Der Sicherheitsanbieter Kaspersky Lab warnt vor Gefahren beim Online-Shopping mit Kreditkarte. Auch wenn bei der aktuellen Kreditkartenaffäre, bei der zahlreiche Bankinstitute mehrere Hunderttausend Kreditkarten austauschen mussten (darunter die Sparkasse, Deutsche Bank und Postbank), noch nicht klar ist, ob es sich hierbei um einen Angriff auf die IT-Systeme eines Dienstleisters für Kreditkartenunternehmen handelte, rät der IT-Sicherheitsexperte bei der Bezahlung per Kreditkarte im Web zur Vorsicht. Cyberkriminelle versuchen verstärkt an Kreditkarteninformationen zu gelangen.

Nach einer Statistik des Branchenverbands Bitkom erledigen 42 Prozent der Deutschen ihre Einkäufe auch über das Internet, Tendenz steigend – ein lukratives Ziel für Cyberbetrüger, gerade in der Vorweihnachtszeit, wenn viele Nutzer ihre Geschenke im Internet kaufen.

Um dennoch sicher im Internet zu shoppen, sollten sich Anwender der bestehenden Gefahr bewusst sein und einige Regeln beachten. Wichtig ist vor allem die gesicherte Transaktion der Zahlung. Wird die Übertragung nicht per SSL-Verschlüsselung abgesichert, sollte man die Transaktion sofort abbrechen.

„Ein weiteres Risiko lauert mitunter auf der eigenen Festplatte“, erklärt Magnus Kalkuhl, Senior Virus Analyst bei Kaspersky Lab. „Keylogger, die im Hintergrund alle Tastatureingaben inklusive der Kreditkartennummer aufzeichnen, sind nicht nur beim Online-Shopping ein Risiko – auch Passwörter für E-Mail, Amazon, PayPal, eBay & Co werden von diesen Schädlingen gesammelt und online an den Angreifer verschickt.“

Neben dem gesunden Menschenverstand beugt eine installierte Antiviren-Software Gefahren beim Online-Shopping vor. Zudem sollten Anwender persönliche Informationen wie Kreditkartennummern nie unverschlüsselt auf dem PC abspeichern.

Die Datenschutz- und Vertragsregeln Sozialer Netzwerke werden verbraucherfreundlicher. Die Anbieter Xing, MySpace, Facebook, Lokalisten, Wer-kennt-Wen und StudiVZ verpflichteten sich in Unterlassungserklärungen, bestimmte Geschäftsbedingungen und Datenschutzbestimmungen nicht mehr zu verwenden.

So verzichten Anbieter etwa künftig darauf, von Nutzern eingestellte Inhalte nach ihrem Belieben zu verwenden. Der Verbraucherzentrale Bundesverband (vzbv) hatte die sechs führenden Betreiber wegen zahlreicher Klauseln abgemahnt.

“Wir werden den Anbietern auf die Finger schauen, wie sie ihre Verpflichtungen umsetzen”, so Vorstand Gerd Billen.

In der Kritik standen Allgemeine Geschäftsbedingungen und Datenschutzbestimmungen, die Nutzer benachteiligen und den Betreibern weitgehende Rechte einräumen. Gegenstand der Verfahren waren insbesondere Regelungen zur umfassenden Datennutzung und Datenverarbeitung. Diese erfolgen oft ohne Einwilligung des Nutzers und weit über den eigentlichen Zweck hinaus. Dies soll in Zukunft anders werden. Die zugesagten Änderungen müssen die Anbieter bis spätestens Januar 2010 umsetzen.

“Wir begrüßen, dass die Betreiber der Sozialen Netzwerke sich kooperativ gezeigt haben”, so Carola Elbrecht, Leiterin des Projekts “Verbraucherrechte in der digitalen Welt“.

Für den Verbraucherzentrale Bundesverband ist indes klar: Alle Betreiber Sozialer Netzwerke müssen deutlich mehr für die Nutzer und den Datenschutz tun, als rechtlich vorgeschrieben ist.

“Man muss nicht immer auf Gesetze warten. Vertrauen bei den Nutzern schafft, wer freiwillig für mehr Verbraucherschutz eintritt”, erklärt Billen.

Was aus Nutzersicht zu tun ist, hat der Verbraucherzentrale Bundesverband in einem Positionspapier zusammengefasst. Es zeigt an konkreten Punkten auf, wo Nachbesserungsbedarf besteht. So sollten die Anbieter beispielsweise für restriktive Profil-Voreinstellungen sorgen, um neue Nutzer besser zu schützen. Denn wer sich auf den Plattformen noch nicht auskennt, überblickt häufig nicht, wer welche Informationen einsehen kann. Zudem sollten die Betreiber bei technischen Neuerungen die Auswirkungen auf Daten- und Verbraucherschutz stets mitprüfen.

Einen weiteren Beleg für die Notwendigkeit der generellen Verankerung des Opt-in-Prinzips im Datenschutz sieht der Verbraucherzentrale Bundesverband (vzbv) im heutigen Urteil des Bundesgerichtshofes (BGH). Demnach ist eine vorformulierte Einverständniserklärung zur Weitergabe von Kundendaten zu Zwecken der Briefwerbung zulässig, die von den Kunden durchgestrichen werden kann. Vorausgegangen war eine Klage des vzbv gegen den Anbieter der Kundenkarte HappyDigits.

Nach Ansicht des vzbv gewährleistet lediglich eine generelle Opt-in-Lösung, das heißt die Notwendigkeit einer aktiven Einwilligung in die Datenweitergabe, das Selbstbestimmungsrecht der Verbraucher.

“Der Verbraucher muss selbst entscheiden können, wem er welche persönlichen Daten für welche Zwecke zur Verfügung stellt”, sagt Vorstand Gerd Billen.

Wenn die Option, eine vorformulierte Einwilligungserklärung durchzustreichen, nach geltender Rechtslage zulässig sei, müsse die Rechtsgrundlage angepasst werden. Die Bundesregierung hat sich im Koalitionsvertrag darauf verständigt, das Recht auf informationelle Selbstbestimmung zu stärken.

Billen: “Dies würde nicht nur unerbetenen Werbemüll unterbinden, sondern auch die Gefahr des fortwährenden Datenmissbrauchs eindämmen.”

Opt-In bisher nur für elektronische Werbeformen

Bereits im Juli 2008 hatte der BGH über eine vergleichbare Regelung im Payback-Rabattsystem entschieden. Dort war die Einwilligung in die Datennutzung ebenfalls vorformuliert. Kunden konnten ein Kreuz setzen, wenn sie die Bestimmung ablehnen. Die Richter hatten die dort gewählte “Opt-out-Lösung” in Form des Auskreuzens für die Werbung per SMS oder E-Mail, nicht jedoch für die Werbung per Post, untersagt. Hier greift das Wettbewerbsrecht (§ 7 UWG), wonach die Einwilligung in die Verwendung von Daten im Wege elektronischer Medien durch eine gesonderte Erklärung (opt-in) erteilt werden muss.

Kunden sollten die Löschung ihrer Daten verlangen

Im Hinblick auf das bevorstehende Ende des Bonuskartenprogramms HappyDigits und der damit verbundenen Unklarheit, was mit den Daten der Kunden passiert empfiehlt der Verbraucherzentrale Bundesverband den Kunden, die Löschung ihrer Daten zu verlangen. Auf der Website www.surfer-haben-rechte.de steht ein Musterbrief zur Datenlöschung zur Verfügung.

In einem Punkt stärkt der BGH die Verbraucherrechte

In einem Punkt hat der BGH die Rechte der Verbraucher gestärkt. So teilten die Richter die Auffassung des vzbv, dass HappyDigits seinen Kunden die Allgemeinen Teilnahmebedingungen bei Vertragsabschluss zur Kenntnis geben muss, damit sie Vertragsbestandteil werden. Stattdessen hatte der Anbieter den Kunden die Teilnahmebedingungen mit der Karte zugesandt und folgende Klausel verwandt:

“Die Teilnahme an HappyDigits erfolgt auf Grundlage der Allgemeinen Teilnahmebedingungen, die Sie mit Ihrer Karte erhalten und die Sie dann mit Ihrer ersten Aktivität, z.B. Sammeln, anerkennen.”

Diese Klausel erklärte der BGH mit seinem heutigen Urteil für unwirksam.

Seit Sonntag 6 Uhr ist klar: Der Ausverkauf von Quelle hat begonnen. Alles andere als klar ist, was mit den Kundendaten geschieht. Der Verbraucherzentrale Bundesverband (vzbv) hält einen Verkauf an Dritte nicht durch das Bundesdatenschutzgesetz gedeckt.

“Der Insolvenzverwalter muss dafür sorgen, dass Kundendaten nach Abwicklung aller Vertragsbeziehungen gelöscht werden”, so Vorstand Gerd Billen.

Rund 18 Millionen Artikel will Quelle bis Weihnachten veräußern, um so die Insolvenzmasse zu erhöhen. Finanziell interessant sind aber auch die immensen Datenmengen, die der Versandhändler in den Jahren seines Bestehens über seine Kunden gesammelt hat. Einen Verkauf nach dem Listenprivileg schließt das Bundesdatenschutzgesetz jedoch nach Auffassung des Verbraucherzentrale Bundesverbandes im Insolvenzfall aus.

“Das Ende von Quelle darf nicht zu einem Datenschlussverkauf führen”, so Billen. Wo Unternehmensteile aufgelöst würden, seien die vorhandenen Kundendaten zu löschen.

Grundsätzlich haben Kunden das Recht, die Löschung ihrer Daten auch individuell zu verlangen. Ein entsprechendes Musterschreiben können sich Verbraucher auf der Webseite des Verbraucherzentrale Bundesverbandes herunterladen. Allerdings befürchtet der vzbv, durch die Insolvenz sei nicht mehr gewährleistet, dass Quelle den Anträgen tatsächlich noch nachkommt. Deshalb sei es dringend erforderlich, dass der Konkursverwalter in dieser Sache aktiv werde.

Alle Fragen zur Quelle-Insolvenz rund um Gewährleistung, Garantie und Umtausch beantworten die Verbraucherzentralen in Ihrer Nähe: www.verbraucherzentrale.de

Dem Verbraucherzentrale Bundesverband (vzbv) wurde eine größere Anzahl Datensätze übergeben. Eine erste Sichtung und Überprüfung ergab, dass es sich dabei um über 100.000 Datensätze aus dem Netzwerk SchülerVZ handelt. Besonders brisant: Enthalten sind sensible personenbezogene Daten auch von solchen Teilnehmern, die ihre Daten in dem Netzwerk nur für Freunde sichtbar eingestellt haben. Eine nicht näher bekannte Person hatte dem Internetblog netzpolitik.org die Datensätze zukommen lassen. Diese Daten wurden an den vzbv weitergereicht.

Bislang gaben die Betreiber an, private Daten, die nur für Freunde sichtbar sind, seien vor dem Zugriff unbefugter Dritter sicher. Der vzbv hat den zuständigen Berliner Datenschutzbeauftragten in Kenntnis gesetzt und ihm die Datensätze sowie ein ebenfalls zugegangenes Programm, mit dem diese Daten angeblich erhoben wurden, zur weiteren Prüfung übergeben.

Zusammen mit den Daten ging eine Nachricht beim vzbv ein, in dem der mutmaßliche Datenerheber betont, dass ihm nicht an einer Veröffentlichung der Daten gelegen sei. Vielmehr sei sein Anliegen über mangelnde technische Sicherheitsvorkehrungen und die grundsätzliche Unsicherheit von Daten in Sozialen Netzwerken aufzuklären. Zudem seien die Lücken bei allen drei Plattformen der VZ-Netzwerke-Gruppe identisch. Neben Geburtsdaten seien auch sensible Daten wie die politische Einstellung betroffen.

Der vzbv fordert die Anbieter Sozialer Netzwerke auf, mehr für den Schutz der Daten ihrer Kunden zu tun.

“Statt zu versprechen, dass ihre Daten gut aufgehoben sind, müssen die Anbieter die technisch höchste Sicherheit bieten - wenn nötig auch zu Lasten des Nutzerkomforts”, appelliert Vorstand Gerd Billen.

Zudem sollten die Betreiber die potentiellen Risiken klar benennen, die mit einer Veröffentlichung privater Daten im Netz verbunden sind. Nur so könnten die Nutzer - im Falle von SchülerVZ Schüler und deren Eltern - abwägen, wie freizügig sie ihre persönlichen Daten kommunizieren.

Verbraucher können sich im vzbv-Angebot www.surfer-haben-rechte.de unter anderem über Soziale Netzwerke und Datenschutz informieren.

Die VZ-Netzwerke haben sich ebenfalls zu dieser Datenpanne geäußert und teilen mit, dass ihnen der Datensatz vorliegt und mittlerweile überprüft wurde. Es handele sich hierbei um einen älteren Datensatz mit Informationen zu Geburtsdaten und Geschlecht. Die Sicherheitslücke, die das Abrufen dieser Information möglich machte, sei bereits Ende Juli 2009 behoben worden. Zudem stehe man in engem Kontakt und Austausch mit dem vzbv und dem Berliner Datenschutzbeauftragten.

Darüber hinaus habe man bei einer internen Prüfung festgestellt, dass die Einstellmöglichkeiten bzgl. der Suchbarkeit nach Geburtsdaten missverstanden werden könne. Diese missverständlichen Einstellmöglichkeiten sollen noch im Laufe des Tages behoben werden. Auch würde die Suche nach Geburtsdatum und Alter komplett deaktiviert. Im Zuge einer weiteren Verschärfung der Sicherheitsmaßnahmen werde man zusätzlich die Nutzer-IDs neu setzen.

Ich kann mir nicht helfen, aber auch wenn es sich um Daten aus einem längst geschlossenen Sicherheitsleck handelt, so hinterlässt diese Geschichte bei mir doch wieder einmal ein mulmiges Gefühl – ein bisschen so, als würden wir ein kleines bisschen mehr von einem Eisberg sehen, dessen Größe uns noch gar nicht bekannt ist.

Es ist schön, dass ab und an einige Branchenvertreter klare Worte für so manche schräge politische Idee finden. So hat sich beispielsweise der Verbandes der deutschen Internetwirtschaft, der eco e.V., in der letzten Zeit sehr deutlich zur immer noch schwelenden Diskussion zur Vorratsdatenspeicherung oder auch zum Thema Internet-Filterung geäußert.

Maßnahmen wie Filterung und netzseitige Zugangserschwerung sind wenig effizient. Das belege, so der eco, die international vergleichende Studie “Internet-Zugangssperrung. Überblick zur Internet-Kriminalität in demokratischen Gesellschaften“.

Nach Ansicht des eco e.V. dürfen solche Maßnahmen deshalb auch aus internationaler und europäischer Perspektive keine Zukunft haben. Dass sie im Ausland und in Europa nach wie vor diskutiert werden, ist problematisch, denn obwohl sie nur eine geringe Effizienz aufweisen, sind die technischen Probleme und vor allem die Eingriffe in Freiheitsrechte gravierend. Mit einer Harmonisierung des Rechts ist dagegen viel mehr zu erreichen, denn damit wird die grenzüberschreitende Verfolgung der Täter und die Löschung der Daten vereinfacht.

“Der Grundsatz ‘Löschen statt Sperren’ muss nicht nur in Deutschland, sondern auch auf europäischer Ebene zum Mittel der Wahl bei der Bekämpfung von Internetkriminalität werden. Die Bundesregierung sollte nun energisch darauf drängen, dass auch international der Versuchung widerstanden wird, den vermeintlich einfachen Ausweg der Zugangserschwerung zu wählen, anstatt das Recht zu harmonisieren. Die Kinderrechtskonvention muss endlich überall umgesetzt werden. Die rechtliche Harmonisierung bietet die Handhabe für wirksamen Opferschutz und effiziente Strafverfolgung, damit kommen wir dem Problem des Missbrauchs des Internets für Straftaten am effektivsten bei”, so Oliver Süme, Stellvertretender Vorstandsvorsitzender von eco.

Eines ist sicher: E-Mails sind unsicher.

„Sie sind wie Postkarten. Jeder kann den Inhalt lesen und mit entsprechendem Know-how manipulieren”, so der Informationsdienst „Outlook aktuell” (www.outlook-aktuell.de) aus dem Fachverlag für Computerwissen.

Vertrauliche E-Mails und Datenanhänge sollten deshalb grundsätzlich nur verschlüsselt verschickt werden. Zudem sollten sie nur mit einer digitalen Signatur, die dem Empfänger die Vertrauenswürdigkeit des Absenders signalisiert, rausgehen. Anti-Malware-Software ist nach Ansicht der Outlook-Experten nur ein Grundschutz gegen E-Mail-Spionage und -manipulation.

Trotz der großen Gefahren laufen nach Schätzungen der Kommunikationsexperten über 80 Prozent aller E-Mails unverschlüsselt übers Netz, unsigniert dürften 70 bis 80 Prozent sein.

„Selbst Mitarbeiter von auf E-Mail-Sicherheit spezialisierten Firmen sowie große Unternehmensberatungen verschlüsseln ihre Mails nur gelegentlich.”

Die Verschlüsselung sei deshalb so wichtig, weil auf die Sicherheit der Internet-Infrastruktur normalerweise keinerlei Einfluss bestehe.

„Der Datenverkehr kann an jeder der Stationen im Internet und auf den Verbindungen dazwischen von jemandem mitgelesen und manipuliert werden, der einen Server erfolgreich angreift oder sich Administratorenrechte verschafft hat.”

Dagegen helfen laut „Outlook aktuell” nur drei Maßnahmen: Die Einrichtung einer sicheren VPN-Verbindung (Virtual Private Network), die digitale Signatur und die Verschlüsselung.

Vor ein paar Tagen ging ein Fall durch die Medien, der wieder einmal aufgezeigt hat, welche Dimensionen Datenschutzverstöße heute durch Plattformen wie beispielsweise eBay annehmen können.

Fast 500 gefüllte Bewerbungsmappen inklusive aller Unterlagen wie Lebenslauf, Zeugnisse und private Adressen sind in diesem Fall auf eBay anonym versteigert worden.

Diese Mappen wurden als gebrauchte “Bewerbungsmappen und Klemmmappen” für 10 Euro verkauft und persönlich im Frankfurter Raum abgeholt. Der neue Besitzer war nach dem Empfang verärgert, da er zwei Nachmittage benötigte, um die Mappen zu leeren. Die Unterlagen wurden zunächst eingelagert, um sie vor weiterem Einsehen durch Unbefugte zu schützen.

Empfänger einiger der Bewerbungsmappen ist eine Firma aus Frankfurt, die als Vertriebspartner eines großen Telekommunikationsunternehmens seit 2006 Mitarbeiter in Teil- und Vollzeitbeschäftigung für die Kundenbetreuung und den Vertrieb von Telefonanschlüssen beschäftigt.

Der Fall zeigt unter anderem, wie wichtig es ist, das Bewusstsein im Bereich Datenschutz zu schärfen, damit jeder Bürger und jedes Unternehmen verantwortungsvoll mit persönlichen Daten umgehen. Das Recht des Einzelnen, die Nutzung seiner persönlichen Daten zu kontrollieren, muss gestärkt werden.

“Bewerbungsmappen gehören an den Bewerber zurückgeschickt oder in den Schredder”, so Annette Mühlberg, Leiterin des Referats eGovernment beim ver.di Bundesvorstand. “Unternehmen und Verwaltungen benötigen dringend verstärkte Aufklärung im Umgang mit Arbeitnehmerdaten. Datenmissbrauch muss stärker sanktioniert werden.”

In den letzten Jahren kam es immer wieder zu massiven Verstößen gegen das Bundesdatenschutzgesetz. So wurden Arbeitnehmer gezielt ausspioniert und das Recht auf Privatsphäre ausgehöhlt. Oft schien dabei der Grundsatz zu gelten, dass der Zweck die Mittel heilige. Vordergründig ging es dabei um die vermeintliche Abwehr von Gefahren wie Betriebsspionage, Diebstahl oder auch das Vorgehen gegen das “Blaumachen” von Arbeitnehmern. Dass die Firmen mit den Mitarbeiterdaten für ihre Zwecke, oder wie im Frankfurter Fall einfach aus Nachlässigkeit, so schlampig umgehen, führt die Piratenpartei vor allem auf die mangelnde Durchsetzungsfähigkeit der zuständigen Gesetze zurück.

“Der Umgang mit solchen persönlichen Daten muss dringend besser gesetzlich geregelt werden”, sagt Jens Seipenbusch, Vorsitzender der Piratenpartei zum neuerlichen Datenskandal. “Auf allen Ebenen müssen die Menschen besser vor einem Missbrauch und der Zweckentfremdung ihrer Daten geschützt werden, sei es auf der Arbeit, in der Verwaltung oder auch im medizinischen Bereich. Wenn wir über Datenschutz reden, wird noch allzu oft vergessen, dass solche Verstöße immer auch einzelnen Menschen schweren Schaden zufügen können bis hin zum Verlust ihres Arbeitsplatzes.”

“Ich denke, dass die Firma, die da geschlampt hat, jetzt ein sehr großes Problem hat und den Betrieb vermutlich bald einstellen kann”, sagt Padeluun vom FoebuD, Initiator und Jurymitglied der Big Brother Awards.

Diese Negativpreise werden jährlich in mehreren Ländern an Behörden, Unternehmen, Organisationen und Personen vergeben, die in besonderer Weise und nachhaltig die Privatsphäre von Personen beeinträchtigen oder Dritten persönliche Daten zugänglich gemacht haben.

In jedem Fall sollte ein solcher Fall nachdenklich stimmen und uns alle ein wenig für das Thema Datenschutz sensibilisieren.

Daten löschen - für die meisten PC-Benutzer ist das ein Mausklick oder Tastendruck. In Sekundenschnelle liegen die Daten im virtuellen Papierkorb. Wird dieser dann vom Nutzer geleert, ist alles weg - für immer, meinen die meisten. Ein gefährlicher Trugschluss! Denn mit einigen Tricks und Kniffen lassen sich so einfach gelöschte Daten wieder herstellen.

Das ist besonders brisant, wenn die Festplatte oder der Computer verkauft wird und ein Fremder so private Dokumente, E-Mails, Passwörter, Bilder und vieles mehr einsehen kann. Damit gelöschte Daten tatsächlich für immer weg sind, reicht die Löschfunktion über PC-Bordmittel nicht aus. Das versprechen aber Spezialprogramme. Die Computerbild hat in der aktuellen Ausgabe sieben von ihnen getestet.

Daten sind nur dann wirklich sicher gelöscht, wenn sie mit anderen Daten überschrieben werden. Das gilt für Festplatten wie auch für USB-Speicherstifte und Speicherkarten. Genau das machen Löschprogramme: Sie überschreiben die zu löschenden Daten so oft mit Zahlenfolgen aus Nullen und Einsen, dass diese nicht mehr lesbar sind. Dieses Prinzip variiert je nach Software und unterscheidet sich nur in der Zahl der Überschreibvorgänge und der Datenmuster.

Die getesteten Kandidaten bieten meist mehr als ein Verfahren an. Die Computerbild empfiehlt das dreifache Überschreiben nach dem US-Standard DoD - ein Kompromiss zwischen Sicherheit und Löschdauer. Damit dauert das Löschen einer 140 Gigabyte Festplatte rund eine Stunde, beim Peter-Gutmann-Verfahren (35-faches Überschreiben) über 13 Stunden.

Ergebnis des Tests: Fast alle Testkandidaten löschen Daten absolut zuverlässig. Nur auf „Ascomp Secure Eraser“ ist kein Verlass, weil das Programm Datenreste übrig lässt - Note “mangelhaft”. Verschiedene und sichere Löschfunktionen, eine einfache Bedienung und verständliche Erläuterungen bietet der unumstrittene Testsieger „O&O Safe Erase 4.0“ (29,90 Euro). Einziger Nachteil ist die etwas geringe Löschgeschwindigkeit. Der zweitplatzierte „HD-Shredder“ (19,90 Euro) entfernt Daten doppelt so schnell, löscht aber keine einzelnen Dateien und Ordner, sondern nur komplette Datenträger. Die meisten Programme kommen mit allen Speichermedien zurecht. Drei der getesteten Programme – „Active Killdisk“, „Drive Scrubber“, DBAN - gibt es nur in englischer Sprache.