Veröffentlicht am Kategorien Kommentar, News, PraxisTags , , , , , , , , , , , , 1 Comment

Nicht nur Skimming: Computerkriminalität im Alltag

Es war dieser Woche schon in der Presse:

Nach Angaben des Bundeskriminalamts (BKA) kam es im Jahr 2008 in Deutschland zu einem massiven Anstieg der Manipulationen von Geldautomaten. Rund 2400 Angriffe auf Geldautomaten hat das BKA 2008 verzeichnet, während es 2007 noch 1349 waren. Dabei waren allerdings nur 809 verschiedene Geldautomaten das Ziel der sogenannten Skimming-Attacken.

Wenn man hier im Blog in die Kommentare blickt, erkennt man schnell, wie dummdreist bis naiv mancher Konsument bis heute ist. Grund genug das Thema kurz aufzugreifen.

Nicht nur Skimming: Computerkriminalität im Alltag weiterlesen

Veröffentlicht am Kategorien Kommentar, NewsTags , , , , , , , 8 Comments

Ausblick: ePass im Jahr 2010

Ich bin wieder der einzige, dem bei sowas schlecht wird?

„Bei der Registrierung meldet sich der Bürger-Client, und es erscheint die Anzeige, dass jemand auf meinen Personalausweis zugreifen möchte.“ Die geforderten Daten werden vom Client angezeigt und zur Freigabe bedarf es dann nur noch der Eingabe der sechsstelligen PIN; die sonst von Hand einzugebenden Daten werden anschließend automatisch übernommen. Beim späteren Login in das Konto braucht der Kunde ebenfalls nur noch die eID per Kartenleser zu präsentieren und mit der PIN-Eingabe freizugeben;

Mal abgesehen davon, dass heute alle aufschreien, wie leicht Geldautomaten-Skimming ist und wir unsere Identität nicht nur auf einem ohne physischen Kontakt auslesbaren RFID-CHIP ablegen wollen, sondern den ebenfalls nur mit einer (immerhin 6stelligen) PIN „absichern“.

Dazu kommt dann noch, dass die hinterlegte PIN problemlos geändert werden kann, dazu habe ich hier schon was geschrieben. Insofern ist die gute alte EC-Karte im Regelfall wenigstens sicherer: Da kann der PIN bei den meisten Instituten (Ausnahme scheint die Deutsche Bank zu sein) zumindest nicht noch geändert werden.

Veröffentlicht am Kategorien NewsTags , , , , , , , , , , , , , , , , , Leave a comment

News zum Thema Datenschutz (3/2008)

Eine Sammlung von aktuellen News rund um das Thema Datenschutz und Datensicherheit

News zum Thema Datenschutz (3/2008) weiterlesen

Veröffentlicht am Kategorien NewsTags , , , , , , , , , , 1 Comment

Kriminalitätsentwicklung im Sektor IT und Kartenzahlung

Das BKA hat heute Entwicklungen im Bereich Kriminalität bekannt gegeben. Daraus hier ein Auszug für den IT-Sektor und den Bereich der Kartenzahlungen. Bemerkenswert ist, wie selbst altbackene Techniken wie das „Phishing“ immer weiter um sich greifen – was sich aber auch mit der Zone-H Statistik (hier berichtet) deckt, in der das Abgreifen von Passwörtern mit die grösste Lücke ist.

Am Ende bleibt nur eines: Der Verbraucher, wie auch der Mittelstand, müssen sich dringend informieren und auch informieren lassen. Vor allem sind wir noch weit vom „mündigen Verbraucher“ entfernt, vielmehr stelle ich immer wieder den „naiven Verbraucher“ fest, der sogar glaubt, bescheid zu wissen – und dann in trügerischer Sicherheit Fehler in Konsum wie Datenweitergabe begeht. Gerade die Sparkasse oder der Händler „um die Ecke“ wird zunehmend in den Fokus Krimineller geraten – es gilt, sich als Händler jetzt beraten zu lassen.

Im Folgenden die Zahlen des BKA:

Kriminalitätsentwicklung im Sektor IT und Kartenzahlung weiterlesen

Veröffentlicht am Kategorien NewsTags , , , , , , , , 4 Comments

Nutzung von Videoaufzeichnungen und Kontodaten zur Feststellung des Verursachers einer Verunreinigung

Die Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich hat das datenschutzrechtliche Überprüfungsverfahren im Falle der Stuttgarter Volksbank abgeschlossen.

Über die Aktion der Bank wurde in den Medien bundesweit berichtet, dazu hier im Blog. Im Eingangsbereich der Bank war es vor einem Geldautomaten Anfang Dezember 2007 durch ein Kind zu Verunreinigungen gekommen. Da zur Beseitigung ein Reinigungsunternehmen beauftragt wurde, wollte die Bank diese Kosten in Höhe von fast 53 Euro geltend machen. Zur Identitätsfeststellung hat das Unternehmen deshalb die Bilder der Kundin, die die Videoüberwachungsanlage am Geldautomaten aufgezeichnet hat, und ihre Kontendaten ausgewertet und genutzt. Ende Januar wurde sie unter Hinweis auf die Videoüberwachung in der Filiale gebeten, die Rechnung für die Reinigungskosten zu übernehmen. Diese Forderung wurde zwischenzeitlich zurückgenommen.

Nutzung von Videoaufzeichnungen und Kontodaten zur Feststellung des Verursachers einer Verunreinigung weiterlesen

Veröffentlicht am Kategorien Kommentar, NewsTags , , , , , , 3 Comments

Mit Videoüberwachung nach Kundin gefahndet (Update)

Ein Bericht der Stuttgarter Zeitung lässt aufhorchen:

Die Stuttgarter Volksbank hat einer Kundin eine Rechnung für Reinigungskosten geschickt. Aufgrund der Videoüberwachung sei festgestellt worden, dass es bei ihrem Besuch zu einer Verunreinigung gekommen sei. Nun ermittelt der oberste Datenschützer.

Der Brief, den Eva Herre vor wenigen Tagen aus dem Postkasten fischte, musste die 34-Jährige gleich mehrfach lesen, bis sie ihren Augen trauen konnte. „Sehr geehrte Frau Herre“, steht darin geschrieben, „aufgrund der Videoüberwachung in unserer Filiale konnten wir feststellen, dass es resultierend aus Ihrem Besuch unseres Geldautomatenbereichs zu einer fäkalen Verunreinigung kam. Wir bitten Sie daher, für die entstandenen Reinigungkosten aufzukommen.“

Absender des Schreibens ist die Stuttgarter Volksbank, dem Brief beigelegt wurde eine Handwerkerrechnung über 52,96 Euro für „eine Stunde Arbeitszeit Meister/Obermonteur“. Zahlbar innerhalb von 14 Tagen.

Dazu auch das RA-Blog und das Lawblog sowie Golem. Der Sachverhalt darf wohl als Beispiel dafür dienen, wie weitgreifend eine umfassende Videoüberwachung ist – und wie selbst Alltagshandlungen plötzlich zu empfindlichen Einschnitten in das Privatleben führen können. Man darf auch nicht übersehen, dass scheinbar schon jetzt der Punkt erreicht ist, dass für Banalitäten die Ergebnisse solcher Überwachung ausgewertet werden – Hundekot hin oder her, hier ging es um einen verschmutzten Boden, Alltag für Geschäfte mit Besucherverkehr. Hinu kommt, dass über §828 BGB Kinder in diesem Alter ohnehin nicht für Schäden haften, was am Ende alles die Bank nicht abgehalten hat, derart mit den Daten ihrer eigenen Kunden umzugehen.

Die rechtliche Grundlage für die Videoüberwachung ist übrigens §6b BDSG, auch wenn es mitunter umstritten ist, ob es sich bei einem -nur via EC-Karte zu betretenden Vorraum- um einen öffentlichen Raum handelt: Im Simitis-Kommentar wird dies bejaht, der Gola/Schomerus sieht das scheinbar kritisch. Insofern ist dies auch nicht ganz eindeutig, wenn die herrschende Auffassung aber wohl auf den §6b BDSG abstellt. Dies alleine zeigt aber deutlich, wie wichtig gute Beratung in diesem Bereich ist, da selbst schinebar einfache Gesetzestexte noch unterschiedlich ausgelegt werden können.

Anmerkung: Man sollte sich auch die Frage stellen, inwieweit man es gutheissen will, dass hier der Bank vertrauliche Daten zur Verfügung gestellt werden um ein Konto zu führne, die dann eventuell „einfach durchgesehen“ werden um anderen Zwecken zu dienen. Die Zweckentfremdung der vorhandenen Daten lässt aufhorchen und kritisch fragen, wozu die ggfs. noch genutzt werden würden. Angesichts des enormen Image-Schadens den die Bank hier riskiert (für gerade mal 50 Euro) und mit einem „kein Problem“ quittiert wäre sie gut beraten, von Stellungnahmen bis zur Rückkehr der für den Datenschutz verantwortlichen Person aus dem Urlaub abzusehen.

Update: Wie Heise berichtet, wurde die Kundin identifiziert, indem man die Daten von ihrem Gebrauch des Geldautomatens ausgelesen und dann zugeordnet hat. Dazu ein erneutes Update: Laut einem Nachtrag bei Heise soll es sich nicht um Hundekot gehandelt haben sondern direkt von der kleinen Tochter stammen, weswegen die Bank sogar auf einer Sachbeschädigung besteht.

Update, 6.2.08: Nun berichtet Heise, dass die Bank die „gütliche Einigung“ sucht. Gleichzeitig finde ich in einem Blog einen Kommentar der mich aufhorchen lässt, wenn er denn war sein sollte (was man ja kritisch sehen muss bei anonymen Kommentaren):

Ich war ja mal für kurze Zeit ein Volksbanker. Damals war flächendeckende Überwachung noch nicht so in aller Munde.

Jedenfalls hatte eines Nachts mal ein Kunde ein Paar alte Schuhe auf dem Geldautomaten der Hauptstelle in Meschede vergessen. Wir haben dann die Videobänder der Nacht eingesehen, um an den Timecode zu kommen. Mit dem Timecode und den Logdateien des Geldautomaten konnten wir die Schuhe einem Kunden zuordnen. Er hat sich gefreut, dass er seine Schuhe wiederbekam.

Update: Die Stellungnahme der Datenschützer liegt vor, hier zu lesen