Quellen

Es folgt eine mehr oder weniger zufällige kleine Auswahl von Ereignissen, die den Umgang mit Daten von Menschen oder mit den Risiken der Informationstechnik in der alltäglichen Praxis beleuchten. Gute Quellen für eine solche Sammlung sind:

• der Heise-Newsticker,
• die News-Gruppe comp.risks (moderiert von Peter G. Neumann) und deren Archiv sowie Verzeichnis von Vorfällen,
• das Privacy Forum von Lauren Weinstein
• die Sammlung von Bruce Schneier sowie sein Newsletter Crypto-Gram,
• die Wochenpresse wie DER SPIEGEL, DIE ZEIT,
• die Computerpresse, wie die Computerzeitung, iX, c't,
• die Tagespresse, wie die Mainzer Allgemeine Zeitung (AZ), ...,
• die Tätigkeitsberichte der Datenschutzbeauftragten,
• das Privacy Magazine des Berliner Datenschutzbeauftragten,
• die Incident Notes und Vulnerability Notes des CERT/CC (= Computer Emergency Response Team/ Coordination Center),
• und als systematische Sammlung das Buch »Computer Related Risks« von Peter Neumann (siehe das Literaturverzeichnis), mit Errata und Ergänzungen.

Und trotzdem - Achtung: Hohe Dunkelziffer!

Datenschutzrelevante Vorfälle und Vorgänge

• Der BASF-Datenschutz-Skandal [AZ, 25.3.92]
• Bürgerdaten im Minister-Müll [AZ, 4.11.92]
• Verfassungsschutz speichert Intimdaten [DER SPIEGEL 42/1993, 58 - 61]
• RA-Praxis - Server im Wartezimmer
• Mörder findet Opfer über Fahrzeughalter-Datei [Neumann, S. 184]
• Ausländerzentralregister [DER SPIEGEL 43/1994, 65 - 67]
• Außerhausgabe (Outsourcing) - z. B. Verarbeitung von Behördendaten bei Privatfirmen [DER SPIEGEL 46/1995] [DER SPIEGEL 7/1998, 75]
• Datenschutz im nichtöffentlichen Bereich [AZ, 10.2.1996] [AZ, 20.9.1995]
• Konsumentendaten [DIE ZEIT Nr. 25, 16. Juni 1995, 66], Rabattkartensysteme (Payback) [DER SPIEGEL 27/2001], der Fall des Rabattgesetzes
• EDS [SPIEGEL special Nr. 3/1996, 24 - 27]
• Europol [DER SPIEGEL 31/1995, 36 - 37] [Computer Zeitung Nr. 12/ 25. März 1999] [Der Bundesbeauftragte für den Datenschutz] [iX 8/2001, S. 26]
• Echelon und Enfopol [DER SPIEGEL 13/1999, 94-97] [Heise, 8.10.1998] [Heise, 12.3.1999] [Heise, 18.3.1999] [Heise, 30.3.1999]
• Microsofts heimlicher GUID (Global Unique Identifier) [Heise, 7.3.1999] [Heise, 10.3.1999] [Heise, 13.3.1999] [DER SPIEGEL 11/1999] [c't Heft 6/1999]
• Microsofts ».NET«-Initiative - Riesige Sammlung persönlicher Informationen:
  • Passport: Universelle Identität
  • .NET Contacts, Location, Inbox, Documents, Devices, Wallet
  • »Mit .NET Alerts kann sich der Surfer zum Beispiel an den Geburtstag seiner Oma erinnern lassen.« [Heise, 23.10.2001] Welchen Sinn soll das haben, wenn nicht als Input für gezielte Werbung?
  • Angestrebt: Völlige Kontrolle über die Internet-Wirtschaft.
• Tele-Info-Gebäudedatenbank [DER SPIEGEL 46/1998, 90-92]
• In den USA: Datenbanken mit Geburtstagen und »geheimen« Telefonnummern [Privacy Forum 09.03]
• Telefonbuch-CD [Der Bundesbeauftragte für den Datenschutz] [Heise, 24.3.1999]
• Öffentliche Personenverzeichnisse und Internet-Suchdienste (bei illegalen Datenbankzugriffen etwas teurer) [Heise, 17.10.2001]

Zur Zeit, besonders seit dem Terroranschlag auf die USA, findet ein Großangriff statt auf

• Bürgerrechte und -freiheiten, insbesondere den Datenschutz,
• die eigenverantwortliche IT-Sicherheit, z. B. Kryptographie,
• die Informationsfreiheit (besonders im Afghanistan-Krieg).

Gefährdung des Datenschutzes

• Politischer Aktionismus nach Terroranschlägen
• Sammel- und Speicherwut von Behörden und Firmen
• Datenabgleich, Persönlichkeitsprofile, der gläserne Bürger
• Spionage (Politik und Wirtschaft)
• Telekommunikation, Vernetzung, Evernet
• Aufhebung zeitlicher und räumlicher Schranken, Perfektion der Abfrage- und Suchmöglichkeiten
• Mangelnde internationale Abstimmung, Datenoasen
• Mangelndes Datenschutzbewusstsein
• Zielkonflikte, Subsidiarität der Datenschutzgesetze
• Blinder technischer Fortschritt, nichtverlässliche Technik

Wie sicher ist die Technik?

• Sind die Daten auf meinem Rechner sicher vor Unbefugten? Wie verhindere ich ungebetene Eindringlinge? (Schadprogramme, Viren, Makros)
• Wer alles kann die Daten auf meinem Server lesen oder ändern? Was nützt der Passwortschutz?
• Welchen Weg nehmen die Daten im Netz? Mit welchem Partner oder Server bin ich verbunden?
• Welche Gefahren drohen vom Internet? Von Modemanschlüssen? Ist Fernwartung gefährlich?
• Welche Daten verschicke ich wirklich? (Cave: Datenmüll in Dokumenten! Beispiel: Word)
• Welche Daten stehen wirklich auf meinem Rechner? (Cave: Versteckte Dateien auf Microsoft-Systemen.)
• Halten meine Sicherheitsmaßnahmen dem technischen Fortschritt stand?
• Kann ich den Herstellern vertrauen? Wie wichtig nehmen sie meine Sicherheit? Wie kompetent sind sie?

Sicherheitskritische Vorfälle

• BTX-Hack I 1984, II 1989 [DER SPIEGEL 44/1989, 286 - 289]
• Internet-Wurm 1988 [Neumann, S. 127]
• Therac-25 [Neumann, S. 68ff.]
• Die Schweizer Crypto AG baut Hintertür für die NSA ein.
• T-Online-Hack (Frühjahr 1998) [DER SPIEGEL 17/1998, 184 - 187]
• Bahnhof Altona [DER SPIEGEL 14/1995, 32 - 33] [DER SPIEGEL 5/1997, 90 - 91] [Risks-17.02]
• Back Orifice und NetBUS [CERT Vulnerability Note VN-98.07] [DFN-CERT Sicherheitsbulletin DSB-98:01]
  bei Windows XP ist die Fernsteuerung schon eingebaut.
• ActiveX-Hack Februar 1997 [iX 3/1997, 90 - 93] [DER SPIEGEL 7/1997, 195] [Risks-18.82]
• Rechenfehler in Chips (Pentium) und Software (Excel) [DER SPIEGEL 51/1994, 87 - 88], [c't 7/1995, 186 - 190] [Risks-16.57] [Risks-16.58] [Risks-17.39]
• Homepage des Bundesamts für Verfassungsschutz gehackt [CHIP Newsticker, 5.10.1998] -
  viele weitere WWW-Server seither.
• Melissa-Virus [Risks-20.26] [Melissa Virus FAQ] [CERT Advisory CA-99-04] [Neumann]
  • »For years we have been saying you could not get a virus just by opening e-mail. That bug is being fixed.« [A. Padgett Peterson]
  Viele weitere Makro-Viren seither.
• Schlecht geschützte Passwörter bei Access97, Homebanking gefährdet [Heise, 12.2.1999] [Heise, 15.2.1999] -
  Viele weitere schlecht geschützte Passwörter seither.
• Windows NT: Passwortklau leicht gemacht [Heise, 12.4.1999] [Heise, 15.4.1999]
• Windows 49.7-Tage-Problem [Heise, 2.3.1999]
• Rechenfehler bei Bank 24 [Heise, 7.4.1999] [Heise, 8.4.1999] [Heise, 13.4.1999] [Heise, 14.4.1999]
• Sicherheitsrisiko Diskettenlaufwerk [Heise, 8.4.1999]
• Microsoft verteilt Makro-Viren [Heise, 9.4.1999]
• Lauschangriff mit Videokameras über das Netz [Heise, 17.4.1999]
• Hacker im internen Microsoft-Netz.
• Microsofts DRM-Software gebrochen (Digital Rights Management)
• Windows XP-Login

Gefahren für die IT-Sicherheit

• Computerkriminalität
• Spionage
• Viren und andere Schadprogramme (`Malware')
• Offene Systeme
• Security by Obscurity (Schlüssel unter der Fußmatte - »Wird schon keiner finden!«)
• Trügerische Sicherheit in kommerziellen Produkten (Tür nur zugezogen, nicht abgeschlossen - »Wird schon keiner merken!«)
• Risiken der Monokultur
• Systemfehler
• Mangelndes Sicherheitsbewusstsein
  • Arglosigkeit bei Nutzern,
  • Nachlässigkeit bei Entwicklern, fehlende Sicherheitsmodelle und -spezifikationen, »penetrate & patch«-Ansatz
  Computerzeitung 12/2001: »Security-Ignoranz der Chefs bedroht das ganze E-Business«
• Blinder technischer Fortschritt
• Abhängigkeit von verletzlicher, nichtverlässlicher Technik
• Immer größere Teile der kritischen Infrastruktur werden computergestützt gesteuert, z. T. sogar über das Netz.

Globale Trends

• Die Überwachung und Ausspähung wird immer gründlicher und lückenloser - Ansätze zur Anonymität werden verdrängt (Beispiel: e-cash, Anonymisierungsdienste).
• Die Sicherheit der Informationstechnik wird immer lückenhafter.
• Der PC verwandelt sich von einem Instrument der totalen Freiheit zu einem Instrument der totalen Kontrolle.
• Die Enteignung des Personal Computer: Die Wirtschaft führt mit Hilfe des Internet einen Großangriff
  • auf die Privatheit der PCs,
  • auf die Privatheit der persönlichen Wünsche,
  • auf die Verbraucherrechte (z. B. Kopien zum persönlichen Gebrauch).
• Die politische Macht verlagert sich mit Hilfe der Informationstechnik immer mehr hin zu demokratisch nicht legitimierten Institutionen.