Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Datenschutz“

Warum man maximal datensparsam ist…

Montag, 12. Oktober 2015

Dies ist keine Spam (weil ich heute nur Standard habe), sondern ein kleiner Lesetipp:

Wer immer noch nicht verstanden hat, warum man immer so sparsam wie möglich mit dem Angeben persönlicher Daten im Internet ist, lese bitte beim NDR weiter: Wie Kriminelle gestohlene Identitäten missbrauchen. [Weil die von Rundfunkgebührenzahlern längst bezahlten Inhalte der öffentlich-rechtlichen Anstalten immer noch wegen geltenden Lobbygesetzen der Presseverleger „depubliziert“ werden müssen, hier ein Link auf eine dauerhaft archivierte Version, ergänzt um meine Bitte, keine Zeitung oder Zeitschrift aus der Bundesrepublik Deutschland mehr zu kaufen.]

Ja, der Artikel hat seine Schwächen, zugegeben. Aber das Thema wird so selten behandelt, obwohl es sich um eine sehr häufige Kriminalitätsform handelt, dass ich auch einen schlechten Artikel verlinke.

Und nein, dass genügend persönliche Daten für einen kriminellen Missbrauch der Identität in die Hände von Verbrechern fallen, kann einem keineswegs nur bei kleinen Klitschen mit einem Online-Shop passieren, wie der Artikel in seinen schwächeren Passagen suggeriert. Solange Datenschutz eine gesetzliche Forderung ist, die bei Missachtung und grober Fahrlässigkeit zu keinerlei Strafbarkeit und Haftung für die Schäden führt, kann ich nur davon abraten, überhaupt noch persönliche Daten anzugeben.

Denn Datenvermeidung ist der einzige Datenschutz, der auch funktioniert.

Das Quizduell der ARD: Eine Datenschleuder

Dienstag, 13. Mai 2014

Hier geht es nicht um eine Spam, sondern um eine Frage, die sehr häufig bei Menschen aufkommt, die zum ersten Mal mit Spam konfrontiert sind: Woher haben die Spammer meine Mailadresse. Oft lautet die Frage sogar: Woher haben sie meinen Namen. Weil diese Frage so häufig ist, habe ich nur dafür eine eigene Seite in Unser täglich Spam, die mögliche Antworten auf diese Frage skizziert.

In der dort gepflegten, stets wachsenden Liste großer und mittelgroßer Datenschutzversäumnisse renommierter Firmen und Institutionen gibt es nämlich einen Neuankömmling, den ich ganz besonders „warm“ begrüßen möchte: Die Arbeitsgemeinschaft der öffentlich-rechtlichen Rundfunkanstalten Deutschlands, besser bekannt als ARD, hat 50.000 vollständige Datensätze von Handyspiel-Teilnehmern des gestrigen „Quizduells“ mit Jörg Pilawa „veröffentlicht“. Die Datensätze (Name, Anschrift, Mailadresse, Geburtsdatum) sind für einen kriminellen Identitätsmissbrauch ebenso hinreichend wie für sehr gefährliches, personalisiertes Phishing.

Eine kurze, unsachliche Stellungnahme

Wer es nicht spätestens jetzt begreift, dass Datenschutz bedeutet, gegenüber allem und jedem sparsam mit seinen persönlichen Daten zu sein, wer nicht spätestens jetzt bemerkt, dass die Datenschutzversprechungen auch renommierter Unternehmen und Institutionen nicht die Elektronen wert sind, mit denen sie durchs Internet befördert werden, der wirds vermutlich gar nicht mehr begreifen und auch weiterhin für jedes alberne Spiel mit Journaille- und TV-Hintergrund – „Oh, da kann ich ja auch was gewinnen, da mache ich mal mit“ – oder jeden Nullwertdienst eines Unternehmens ohne seriöses Geschäftsmodell einen freizügigen Datenstriptease über ein abstraktes Medium hinlegen. Es sind alles erwachsene Menschen, und ich kann auch niemanden daran hindern, so zu tun, aber mein Mitleid mit Leuten, die eine solche Haltung haben und irgendwann zu Opfern von Verbrechern werden, hält sich doch sehr in Grenzen, ja, es spukt wie der Geist eines längst entschwundenen Mitleids vor sich hin. Und jeder, der ein Internet hat und trotzdem doofblickend in die Welt sagt, dass er doch nichts von solchen Risiken gewusst habe, möge bitte vor seinem Gemaule in den Kommentaren lernen, wie man Websuchmaschinen benutzt, um sich zu informieren und sich anschließend diese Haltung angewöhnen. Und nein, in der Glotze, diesem flackernden Volksempfänger, gibt es keine Information. (Jedenfalls nicht zu Sendezeiten, die einem arbeitenden Menschen das Zuschauen ermöglichen würden.) Da gibts konzentrierte und verdummende Dummheit mit psychisch ungesunder Affektheischerei. Und zwar auf jedem stinkenden Kanal.

Ein bisschen Information zum persönlichen Datenschutz gibt es schon hier, auf meiner eigens dafür eingerichteten Seite.

Spam mit namentlicher Anrede: Woher kommen die Daten?

Freitag, 8. März 2013

Die anonyme Ansprache in einer Mail ist längst kein Kriterium mehr, um eine Spam sicher erkennen zu können. In den letzten Tagen häufen sich große Spamwellen von Schadsoftware-Mails mit namentlicher Ansprache. Diese sind teilweise leicht erkennbar, etwa, wenn eine angebliche Rechnung von einem Unternehmen kommt, mit dem man es bislang noch nie zu tun hatte, sie sind aber auch teilweise hochgefährlich wie die angeblichen Rechnungen von Groupon, bei denen zumindest in einigen Fällen die gleiche abweichende Namensschreibweise wie gegenüber Groupon verwendet wurde.

Zurzeit werden derartige Spams vor allem verwendet, um Menschen mit alarmierenden Texten zur Installation von Schadsoftware zu bewegen, indem sie einen Mailanhang mit einer ausführbaren Datei für Microsoft Windows öffnen. Die Schadsoftware ist in der Regel „frisch“ und kann vom Schlangenöl der gängigen Antivirusprogramme nicht zuverlässig erkannt werden. Die so installierten Trojanerpakete ermöglichen einen beliebigen Missbrauch des Computers und der Internetleitung, insbesondere auch für betrügerische Geschäfte, kriminelle Attacken auf IT-Infrastruktur, manipulierte Online-Kontoführung, Phishing und den Versand von Spam. Wer derartige Trojaner auf seinem Rechner laufen hat, wird mit Sicherheit zu Schaden kommen. Mit dieser Spam wird nicht gespielt! Ob das Konto geplündert wird, oder ob die Kriminalpolizei vor der Tür steht – eine Menge Ärger ist programmiert.

Der einzig sichere Schutz dagegen ist es, wenn der Empfänger die Spam als solche erkennt und löscht. Das ist bei einer Spam mit namentlicher Ansprache erschwert, vor allem, wenn es sich um die angebliche Rechnung (oder ein sonstiges Dokument) eines Unternehmens handelt, mit dem man in geschäftlicher Beziehung steht. So lange diese Spamwelle läuft – und ich befürchte, sie wird noch Monate oder Jahre laufen – gibt es nur eine Möglichkeit, sich zu schützen: Niemals einen Mailanhang öffnen, der in einer nicht digital signierten Mail ohne Absprache zugestellt wurde!

Es ist den Spammern gelungen, die echten Namen zu außerordentlich vielen E-Mail-Adressen zuzuordnen. Eine Spam mit persönlicher Ansprache ist wesentlich gefährlicher als eine anonym formulierte Spam, weil ihr mit weniger angemessener Vorsicht begegnet wird. Es könnte sogar noch schlimmer sein: In einem Kommentar habe ich einen Hinweis darauf erhalten, dass die Spammer sogar wissen, welches Betriebssystem genutzt wird und gezielt eine passende Schadsoftware anhängen. Das ist mit so wenig Beleg wie einem einzigen Blogkommentar bei über 10.000 Lesern des Postings zwar keineswegs gesichert, aber allein diese Vorstellung ist höchst alarmierend und sollte nicht einfach abgetan werden. Denn das wäre eine neue Dimension in der Perfidie der Schadsoftware-Spam, die sich deutlich von der üblichen „Streumunition“ der Spam unterscheidet.

Es gibt in dieser Situation eine Frage, die in meinen Augen unbedingt geklärt werden muss:

Woher haben diese Verbrecher ihre Daten?

Natürlich liegt es nahe, ein Datenleck bei Groupon zu vermuten, wenn sogar die Schreibweise des Namens in Einzelfällen mit den gleichen Fehlern behaftet ist wie der Name, der in der Spam verwendet wird. Groupon hat diesen Verdacht bislang in Kommentaren im Groupon-Blog zurückgewiesen. Auf mich wirkt es zwar nicht sonderlich glaubwürdig, wenn einerseits gesagt wird, dass noch untersucht wird und andererseits schon zugesichert wird, dass keine Daten „geklaut“ wurden, aber hier kann nur eine unabhängige Untersuchung abschließende Aufklärung bringen. Strafanzeigen wegen Computersabotage nimmt übrigens jede Staatsanwaltschaft entgegen, und betroffen ist jeder, dessen Daten für die Zustellung einer Schadsoftware Verwendung fanden. Bis zu einer derartigen Klärung des Sachverhaltes sollte man sich besser in Zurückhaltung bei Schuldzuweisungen üben – und auch ein kleines bisschen Verständnis für die Groupon-Mitarbeiter aufbringen, die im Moment eine sehr unangenehme und arbeitsreiche Zeit durchstehen müssen.

Diese Zurückhaltung empfiehlt sich um so mehr, als dass Spams mit namentlicher Ansprache auch ohne Groupon-Kontext versendet werden, und das durchaus schon seit längerer Zeit. Es müssen also weitere Datenlecks vorliegen, aus denen die Spammer ihren Datenbestand gefüllt haben. Die Frage, wo diese Daten herkommen, führt im Moment zu allerlei Spekulationen.

Es ist an der Zeit, diese Spekulationen mit überprüfbaren Fakten zu unterlegen und vielleicht herauszubekommen, woher die Daten stammen.

Ich sehe die folgenden Möglichkeiten, woher die Namen (und möglicherweise weitere Informationen, etwa, welches Betriebssystem genutzt wird) stammen können – die Links führen jeweils zu weiteren Informationen:

  1. App-Store für Android
    Wenn man bei „Google Play“ eine App kauft, werden die Daten des Besitzers an den Verkäufer weitergegeben. Dazu gehört auch der von Google verpflichtend eingeforderte (und gegebenenfalls durch ein gescanntes Ausweisdokument zu belegende) Realname, zusammen mit der Mailadresse. Alles, was Spammer tun müssen, um an einen Datenbestand zu kommen, ist, ein paar alles in allem schnell zu programmierende Apps zu bauen und dafür zu sorgen, dass diese auch gekauft werden. Google würde – falls das die Quelle der Daten ist – zur helfenden Hand für die organisierte Internet-Kriminalität.
  2. Trojanische Apps auf Smartphones
    Es gibt jede Menge trojanischer Apps auf Smartphones, teilweise sogar von Unternehmungen mit einer zu Unrecht viel zu guten Reputation. Diese Apps können auf die gesamten Adressbestände des Telefons zugreifen und diese an andere Stellen im Internet übertragen, und darunter befinden sich auch jede Menge Kombinationen aus Mailadresse und Realname. Natürlich sind die abgegriffenen Daten nicht darauf beschränkt. Wenn das Smartphone mit dem PC synchronisiert wird, könnte dabei auch durchaus die Information anfallen, welches Betriebssystem auf dem PC verwendet wird.
  3. Social-Web-Sites
    Bei Facebook war es für registrierte App-Entwickler möglich, auf sämtliche Daten beliebiger Facebook-Konten zuzugreifen, auch hier wird sich häufig der echte Name zur E-Mail-Adresse gesellen. Es war möglich, sich fälschlich als Entwickler auszugeben. Der Zugriff gelang auch auf Konten, in denen keine App installiert wurde. Natürlich lässt sich ein derartiges Abgreifen von Daten automatisieren, und natürlich weckt eine große, zentrale Datensammlung auch Begehrlichkeiten von Kriminellen. Einmal ganz davon abgesehen, dass einigen dieser Geschäftsleute ohne seriöses Geschäftsmodell der Datenschutz vollkommen gleichgültig zu sein scheint.
  4. Kommerzielle Anbieter
    Mindestens ein kommerzieller Anbieter im deutschsprachigen Web hat mutmaßlich Adresshandel mit den gesammelten Daten betrieben. Es würde mich nicht überraschen, wenn es viele Unternehmen gäbe, die sich dieses zwar illegale, aber dennoch lukrative Zusatzgeschäft nicht entgehen lassen möchten.
  5. Gewinnspiele im Fernsehen
    Zumindest an halbseidene Callcenter sind Daten, die über Gewinnspiele im Fernsehen erhoben wurden, schon gegangen. Vermutlich werden die Daten ganz allgemein gehandelt.
  6. Datenlecks
    In den letzten achtzehn Monaten kam es zu einer außerordentlichen Häufung von Datenlecks auch bei renommierten Unternehmen, bei denen große Teile des Datenbestandes abgegriffen werden konnten. Betroffen waren unter anderem die belgische Staatsbahn, Coca-Cola, verschiedene so genannte „Singlebörsen“ (hier nur meetOne als ein Beispiel) und mutmaßlich DHL. Desweiteren können im Regelfall schlecht bezahlte Mitarbeiter gewisser Callcenter frei auf Daten zugreifen, und es würde mich sehr überraschen, wenn da nicht der eine oder andere nach Möglichkeiten suchen würde, sein mieses Gehalt aufzubessern. Dass selbst bei großen Anbietern von Pornografie sehr wenig Wert auf Datensicherheit gelegt wird, sei hier nur eine kleine Ergänzung.
  7. Cloud-Dienste
    Es kam bis jetzt immer wieder zu teilweise erheblichen Datenlecks bei so genannten Cloud-Diensten. Je nach dem, welche Daten dort abgelegt sind (zum Beispiel E-Mail-Adressbücher, aber auch andere Dokumente), können dabei personenbezogene Daten in erheblicher Menge abgegriffen und automatisiert ausgewertet werden.

Seit Mitte 2010 kann ich verschiedene Versuche der Spammer und halbseidenen Anbieter irgendwelcher Nutzlosgüter ausmachen, dass sie echte Namen zu den Mailadressen zu erhalten versuchen, und ich habe immer deutlich davor gewarnt – leider nur nach meinen beschränkten Möglichkeiten; in einem kleinen, eher unbedeutendem Blog, das ich nur einmal angefangen habe, um die Spam nicht mehr stumm hinzunehmen…

Dass es irgendwann zu überzeugender Spam mit namentlicher Ansprache kommt, ist zumindest für mich keine große Überraschung.

Meine Frage/Bitte an die Leser

Ich habe weiter oben viele mögliche Quellen für die Kombination Mailadresse und Name im Datenbestand der Spammer genannt. Vermutlich habe ich genau so viele mögliche Quellen vergessen, weil ich sie einfach nicht „auf dem Schirm“ habe. Wenn beim einen oder anderen Leser ein gewisses Entsetzen aufgekommen ist, entspricht das durchaus meiner Absicht – denn die Zeit der Sorglosigkeit gegenüber der organisierten Internet-Kriminalität muss aufhören, und der erste Schritt in einen verantwortungsvolleren Umgang mit dem Internet ist ein Verständnis für das Ausmaß der möglichen Probleme. Es mag sein, dass jemand anders zu anderen Schlüssen kommt als ich, aber ich kann nur eines empfehlen: Niemanden persönliche Daten ohne zwingenden Grund anvertrauen, niemanden glauben, dass er sorgsam mit persönlichen Daten umgeht, niemals persönliche Daten auf Geräten vorhalten, die der eigenen Kontrolle entzogen sind und diese Tatsache hinter einer gefälligen Benutzerschnittstelle verbergen. Ja, mit dem letzten Punkt meine ich Pads und Phones, aber auch generell gewisse Betriebssysteme.

Meiner Meinung nach sollte so genau wie möglich aufgeklärt werden, wie die Spammer in diesem Fall an die Daten gekommen sind. Das kann im günstigen Fall erkennbar machen, welche Menschen in naher Zukunft von möglicherweise perfiden und stark personalisierten Spamattacken betroffen sein könnten, und es kann für diese Menschen ein Beitrag zur angemessenen Vorsicht angesichts der Gefährdung sein. Diese Vorsicht ist der einzige Schutz, so genannte „Antivirenprogramme“ sind hingegen relativ wertlos.

Wie wäre es mit einem heiteren Detektivspiel zu einer wenig heiteren Form des Verbrechens. Wer kann und will dabei helfen, folgende Fragen zu klären – damit eventuell in den zusammengetragenen Informationen Klarheit aufkommt oder wenigstens, damit bestimmte Möglichkeiten ausgeschlossen werden können:

Besonders wertvoll sind dabei Angaben mit E-Mail-Adressen, die an genau einer Stelle verwendet wurden und jetzt zum Ziel der Spam geworden sind; ebenfalls wertvoll sind einmal verwendete Pseudonyme oder falsch angegebene Namen, die jetzt in personalisierter Spam auftauchen. Diese sind eine klare Spur, die zur Quelle der Daten führt.

  1. Woher kommen die Daten?
    Hat jemand bei einem einzigen Dienst eine Mailadresse verwendet, die jetzt personalisiert zugespammt wird? Hat jemand ein Pseudonym oder einen falschen Namen angegeben, für den jetzt „Rechnungen“ kommen? Welcher Dienst war das? Oder taucht eine Falschschreibweise eines Namens in einem Adressbuch auf einem Smartphone oder innerhalb eines Cloud-Dienstes auf und geht jetzt Spam an diesen Namen? Solche Kleinigkeiten können helfen, das Datenleck zu identifizieren und gezielt andere Anwender zu warnen.
  2. Wenn die Spur zu einem Smartphone führt…
    Welches Version hat das Betriebssystem? Welche Apps sind darauf installiert? Welche Apps waren einmal darauf installiert und wurden wegen Nutzlosigkeit oder weil sie einfach nicht funktionierten, wieder gelöscht? Irgendetwas auf diesem Smartphone war nicht koscher, und es gilt, herauszufinden, was das war und wer dafür verantwortlich ist. Wenn genügend derartige Informationen zusammengeführt werden, können sich viele derartige Spuren zu einem konkreten Verdacht verdichten, dem man nachgehen kann.
  3. Wenn die Spur zu einem Unternehmen führt…
    Wann wurde die Registrierung oder Datenangabe durchgeführt? Eventuell lässt sich so eingrenzen, wann die Daten abgegriffen wurden, wenn man feststellt, dass spätere Nutzer nicht betroffen sind. Gab es eine spätere Änderung der Mailadresse oder des Namens, die den Zeitrahmen fassbarer macht?
  4. Gab es Angriffe, die Kenntnisse über das Betriebssystem voraussetzen?
    So lange ich nur einen etwas fragwürdigen Kommentar habe, glaube ich es nicht. Aber wenn es weitere Mac-Anwender gibt, die ebenfalls gezielt Schadsoftware für Mac OS erhalten haben, ist das ein deutliches Indiz dafür, dass die Kriminellen wissen, welches Betriebssystem verwendet wird. An dieses Wissen können sie auf verschiedenen Wegen kommen; am einfachsten übrigens, indem sie es schaffen, dass man auf einen Link in einer Mail klickt und dass der Browser dann über den User-Agent im HTTP-Header mitteilt, welches System verwendet wird. (Das ist ein Grund mehr, niemals in eine Spam zu klicken.) Werden Adressbücher, Terminkalender etc. mit einem Smartphone synchronisiert, dass hierüber die Information abgegriffen werden kann? Wenn ja, siehe weiter oben: Welche Betriebssystemversion und welche Apps sind (oder waren) auf dem Smartphone installiert? Wenn das Smartphone erstmal trojanisiert ist und auch zum Surfen verwendet wird, ist es für die Kriminellen relativ leicht, herauszubekommen, welche Websites häufig aufgerufen werden und daraus zu schließen, wo jemand Kunde sein könnte, um dann „Groupon-Rechnungen“ zu verschicken – und vergleichbar leicht ist ein ähnlich gezielter Angriff auf das Online-Banking, mit namentlicher Ansprache und scheinbar vom richtigen Kreditinstitut.

Ich weiß, dass ich in meinen Punkten sehr auf Smartphones herumreite. Es ist einfach mein stärkster Verdacht, übrigens ohne weitere Anhaltspunkte als „nur“ dem einen Punkt der außerordentlichen Einfachheit, auf diesem Weg persönliche Daten von Menschen abzugreifen. In den Smartphones hat sich die Sicherheits-Blauäugigkeit der Neunziger Jahre mit der organisierten Internet-Kriminaliät der Zehner Jahre kombiniert und ist mit den in meinen Augen fragwürdigen Geschäftsmodellen Apples und Googles eine unheilige Allianz in der Entrechtung, Verdummung und Abzocke der Nutzer eingegangen. Bei den meisten Anwendern ist in all der kindischen Freude an den neuen Möglichkeiten leider noch kein ausgeprägtes Bewusstsein für die möglichen Probleme gewachsen – und die von namhaften Unternehmen installierten Trojaner sind nur ein kleiner Teil des ganzen Wahnsinns, ein Teil übrigens, der leider viel zu wenig Ächtung erfährt. (Meiner Meinung nach wäre das, was Facebook, Twitter, Path etc. klandestin auf Smartphones betreiben, in einem Rechtsstaat etwas, wofür es Gefängnisstrafen gäbe. Wer Trojaner programmiert und als vergifteten Bonbon zur Installation auf Computern anbietet, hat sich selbst aus dem zivilisierten Miteinander verabschiedet und zeigt, dass er die gleichen widerlichen Methoden anwendet wie eine Bande von Verbrechern. Er zeigt auch, dass er die Menschen nicht anders betrachtet, als ein Verbrecher es täte: Als dumme, verachtenswerte Opfer, die man ausraubt und ausbeutet.) Smartphones sind persönlich genutzte Computer, die bei vielen Menschen deutlich weiter in die Intimsphäre hineinragen als der Computer auf dem Schreibtisch und die dabei deutlich unbefangener genutzt werden. Wenn ich selbst ein Krimineller wäre, würde ich mich darauf konzentrieren.

Wer die von mir angesprochenen Punkte aus seiner persönlichen Erfahrung etwas klären kann, schreibe das bitte öffentlich in einen Kommentar zu diesem Posting. Natürlich gilt das auch für Punkte, die ich vergessen habe. Mit einem bisschen Glück wird es so möglich, das Datenleck aufzuklären, indem man einfach Fakten zusammenträgt. Mit einem bisschen Pech allerdings – und ich befürchte, so wird es kommen – wird dabei klar werden, dass längst Daten aus vielen verschiedenen Quellen zusammenfließen und von organisiert Kriminellen für ihre verachtenswerten „Geschäfte“ benutzt werden.

Natürlich darf hier jeder Kommentar auch schön anonym mit falscher Mailadresse und lustigem Phantasienamen abgegeben werden. Ich werde hier allerdings strikt moderieren und jeden völlig unbegründet geäußerten Verdacht löschen. Die IP-Adressen werden von mir nicht langfristig gespeichert.

Abschließendes

Angesichts der momentan zur Massenpest werdenden Spam mit überzeugender namentlicher Anrede möchte ich noch einmal meinen anderthalb Jahre alten Offenen Brief an alle Bankhäuser in die Aufmerksamkeit rücken. Wer im geschäftlichen Mailverkehr auf digitale Signatur verzichtet, ist selbst fördernder Teil der Kriminalität.

Zwei technische Hinweise

Mittwoch, 16. März 2011

Keine Spam, sondern zwei kleine, technische Hinweise an die Leser:

Tschüss Akismet – Wegen der rechtlichen Unsicherheiten bei der Nutzung des Akismet-Plugins in der Bundesrepublik Deutschland und wegen der absehbaren Abmahnwellen habe ich Akismet aus diesem Blog entfernt. Das heißt aber nicht, dass es hier keinen Spamschutz mehr gäbe, ich verwende nun Antispam Bee, ein kleines Plugin, dass kein Datenschutz-Problem verursacht und zurzeit recht gut funktioniert. Was ich davon halte, dass einerseits bestimmte Organisationen der Contentindustrie für das quasi-industrielle Verfassen von Abmahnbriefen ohne besondere Probleme und ohne juristische Kontrolle IP-Adressen von den Zugangsprovidern erhalten können, während andererseits ein Websitebetreiber, der sein Projekt vor krimineller Spam schützen muss (es gibt eine Linkhaftung in der BRD), bei der Übermittlung einer IP-Adresse an einen Anti-Spam-Dienstleister ein unkalkulierbares juristisches Risiko eingeht, möchte ich an dieser Stelle lieber nicht in den Worten äußern, die mir auf der Zunge liegen. Nur so viel sei gesagt: Dieser (politisch offenbar gewünschte) Zustand ist nicht geeignet, um das Vertrauen in einen Rechtsstaat mit für allen gleichen Gesetzen zu fördern.

Gib mir Spam – Unser täglich Spam ist um ein interessantes Experiment erweitert worden. Wer immer schon einmal wissen wollte, was passiert, wenn man eine Mailadresse im Internet veröffentlicht, kann das hier verfolgen. Die Mails, die an die geradezu einladend veröffentlichte Adresse gammelfleisch@tamagothi.de gehen, werden automatisch zu einem Dienstleister für Wegwerfadressen weitergeleitet und stehen in einem IFRAME zur öffentlichen Ansicht. Der „Erfolg“ dieser Veröffentlichung einer Mailadresse wird sich schon in wenigen Wochen zeigen, und ich hoffe, dass dieser Einblick in den alltäglichen Wahnsinn, der sich in nur zwei Tagen ansammelt, jedem zur Vorsicht im Umgang mit seinen persönlichen Daten im Internet mahnt. Überflüssig zu erwähnen, dass es sich ausschließlich um kriminelle Angebote handelt und dass der „Genuss“ dieser Gammelfleisch-Ernte auf vollkommen eigene Gefahr erfolgt. Guten Appetit!

Gratis Download

Dienstag, 18. Januar 2011

Es ist nicht unbedingt Spam, auch wenn ich auf die Website mit diesem Angebot über einen etwas fragwürdigen Weg¹ aufmerksam gemacht wurde und auch, wenn die Website mit diesem Angebot zwar viele allgemeine Angaben in ihrem Impressum macht, nur nicht die eine Angabe, die man dort vielleicht ob des Titels „Impressum“ erwartet, nämlich die Angabe zur inhaltlichen Verantwortung. Aber man sollte sich schon einmal die Frage stellen, warum beim Angebot eines „Gratis Download“ [natürlich mit Deppen Leer Zeichen, damits auch besser für Google passt – wer schreibt denn noch für Menschen im Internet?]…

Screenshot: Gratis Download -- 63 wichtige Musterbriefe und Vorlagen für Selbständige und Unternehmer -- jetzt gratis downloaden -- Tragen Sie einfach Ihren Namen und Emailadresse ein und Sie bekommen Alles per Downloadlink zugesendet -- Ihre Daten werden niemals weitergegeben und Sie können sich jederzeit mit einem Klick austragen.

…nicht einfach – wie überall sonst, wo Dinge im Internet zum kostenlosen Download angeboten werden – ein direkter HTTP-Link auf das Angebot gesetzt wird und warum man dort stattdessen eine Mailadresse zusammen mit seinem Namen (!) angeben soll, um dann erst diesen Link in Form einer Mail (!) zu erhalten. Vor allem, wenn dies mit der Zusage einher geht, dass man sich doch „jederzeit mit einem Klick austragen“ kann, ganz so, als würde man mit dieser Angabe, die man eigentlich wegen eines einzigen Download-Angebotes macht, ein Einverständnis für die Zupflasterung des Mailpostfaches mit meist unerwünschter Reklame geben.

Wie gesagt, es ist nicht unbedingt Spam, aber es duftet schon recht markant. Ich wollte jedenfalls nicht ausprobieren, was da kommt, wenn man dort eine Mailadresse angibt – und würde das auch niemandem empfehlen. Dafür kenne ich eine ganze kriminelle Industrie – nicht, dass ich einen Zusammenhang mit diesem speziellen Angebot hier als Tatsache postulieren möchte, aber es gibt ganz generell eine organisierte Spam-Kriminaltät – deren größtes Problem im kriminellen Geschäft darin besteht, dass sie die Menschen nicht persönlich ansprechen kann und die deshalb großes Interesse an Datenbanken hat, in denen eine Mailadresse einem richtigen Namen zugeordnet wird. Auf diesem Hintergrund ist erst recht davon abzuraten, einem völlig anonymen Anbieter eine derartige Kombination von Daten auszuhändigen, nur um an einen Download zu kommen, der sich auf Seiten des völlig anonymen Anbieters auch auf technisch weniger komplexe Weise realisieren ließe.

Niemand wird sich einen unnötig hohen technischen Aufwand für ein einfaches Angebot machen. Und es ist auch beim mehrfachen Nachdenken nicht erkennbar, wieso eigentlich zusammen mit der Mailadresse ein Name angegeben werden sollte. Ich kann nur empfehlen, solche Angebote völlig zu meiden – es hat einfach Vorteile, wenn nur persönliche Bekannte und Geschäftspartner eine Kombination von Name und Mailadresse kennen und deshalb ein Großteil der Phishing-Versuche allein dadurch sofort erkennbar ist, dass sie mit einer unpersönlichen Ansprache ins virtuelle Postfach kommen. Diesen Vorteil sollte man nicht leichtfertig aufgeben.

Datenschutz im Internet beginnt damit, dass man mit seinen eigenen Daten sparsam umgeht und sie nicht an jeder möglichen Stelle angibt. Was nicht gesammelt werden kann, das kann auch nicht missbraucht werden.

¹Der „etwas fragwürdige Weg“ war ein Spam-Follower bei Twitter.