Zehntausende Kreditkarten- und Kontendaten ausgespäht

QuHno

Außer Betrieb
Bei der Landesbank Berlin sind nach einem Bericht der "Frankfurter Rundschau" die Kreditkarten-Daten von zehntausenden Kunden ausgespäht worden. Dem Blatt wurden nach eigenen Angaben von einem anonymen Absender detaillierte Abrechnungen von Kreditkarten mit Adresse, Kontonummer und Überweisungsdaten zugespielt. Dazu gehörten auch Geheimnummern (PIN) für Kreditkarten, berichtete die Zeitung.

Besondere Brisanz haben die Datensätze unter anderem dadurch, dass die LBB eine der Hauptemissionsstellen für Kreditkarten in Deutschland ist (unter Anderem ADAC Kreditkarten), dass Kontobewegungnen bis zum August 2008 nachvollzogen werden können sollen und es durch die PIN möglich ist, die betroffenen Kartenkonten bis zum Kreditlimit leer zu räumen.

Dies sei nach dem derzeitigen Stand ein unglaublicher, einzigartiger Fall, was vor allem die Qualität der Daten betreffe, sagte Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, der "Berliner Zeitung". Die Informationen stammten offenbar aus Datensätzen, die eigentlich höchsten Sicherheitsstandards unterliegen sollten.

Soweit es möglich ist, sollte jeder Besitzer von Kreditkarten umgehend seine PIN Nummern ändern und regelmäßig seine Kartenabrechnungen bzw. Kontoauszüge überprüfen.

Ein weiterer Fall, bei dem "outgesourcte" Leistungen zu massiven Sicherheitslücken und Datenverlusten geführt haben. Was in dem Aritkel leider nicht stand war, wer für entstandene Schäden aufkommen soll.


Quellen:
Frankfurter Rundschau
Berliner Zeitung
 

Grainger

Praktizierender Atheist
Und unser Gesetzgeber kommt nicht in die Gänge, im momentan Entwurf für eine Verschärfung des Datenschutzgesetzes ist außerdem noch eine Übergangszeit von 3 Jahren (!) vorgesehen.

Die 470 Milliarden-Bürgschaft für die Banken konnte man hingegen innerhalb von 2 Wochen durch das Parlament durchwinken (an dieser erstaunlichen Schnelligkeit wird sich unsere Regierung künftig von mir messen lassen müssen).

Das Outsourcing von personenbezogenen Daten sollte generell verboten werden, ganz sicher aber für Banken, die neben den "üblichen" Daten wie Name, Vorname und Anschrift offensichtlich noch Bankverbindung, Kontostände, Bonitätsbeurteilungen und Passwörter (und was weiß ich noch alles sonst) einfach so an Dritte weitergeben.

Das diese Dritten nicht vertrauenswürdig sind (falls überhaupt Prüfungen in dieser Hinsicht stattfinden haben diese wohl versagt) beweisen ja die Vorfälle der jüngsten Vergangenheit.

Falls man sich nicht zu einem generellen Outsourcingverbot personenbezogener Daten durchringen kann (was wohl wahrscheinlich ist), sollten den Outsourcern erhebliche Sorgfaltspflichten auferlegt werden und im Falle von Datenlecks bei ihren Dienstleistern/Erfüllungsgehilfen zusätzlich zum (ohnehin selbstverständlichen) vollen Ersatz aller Schäden Geldstrafen in extremer Höhe (mindestens im zweistelligen Millionenbereich) verhängt werden.

Außerdem sollte jedes Outsourcing der Zustimmung des Kunden bedürfen, und zwar schriftlich und nur auf den jeweiligen einzelnen Outsourcing-Fall bezogen. Ohne Vorliegen einer solchen Zustimmung ist davon auszugehen, das der Kunde nicht mit einer Weitergabe seiner Daten einverstanden ist.

Man muss dieses Outsourcing ganz einfach unrentabel machen.
 
B

Brummelchen

Gast
>> sollte jeder Besitzer von Kreditkarten umgehend seine PIN Nummern ändern

Ich werd den Teufel machen und alles, was unrechtmässig abgesbucht wird diesen
Idioten anhängen. Sind jedesmal 10 Euro für die Banken - ich glaub es hackt.
 

Supernature

Und jetzt?
Teammitglied
PIN-Nummern können doch eigentlich nur beim Datentransfer mitgeschnitten werden, oder?
Jedenfalls behauptet jede Bank immer, die seien nirgends gespeichert.
Klar müssen sie zum Abgleich irgendwo abgelegt sein, das doch aber hoffentlich verschlüsselt.
 
N

nightwishman

Gast
Und unser Gesetzgeber kommt nicht in die Gänge, im momentan Entwurf für eine Verschärfung des Datenschutzgesetzes ist außerdem noch eine Übergangszeit von 3 Jahren (!) vorgesehen.

Die 470 Milliarden-Bürgschaft für die Banken konnte man hingegen innerhalb von 2 Wochen durch das Parlament durchwinken (an dieser erstaunlichen Schnelligkeit wird sich unsere Regierung künftig von mir messen lassen müssen).

Das Outsourcing von personenbezogenen Daten sollte generell verboten werden, ganz sicher aber für Banken, die neben den "üblichen" Daten wie Name, Vorname und Anschrift offensichtlich noch Bankverbindung, Kontostände, Bonitätsbeurteilungen und Passwörter (und was weiß ich noch alles sonst) einfach so an Dritte weitergeben.

Das diese Dritten nicht vertrauenswürdig sind (falls überhaupt Prüfungen in dieser Hinsicht stattfinden haben diese wohl versagt) beweisen ja die Vorfälle der jüngsten Vergangenheit.

Falls man sich nicht zu einem generellen Outsourcingverbot personenbezogener Daten durchringen kann (was wohl wahrscheinlich ist), sollten den Outsourcern erhebliche Sorgfaltspflichten auferlegt werden und im Falle von Datenlecks bei ihren Dienstleistern/Erfüllungsgehilfen zusätzlich zum (ohnehin selbstverständlichen) vollen Ersatz aller Schäden Geldstrafen in extremer Höhe (mindestens im zweistelligen Millionenbereich) verhängt werden.

Außerdem sollte jedes Outsourcing der Zustimmung des Kunden bedürfen, und zwar schriftlich und nur auf den jeweiligen einzelnen Outsourcing-Fall bezogen. Ohne Vorliegen einer solchen Zustimmung ist davon auszugehen, das der Kunde nicht mit einer Weitergabe seiner Daten einverstanden ist.

Man muss dieses Outsourcing ganz einfach unrentabel machen.


Es sollte wirklich einmal die Zeit kommen an die Türen Berlins anzuklopfen. Was ist das eigentlich für ein Gebaren, wenn Kreditkarten, Kontoauszüge, personenbezogene Daten in´s Nirwana verschwinden? Für (Sorry) jeden Scheißdreck werden Gesetzte entlassen. Wenn es um den Bürger geht, dann werden diese Reglementierungen über den Haufen geworfen um den großen Plattform-Betreibern, den Callcentern etc. frei nach Gutdünken, jedweder Sicherheitsdenken gewähren zu lassen. Das sind dann echte Momente wo einem der Kragen platzen darf.

Da könnte man echt :kotz-(en).
 

Lollypop

assimiliert
Die Hoffnung stirbt zuletzt! Wenn da eine Gierhals in der Datenzentrale sitzt, nützen alle Schlüssel nach aussen garnix, intern ist der Kram ja zugänglich, irgendwie muß es ja kontrollierbar sein, so ein Mißbrauch, eine Unklarheit, von Kunden bemängelt wird. Also kommt ein interner Gauner auch an die Klardaten.

Wenn das so weitergeht mit der Datenschieberei werden vorsichtige Leute wieder dazu übergehen müssen, nur noch ein Pluskonto zu führen und die Flocken sofort nach Eingang abzuholen und ab unters Kopfkissen. (nur durch den Hausfreund in Gefahr *gg*) Ist das Konto auf 0 ist, ist auch aus mit klauen, es darf ja nicht in's Minus gehen. Und macht die Bank das trotzdem, hat sie die Arschkarte. Ein schöner Nebeneffekt währe, daß im Baumarkt und beim Aldi nicht jeder Trottel, jede Trotteline, 0,89 Cent mit der Kontokarte bezahlt, die sowiso Ärger macht und 17 mal eingelesen werden muß. :devil
 

Grainger

Praktizierender Atheist
Die Hoffnung stirbt zuletzt! Wenn da eine Gierhals in der Datenzentrale sitzt, nützen alle Schlüssel nach aussen garnix, intern ist der Kram ja zugänglich, irgendwie muß es ja kontrollierbar sein, so ein Mißbrauch, eine Unklarheit, von Kunden bemängelt wird. Also kommt ein interner Gauner auch an die Klardaten.
Natürlich wird es auch bei einer rein internen Datenhaltung (also ohne jegliches Outsourcing) Leute geben müssen, die auf diese Daten Zugriff haben.

Und auch dort besteht die Möglichkeit, das jemand diese Daten dann verkauft.

Aber ohne Outsourcing kann man den Personenkreis, der letztendlich Zugriff auf alles hat, ganz erheblich einschränken und auch sehr viel besser kontrollieren.

Das ist einfach eine ganz simple Frage der Wahrscheinlichkeit: je mehr Leute von einem Geheimnis wissen, desto größer wird die Wahrscheinlichkeit, das jemand etwas ausplaudert.

In Niedrigstlohnsegmente oder gar -länder ausgelagerte Callcenter erhöhen hingegen die Wahrscheinlichkeit, das irgendein armer Schlucker die Daten für ein paar Euro verkauft, um sein spärliches Einkommen aufzubessern.
 
N

nightwishman

Gast
Die Hoffnung stirbt zuletzt! Wenn da eine Gierhals in der Datenzentrale sitzt, nützen alle Schlüssel nach aussen garnix, intern ist der Kram ja zugänglich, irgendwie muß es ja kontrollierbar sein, so ein Mißbrauch, eine Unklarheit, von Kunden bemängelt wird. Also kommt ein interner Gauner auch an die Klardaten.
:devil

So ist das im Endeffekt. Social Hacking nennt sich diese Cholera.
 

Adimadarusan

Senior Member
Lustig, wirklich lustig. Wie konnte sowas nur passieren. ztztzt.... Naja interessantes Verhalten in jedemfall, da man ja auf der anderen Seite versucht das hier mit biegen und brechen durch zubringen.

Ich sehe da jetzt kein großen Unterschied. Aber ich bin da eh nicht der Hellste.
 
N

nightwishman

Gast
Es ist wirklich zum kotzen. Gerade in Ant* Ba* - Sturm klinglen in Berlin. Keiner geht ran. Das ist einfach so typisch. Wann wird man endlich diesen sä* das Handwerk legen? Möglichkeiten gäbe es dutzendfach.

Wann wird Deutschland sein strukturelles Problem endlich lösen? Ich denke in diesem Fall wohl niemals an Dubai :ROFLMAO:.

Und Herr Schäuble denkt eh nur an Terrorismus. Wie wäre es mit echtem Verbraucherschutz? Frau ...! Auch das gehört zusammen. Sonst wird sich alles in den Hintern geschoben - und da soll das nicht klappen? Abwarten - ihr werdet eueren So* noch spüren.

Auch das ist ein (An)-schlag in Form der Verbraucher. Wie wäre es Herr Schäuble? Ich sag´s einfach mal. Dieses ROT/SCHWARZE GESOCKS MUSS WEG. GANZ IM ERNST -
unhaltbar.
 
Zuletzt bearbeitet:

Wimpy

nicht mehr wegzudenken
Langsam bröckelt in meinem Umfeld die "Ich hab nix zu verbergen"-Front.
Viele wollen jetzt weniger großzügig mit ihren Daten umgehen.
Wenigstens ein kleiner positiver Effekt der Datenverbrecher.

Den Datenmissbrauch bei Behörden, Banken, Versicherungen usw. kann leider nicht verhindert werden.
Wer von den Sachbearbeitern gierig ist oder finanzielle Probleme hat wird auch weiterhin Daten verhökern.
 

QuHno

Außer Betrieb
Dennoch steht die Tatsache im Raum, dass kritische Daten völlig ungesichert durch Deutschland gekarrt werden und jeder Depp, der weiss dass die Firma Atos Worldline solche Daten versendet, kann sich in Zukunft (also ab jetzt) die Daten ganz einfach besorgen und für eigene Zwecke verwenden.

Bei den Preisen, die solche Firmen für ihre Dienstleistungen verlangen, sollte doch mindestens ein dedizierter Kurier in einer unauffälligen, gepanzerten Limousine drin sein, mit der man die 6 Päckchen mal eben von A nach B karrt, oder?
 

Duftie

assimiliert
Ich habe eine Zeit lang für einen kleinen Kurierdienst gearbeitet, der unter anderem Kundendaten einer kleinen Bank bewegt hat.

Die Ausdrucke wurden immer in verschlossenen Metallkisten transportiert, so dass man nicht ohne großen Aufwand an die Daten gekommen ist.

Aber mal ehrlich, wie blöd muss man eigentlich sein, dass man sich ein Paket mit Stollen klaut und damit seinen Job riskiert? Die Jungs verdienen sicherlich nicht so prall, aber sowas ...
 

QuHno

Außer Betrieb
Aber mal ehrlich, wie blöd muss man eigentlich sein, dass man sich ein Paket mit Stollen klaut und damit seinen Job riskiert? Die Jungs verdienen sicherlich nicht so prall, aber sowas ...
Vor allem: Klauen, aufessen und gut ist. Wenn die FR ihren Stollen nicht bekommen hätte, und wirklich nachgefragt hätte, hätten sie ja einfach mit den Schultern zucken können: "Stollen? Welcher Stollen?" Aber ein anderes Paket umlabeln? Honi soit ...

Ich möchte nichts unterstellen, aber irgendwie riecht es danach, als solle zur Vertuschung eines Datenskandals ein Bauernopfer gebracht werden.

@Duftie: Rethorische Frage: Hättest Du damals als Kurierdienst-Mitarbeiter vor dem öffnen schon am Paket erkannt, dass da ein Stollen drin ist? (Vorausgesetzt es stand nicht drauf.)
 
N

nightwishman

Gast
War bestimmt ein Kurierdienst von Herrn Wolfgang Schäuble. Somit ist das gesetzlich völlig in Ordnung und hat seine Berechtigung gefunden. Also machen wir uns nackig :D.
 

hexenmeister69

nicht mehr wegzudenken
Auf Atos Worldline - About Us zitiere ich mal den letzten Satz:
"... Dabei konzentrieren wir uns kontinuierlich auf Innovation und garantieren die Transparenz und die Einhaltung der Prozesse."

ot:

Nach dem Skandal muss es jetzt heißen:
"... Dabei konzentrieren wir uns kontinuierlich auf Innovation und garantieren die Transparenz Ihrer Daten und die Einhaltung der Prozesse."


(Physische) Datensicherheit und -verschlüsselung sind bestimmt nicht mehr "innovativ" sondern Pflicht für ein Unternehmen auf diesem Sektor, aber letztendlich wurden hier die erwähnten Prozesse nicht eingehalten.
Hat hier der Datenschutzbeauftragte versagt?
Datiert eine Risikoanalyse aus dem Jahr 1861?
Welchen Wert hat das Sicherheitskonzept heute?

Ich möchte nicht wissen, wieviele Datensätze heute trotz Skandal weiterhin unverschlüsselt transportiert werden - egal welches Medium es anbetrifft.
(Mir wird wieder schlecht!)

Mfg - der hexenmeister69
 

QuHno

Außer Betrieb
Ich möchte nicht wissen, wieviele Datensätze heute trotz Skandal weiterhin unverschlüsselt transportiert werden - egal welches Medium es anbetrifft.
Verschlüsselungen sind langweilig da alle außer dem One-Time-Pad früher oder später geknackt werden können und werden.

Meinentwegen können auch unverschlüsselte Daten von Kurieren transportiert werden, vorausgesetzt sie sind gesichert. Mir fiele dafür z.B. eine Sprengfalle ein, die bei unbefugter Öffnung oder zu weiter Entfernung vom Transportfahrzeug Kleinholz aus den(m) Daten(dieb) macht. Das darf dann auch dick auf der (stählernen?) Verpackung drauf stehen, damit ein Amateur Dieb erst gar nicht auf dumme Gedanken kommt, denn wir wollen ja nicht, dass irgendwer zu Schaden kommt ...
 
Oben