraucht.

“Paket mit 21 Millionen Bankverbindungen und Vermögensdaten im Umlauf”, Bericht der Wirtschaftswoche vom 7. Dezember

Dem Magazin wurde das Paket für 12 Mio. € zum Kauf angeboten und ein Sample mit 1,2 Millionen Daten vorab zugespielt.

“Datenklau von 10.000den Kreditkarteninfos und separaten PINs bei der LBB”, Berichte vom 13.Dezember

Die Frankfurter Rundschau erhielt analoge Microfiche-Sammlung von Kreditkarteninformationen aus dem Hause LBB sowie dessen IT-Dienstleister Atos Worldline. Fokus Artikel

Was sind mögliche Schadenpotentiale, wenn ein Unternehmen Kundendaten an Außenstehende verliert und die Presse “Wind davon bekommt”? Meine persönlichen Top10-Kandidaten:

1. Einfacher Image-Schaden + Rückstellungen für Regressforderungen “bloßgestellter Kunden”:Beginnen wir mit einer wirklich vagen Schadenskategorie, bei der Nutzen und Schaden nahezu nicht quantifizierbar sind. Beim Fall der vor 2 Jahren gestohlenen T-Mobile Daten (Rufnummer und Anschrift) wird ein vorsichtiger Controller ggf. buchhaltärische Rückstellungen vornehmen. Eine Schadensersatzforderung gegen T-Mobile, bei der René Obermann noch als Aufklärer und Entschuldiger sein Image verbessert hat, ist de facto nicht möglich.
2. Einbruch in Kundenentwicklung wegen Vertrauensschadens:Schwerer wiegen da schon Verluste von Credentials, also Zugangsinformationen zu Nutzer- oder Geldkonten. Da, wie im Fall der LBB, Bankgeschäfte massiv auf Vertrauen beruhen, kann eine derartig brisante Sicherheitslücke zur Brandmarkung als schwarzes Schaf unter “guten Banken” führen. Ob hier nur einige Prozent Kundenschwund und entgangenes Wachstum zu beklagen ist, bleibt abzuwarten.
3. Schäden aus kriminellen Handlungen auf Basis gestohlener Daten:Käufer gestohlener Daten wollen ihr Investment in Geld umwandeln, was entweder durch Weiterverkauf oder am Ende durch kriminellen Mißbrauch der Daten geschieht. Schwer sichtbar ist Datenkauf im Fall von Industriespionage oder geheimdienstlicher Aktionen, die zweifelsfrei öfter geschieht als der zweite Fall. Dieser besteht z.B. in dem Vortäuschen von Verträgen, wie im Fall der SKL-Daten. Hier wurde den Opfern, deren Bankdaten man kannte, über die Call-Center-Masche Verträge unterstellt, die sie nie abgeschlossen hatten. In einer Zeit in der die Opfer-Kommunikation über das Web 2.0 rasant schnell verläuft, scheinen diese Form von Massenverbrechen an geklauten Massendaten aber im Aussterben begriffen. Eher vorstellbar sind Anschläge der leisen Form mit Mikrobeträgen oder komplette Räumungen von gut gefüllten Konten über eine Briefkastenfirma in einem Steuerparadies, denen Verschwiegenheit mehr Wert ist als sonstige ethische Maßstäbe.
4. Kosten für direkte technische Aufräumarbeiten “Stopfen der Löcher”:Sehr oft liegen, selbst bei äußerst renomierten Firmen, die Schlüssel zum Banktresor im Blumentopf rechts neben der Eingangstür. Selbst bei einer trivialen Lücke, kann man davon ausgehen, dass ein kleines Projekt aufgesetzt wird, dass in vielen Meetings letztlich beschließt, eine sinnvolle Authentifizierung einzuführen und den Schlüssel in Zukunft besser zu verstecken, beispielsweise unter der Fußmatte (mehr Infos hier). In großen Unternehmen betragen die Vollkosten eines solchen Projekts mindestens einige hundertausend Euro.
5. Kosten für die Vermeidung ähnlichen Katastrophen (Prophylaxe):Zu selten geschieht in Unternehmen das, was in der Politik häufig praktiziert wird: Ein Pendel schlägt nach einer Katastrophe sehr stark in eine Richtung aus, um Wiederholungen nahezu auszuschließen. Technisch gesehen heißt Prophylaxe oft komplettes Auswechseln großer Bereiche einer IT-Architektur oder zumindest formalisierte Sicherheitschecks, die ein ehemaliges 5-Tage Quickshot Projekt in ein 3-Monate Monster verwandeln und die Marketing-Abteilungen auf harte Geduldsproben stellen. Ernst gemeinte und gut betriebene Reformierung der IT-Prozesse kann sie schlank, schnell und sicher machen – kostet allerdings in der Anschaffung Millionen!
6. Kosten für proaktive Aufräumarbeiten:Es gibt eine besondere Form des Aufräumens, falls die Bedrohung durch z.B. gestohlene Kreditkarten-PINs zu stark ist: Hier sind Neuausstellungen von Karten mit neuen PINs häufig unumgänglich. Samt des dafür notwendigen internen Projekts, physischer Zustellung und Kommunikation mit dem Kunden kommen schnell 5 bis 50 Euro pro betroffenen Kunden zusammen. (Manche Call-Center bemessen bereits einen Kundenanruf mit internen Kosten von einigen Euro)
7. Kostspielige Unruhe in der Unternehmensorganisation:Das Mitarbeiter in der Kantine über Skandale reden, ist kein Schaden, sondern ein sehr wichtiges Bewußtwerden, wie wichtig Sicherheit und Integrität beim Produktionsfaktor “Kundendaten” sind. Auf der anderen Seite sind auch Auswüchse zu beobachten, die ins Geld gehen: Es bilden sich interne Fronten bishin zur Bespitzelung von Mitarbeitern und Journalisten (siehe Telekom-Skandal). Die Einführung von Risiko- und Qualitätsmanagement führt zur Verschiebung in der Machtbalance zwischen Fachabteilungen und interner oder externer Technik. Projekte verändern ihre Kostenstruktur und Dauer oder werden von vornherein abgelehnt.
8. Abfindungen für rollende Köpfe:Das ein Unternehmen von schlecht arbeitenden Top-Managern Schadenersatz verlangt, wie dies im Zuge der Korruptionsskandale bei Siemens geschieht, ist die absolute Ausnahme. Eher sind die Arbeitsverträge hochbezahlter Führungskräfte so gestrickt, dass sie selbst bei offensichtlichen Nichtstun gegen Bedrohungen der Firma, zwar aus dem Unternehmen fliegen, aber bei diesem Ausscheidungsvorgang noch Abfindungen in Große von Jahresgehältern mitnehmen.
9. Schaden aus nicht publik gewordenen flüchtigen Daten:Nehmen wir einmal an, die Firma macht die öffentliche Rechnung auf, welchen Schaden ihr durch den Datenskandal entstanden ist. Ist nicht anzunehmen, dass bei Firmen mit laxen Sicherheitsstandards und gemobbten, ausgenutzten Mitarbeitern, nicht wesentlich mehr Informationen aus dem Unternehmen gewandert sind? Ist dieser Teil des Schadenseisbergs unter der Wasserlinie nicht bedeutender als der publik gewordene? Was ist mit den unbemerkten Verbrechen? Was geschieht, wenn Daten nicht kopiert, sondern wichtige Bestands- und Transaktionsdaten unbrauchbar gemacht werden?
10. Schäden für Kunden, die besser durchleuchtet werden:Unternehmen sind rational agierende Externalisierer von Schulden und Schäden. Ein Umweltschaden, den man der Allgemeinheit aufbürden kann, wird ebenso gern betrieben wie die Inkaufnahme von Belastungen der Kunden, gerade wenn ein Datendiebstahl noch verborgen ist und man ihn hofft auszusitzen. Sollte es dann zur Aufdeckung durch die “böse Presse” kommen, ist oft eine Salamitaktik in der Informationspolitik zu beobachten. Selbst bei direkten Schädigungen der Kunden, deren Bankkonten geplündert wurden, ist die Chance groß, dass die bestohlene Firma Rückzahlungen verschleppt oder sogar grundweg ablehnt.Ist eine Frau geschädigt, deren EVN im Internet auftaucht, woraus ein betrogener Ehemann die Gespräche mit Giacomo ermittelt? Ist Herr Zumwinkel ein Opfer, wenn vorgebliche Stiftungen seinen Ruf beschädigen und zu massiven Nachzahlungen beim deutschen Fiskus führen?

Manager aus den Reihen der Unternehmensführung sind oft entsetzt, welche Schadenslawine ein simpler Datendiebstahl auf einem USB-Stick für 8 Euro auf einen zurollen kann. Sicherlich ist bei genauer Analyse des Schadensfalls eine Katastrophenstimmung wie bei der Finanzkrise nicht angebracht; Kosten und entgangene Gewinne liegen hoch aber nicht auf einem existenzgefährdenden Niveau. Eine Firma, die unter dem doppelten Verkaufspreis der gestohlenen Daten davon kommt, würde mich persönlich sehr überraschen. Dieser beträgt heutzutage …

Die große Ausrede: “Sorry, das Restrisiko ist nun mal da!”

Ein guter Aspekt in den Datenkatastrophen ist zunächst, dass sogar Finanzdienstleister mit gequältem Gesichtsausdruck heute zugeben müssen, dass Fraud, also Betrugsfälle auf Basis von geklauten Daten, möglich sind und nicht mehr pauschal wie in der Vergangenheit auf die Schultern der geschädigten Kunden abgewältzt werden können. So änderte sich die Argumentation der Pressesprecher großer Unternehmen von “unsere Systeme sind 100%ig sicher” hin zu “gegen kriminelle Individuen mit extrem hoher technischer Kompetenz kann man sich prinzipiell nicht wehren”. Auch wenn so eine Feststellung prinzipiell richtig ist, stellt sie doch im Jahr 2008 noch eine bewusste Beschönigung technischer Löcher und Unverständnis bei vielen Firmen dar. So lange triviale und mittelschwere Sicherheitslöcher nicht gestopft sind, kann sich keine Firma derartig rausreden. Beispiele für triviale Löcher reichen von “Fehlende Kontrolle der Kontrolleure” bis zu “Fehlende Motivation Datenschutz zu implementieren und zu betreiben” (siehe meine Top-10 der Versäumnisse)

Datendiebe: Von Skript-Kiddies bis korrupten Managern

Bei kriminellen Handlungen ist es zunächst sinnvoll, nach der Zielsetzung bzw. Motivation der Täter zu fragen. Diese reicht von spielerische Ausspähung durch Teenager über Mitnahme sensibler Information durch gemobbte Mitarbeiter bishin zur beauftragten Sammlung oder physischen Einbruch in die Rechenzentren.

Leider ist zu beobachten, dass selbst Skipt-Kids mit wenig Know-How oftmals auf ungesicherte Systeme stoßen, die leicht auszuspähen sind. Ein Gericht, das einen Jugendlichen verurteilen müsste, der ein offenstehendes Anwesen ausgeraubt hat, wird sicherlich das Strafmaß senken. Schließlich ist es prinzipiell die Pflicht der Datenbesitzer, den Zugang nach besten Gewissen und Stand der Technik zu schützen.

Es ist nicht chique in Tagen der Mitarbeiterobservierung z.B. durch Lidl zu behaupten, die größte Gefahr geht von innen aus. Eine Absicherung, die aber nur auf Technik und Arbeitsanweisungen (Organisation) setzt, die Verantwortung des Personals aber nur indirekt im Fokus hat, wird scheitern. Die Spanne sinnvoller Maßnahmen ist weit. Sie reicht von verpflichtenden Einstiegsschulungen z.B. über Passwortgebrauch und Clean-Desk-Policies bishin zum effektiven Kontakt sicherheitskritischer Posten mit der internen Revision.

Aktionismus und sinnvolle Maßnahmen?

Bevor man garnichts tut, ist Aktionismus sicherlich nicht schlecht, denn irgendetwas wird in den Köpfen schon zurückbleiben. Besser wäre es sinnvoll dem Problem des Datenklaus zu begegnen. Hier zwei Beispiele fehlgerichteter Management-Entscheidungen:

• Problem nicht ernstgenommen: Es gibt viele Gründe für Chefs, auch nach einem Skandal nur wenig Einsicht zu zeigen. Diese reichen von “das ist doch nur ein technisches Problem” über “meine Mitarbeiter machen sowas nicht” bis zu “solche Katastrophen müssen unter den Teppich gekehrt werden”. So wundert es nicht, wenn ausser Appellen und ein wenig Sicherheits-PR nicht viel geschieht.
• Geld allein löst das Problem: Externe Berater könnten vorschlagen, die Sicherheitskosten auf x% der IT-Ausgaben zu erhöhen. So stünde man mit den Vorreitern der Branche zwar buchhaltärisch auf einer Ebene, verschwendet möglicherweise aber Resssourcen durch eine dumme IT-Strategie.

Frage 1: Spitze des Eisbergs flüchtiger Daten?

Die Dunkelziffer bemerkter Datendiebstähle ist groß. Die Dunkelziffer unbemerkter Kopien definitionsgemäß größer. Betrachtet man aber nur Kundendaten ist die Zahl aus zwei Gründen nicht so dramatisch wie man aus Angst vermuten könnte: Zunächst wird ein Mitarbeiter, der z.B. das interne Adressbuch der Firma kopiert, um mit Kollegen in Kontakt zu bleiben nur selten die Motivation haben, eine harte Straftat mit Kundendaten zu begehen. Zum anderen sind kopierte Daten immer unspannender, weil z.B. Name und Anschrift bequem über (halb-)legale Quellen erworben werden können. Besitzt man z.B. die Pin-Daten von Mobilfunk-Kunden einer Telco-Firma, könnte man sich fragen, welchen Nutzen ein Dieb daraus ziehen kann. Theoretisch wäre es möglich einen Clone einer Sim-Karte zu produzieren, um dann auf dem Konto eines existierenden Benutzers zu telefonieren. Der organisatorisch-technische Aufwand um dies zu tun, ist bereits im Einzelfall immens. In der Masse müsste ein Angriff generalstabsmäßig geplant werden und ist sehr unwahrscheinlich.

Zussammengefasst werden Daten aufgrund zentraler digitaler Erfassung und technischer Kopiermöglichkeiten immer flüchtiger, allerdings sollte man auch das Schadenspotential potentieller Löcher realistisch einschätzen.

Frage 2: Neue deutsche Welle flüchtiger Daten?

Wahrscheinlich wird es noch einige Jahre bemerkenswerte Diebstähle geben, bis sich die Unternehmen gut abgesichert haben werden. Bis dahin sind Spammer, Bankkonto-Plünderer und andere Kriminelle nicht nur in Deutschland sehr interessiert an dem Gespräch mit korrupten IT-Mitarbeitern und Datenhehlern. Nicht nur in Deutschland hat man erkannt, dass über einen USB-Stick eine Millionen “Kunden” bequem zu transportieren sind. Ein Massendelikt auf Basis dieser Daten ist schwer durchführbar aber nicht unmöglich, wie wir am Beispiel des LottoTeams sahen.

Der Diebstahl von sogenannten Masterdaten ist aber nur ein Teil sicherungswürdiger Informationen. Darüber hinaus sind Transaktionsdaten, z.B. abgefangene TANs, Gesprächsdaten und Mails, etc. für viele Industrie-Spione wesentlich interessanter. Gleichzeitig boomt der Toolmarkt von Auswertungswerkzeugen, die aus Datensammlungen wichtige Statistiken ermittlen. Ein Unternehmen von heute möchte sich kundenfreundlich darstellen, aber bestimmt nicht gläsern sein bezüglich der tatsächlichen Leistungsfähigkeit bzw. deren Leichen im Keller.

Fazit

Wenn immer öfter sogenannte Skandale unser Weltbild der perfekt geschützten Unternehmen ins Wanken bringen, dann könnte auch an unserem Weltbild etwas nicht in Ordnung sein. Die gesamte IT-Industrie strebt nach universeller Verfügbarkeit des “ubiquotous computing” und der Kosteneinsparung z.B. durch Nutzung öffentlicher Datenkanäle (VPN) oder schwach geschützer Browser-Frontends – Sicherheitsdenken und Qualitätsbewußtsein bleibt bei Managern auf der Strecke, die noch 100 Features über indische Entwickler erstellen lassen, um sie dann in sehr fragmentierte Firmennetze aktiv zu schalten.

Im positven Fall lösen Skandale Heilungsprozesse aus, bei denen IT-Architekten mit Ihren Vorschlägen verstärkt gehört werden, denn technisch kann man heute schon viele “Flüchtigkeitslöcher” stopfen. Bei krimineller Energie sind natürlich auch innerhalb des Unternehmens Verschwiegenheitserklärungen nicht das Papier wert, auf dem sie stehen. Wenn gar Unternehmen Ihre Mitarbeiter oder Kunden bespitzeln wird schnell aus “kriminell” – “strategisch” und aus “Bespitzelung” – “Auswertung verdächtiger Subjekte”. Auch hier gibt es zu häufig fehlende Erklärungen, die Notwendiges vom Unethischen trennen sowie eine technisch-organisatorische Eindämmung des maximalen Schadens, die ein Mitarbeiter dem Unternehmen zufügen kann. Solange z.B. im Telefonie-Bereich staatlich verordnete Bespitzelungsmöglichkeiten (ETSI-Normen, TKV§5 etc.) im Vordergrund stehen, werden die berechtigten Stimmen des Daten-Verzichts und Daten-Vergessens überhört.

Ein abschließendes Wort an “uns Kunden”: Auch Banken und deren IT besteht aus Menschen, denen Fehler unterlaufen. Ihr Geld ist trotzdem sehr sicher. Eine gesundes Mißtrauen und vielleicht monatliche Kontrolle unserer Ausgaben steht uns sehr gut zu Gesicht. Banken müssen auf Basis ihrer Gewinne sowie der 0 Euro Kontoführungsgebühr operieren, was bezogen auf Sicherheitsinvestitionen pro Kunde ein Zielkonflikt darstellt. Die Dauer unserer Liebesbeziehungen und Ehen beträgt nur einige Jahre, die unserer Bankbeziehungen ist im Durchschnitt wesentlich länger. Wie sähe eine Welt aus, in der wir unseren Partnern mehr vergeben würden und Unternehmen, die nur “unser Bestes wollen”, kritischer hinterfragten?