2008 zirkulieren über 127 Millionen us-amerikanische Kundendatensätze

Heise hat schon viel über Datenlecks und gehandelte Adressdaten berichten müssen. Heute wieder, in Verlustfälle bei Kundendaten nehmen zu:

Laut einem Bericht des Identity Theft Resource Center in San Diego beläuft sich die Zahl der 2008 öffentlich einsehbaren Fälle von Datenverlusten in den USA bereits auf 449. Im Vergleich dazu seien im gesamten Jahr 2007 „nur“ 446 entsprechende Vorkommnisse gelistet worden. Von den Sicherheitsdebakeln betroffen gewesen sein sollen im vergangenen Jahr Datensätze von 127 Millionen Kunden.

Berichterstattung ist wichtig. Aber immer noch kommt dabei zu kurz, dass der „Verlust“ von Daten tatsächlich ein „Kontrollverlust“ ist – diejenige Instanz, die die Daten hält und verwaltet, ist durch den jeweils berichteten Vorfall nicht mehr in der Lage, diese kontrolliert zu verwenden. Und das ist noch sehr konservativ formuliert – und nimmt implizit an, dass die Datensammlung selbst sauber zustande gekommen und lediglich schlampig gehandhabt wurde. Vermutlich ist die Formulierung „Spitze des Eisbergs“ eine der einlullendsten die es gibt, indem das unvorstellbare versuchsweise greifbar gemacht wird. Aber auch hier fehlt die Tiefe: nimmt man alle öffentlich berichteten Fälle der USA seit 2000 zusammen, dann dürfte die gesamte als Kunde erfasste Bevölkerung schon mehrfach profiliert worden sein, ohne dass sie davon weiß. Man muss nur zählen können. Zusammenführen von Datenbeständen ist trivial. Aufklärung tut Not.
Für Deutschland fehlt bislang eine solche öffentliche Liste, mit der Datenschützer, Mahner und Redaktionen ordentlich argumentieren können. Einen Anfang haben wir von wiki.data-loss.de schon gemacht; ich fühle mich allerdings überrannt von der jüngeren Entwicklung seit Mitte Juni. :P

Über die breit gelaufene Berichterstattung, die tendenziöse wie von Ralf erläutert oder die mahnenden Forderungen für künftige Gesetzgebung wie vom ULD zusammengefasst, hat dieses Blog ebenfalls schon berichtet, und wird das auch weiterhin tun müssen. Von alleine wird die Welt nicht besser, schon gar nicht durch Trippelschritte. Die losgelassenen Datensätze hierzulande werden im Wochentakt mehr, staatlicher oder privatwirtschaftlicher Herkunft. Die Demonstration „Freiheit statt Angst“ am 11. Oktober in Berlin kann das ändern helfen. Geht hin!

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

3 Ergänzungen

  1. Dass das „Zusammenführen von Datenbeständen .. trivial“ ist, will ich heftig bestreiten: Gerade ist in mehreren Landkreisen und Staedten aus Norddeutschland bei der Generierung der einheitlichen Steuernummer ein Fuckup passiert. Der Fehler ist *immer noch nicht* gefunden; auf jeden Fall wurde beim Zusammenfuehren von Meldeamt- und Finanzamt-Datensaetzen heftig gemischt. Heraus kamen falsche Datensaetze, die Geburtsname- und Staat voellig willkuerlich zuorneten. In Stade ist die Fehlerquote nahe 100%.

    http://foobla.wigbels.de/2008/08/12/abwarten-nichts-unternehmen-datenmull-aus-stade/

    Das Zusammenfuehren von Daten ist deshalb nicht trivial, weil bei einem Design von Datenstrukturen in Systemen unterschiedliche Ansaetze gefahren werden und Architekten beteiligt sind. Ich bestreite nicht, dass eine Zusammenfuehrung moeglich ist. Sie ist und bleibt aber schwierig… Bei Fehlern koennen den Betroffenen grosse Nachteile entstehen.

    Der fuer meine Steuernummer generierte Datensatz sieht fuer mich als Geburtsstaat „Kasachstan“ vor. Das wird natuerlich korrigiert. Der initial genierte Datennsatz ist allerdings „in der Welt“ und kann nun froehlich und unmotiviert verbreitet werden. Wie Datentraeger verschwinden, kann man ja im Takt nachlesen…

    1. Danke für den Kommentar. Die Nachricht bei heise dazu gestern hab ich auch gelesen.

      Ich wollte nur darauf hinweisen, das es bei den eher standardisierten Datensätzen aus Kundendatenbanken a la Rabattkarte recht leicht geht, und habe bei der Wortwahl absichtlich die Schwelle als niedrig gekennzeichnet.

      Das aktuelle Beispiel aus Stade illustriert das ungewollt, dürfte aber letztlich nur eine Frage des Manpowers sein.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.