Mysteriöse Spam-Mail

[Shootingstar]

Ich habe gerade mein E-Mail-Konto gecheckt. Ich hatte dort unter "Unbekannt" eine Spam-Mail, die als Betreff den Namen meiner Mutter stehen hatte - und zwar vollkommen korrekt geschrieben. Jetzt frage ich mich, wie das kommt? Ich habe gerade mein Virenprogramm gestartet, um meinen Rechner vollständig zu scannen, falls ich dort irgend einen Virus o. Ä. drauf haben sollte. Sicherheitshalber würde ich den Computer auchz gerne nochmal extern scannen - kennt da jemand eine seriöse Seite, über die man das machen kann?

Ich kann mir das sonst nur so erklären, dass mein Mail-Anbieter gehackt worden wäre, kann mir das aber irgendwie nicht so recht vorstellen.

[Cohen]

Hast du vielleicht mal irgendwann zum Einlösen eines Neukundengutschein bei buch.de, weltbild.de oder ähnliches die Daten deiner Ma angegeben?

[Shootingstar]

Bei den von dir genannten nicht, aber ich habe in ihrem Auftrag schon Einiges bei größeren Versandhäusern online bestellt (sie selbst hat keinen Computer) und dann meine E-Mail-Adresse angegeben.

[stundenglas]

Nun es ist wahrscheinlich so wie Cohen sagt.

Aber auf der anderen Seite sollte man sich bewusst sein das dritte die E-Mail mitlesen können. Ob sie dies dürfen ist eine andere frage. Alles was du dort schreibst ohne es zu Verschlüsseln kannst du genau so gut bei Youtube als Video zum Download anbieten.

Bei E-Mails sollte man sich ohne eine Krypto-Signatur auch nicht auf den Absender verlassen.

[Hans]

Was nützt E-Mail-Verschlüsselung wenn 99,9% der Benutzer nicht verstehen, wie sie funktionert geschweigedenn wie sie anzuwenden ist?

Wenn du den Namen deiner Mutter und deine E-Mail-Adresse schon beim Bestellen verwendet hast, ist das doch eine gute Erklärung. Solche Datensätze geraten oft in Umlauf.

Sicherheitshalber würde ich den Computer auchz gerne nochmal extern scannen - kennt da jemand eine seriöse Seite, über die man das machen kann?

Über eine Webseite zuverlässig auf Viren checken? Besser ist es, wenn du dir eine von den vielen Virenscan-Boot-CDs herunterlädst, das System darüber bootest und dann deine Windows-Partitionen scannst.

[Shootingstar]

Ich habe gestern eine Mail von Neckermann bekommen, dass Hacker wohl einen Server mit Gewinnspieldaten geknackt und dabei Namen sowie E-Mailadressen erbeutet haben. Das dürfte wohl alles erklären.

[Simon]

Das ist etwas, was mich sehr stört:
Man muss sich so oft irgendwo anmelden und überall Adresse etc. hinterlassen. Ich denke, dass niemand weiß, wo seine Daten überall rumfliegen. Ich glaube zwar nicht, dass meine Adressdaten so interessant sind, aber es stört mich trotzdem und hat ja auch praktische Nachteile (wenn man umzieht, muss man die Adresse bei jedem Versand ändern). Wäre es nicht toll, wenn man einen Service hätte, bei dem man seine Bestellungen managen kann, so dass man bei den Händlern und Anbietern nur noch seine Nutzer-ID für den entsprechenden Service angeben muss. Das sähe dann so aus:

Ich packe bei Amazon das in den Warenkorb, was ich will, gebe dann an meiner Kasse nur meine Service-ID (evtl. mit Codewort) an und bestätige.
Dann logge ich mich bei dem Service an, wo die Amazon-Bestellung auftaucht. Da kann ich dann bezahlen und die Versandadresse angeben/wählen.
Amazon schickt das Paket ab, wenn die Bezahlung bestätigt wurde, gibt als Adresse aber nur die Service-ID an, so dass der Versender nichts außer meiner ID wissen muss.
Die Post oder der entsprechende Paketdienst kommt dann über die ID an meine Adresse.

Dieser Service muss allerdings sehr vertrauenswürdig sein, da dort alle meine Daten liegen (oder man baut den Service so auf, dass man optional alle Daten nach erfolgtem Versand automatisch löscht) und auf der anderen Seite brauchen die Versender die Sicherheit, dass sie ihr Geld bekommen bzw. bei Problemen (wenn z.B. der Käufer die Kreditkartenabrechnung im Nachhinein storniert) einen guten Ansprechpartner haben.

Ich denke, dass so ein Service ein doppelter Gewinn wäre, zum einen bekommt man mehr Kontrolle über seine persönlichen Daten, zum anderen hat man selbst den Vorteil, dass man nicht mehr bei jeder Anmeldung bei einem neuen Versender langwierig alle Daten eingeben muss.

[Cohen]

Wenn sämtliche Kundendaten (weltweit, also auch für Bestellungen in Auslands-Shops?) zentral über einen Dienst abgewickelt werden, können sich die Hacker und Datendiebe auch besser auf ein gemeinsames Angriffsziel konzentrieren, das spart denen auch Ressourcen

Das System würde bereits im Vorfeld scheitern, da die Shops nicht auf deine Daten verzichten möchten. Zum einen, um dir personalisierte Werbung zuzusenden, also damit du dort im Endeffekt mehr Geld lässt. Zum anderen, um ihre Datenbestände in gewissem Rahmen an Werbepartner weiterzuverschachern und noch etwas dazuzuverdienen.

Als Apple beim iPad für digitale Zeitschriften-Abos einen optionalen In-App-Kauf direkt über den AppStore vorgeschrieben hat, waren die Wehklagen der Zeitschriften- und Zeitungsverleger groß. Nicht weil Apple dadurch 30% von jeder verkauften Ausgabe abbekommt (und das Produkt dafür für über 200 Mio. Kunden gut sichtbar in das virtuelle Regal stellt, einen gewissen Kopierschutz bietet, die Kosten des Download-Traffic und die komplette Zahlungsabwicklung übernimmt), sondern weil Apple bei dieser Zahlungsoption die Kundendaten nicht an den Verlag rausrückt.

[Simon]

Wenn sämtliche Kundendaten (weltweit, also auch für Bestellungen in Auslands-Shops?) zentral über einen Dienst abgewickelt werden, können sich die Hacker und Datendiebe auch besser auf ein gemeinsames Angriffsziel konzentrieren, das spart denen auch Ressourcen

Wenn man die Speicherung nicht Sony überlässt, muss das nicht unsicher sein. Und wie gesagt: Man muss ja nicht alles speichern. Es reicht ja, wenn die Bestellungsdaten (bis zur Bezahlung) nur mit der ID versehen bei Amazon liegen. Bei einem Einbruch bei Amazon hätten Hacker dann nur unbenutzbare Daten (nur mit ID verknüpft), bei einem Einbruch beim Service hätte man nur die Adressdaten (und evtl. Kontodaten), wobei die Daten vermutlich sicherer sein sollten, wenn sie an einer (relativ sicheren) Stelle liegen, als bei 20 kleinen Web-Shops.

Das zu etablieren ist in der Tat extrem schwierig, das geht nur mit der entsprechenden Nachfrage/Marktmacht. Persönlich fände ich einen solchen Service super.

[stundenglas]

Nun die Kundendaten braucht man ja nicht mehr wenn sich jeder Kunde freiwillig entblößt um noch ein paar Cent durch das paybacksystem zu bekommen *g*

Ernsthaft, genau solche anliegen verfolgte die Idee mit dem Elektronischen Personalausweis.. also sich Rechtssicher im Internet ausweisen zu können. Oder eine Alters-Verifikation zu erheben.

So gut das alles klingt. Zentralisation ist für den Datenschützer schrecklich. Single-Signet-On ist für den Benutzer sehr bequem, genau wie diese "I-Like" oder "1+"-Buttons.

Wer anonym bleiben möchte, greift auf diese Rubbel-Karten Zahlungen zurück die man überall mehr oder weniger anonym erwerben kann. Notfalls auch mit einer anonymen "einmal E-Mail-Adresse". Bestellen kann man ja auf die Adresse eines Freundes. Oder wenn man einen anderen Ort hat an dem man das Paket mehr oder weniger Anonym annehmen kann (z.B. als Abteilung eines Unternehmens).

Sorgen mache ich mir immer über die Daten-Center der Paket-Vermittler. Hier konnten Außenstehende schon öfters Daten und Adressen abgreifen (Paketfinder usw.). Dafür muss man einfach nur den Packet-Verfolgernummer entschlüsseln sie in diese "Sendenummern" Feldern eintragen und den Inhalt der Antworten in seine Datenbank umleiten.

Aber an Adressen kommt man auch so leicht ran. Einwohnermeldeämter bieten einen Service zur Verifikation von Adressen. Eigentlich ist der Service dafür gedacht damit man prüfen kann ob eine Adresse veraltet ist oder aktuell noch benutzt wird. Aber in der Regel ist das teurer.

[Simon]

Nun die Kundendaten braucht man ja nicht mehr wenn sich jeder Kunde freiwillig entblößt um noch ein paar Cent durch das paybacksystem zu bekommen *g*

Und genau für diejenigen, die sich dessen bewusst sind und die es nicht wollen, finde ich einen Service wie von mir vorgeschlagen geeignet.

So gut das alles klingt. Zentralisation ist für den Datenschützer schrecklich. Single-Signet-On ist für den Benutzer sehr bequem, genau wie diese "I-Like" oder "1+"-Buttons.

Zum einen müssen die Daten ja nicht zentral gespeichert werden, sie können z.B. verschlüsselt (das sowieso) in Paketen auf verschiedenen Servern liegen, zum anderen hatte ich auch nicht vor, die Daten von Facebook verwalten zu lassen.

Es gibt sicherlich Experten, die wirklich sichere Methoden der Datenspeicherung kennen. Die Schwachstelle im System würde dann irgendwo anders liegen, wie z.B. beim Paketzusteller. Der Punkt ist aber, dass man als Datendieb dann schon gezielt vorgehen muss, und nicht mehr einfach wie z.B. bei Sony geschehen die Daten von Millionen Benutzern bekommt.

[elfant]

So etwas wie eine sichere Verschlüsselung oder eine sichere Abschirmung gibt es nicht. Höchstens ist der Zeit zu hoch.

[Cohen]

Nochmal zu meinem Beispiel mit den Zeitungsverlegern... deutlicher kann man die Gier nach den Kundendaten nicht demonstrieren:

Weiteren Gesprächsbedarf sehen BDVZ und VDZ vor allem beim Zugriff auf die Kundendaten bei einem Abonnement auf der Apple-Plattform. Dies halten die Verlage zur Pflege ihrer Kundenbeziehungen für unerlässlich.

http://www.heise.de/newsticker/meldung/ ... 59113.html

Und andere Shops, werden da nicht anders sein.

[Eike]

Der Punkt ist aber, dass man als Datendieb dann schon gezielt vorgehen muss, und nicht mehr einfach wie z.B. bei Sony geschehen die Daten von Millionen Benutzern bekommt.

Bei Sony wurde gezielt vorgegangen. Sony hat bestimmt einiges falsch gemacht, aber es war nicht so, dass die Daten einfach auf der Straße lagen. Soweit ich weiß, mussten schon mehrere Sicherheitslücken in mehreren Ebenen ausgenutzt werden (mehrere Schlösser geknackt werden, sozusagen), um ans Ziel zu gelangen.

[Cohen]

Sony hat bestimmt einiges falsch gemacht, aber es war nicht so, dass die Daten einfach auf der Straße lagen.