Alex' blog - .datenschutz

Apotheken und offenes WLAN

nospam@example.com (Alex) — Sat, 21 Jun 2008 02:29:00 +0200

Mal eine Frage an die Apotheker da draußen: inwieweit wäre ein offenes WLAN in einer Apotheke ein Datenschutz-Leck für Patienten und ihre Krankengeschichte ?

Werden Rezepte eingescannt und auf Computern archiviert, welche dann vermutlich an diesem WLAN beteiligt sind ?
Werden Rezepte digital an Krankenkassen oder an andere Institute per Internet übertragen ?
Haben die Kassensysteme einen Netzwerk-Anschluss ?
Werden Bestellungen in der Apotheke über das Internet abgewickelt ?
Wie wahrscheinlich ist es, dass das WLAN zwar offen ist, aber ein VPN für die nötige Sicherheit sorgt ? Sprich: gibt es Standard-Prozeduren, die eine Apotheke bzgl. IT-Sicherheit erfüllen muss ?

Video-Überwachung - ich freu' mich drauf!

nospam@example.com (Alex) — Thu, 20 Dec 2007 13:55:00 +0100

Ich musste es jetzt doch einmal selbst aufgreifen:

Wie man für Fremde Leistungen in Auftrag gibt

nospam@example.com (Alex) — Tue, 18 Dec 2007 14:26:00 +0100

Pauschal gesagt: Ja, die T-Com macht es da einem leicht.
Wesentlich genauer gesagt: Die Mitarbeiter eines T-Punkts.

Wir haben uns dazu durchgerungen ein paar Euros im Monat bei unserem Telefon- und Internet-Anschluss zu sparen und haben uns daher letzte Woche für einen zweijährigen Vertrag mit der T-Com respektive T-Online (wie auch immer) entschieden.

Da wir sowieso bei der T-Com geblieben wären, kann man auch ruhig nochmal 10 EUR pro Monat sparen.

Was mich allerdings im T-Punkt nicht so begeistert hat, ist die Tatsache, dass ich unter Angabe unserer Telefonnummer den Auftrag dazu erteilen konnte. Ich wurde nicht nach meinem Ausweis gefragt. Das geht eigentlich nicht ! Außerdem habe ich den Auftrag nur mündlich erteilt und nichts unterschrieben, so dass man wenigstens anhand der Unterschrift auf irgendetwas schließen können.

Natürlich ist das kein Beinbruch, da man innerhalb von zwei Wochen als Privatkunde diese evtl. ungewünschte Aktion eines zum Spaßvogel veranlagten Mitmenschen rückgängig machen könnte, aber sicherlich sorgt diese Vorgehensweise auch dann und wann für Ärger, wenn man z.B. während dieser zwei Wochen gerade im Urlaub ist, etc.

Und Ärger muss nicht sein. Kostet nur Zeit und u.U. auch Geld. Daher fordere ich zur Vorbeugung eine Überprüfung des Personalausweises des Auftragstellers mit den Daten des Anschlussinhabers !

PS: Es scheint mir so als würden wir auch wieder neue Hardware zugesandt bekommen. Bald kann ich ein Lager voller SoHo-Router aufmachen ...

Futter für Bundestrojaner

nospam@example.com (Alex) — Tue, 11 Dec 2007 17:58:34 +0100

Es wurden ja schon viele (abstruse) Ideen bzgl. des Bundestrojaners diskutiert. Dabei ging es u.a. auch um die On-the-fly-Veränderung von Downloads, um diese mit Schadcode, dem Bundestrojaner, zu infizieren.

Sofern dieser Eintrag nicht erfunden ist, wäre dies neues Futter für die Diskussion um den Bundestrojaner.

Erwischt

nospam@example.com (Alex) — Tue, 11 Dec 2007 10:47:54 +0100

Kleine Fortsetzung der Story von gestern:

Weil ich fast ein Jahr lang für die EDV des Online-Shops zuständig war und auch prädestiniert für solche Dinge bin (es wäre nicht das erste Mal, dass wegen mir jemand rechtlich belangt wird und deshalb auch aus seinem Arbeitsverhältnis entlassen wird), wurde ich gebeten mich darum zu kümmern.
Daher konnte ich gestern auch schon darüber schreiben.

Der Besuch bei der Bank Y hatte eine Fortsetzung. Normalerweise müssen Kontoinhaber und Kontonummer bei Lastschriften oder auch Überweisungen zusammengehören, da sonst keine (Ab)Buchung vorgenommen wird. Jedoch scheinen gewisse Banken hin und wieder Probleme mit diesen Überprüfungen zu haben, so dass durchaus auch einmal eine Buchung (oder eben hier gleich drei (an unterschiedlichen Tagen)) getätigt wird, obwohl es nicht in Ordnung wäre.

Die Bank verfügt über eine etwas detailreichere Form des eigenen Kontoauszugs. Auf diesem steht dann auch der vermeintliche Kontoinhaber drauf, was bei dem eigenen Kontoauszug natürlich klar ist und deshalb nicht pro Posten erwähnt wird.

Da dies, wie man sieht, aber nicht immer so eine klare Sache ist wenn die Überprüfungen versagen, ist es aber schon eine gute Idee seitens der Bank. Aus irgendeinem Grund hat Mr. X bei der Übernahme der Bankverbindung den Kontoinhaber verändert und seinen eigenen benutzt. Wie ich gelesen habe, muss der Kontoinhaber nicht gleich dem Namen sein, der den Amazon-Account angelegt hat. Es besteht also kein Grund diesen zu ändern.

Amazon hatte sich gestern Abend auch nicht mehr wirklich zu etwas bewegen lassen. Jetzt aber mit Vor- und Nachnamen in der Hand geht plötzlich mehr. Total unsinnig, schließlich weiß Amazon a) die Anschrift und gegebenenfalls eine abweichende Lieferanschrift und b) die IP-Adresse.
Gut, Pakete lassen sich abfangen und somit mag die Adresse gar nicht stimmen. Auch IP-Adressen lassen sich problemlos über TOR oder offene WLANs, etc. "spoofen".

Jedoch war Amazon jetzt bereit (richtig) zu helfen - eigentlich ja nur sich selber, wenn man es genau nimmt. Der Name wurde als richtig gegenüber der Datenbank von Amazon verifiziert und die letzten Bestellung vom Preis überprüft. Alles richtig. Mehr Informationen wollte Amazon jetzt nicht rauslassen, außer dass sich Mr. X große Elektrogeräte bestellt hat. Der Amazon-Account wurde gesperrt.

Die Abbuchungen sind von Amazon bereits wieder gut geschrieben worden und die Überweisung (< 10 EUR) darf der Betreiber des Online-Shops behalten werden (wow). Damit ist die Sache für den Betreiber eigentlich erledigt (die Anzeige existiert ja noch immer) und Amazon darf sich jetzt selbst darum kümmern.

Da die Bankverbindung nur über das Impressum im Online-Shop bekannt gemacht wurde, lag es nahe, die Anfragen auf die Impressumsseite in den Logs des Webservers zu überprüfen.

Wie es der Zufall so will kam eine (und sogleich auch die letzte) Anfrage der Impressumsseite just einige Tage vor der ersten Abbuchung rein. Laut dem Referrer kam der Besucher von Google Deutschland. Genauer: von der zweiten Suchergebnisseite der Anfrage für die Bank Y samt dem Suchbegriff "Kontonummer".
Nicht etwa der Bankleitzahl, wie man vielleicht meinen könnte.

Der Besucher verweilte dann ca. 15 Minuten untätig auf der Seite, bevor er diese dann wieder verließ - genug Zeit zum Einkaufen !?. Die IP-Adresse ist einem Unternehmen in Schweden zugeordnet, welches sich einen ca. 1000 IP-Adressen großen Block gesichert hat.

Ich vermute mal, dass dies Mr. X war. Passt vom Datum und von der Art der Suchanfrage doch ziemlich gut. Wahrscheinlich hat er dann aber versucht seine Spuren über irgendwelche kompromittierten, schwedischen PCs zu verwischen. Bei so viel zugesprochener "Intelligenz" beim Spuren verwischen widerspricht sich dies aber eigentlich mit der Angabe einer echten, eigenen Anschrift bei der Bestellung ... Wie gesagt, dies ist nur eine Vermutung meinerseits.

Mal sehen, ob man von der Polizei noch einmal etwas darüber hört.

Was mich etwas geschockt hat, war die Tatsache, dass die Banken-interne Software so grottig ist und trotz keiner Übereinstimmung von Kontoinhaber zu Kontonummer einfach bucht. Und bei Amazon ist es jetzt höchste Zeit, um sich um ein besseres Authentifizierungsverfahren zu kümmern, sobald Accounts neu erstellt werden bzw. Bankverbindungen geändert werden.

Identitätsdiebstahl und frohes Einkaufen bei Amazon

nospam@example.com (Alex) — Mon, 10 Dec 2007 20:36:00 +0100

Mal eine kleine, echte Story von heute Nachmittag:

Gegeben sei ein Online-Shop mit Bankverbindung im Impressum (nicht unbedingt unüblich).

Der Betreiber des Online-Shops geht Kontoauszüge ausdrucken. Mehrere Posten von Amazon befinden sich auf dem Ausdruck. Zwei Belastungen (zusammen ca. 500 EUR), eine geringe (< 10 EUR) Gutschrift.

Zu dumm nur, dass niemand, der mit dem Online-Shop zu tun hat, diese Bankdaten bei Amazon hinterlegt hat. Es existiert auch sonst keine Amazon-Account zu diesem Online-Shop.

Folglich hat sich irgendwer die Bankverbindung aus dem besagten Impressum geholt und diese als seine eigene eingetragen und fröhlich bei Amazon eingekauft.

Erfolgte Gegenmaßnahmen:
Stornierung der Abbuchungen bei der Bank sowie Anzeige gegen Unbekannt bei der Polizei.

Jetzt ist Amazon am Zug.

By the way: Auf die Nachfrage bei der Polizei, wie oft im Monat Internet-Straftaten gemeldet werden, winkte der Polizist nur ab. Es wären sehr viele, meistens geprellte eBay-Kunden - und das in einem Kaff Deutschlands ...

Mit gefälschtem Fingerabdruck bei EDEKA einkaufen gehen

nospam@example.com (Alex) — Tue, 27 Nov 2007 15:40:38 +0100

Tja, nun war jemand anderes - und zwar der CCC - schneller als ich.

Vor ca. anderthalb Jahren habe ich die Idee gehabt bei EDEKA im Ort daheim einmal per falschem Fingerabdruck einkaufen zu gehen. (Also quasi nur mit dem falschen Finger von mir.)

Da ich seitdem aber nie ausreichend lang genug daheim war für solche Scherze, um dies auch einmal anständig ausprobieren zu können, ist es nun zu spät dafür:

http://www.heise.de/newsticker/meldung/99627

Die Sendung heute Abend werde ich mir daher definitiv anschauen.

Update: Wer hat alles den Herrn vom CCC erkannt ?

Vorratsdatenspeicherung ist beschlossene Sache

nospam@example.com (Alex) — Fri, 09 Nov 2007 21:24:00 +0100

Wie befürchtet, ist die Vorratsdatenspeicherung heute im Bundestag durchgewunken worden ...

Morgen: Bundesweite Demo gegen Überwachungswahn

nospam@example.com (Alex) — Mon, 05 Nov 2007 18:29:43 +0100

Mitmachen ! Mehr gibt es dazu nicht zu sagen ...

Ab heute: Fingerabdrücke auf neuem ePass

nospam@example.com (Alex) — Thu, 01 Nov 2007 18:03:51 +0100

Wer ab heute einen neuen Reisepass beantragt, der bekommt nicht nur einen mit RFID-Chip, sondern muss zugleich zwei Fingerabdrücke (beide Zeigefinger) abgeben, die (vorerst) nur so lange in den Meldeämtern gespeichert werden bis der ePass ausgestellt wurde.

Der Preis bleibt unverändert (hoch).

Die alten Reisepässe (mit und ohne RFID) können allerdings bis zum eingetragenen Ablaufdatum uneingeschränkt benutzt werden.

Phishing E-Mails von Idealo

nospam@example.com (Alex) — Fri, 29 Jun 2007 14:25:14 +0200

Wie doof muss man eigentlich sein, um auf solche E-Mails hereinzufallen ?

Ich habe eine Phishing E-Mail weitergeleitet bekommen (und etwas unkenntlich gemacht) und zeige daran einmal die Fehler auf (abgesehen von vielleicht falsch dargestellten Zeichen (Kodierung) oder schlechter Sprache (Rechtschreibung / Grammatik)).

Liste (rot markierte Stellen von oben nach unten):

Die E-Mail kommt von einer russischen Universität (zumindest sieht es so aus - ich kann kein russisch).
Solche E-Mails werden maschinell und automatisiert zugestellt. Microsoft Outlook Express 6.x als MUA macht hier keinen Sinn. Die X-Mailer Zeile kann man natürlich auch noch fälschen, wenn man will.
Der anklickbare Link aus dem HTML-Abschnitt der E-Mail soll einen von der Beschriftung her glauben machen, dass man auf Idealo weitergeleitet wird. In Wirklichkeit aber verweist das Ziel des Links nach Geocities.

Abgesehen von diesen technischen Details, sollte dem Kenner auffallen, dass Idealo nur Preisvergleiche macht und keinen eigenen Shop hat.

Was allerdings raffiniert gemacht ist, ist die Tatsache, dass diese Multipart-E-Mail einen Plaintext- sowie einen HTML-Bereich aufweist. Je nach Einstellung des MUAs wird also etwas anderes angezeigt. Für den Fall, dass nur reiner Text als Ansicht im MUA gewählt ist, wird dem Benutzer kein falscher Link angezeigt. Das verhindert allzu schnelles Auffliegen. Der Benutzer wird vor einer seltsamen E-Mail stehen gelassen. Wenn der MUA E-Mails in der HTML-Ansicht allerdings anzeigt, dann kann man nur in der Statuszeile erkennen, wohin der Link tatsächlich führt.

Ich würde den Aufruf der der Webseite bei Geocities auf jedem Fall unterlassen, außer man weiß genau, was man tut !

Lustig finde ich an dieser Phishing E-Mail die Tatsache der unterschiedlichen Preise für die beiden Kameras (siehe blaue Markierungen).
Für den Preis aus dem Plaintext-Bereich würde ich auch zwei Kameras nehmen und sie weiterverkaufen.

Wahlcomputergutachten des CCC

nospam@example.com (Alex) — Mon, 11 Jun 2007 06:11:00 +0200

Wie Heise schon berichtet hat, hat der CCC ein Gutachten über die in Deutschland zugelassenen NEDAP-Wahlcomputer für das Bundesverfassungsgericht getätigt. In der Meldung war zuerst allerdings noch kein Link zum Gutachten enthalten, der jetzt aber nachgereicht wurde. Später als die Meldung auf Heise erschien auch eine entsprechende Meldung beim CCC selbst darüber:

http://www.ccc.de/updates/2007/wahlcomputergutachten?language=de

Komplett durchgelesen habe ich das Dokument zu so später bzw. früher Zeit noch nicht, aber das Bild mit der durch einen schwarzen Balken im Gesicht unkenntlich gemachten Person vom CCC finde ich lustig. Die Person dennoch zu erkennen fällt nicht besonders schwer.

Ich bin Deutscher und das ist meine Nummer

nospam@example.com (Alex) — Sun, 10 Jun 2007 14:30:00 +0200

Traurig, aber wahr: http://www.heise.de/newsticker/meldung/90890

Zudem wurden noch die Änderungen am neuen Passgesetz am Freitag abgesegnet. So bekommt nun der Reisepass ab ersten November 2007 zwei Fingerabdrücke, die auf seinem Chip digital gespeichert werden. Der zukünftige Personalausweis wird die Fingerabdrücke direkt aber der ersten Version ebenfalls enthalten.

Nachdem sich Schäuble mit seinem Vorhaben, die Fingerabdrücke langfristig in den Meldeämtern zu speichern nicht durchsetzen konnte, plant er nun eine zentrale Speicherung in einem Fingerabdruck-Register. Allerdings sollen nur Fingerabdrücke von hier lebenden Ausländern gespeichert werden. (http://www.heise.de/newsticker/meldung/90908)
Ja, ja und irgendwann werden dann doch alle zentral erfasst ...

McDonald's und der Personalausweis

nospam@example.com (Alex) — Sun, 13 May 2007 00:55:29 +0200

Wie ich in meinem letzten Beitrag schrieb, war ich vor kurzem bei McDonald's essen. Genauer gesagt: Gestern.

Während ich an der Kasse (ewig) auf mein Essen gewartet habe (ohne im Nachhinein eine Entschuldigung dafür oder gar ein weiteres Produkt als Wiedergutmachung kostenlos dazu zu bekommen, wie es in Mannheim für mich so üblich war) und zugleich den überzogenen Preis für einen McFlurry verdauen musste (vielleicht wird er in der kälteren Jahreszeit wieder günstiger ...), lamentierte ein asiatischer Gast aus China, Korea, whatsoever lautstark über die Unverschämtheit sein Menü (mit Gutschein) nicht mit einer 500 EUR Banknote bezahlen zu können.

(Kennt man eigentlich schon von deutschen Tankstellen her und besonders gefreut hätten sich die Mitarbeiter bei McDonald's sicherlich auch nicht über die Herausgabe von mehr als 490 EUR Rückgeld.)

Erstaunlicherweise kann man aber bei McDonald's doch mit 500 EUR Banknoten bezahlen. Wie ich auch erst lernen musste, nimmt McDonald's ab 50 EUR Warenwert Banknoten in selbiger Höhe (oder höher) nur mit vorgezeigten Personalausweis an. Wahrscheinlich wird dieser zur Sicherheit vor Fälschungen kopiert bzw. abgeschrieben, um im Nachhinein noch irgendwie aktiv werden zu können.

Dem Asiaten wurde das auch so erklärt. Er hatte allerdings keinen Personalausweis dabei. Weder einen deutschen, noch einen seiner Herkunft entsprechenden Ausweis dabei und so wurde ihm die Bestellung schlichtweg verweigert.

Letztendlich stellt sich mir dabei jedoch die Frage, was der Zirkus mit dem Ausweis soll. Mitarbeiter von McDonald's können keine gefälschten Banknoten erkennen, aber gefälschte Ausweise erkennen können sie schon ?
Zumindest scheinen sie sich dann darauf zu verlassen, was als Ausweis vor ihnen liegt. Gerade aber bei ausländischen Ausweisen wäre ich mir überhaupt nicht sicher, wie sie auszusehen hätten. Nicht einmal grob. Also kann letztendlich alles gefälscht sein bis auf das Foto, welches man aber auch gut etwas verfremden kann (Bart, Brille, Haarfarbe, farbige Kontaktlinsen, etc.). Vielleicht ist man noch auf einem Video der Überwachungskameras (über den Kassensystemen) drauf, aber wer aus dem Ausland mit ein paar gefälschten Euro-Banknoten hier einen günstigen Urlaub verbringen will, der wird wahrscheinlich trotz Foto vom Videoband auch nicht geschnappt werden.