Vodafone hat am Donnerstag mitgeteilt, dass 2 Millionen Kundendaten gestohlen wurden und hat dafür eine eigene Webseite eingerichtet: Vodafone Deutschland Ziel eines Angriffs auf einen seiner Server. Na sowas! Da werden die Server von Vodafone von bösen Cyber-Kriminellen angegriffen! Wer rechnet denn mit so etwas?
Vodafone versucht auf der o.a. Webseite den Vorfall zu erklären:
Dieser Angriff war nur mit hoher krimineller Energie sowie Insiderwissen möglich und fand tief versteckt in der IT-Infrastruktur des Unternehmens statt.
Kriminalität ist immer mit krimineller Energie verbunden, wie hoch das eingesetzte Mass hierbei ist, spielt für die betroffenen Kunden überhaupt keine Rolle. Genausowenig ist relevant ob hierfür Insiderwissen erforderlich war oder ob der Angriff ‘tief versteckt’ erfolgte. All dies ist für den Kunden unbedeutend und stellt lediglich Nebelkerzen von Vodafone dar.
Der Angriff wurde von Vodafone entdeckt, gestoppt und unverzüglich zur Anzeige gebracht.
Sofern ein von Vodafone bestrittenes am Freitag aufgetauchtes Bekennerschreiben stimmt, wurde der Angriff nicht von Vodafone entdeckt sondern Vodafone per Mail mitgeteilt.
Sämtliche Zugänge, die der Täter genutzt hatte, wurden sicher verschlossen.
Sicher verschlossen? Von Vodafone? Wie konnte denn dann bei diesen Vollprofis der erste Angriff erfolgen? Die nächste Nebelkerze:
Von Vodafone eingeschaltete unabhängige Sicherheitsexperten bestätigen: Es ist für den Täter kaum möglich, mit den gestohlenen Daten direkt auf die Bankkonten der Betroffenen zuzugreifen.
Welch Sicherheit für die Kunden! Kaum möglich! Der Umkehrschluss bringt die Wahrheit an den Tag – kaum möglich ist nicht ausgeschlossen!
Über sein eigenes Security Operation Center wird Vodafone besonderes Augenmerk auf auffällige Entwicklungen im Netz legen und unverzüglich entsprechende Schritte einleiten.
Das klingt ja einmal richtig gut! Das sind die Profis, die den ersten Einbruch auch nicht verhindert haben. Da fühlt man sich gleich viel sicherer!
Die Sicherheit von Daten hat für Vodafone höchste Priorität.
Aha! Der Diebstahl zeigt dummerweise das Gegenteil.
Das Unternehmen verfügt über IT-Systeme, die den höchstmöglichen Standards entsprechen. Diese werden regelmäßig aktualisiert und erweitert.
Interessant! Erfreulicherweise wird nicht mitgeteilt mit welchen Sicherheitsstandards hier gemessen wird. Afghanistan? Anderenfalls wäre es wohl kaum zu diesem Diebstahl gekommen.
Vodafone unternimmt alle notwendigen Schritte, um die Sicherheit der Systeme weiter zu verbessern und diese vor zukünftigen kriminellen Attacken zu schützen.
Ah ja! Vodafone fängt nun also mit Sicherheit an – denn viel war da ja bisher erkennbar nicht. Vor dem Hintergrund langjähriger Erfahrung mit Vodafone gehe ich allerdings nicht davon aus, dass dies von Erfolg gekrönt sein wird.
Um Missverständnisse zu vermeiden – dieses Problem hat nicht nur Vodafone. Alle Netzbetreiber waren in den letzten Jahren immer wieder von gravierenden Datenpannen und Datenschutzverstößen betroffen. Weit häufiger als jeder andere Industriezweig haben die Netzbetreiber bewiesen, dass sie nicht zuverlässig mit Daten umgehen können.
Vor diesem Hintergrund kann es für sämtliche IT-Dienstleistungen wie Mobile Device Management (MDM) und andere Managed Services und andere IT-Dienstleistungen deshalb nur eine Empfehlung geben. Nutzen Sie hierfür niemals einen Netzbetreiber. Die Netzbetreiber haben oft genug unter Beweis gestellt, dass sie nicht verantwortungsvoll mit personenbezogenen Daten umgehen (können), der aktuelle Vorfall ist nur ein weiterer Mosaikstein in einem großen Puzzle.
Wer schon nicht die Daten der eigenen Kunden angemessen schützen kann bietet keinen Anlass zu der Annahme, dass er dies mit personenbezogenen Daten Dritter besser beherrscht. Und genau darum geht es beim Thema Mobile Device Management, wenn MDM als Managed Service erbracht wird – der Dienstleister händelt eine große Zahl personenbezogener Daten des beauftragenden Unternehmens in Bezug auf die Mobility. Insofern gibt es beim Thema MDM und Dienstleistungserbringung in Form von gehosteten Angeboten und Managed Services nur einen sinnvollen Rat: Beauftragen Sie Experten – Netzbetreiber sind dies regelmäßig nicht.
Ihre fehlende Kompetenz untermauern die Netzbetreiber durch zwei weitere Fakten.
Die Qualität der Netze unterschreitet in Deutschland mittlerweile flächendeckend stabil die Qualität aller umliegenden Länder. Ich bin immer froh, wenn ich in Polen, Tschechien, Österreich oder der Schweiz bin – dort funktioniert Mobilfunk auch nicht perfekt, aber wesentlich besser als hierzulande. Insofern sollten die deutschen Netzbetreiber erst einmal Zeit und Gelegenheit haben ihre Netze in Ordnung zu bringen. Wenn sie dann verstanden haben, wie man qualitativ einwandfreie Dienstleistungen erbringt, können sie ja noch einmal über andere Themen nachdenken.
Der zweite Aspekt, der gegen Netzbetreiber spricht, ist deren (angeblich ungewollte!) tiefe Verstrickung in den Datagate-Skandal um NSA und GCHQ, von dem Vodafone noch mehr als alle anderen Netzbetreiber betroffen ist. Offenkundig ist, dass die Netzbetreiber intensiv mit den Feinden der Freiheit von NSA, GCHQ & Co zusammenarbeiten. Ob dies qua Gesetz erzwungen wird oder freiwillig erfolgt ist im Kern unbedeutend, die Schlußfolgerung hieraus ist das Entscheidende:
Es verbietet sich Unternehmen mit der Verarbeitung personenbezogener Daten zu betrauen, die offen zugeben, dass sie mit Geheimdiensten zusammenarbeiten (müssen). Wir tun das nicht, werden das nie tun und würden uns, wenn jemals versucht werden sollte uns zu kompromittieren, wie Lavabit verhalten, die der NSA widerstanden haben, mehr hierzu im Beitrag NSA zwingt amerikanische Sicherheitsanbieter zur Geschäftsaufgabe. Deshalb entscheiden sich immer mehr sicherheitorientierte Anwender für unsere Services. Vielleicht auch bald Sie!
Bild: fotolia
Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“
