„Daten sind die Rohstoffe des 21. Jahrhunderts“. Dieses Zitat stammt von Angela Merkel, der Kanzlerin, die noch 2013 behauptet hat, dass das Internet für uns alle Neuland ist. Doch mittlerweile hat auch Sie erkannt, dass persönliche Daten wie Adresse, Namen, E-Mail Adressen und co. wortwörtlich Gold wert sein können.
Jedoch sind nicht nur Unternehmen wie Google, Amazon, Facebook & co. an euren Daten interessiert, auch für Hacker und Betrüger ist der Datendiebstahl eine lukrative Einnahmequelle. Wie sich riesige, gestohlene Datensätze zu Geld machen lassen und wieso das in China ein riesiges Problem ist, erläutere ich euch in diesem Artikel.
Daten gegen Bitcoin – der Schwarzmarkt im Darknet
Während der Bitcoin mittlerweile oft als legales Zahlungsmittel verwendet wird, ist die beliebte Kryptowährung jedoch aufgrund Ihrer Anonymität auch bei Kriminellen etabliert. So wird im Darknet für Bitcoins nicht nur Drogen und Waffen, sondern auch Datensätze angeboten.
Teils sind es „nur“ ein paar Mailadressen, Namen oder gehashte Passwörter, die zum Verkauf angeboten werden, im schlimmsten Fall geht es jedoch um mehrere Millionen an Nutzerdaten, die in die Hände der Kriminellen gelangt sind. Allein im August sind mehrere solcher Fälle in China bekannt geworden, weshalb ich euch die größten in dieser Tabelle aufgelistet habe.
- Firma: SF Express
- Gestohlene Daten: Namen, Adressen, Telefonnummern
- Anzahl: 300 Millionen
- Wert: 2 Bitcoins
- Firma: Huazhu Hotels
- Gestohlene Daten: Telefonnummern, Mailadressen, Kontonummern, Buchung Details
- Anzahl: 150 Millionen
- Wert: 1 Bitcoin
- Firma: Ruizhi Huasheng
- Gestohlene Daten: Log In Daten von Social Media Accounts
- Anzahl: 3 Milliarden
- Wert: 4,4 Millionen $(?)
Für einen einzigen Monat sind das beträchtliche Zahlen, bei denen auch einige bekannte Unternehmen betroffen sind, i schlimmsten Fall auch Ihr selbst. Denn SF Express ist nicht nur der beste und größte Expresslieferant in China (Stock SHE: 002352, rund 25 Mrd. US-Dollar), sondern auch in Deutschland durch diverse China Shops bekannt. Geekbuying hat beispielsweise oft mit diesem Unternehmen versendet.
Nahezu deren gesamten Daten stehen nun ebenso zum Verkauf wie die der Hotelkette Huazhu, die über 3000 Hotels in China betreibt und damit die 12. Größte Hotelkette der Welt ist.
Doch mit 3 Milliarden (!) gestohlenen Daten hat Ruizhi den größten Coup gelandet. Der Drittanbieter hat Software für die großen Mobilfunk-Provider China Mobile, China Telecom und China Unicom, die auch in europa tätig sind, entwickelt. Dabei wurde auch eine Malware installiert, die daraufhin 3 Milliarden Daten von Nutzern von Tencent, Alibaba, WeChat und fast 100 weiteren Unternehmen gesammelt hat.
Die gestohlenen Daten wurden entweder an Werbefirmen verkauft, oder dazu missbraucht, Accounts von Firmen zu folgen, die dafür bezahlt hatten. Darunter waren auch globale Unternehmen wie Nestlé, Canon oder Lenovo. Diese wussten von der Geschäftspraxis der Firma natürlich nichts und hatten ursprünglich nur dafür bezahlt, dass deren Social Media Accounts beliebter wurden.
Auch dass die neuen Follower den Firmen gar nicht folgen wollten, sondern das ganze automatisch passiert, war bis vor kurzem noch Unbekannt. Für Ruizhi Huasheng hat sich das Geschäft definitiv gelohnt, denn seit dem Einsatz der Software konnte Sie Ihren Umsatz auf 30 Millionen Dollar steigern, vorher war es nur ein Bruchteil dessen.
Ein weiterer Fall, der es international zu großem Aufsehen geschafft hat, dreht sich rund um Apples iMessage Service. Seit der Smartphone-Hersteller sich den chinesischen Zensoren beugte und die Verantwortung für die iCloud-Services and das chinesische Unternehmen Guizhou-Cloud Big Data (云上贵州公司) abgegeben hatte, wurden Nutzer mit Spam überflutet. Dieser beinhaltete Angebote wie Pornografie oder Glücksspiel, welche in China verboten sind.
Zuvor gab es diese Spam-Attacken natürlich nicht und die Netizens (Chinas Internetnutzer) lobten das westliche Unternehmen, während der chinesische (Zwangs-)Partner verteufelt wurde. „Typisch China“, „Wacht auf, es ist nicht Apples Schuld!“ und ähnlich verärgerte Aussagen lassen sich in den Kommentaren finden.
Lustigerweise ist das beschuldigte Unternehmen im Besitz der Regierung. Wenn selbst den strengsten Zensoren der Welt dies durch die Lappen geht, dann ist das Problem offensichtlich..
Machtlose Behörden?
Bei solch gigantischen Zahlen stellt sich unweigerlich die Frage, wieso dagegen nichts unternommen werden kann und wieso es gerade in China zu so vielen, potenziell gefährlichen Datenlecks kommt.
Täglicher Spam! Ich (Maxi) bekomme pro Tag mindestens 3-10 SMS oder Anrufe von fremden Unternehmen oder Händlern, bei denen ich über JD.com gekauft habe, um eine Bewertung abzugeben oder einen Service zu buchen – offiziell nicht legal, aber „macht doch jeder?!“.
Zu aller erst, auch in China ist es selbstverständlich illegal Daten zu stehlen und zu verkaufen. Mittlerweile hat die Regierung angekündigt härter gegen solche Datenlecks vorzugehen. Im Falle von Ruizhi Huasheng kam es schlussendlich auch zu 6 Verhaftungen, doch die meisten Fälle bleiben ungeklärt, und es kommt in unschöner Regelmäßigkeit zu neuen Datensätzen die gestohlen werden. Das liegt sicherlich auch an einer Unternehmenskultur, die stark darauf ausgelegt ist, möglichst schnell möglichst viel Geld zu verdienen, ohne dabei auf langfristige Konsequenzen Rücksicht zu nehmen. Andererseits wird es in diesem Rahmen erst dadurch ermöglicht, dass die Sicherheit persönlicher Daten in China einen deutlich niedrigeren Stellenwert hat, als in Europa.
So wundert es kaum, dass über 85% der chinesischen App Nutzer angeben, bereits schon einmal von einem Daten Leck betroffen gewesen zu sein. In den meisten Fällen kam es dabei „nur“ zu penetranten Werbeanrufen und -nachrichten, ab und zu jedoch auch zu Passwortdiebstählen. Die Umfrage hat auch gezeigt, dass viele Nutzer Angst vor Diebstählen und Betrugsversuchen durch gestohlene Daten haben.
Deshalb sind auch ca. 80% der Meinung, dass mehr für den Datenschutz getan werden muss. Das zeigt, dass es auch in China Bedenken um die Sicherheit der eigenen Daten gibt, diese jedoch in der Realität nur schwer geschützt werden können. Ich persönlich sehe dabei die chinesische Regierung in der Pflicht, klare Regeln für den Umgang mit Daten aufzustellen und einen Datenmissbrauch konsequent zu verfolgen.
Telefonnummern in China: Ein einfaches Ziel?
Da in China SIM-Karten ausschließlich mit dem Personalausweis gekauft werden, gibt es keine Prepaid oder Schubladenverträge. Zusätzlich fordert die Politik von Onlineanbietern, damit das Verhalten im Netz überprüft werden kann und Nutzer eventuell für dieses verantwortlich gemacht werden, dass eine „Real Name“-Authentifizierung vorgenommen wird.
Jede App, Social Media Anbieter oder Onlineshop kann so sicher stellen, dass es sich immer um einen echten und erreichbaren Nutzer hinter dem Account handelt.
Es ist unmöglich jene Accounts ohne eine Telefonnummer zu erstellen, da immer ein 2FA (Two-Factor-Authentication) Code bei der Registrierung versendet wird!
Ebenfalls sind diverse Services, vor allem rund um die großen Apps WeChat und Alipay nicht durchführbar, wenn keine Telefonnummer angegeben wird. Diesen möchte ich mich allerdings in einem späteren Artikel widmen.
Es ist unmöglich ein Paket Online zu bestellen, wenn keine Telefonnummer angegeben wird, da in fast allen Fällen Paketboxen verwendet werden, die automatisch eine SMS verschicken. Beschrieben habe ich dies in meinem Onlineshopping Guide zu JD.com.
Wird zum Beispiel ein Produkt Online gekauft, besitzen, neben der Shopping Plattform selbst, der Dritthändler auf der Plattform, der Lieferant und das Unternehmen hinter der Paketbox eure Daten. Das ist in Deutschland zwar vergleichsweise ähnlich, aber hier in China ist es nahezu unmöglich dagegen vorzugehen bzw. zu beweisen, wer in der Informationskette die Daten weitergegeben hat.
Die Gründe dafür können natürlich vielerlei Natur sein, aber wie bereits in einem Artikel zum Thema Mitarbeiter in China angesprochen, wird diese Thematik sicher eine Rolle spielen. Ebenfalls ist das Abwerben von wichtigen Mitarbeitern bei der Konkurrenz oder gar das Bewerben mit geklauten Datensätzen keine Seltenheit – ein Teufelskreis, der nie ein Ende finden wird?