RSS
 

Der Hacker-Hunter

01 Feb

2,2 Milliarden Passwörter zu Onlinekonten sind im Netz aufgetaucht. Woher kommen die Daten und wer muss jetzt mit Angriffen auf seine digitale Identität rechnen? Der australische Sicherheitsforscher Troy Hunt hat Antworten darauf.

Nach dem Hackerangriff auf Adobe, der im Herbst 2013 bekannt wurde und mehr als 150 Millionen Onlinekunden des Softwareherstellers betraf, kam der australische Sicherheitsforscher Troy Hunt auf die Idee, einen Webdienst einzurichten, über die Betroffene herausfinden können, ob ihre Daten von so einem Hackerangriff betroffen sind. Heute ist Hunt der Hüter der Datenlecks schlechthin und wacht über Mailadressen und Passwörter von über sechs Milliarden Onlinekonten. Die Daten stammen aus über 250 verschiedenen Hackerangriffen.

Anfang Januar sorgte Hunt für weltweites Aufsehen, als er eine Sammlung an gehackten Onlinekonten mit über einer Milliarde Kombinationen aus Anmeldenamen und Passwörtern ausfindig machte und publikumswirksam in den Datenfundus seiner Webseite integrierte. Kurz nach der „Collection #1“ tauchten weitere Sammlungen „Collection #2 bis #5“ auf. Die fast 700 GByte großen Dateien umfassen Sammlungen von 2,2 Milliarden Onlinekonten, darunter Mailadressen und Passwörter – im Klartext oder als Hash-Werte.

Der Australier ist oft einer der ersten nichtkriminellen Hacker, der aus Angriffen auf Server stammende Daten zu Gesicht bekommt. Da er seit gut fünf Jahren solchen Passwortsammlungen hinterherrecherchiert, hat er mittlerweile gute Verbindungen in die dunkleren Seiten des Internets, wo entsprechende Daten gehandelt werden.

Mit seiner Website Have I Been Pwned (HIBP) betreibt Troy Hunt den weltweit führenden Dienst zur Überprüfung von Onlinekonten in Hinsicht auf Datenlecks. Die Regierungen von Australien, dem Vereinigten Königreich und Spanien nutzen den Service, um Mailadressen ihrer offiziellen Domains auf Sicherheitsvorfälle zu überprüfen. Hinzu kommen Millionen von Einzelnutzern, die sich per Mail von dem Dienst informieren lassen, wenn Hunt ihre Adresse in einem Datenleck ausfindig macht. Alleine nach seiner Analyse der „Collection #1“ musste Hunt nach eigenen Angaben knapp 768.000 E-Mails an die Abonnenten seines Warndienstes verschicken.

Mehrere Onlinedienste wie das Multiplayer-Spiel EVE Online und der australische Handelsriese Kogan betteten HIBP direkt in ihren Anmeldeprozess ein. Auch der Passwortmanager 1Password nutzt das API von Hunts Dienst, um Nutzer vor kompromittierten Passwörtern zu warnen.

Der Australier scheint seine Sammlung an Zugangsdaten gewissenhaft und transparent zu verwalten. Versuche, ihn unter Vorwänden dazu zu verleiten, die Passwörter zu bestimmten Mailkonten oder gar Teile seines Datenfundus herauszugeben, lehnt er konsequent ab.

Einen ähnlichen Service bietet in Deutschland das in Potsdam ansässige Hasso-Plattner-Institut (HPI) an. Nachdem Hunt mit der Collection #1 vorgelegt hatte, war man dort dem Australier sogar bei der Prüfung der Collection #2 bis #5 einige Tage voraus.

Die Collections #1 bis #5

Da wir die kurz vor Redaktionsschluss aufgetauchten fast 700 GByte an Daten nur stichprobenartig einsehen konnten, wissen wir noch nicht, woher die riesigen Sammlungen stammen. Die Informationen, die Hunt preisgibt, deuten darauf hin, dass ein oder mehrere Hacker die Sammlungen aus Datensätzen verschiedener Hacks zusammengetragen haben, darunter altbekannte, aber auch neue. Eine Verzeichnisauflistung erlaubt ein paar Rückschlüsse auf mögliche Quellen. Offenbar wurde der Datenschatz zusammengetragen, um sogenanntes Credential Stuffing im großen Stil zu ermöglichen.

Bei manchen Angriffen versucht der Hacker gezielt in ein Onlinekonto des Opfers einzudringen. Oft kennt er den Anmeldenamen (meist eine Mailadresse) seines Ziels und versucht, das dazugehörige Passwort zu erraten – notfalls per Brute-Force-Methode, bei der Wörterbücher sowie weitere Zeichenkombinationen durchprobiert werden. Beim Credential Stuffing ist es dem Angreifer jedoch relativ egal, welches Konto er knackt. Er will nur irgendeinen Zugang zum System erlangen – je mehr desto besser. Später kann er diese Zugänge dann meistbietend verkaufen. Dazu bedient er sich Listen mit Mailadressen und zugehörigen Passwörtern, die er bei einem anderen Webdienst abgegriffen oder im Darknet erworben hat. Mit diesen füttert er dann automatisch die Anmeldemasken der Zielwebseite, bis er Zugang erhält.

Credential Stuffing hat deswegen Erfolg, weil viele Webnutzer bei sehr vielen Onlinediensten ein und denselben Anmeldenamen verwenden; meistens eine Mailadresse. Und da viele Anwender auch ihre Passwörter bei mehreren Diensten wiederverwenden, kann man mit den Daten aus einem Servereinbruch wiederum bei anderen Servern einsteigen.

Credential-Stuffing-Listen wie die „Collections #1 bis #5“ werden in einschlägigen Untergrundforen oft als Abfallprodukt von Hackerangriffen weiterverkauft. Hat ein Hacker einen Dienst geknackt und dessen Passwortdatenbank mitgehen lassen, bedient er sich zuerst am Datensatz. Eventuell bricht er in einzelne Konten ein, die besonders viel wert sind oder klaut im großen Stil Zahlungsdaten. Wenn er mit den gesammelten Geheimnissen fertig ist, verkauft er sie weiter. So wandern solche Daten durch viele Hände, bis sie zuletzt in solchen Credential-Stuffing-Listen zur Resteverwertung landen. Verlangten Anbieter für die „Collection #1“ zunächst noch knapp 50 Dollar, so war das komplette 5er-Paket kurz vor Redaktionsschluss sogar kostenlos verfügbar.

Unsere eigenen Stichproben deuten darauf hin, dass die Daten teilweise aus älteren Datenlecks stammen. Mehrere Betreiber von Online-Diensten, die in der von Hunt veröffentlichten Verzeichnisstruktur auftauchen, bestätigten uns, dass sie in der Vergangenheit Opfer von Datenlecks wurden. Eine Quelle nannte uns sogar einen bisher unveröffentlichten Hackerangriff – allerdings nur unter der Bedingung, dass wir weder ihren Namen noch den des betroffenen Webdienst veröffentlichen. Demnach deutet alles darauf hin, dass die Daten authentisch sind und dass Hunt sie, wie angegeben, nach Hinweisen in einschlägigen Foren entdeckte.

Der Verzeichnisliste nach stammen die Daten aus allen Ecken der Welt. Wer auch immer sie zusammengesucht hat, scheint nicht besonders wählerisch gewesen zu sein und hatte es wohl nur auf eine möglichst große Gesamtzahl abgesehen. Es handelt sich hauptsächlich um kleinere Webseiten mit typischerweise zehntausenden bis hunderttausenden Accounts. Millionenlecks, wie sie Hunt sonst beschäftigen, sind nur vereinzelt dabei. Wie die Angriffe stattgefunden haben, mit denen die unbekannten Hacker die Daten erbeuteten, lässt sich nicht mehr nachvollziehen. Aller Wahrscheinlichkeit nach stammen sie aus unterschiedlichen Quellen.

Schutz vor Account-Klau

Wer wissen will, ob seine eigenen Onlinekonten in einem der Datensätze zu finden sind, die Hunt verwaltet, kann HaveIBeenPwned.com aufsuchen und dort seine Mailadressen prüfen. Zusätzlich sollte man auch den Identity Leak Checker des deutschen HPI unter sec.hpi.uni-potsdam.de/ilc/ nutzen. Ist eine Adresse gelistet, sollte man zugehörige Account-Passwörter auf jeden Fall ändern – und zwar überall, wo man sie verwendet hat. Denn man muss davon ausgehen, dass die Adresse und das Passwort nun bei Hackern in Listen und Wörterbüchern für Brute-Force-Angriffe und Credential Stuffing zu finden ist. Das macht dazugehörige Onlinekonten zur leichten Beute von Kriminellen.

Beim australischen HIBP findet man auch den Dienst Pwned Passwords. Hier kann man ein Passwort eingeben und prüfen lassen, ob und wie oft es in Hunts Datenschatz vorkommt und damit höchstwahrscheinlich auch Kriminellen geläufig ist. Hunt gibt sich alle Mühe, das eingegebene Passwort zu schützen. Er überträgt es nicht im Klartext an seine Server, sondern prüft nur die ersten fünf Ziffern der Passwort-Hashes. Zurück kommt eine Liste mit Hashes aus der Datenbank, die lokal im Browser nach dem vollständigen Hash durchsucht wird.

Diese partielle Hash-Prüfung bietet bereits eine sehr hohe Sicherheit. Wem trotz allem aber selbst die Übermittlung von lediglich einem kleinen Teil der Hash-Werte unsicher vorkommt – egal wie gut der Ruf des Australiers ist –, kann die nötigen Hash-Dateien (11 GByte) auch über Hunts Webseite herunterladen und seine Passwörter offline testen. Hunts Dienst kann übrigens nicht prüfen, ob ein Passwort in einem bestimmten Datenleck vorkommt, sondern nur, ob irgendjemand es mal auf einer Seite verwendet hat, die gehackt wurde und deren Daten in Hunts Hände gelangten.

 
 

Betrüger versuchen mit falschen Polizei-Mails Computer mit Trojanern zu infizieren

01 Dez

In der Romandie haben angebliche E-Mails der Waadtländer Kantonspolizei in der Bevölkerung Verunsicherung ausgelöst. Ziel der Betrüger ist es, mit dem E-Banking-Trojaner «Retefe» Computer zu infizieren.

Seit dem Morgen seien mehr als 80 Anrufe von Personen eingegangen, die eine solche E-Mail erhalten haben, teilte die Kantonspolizei Waadt am Montagnachmittag mit. Sie rief Betroffene dazu auf, Anhänge keinesfalls zu öffnen und die E-Mails zu löschen.

Die Polizei weist zudem daraufhin, dass sie Bussen nicht per E-Mail verschickt. Für solche Angelegenheiten würden Briefe verschickt. Auch in anderen Kantonen sind in letzter Zeit vermehrt Hacker-E-Mails aufgetaucht.

 
No Comments

Posted in Abzocke

 

Verbraucherschützer wollen gegen YouTube vorgehen

10 Apr

Der Google-Tochter YouTube droht in den USA Ärger. Verbraucherschützer werfen dem Videoportal unerlaubtes Datensammeln vor – bei Kindern.

Kinder in den USA lieben es, Videos mit Kinderliedern auf YouTube zu schauen. Allein der Kinderkanal „ChuChu TV Nursery Rhymes & Kids Songs“ hat über 16 Millionen Abonnenten. Doch die Beliebtheit der YouTube-Kinderkanäle ist Verbraucherschützern in den USA ein Dorn im Auge. Mittlerweile haben sich 20 Gruppen zusammengetan, die Beschwerde gegen Google bei der Federal Trade Commission, der Bundeshandelskommission der USA, einreichen wollen. Ihr Vorwurf: Die Google-Tochter YouTube sammelt unerlaubt persönliche Daten von Kindern unter 13 Jahren und nutzt die Infos, um gezielt Werbung auszuspielen.

Verletzt YouTube Kinderschutz-Gesetz?

Nach Ansicht der Verbraucherschützer verletzt YouTube damit den „Children’s Online Privacy Protection Act“, ein US-Gesetz zum Schutz der Privatsphäre von Kindern im Netz, berichtet die New York Times. Dem Gesetz zufolge dürfen Firmen persönliche Daten der Kinder nur mit Einwilligung der Eltern sammeln. Wird die Behörde gegen YouTube vorgehen? Tatsache ist, dass sich YouTube in seinen Geschäftsbedingungen mit den Hinweisen absichert, dass YouTube-Nutzer mindestens 13 Jahre alt sein müssen. In den Datenschutzrichtlinien beschreibt YouTube zudem, dass das Unternehmen Daten zum Gerät, zum Standort, zu Surfgewohnheiten, die Telefonnummer und mehr sammelt, um maßgeschneiderte Werbung und Dienste auszuspielen.

 
 

Samsung Galaxy S9 (Plus) – Wird vermutlich rund 100 Euro teurer als das S8

07 Feb

Wie unter Bezug auf mehrere andere Quellen meldet, werden das Samsung Galaxy S9 und Galaxy S9 Plus wohl deutlich teurer als die Vorgänger. Laut Berichten aus Südkorea könnte der Preis für das Galaxy S9 auf bis zu 925 US-Dollar angehoben werden, nachdem das Galaxy S8 noch 720 US-Dollar gekostet hatte.

Andere Quellen aus Großbritannien gehen von einem Preisanstieg von 100 britischen Pfund aus, was umgerechnet sogar bedeuten würde, dass das S9 über 1.100 US-Dollar kosten würde. Hier sind vermutlich Steuern einberechnet, in den anderen Angaben nicht. Insgesamt sieht es danach aus, als würden die neuen Samsung-Smartphones wohl mindestens 100 US-Dollar und damit wohl mit Steuern auch 100 Euro teurer als die S8-Modelle.

Dual-Kamera nur für das Plus-Modell

Samsung wird in weniger als drei Wochen seine beiden neuen Smartphones Galaxy S9 und Galaxy S9 Plus auf einem Unpacked-Event vorstellen. Die letzten Gerüchte zu den Smartphones enthalten viele Hinweise darauf, dass Samsung mehrere Verbesserungen durch leistungsfähigere Komponenten vorgenommen hat, sich aber trotzdem stark an den Vorgängern orientiert.

Die beiden Modelle sollen sich dieses Mal aber deutlicher und nicht nur durch die Bildschirmgröße unterscheiden. So wird das Galaxy S9 Plus 6,0 GByte RAM und 128 GByte Speicherplatz bieten, das kleinere Galaxy S9 besitzt 4,0 GByte RAM und 64 GByte internen Speicherplatz.

Weitere Unterschiede machen nun auch die vermutlich offiziellen Renderbilder des Samsung Galaxy S9 und Samsung Galaxy S9 Plus deutlich, die der bekannte Leaker

veröffentlicht hat. Ein Bild zeigt die beiden Smartphones von vorne und macht deutlich, dass das Design nicht mehr ganz so randlos wirkt wie bei den S8-Modellen.

Das soll daran liegen, dass die Krümmung an den Seiten nicht mehr so stark ausfällt. Ein wesentlicher Unterschied zwischen beiden Modellen ist aber auf der Rückseite zu sehen, denn nur das größere Samsung Galaxy S9 Plus wird eine Dual-Kamera besitzen.

 

WLAN-Sicherheitslücke KRACK: Antworten auf die wichtigsten Fragen

19 Okt

Die bislang als sicher geltende WPA2-Verschlüsselung wurde von Forschern geknackt. Angreifer können über die Sicherheitslücke „KRACK“ nun nahezu jedes WLAN auf der Welt hacken. Das Bundesamt für Sicherheit in der Informationstechnik rät zur Vorsicht. Wer ist betroffen? Wie könnt ihr euch schützen? Hilft ein Wechsel des WLAN-Passworts? Netzwelt beantwortet die wichtigsten Fragen.

Das WPA2-Protokoll der WLAN-Router galt bislang als sicher. Doch jetzt wurde es laut der Webseite Ars Technica von Forschern der belgischen Universität KU Leuven geknackt. Über eine „Key Reinstallation Attack“ (KRACK) können Angreifer sich den Forschern zufolge in ein Netzwerk einklinken und alle unverschlüsselten Datenübertragungen mitschneiden. Die Sicherheitslücke wird nach der Angriffsmethode nun KRACK genannt.

Was bedeutet dies für Nutzer? Netzwelt beantwortet nachfolgend die wichtigsten Fragen.
Welche Geräte sind betroffen?

Da jedes Gerät mit einer WLAN-Komponente betroffen ist, sind sowohl Windows- als auch Android-, iOS-, Mac- und Linux-Nutzer von der Sicherheitslücke betroffen. Größtenteils gefährdet sei von der Schwachstelle aber nicht private Nutzer, sondern eher Firmennetzwerke, in denen geheime Informationen verschickt werden, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemeldung.

Die Sicherheitsexperten von F-Secure warnen zudem vor Panikmache. Bislang gibt es keine Tools, die ein einfaches Ausnutzen der Sicherheitslücke ermöglichen. Angreifer müssen also viel technisches Know-How mitbringen. Zudem muss der Angreifer innerhalb der WLAN-Reichweite des jeweiligen Gerätes stehen.
Muss ich mein WLAN-Passwort ändern?

Ein Wechsel des WLAN-Passwortes schützt euch den Experten von F-Secure zufolge in diesem Fall nicht.
Wie kann ich mich dann schützen?

Abhilfe können nur die Hersteller mit einem Patch für die betroffenen Geräte schaffen. Microsoft hat die Schwachstelle laut dem US-Technikmagazin The Verge mit dem Oktober-Patchday für alle unterstützten Windows-Geräte geschlossen. Auch Apple hat ein Update in Arbeit und es wird in den kommenden Tagen ausgerollt.

Laut The Verge wird es bei Android- und Linux-Geräten am längsten dauern, bis irgendwelche Updates eintreffen und diese sind am schlimmsten betroffen. Google will Sicherheitsupdates mit dem November-Sicherheitspatch in den kommenden Wochen veröffentlichen. Wann diese dann auch von anderen Herstellern übernommen und ausgerollt werden, ist fraglich. Sicherheitsforscher kritisieren, dass über 40 Prozent aller Android-Geräte schwer betroffen sind und das Aktualisierungen auf sich warten lassen.

Wer auf Nummer sicher gehen will, sollte sein eigenes WLAN bis zum Update wie ein öffentliches WLAN nutzen. Online-Banking oder das Verschicken von anderen sensiblen Daten sollte über einen VPN, oder über eine LAN-Verbindung erfolgen.

Quelle: https://www.netzwelt.de/wlan/162541-wlan-sicherheitsluecke-krack-antworten-wichtigsten-fragen.html

 
No Comments

Posted in Abzocke

 

Betrug in Kassel: Handys entpuppten sich als Fliesen

14 Sep

Kassel. Zwei junge Männer, die bei einem Geschäft auf der Straße das große Schnäppchen wähnten, saßen einem Betrüger auf.

Statt der vereinbarten Smartphones packten sie zwei Fliesen aus. Als sie den Schwindel bemerkten, war der Verkäufer mit 400 Euro bereits weitergezogen.

Nun suchen die Ermittler des Betrugskommissariats einen etwa 40-jährigen, 1,70 Meter großen und molligen Mann, der als Südländer beschrieben wird. Die Polizei warnt indes vor solchen Straßengeschäften. Wer nicht einem Betrüger auf den Leim geht, kann sich auch wegen Hehlerei strafbar machen, da nicht selten gestohlene Waren angeboten werden.

Ob in diesem Fall die Smartphones, ein Samsung Galaxy S 8 und ein iPhone 7, aus einem Diebstahl stammen, ist bislang unklar, so Polizeisprecher Torsten Werner. Fest steht, dass der Unbekannte die beiden Smartphones für 400 Euro einem 25-Jährigen aus Kassel auf dem Gehweg der Werner-Hilpert-Straße anbot. Da das Angebot verlockend war, sagte der junge Mann gleich einem 28 Jahre alten Freund Bescheid, der ebenfalls interessiert war.

Man einigte sich und der Unbekannte steckte zunächst die Handys mit den Kaufverträgen in eine goldfarbene Tasche und dann in seine Jacke. Bei der Übergabe des Geldes holte der Mann die vermeintlich selbe Tasche hervor, übergab sie und machte sich mit einem schwarzen Renault Clio aus dem Staub. Als die jungen Männer ihren Kauf prüften, fanden sie zwei Fliesen.

 
No Comments

Posted in Abzocke

 

Starkes Google Maps-Feature jetzt auch in Deutschland

30 Aug

Google Maps ist vor allem dank der präzisen Verkehrsangaben bei vielen Autofahrern beliebt. Google hat nun für die ersten deutschen Städte eine neue Funktion freigegeben, die vor allem bei Autofahrern sehr gut ankommen dürfte: Eine Anzeige für die voraussichtliche Parkplatz-Situation am Zielort.

Google Maps verfügt über ein ganzes Arsenal von Funktionen und ist damit inzwischen weit mehr, als nur ein simples Navi. Die App kann nicht nur den aktuellen Verkehr äußerst authentisch abbilden, sondern etwa auch anzeigen, in welchen Geschäften gerade wie viel los ist. Seit Anfang des Jahres kann GoogleSEO für Einsteiger Maps auch Angaben dazu machen, wie es um die voraussichtliche Parkplatz-Situation am Zielort bestellt ist. Letzteres war jedoch einigen ausgewählten US-Metropolen vorbehalten. Bis jetzt.

Denn wie Google in einem Blog-Eintrag erklärt, ist die Parkplatz-Anzeige ab sofort auch in 25 weiteren Städten außerhalb der USA freigeschaltet. Auch fünf deutsche Städte sind dabei: Darmstadt, Düsseldorf, Köln, München und Stuttgart.

 
 

Die größte deutsche Bitcoin-Plattform gibt Kundendaten an die Polizei weiter

03 Aug

Für die Polizei ist es ein Leichtes, an Nutzerdaten der größten deutschen Bitcoin-Börse zu gelangen. Kunden der Plattform können mit einem weit geringeren Schutz rechnen als bisher angenommen.

Stephan Jansen* hat Angst. Seit bekannt wurde, dass Deutschlands größte Online-Drogenbande die Daten ihrer Kunden der Polizei auf einem Silbertablett serviert hat, bangt er um seine Freiheit. „Wenn ich jetzt Probleme mit der Polizei bekomme, verliere ich meinen Job, meine Wohnung … dann verliere ich alles“, sagt Jansen, der als leitender Angestellter in der chemischen Industrie arbeitet.

Jansen hatte wie Tausende andere Nutzer Stoff bei Europas größtem Drogen-Versandhaus Chemical Love bestellt. Der mittlerweile abgeschaltete Online-Marktplatz verschickte über hundert Kilo Designerdrogen, Psychedelika und Arzneimittel an Kunden auf dem gesamten Kontinent.

Doch dass Jansens Name Drogenfahndern überhaupt ein Begriff ist, liegt womöglich nicht nur an nachlässigen Dealern und beschlagnahmten Bestelllisten. Wie Motherboard-Recherchen zeigen, könnte Jansen erst durch eine Firma, der er bislang blind vertraute, ins Visier der Ermittler geraten sein: dem Bitcoin-Marktplatz auf Bitcoin.de. In mindestens acht Fällen hat das dahinter stehende Unternehmen, die Bitcoin Deutschland AG, sensible Kundendaten an die Polizei Hannover weitergegeben. Laut Gerichtsakten, die Motherboard vorliegen, gab das Unternehmen die gewünschten Daten auf bloße Anfrage hin an die Polizei weiter. Weder ein Schreiben der Staatsanwaltschaft noch ein Richterbeschluss waren dabei nötig.

„Ich bin sprachlos“, sagt Jansen heute über die Handhabe der Kundendaten bei der Bitcoin AG. „Ich dachte, das ist ein seriöses Unternehmen und dass meine Daten dort sicher aufgehoben sind“, so der Mann aus Süddeutschland.

Bitcoin gilt gemeinhin als sicheres und anonymes Zahlungsmittel, auch wenn das System im engeren Sinn nicht anonym, sondern pseudonym ist: Das Senden und Empfangen der Coins geschieht unter einem Pseudonym – der Bitcoin-Adresse, die aus einer Zeichenkette mit 27 bis 34 Stellen besteht. Kann die Bitcoin-Adresse mit einer realen Person in Verbindung gebracht werden, können auch die damit getätigten Transaktionen dieser Person zugeordnet werden. Dennoch vertrauen viele Nutzer darauf, dass sie beim Zahlen und Bezahlt-Werden bis zu einem gewissen Grad unsichtbar bleiben. Denn Außenstehende sehen in der Blockchain – dem öffentlichen Register, das alle Geldflüsse dokumentiert – nur kryptischen Code.

Das Missverständnis, mit Bitcoin ließen sich Waren völlig anonym besorgen, ist weit verbreitet.

Auch wenn die Digitalwährung längst im ökonomischen Mainstream angekommen ist und unter besonderer Beobachtung renditehungriger Investoren wie regulierungswütiger Bürokraten steht – das Missverständnis, mit Bitcoins ließen sich Waren völlig anonym besorgen, ist bei vielen Usern nach wie vor verbreitet. So haben etwa neben Jansen auch zahlreiche weitere Kunden des Drogen-Webshops Chemical Love ihre Bestellungen über Bitcoin.de abgewickelt, wie Motherboard-Recherchen zeigen.

Bitcoin.de war zur Datenweitergabe berechtigt – aber nicht verpflichtet

Rein rechtlich hätte Bitcoin das polizeiliche Auskunftsersuchen aus Hannover durchaus ablehnen können. Laut Johannes Caspar, Juraprofessor und Datenschutzbeauftragter in Hamburg, besteht eine Pflicht zur Datenherausgabe nur dann, wenn die Staatsanwaltschaft oder ein Gericht nach Auskunft verlangt.

Auch nach dem Geldwäschegesetz (GwG) lasse sich kein rechtlicher Zwang ableiten, die Daten auf Anfrage einer Polizeistelle zu übermitteln, so Caspar. Demnach sind Finanzunternehmen zwar dazu verpflichtet, bereits auf Verdacht hin auffällige Geldbewegungen den Behörden zu melden – und nicht erst, wie für Firmen in anderen Wirtschaftsbereichen üblich, wenn die Staatsanwaltschaft sich einschaltet. Doch ist der Adressat dieser Verdachtsmeldung aus dem GwG eine Spezialbehörde des Finanzministeriums und keine Polizeidienststelle. Zudem gilt die Meldepflicht nur dann, wenn die Unternehmen von selbst Verdacht schöpfen – und nicht auf Zuruf von Ermittlern.

Bitcoin.de verteidigt seine Datenpolitik gegenüber Motherboard mit einer „gesetzlichen Meldepflicht“, die dem Unternehmen keine Wahl ließe, als die polizeilichen Anfragen positiv zu beantworten. Erst auf erneute Nachfrage, aus welcher gesetzlichen Grundlage die Firma eine Pflicht, und nicht nur eine Berechtigung, ableitet, betont der Unternehmenssprecher die jahrelange „vertrauensvolle Zusammenarbeit mit verschiedenen Behörden.“ Die Bitcoin Deutschland AG habe bisher keine polizeiliche Anfrage erhalten, der kein „berechtigtes Interesse“ zugrunde gelegen habe, so Oliver Flaskämper.

Der niedersächsische Datenschutzbeauftragte kommt wie sein Kollege aus Hamburg jedoch zu einem anderen Schluss: Rechtsgrundlage einer polizeilichen Anfrage ist nicht das Geldwäschegesetz, sondern der Paragraph 28 im Bundesdatenschutzgesetz, der zur Datenherausgabe berechtigt, wie Pressesprecher Matthias Fischer gegenüber Motherboard betont. Eine Meldepflicht, wie von Bitcoin.de behauptet, bestehe jedoch nicht.

Ein Telefonat reichte, und die Plattform lenkte ein

Dennoch gab das Unternehmen Jansens Daten und die weiterer Kunden frei. Voraus ging ein Schreiben der Zentralen Kriminalinspektion Hannover, Fachkommissariat 3 Betäubungsmittel-Handel. Einen Tag vor Weihnachten, am 23.12.2015, schickten die Beamten einen Brief an Bitcoin.de und baten nach Informationen über mögliche Hintermänner der Chemical-Love-Bande. Alles, was die Ermittler bis dato hatten, war die Bitcoin-Adresse 124PF3ByjWxqNFLHKDWeuMBSA5TjNS4iyA, die sie aus einem separaten Verfahren gegen einen Chemical-Love-Kunden in Österreich kannten. Von Bitcoin.de wollten sie nun wissen, wer sich hinter diesem Pseudonym verbirgt.

Am 5. Januar teilte Bitcoin via E-Mail mit, dass „aufgrund der Anzahl der angefragten Bitcoin-Adressen“ ein Ersuchen der Staatsanwaltschaft erforderlich sei und eine polizeiliche Anfrage nicht ausreiche. Gezeichnet: das Bitcoin-Vorstandsmitglied Michael Nowak. Laut Gerichtsakten konnten die anfänglichen Bedenken von Bitcoin offenbar schnell beseitigt werden. Noch am selben Tag, heißt es in den Dokumenten weiter, habe man sich telefonisch geeinigt und vereinbart, dass die Firma zumindest die erste Bitcoin-Adresse auch ohne Post vom Staatsanwalt überprüfen werde.

Bitcoin.de lieferte Namen, E-Mail-Adresse, Telefonnummer, Bestellsummen, Kontodaten, Login-Historie und IP-Adressen.

Welche rhetorischen Fähigkeiten der zuständige Kriminaloberkommissar D. an diesem Tag am Telefon bewiesen hat, ist nicht überliefert. Trotzdem konnten die Plattform-Betreiber der Polizei zunächst nicht helfen: Die angefragte Adresse sei nicht bei Bitcoin.de registriert, es lägen keine Nutzerdaten vor, schrieb das Unternehmen drei Tage später nach Hannover. Doch Bitcoin.de ermittelte, offenbar auf eigene Faust, weitere Adressen, die mit der Chemical-Love-Adresse in Verbindung stehen könnten. Für insgesamt acht Bitcoin-Adressen lieferte die Börse an diesem Tag personenbezogene Daten an die Behörde: darunter Klarnamen und Nicknames, Wohnort, E-Mail-Adresse, Telefonnummer, Bestellsummen, Bankverbindung, Kontobewegungen, Login-Historie und IP-Adressen.

Bitcoin laut Forschern weniger anonym als eine herkömmliche Banküberweisung

Die Daten fanden Eingang in die Chemical-Love-Ermittlungsakte. Inwieweit sie den Chemical-Love-Jägern bei ihrer Fahndung geholfen haben oder gegen wie viele der von Bitcoin.de gemeldeten Personen ermittelt wird, ergibt sich nicht aus den Unterlagen.

Doch auch wenn letztlich keiner der Betroffenen strafrechtlich verfolgt werden sollte, zeigt der Fall deutlich, dass Bitcoin.de-Kunden mit einem weit geringeren Schutz rechnen können, als viele User bislang angenommen haben. Dies dürfte jedoch bald auch für Nutzer anderer Bitcoin-Handelsplätze gelten, die weniger kooperationsgeneigt sind als Bitcoin.de: Computerwissenschaftlern zufolge sind persönliche Daten bei Bitcoin-Plattformen ohne entsprechende Anonymisierungs-Tools mittlerweile weniger sicher als bei einer herkömmlichen Überweisung.

Wie viele Kundendaten bisher an Behörden weitergereicht wurde, möchte die Bitcoin Deutschland AG auf Anfrage nicht sagen. Es betreffe aber „nur selten“ einen der rund 400.000 Kunden, so der Sprecher Oliver Flaskämper. Die Plattform erreichten „im Schnitt ein bis zwei Behördenanfragen pro Tag“.

„Datenschutz hat für den einzelnen Nutzer oft nur eine sehr geringe Priorität“, sagt Bitcoin

Bei der Imagepflege des Unternehmens spiele Datenschutz und Anonymität ohnehin keine Rolle, sagt Flaskämper auf Anfrage. Der Datenschutz habe, trotz steigender gesellschaftlicher Relevanz, „für den einzelnen Nutzer oft nur eine sehr geringe Priorität“, so der Sprecher.

Stephan Jansen würde der Aussage Flaskämpers wohl nur bedingt zustimmen. Ihn mache die Tatsache „wütend“, dass ihm nicht vorher kommuniziert wurde, dass die Firma auf freiwilliger Basis mit Strafverfolgungsbehörden kooperiere. In den AGB des Unternehmens finde sich kein Hinweis, wie das Unternehmen mit polizeilichen Anfrage umgeht. „Darauf hätte man die Kunden deutlich hinweisen müssen“, sagt Jansen. Dass er mit der Bestellung gegen geltendes Recht verstoßen hat, wisse er.

„Verteidige ich meine Kunden oder helfe ich der Strafverfolgung?“

Laut dem Münchner IT-Anwalt Marc E. Evers ist der Umgang eines Unternehmens mit polizeilichen Anfragen keine rein rechtliche Frage. Solange kein Schreiben von der Staatsanwaltschaft oder des Richters vorliege, könne die Firma zwischen dem Interesse der Strafverfolger und dem Datenschutzinteresse der Kunden abwägen, so Evers.

„Auf dieser Ebene ist das eine Marketing-Frage des entsprechenden Unternehmens“, so der IT-Anwalt. „Die Frage lautet dann: Verteidige ich lieber meine Kunden oder helfe ich der Strafverfolgung?“ Diese Abwägung müsse jede Firma selbst vornehmen.

Bei Bitcoin.de scheint man diese Abwägung klar entschieden zu haben. Firmensprecher Flaskämper betont, „auch in Zukunft im Rahmen der geltenden Gesetze (…) entsprechende Auskünfte an berechtigte Behörden zu erteilen.“

 
 

PS4 Pro ab heute für 99 Euro: Unglaublicher PlayStation-Deal jetzt verfügbar

26 Apr
PS4-Fans aufgepasst: Der Spielehändler GameStop startet für PS4-Besitzer zum 26. April eine starke Aktion. Ab sofort kann man seine gebrauchte PlayStation 4 für unter 100 Euro gegen eine brandneue PS4 Pro eintauschen. Wir erklären Ihnen nachfolgend, was die genauen Voraussetzungen sind. Der Mega-Deal sorgte bereits im Vorfeld für reichlich Ärger in den sozialen Netzwerken.
 

PlayStation 4 Pro bei GameStop für 99,99 Euro

Tauschen Sie Ihre gebrauchte PlayStation 4 inklusive einem Controller und zwei gebrauchten Spielen bei GameStop für einen läppischen Aufpreis von 99,99 Euro gegen eine fabrikneue PS4 Pro ein. Das sensationelle Angebot gilt vom 26. April bis zum 14. Mai 2017.
Der reguläre Preis der PS4 Pro beträgt derzeit noch rund 400 Euro. Sie sparenFinden Sie den besten Strompreis! rein rechnerisch also unglaubliche 300 Euro, wenn Sie sich auf den Deal einlassen. Und ganz ehrlich: Wer auch nur entfernt mit dem Gedanken spielt, sich eine PS4 Pro zuzulegen, sollte nicht lange überlegen.
Allerdings sorgt das GameStop-Angebot schon im Vorfeld für reichlich Ärger im Netz: Auf Facebook häuften sich die Meldungen verärgerter Kunden, die befürchteten, die bei GameStop vorrätigen PS4 Pro könnten schon vor dem offiziellen Start des Angebots vergriffen sein. Denn offenbar war es möglich, sich schon vor dem Start der Aktion gegen eine Anzahlung eine PS4 Pro reservieren zu lassen – was GameStop aber nicht entsprechend kommuniziert hat. Die vorrätigen Konsolen sollen nun bereits zu einem Großteil ausverkauft sein. Aber GameStop beruhigt die erhitzten Gemüter: Laut einem Sprecher wird zum Start der Aktion eine neue Lieferung von PS4-Pro-Konsolen erwartet.
Ob GameStop genügend Konsolen auf Lager hat, um wirklich alle potentiellen Käufer zufrieden zu stellen, wird sich heute zeigen.

 
 

Rasenfarbe: Mach deinen Rasen Great Again mit Rasenfarbe.eu

26 Apr

Toller Slogan in Zeiten von Trump. Made in USA so steht es auf dem Produkt. Ich habe es gekauft um einige Stellen auf dem Rasen das sich verfärbt hat in gelb auf grün zu sprühen. Einfach nur genial in den USA ist das ja gang und gäbe das solche Produkte genutzt werden. Die Rasenfarbe findet Ihr unter www.rasenfarbe.eu

Das Produkt findet Ihr auf dieser Seite http://www.rasenfarbe.eu/shop/rasenfarbe-gruen-1-liter-in-spruehflasche/