© lofik, Fotolia.com

Als das Linux-Magazin einem Tipp eines Informanten nachging, ahnte die Redaktion nicht, dass sie sich einer halben Million sensibler Datensätze gegenübersah. Untersuchungen offenbarten ein Dickicht aus Gewinnspielen, Adresshandel, Callcentern und einem ASP-Programmierer an der türkischen Riveria.

Der Tipp, den die Redaktion zugespielt bekam, war ganze 32 Bit lang: “Schaut Euch mal diese IP-Adresse an”, lautete der mysteriöse Hinweis lapidar. Gesagt, getan. Schnell stand fest, dass es sich um einen angemieteten Server eines mittelständischen Hosters in Thüringen handelt. Es gab weder eine Reverse-Auflösung der IP-Adresse außer zu dem technischen Namen des Hosters, noch eine klare Zuständigkeit im C-Record, den »whois« liefert: Der Besitzer des Servers hatte nur einen E-Mail-Anonymisierungsdienst aus den USA eingetragen.

Nur per IP-Adresse angesprochen zeigte sich ein unter Windows laufender IIS-Webserver nicht gesprächig und präsentierte einzig eine 404-Seite. Allerdings bot er auch einen Zugang auf Port 21 an, also per FTP. Da er seine Dienste öffentlich und ohne Passwort annoncierte, schaute sich das Team im Datenbestand um. Ihm stockte der Atem: Auf mehrere Gbyte verteilt lagen dort Excel-Dateien, Logfiles, Datenbank-Dumps und Skriptdateien, die umfassende Datensätze von mindestens einer halber Million Bürger aus Deutschland, zusammen mit vollständiger Adresse, Telefonnummer, Geburtsdatum. Bei rund der Hälfte führten die Daten auch noch Kontonummer und Bankleitzahlen mit auf (siehe Abbildung 1).

Abbildung 1: Eine halbe Million Datensätze mit brisanten personenbezogenen Daten wie Telefonnummer und Geburtsdatum fanden sich auf einem ungeschützten FTP-Server. Die Hälfte enthält auch Kontonummern.

Sportwagen lockt Opfer

Was läuft da? Adresshandel im großen Stil? Ein unachtsamer Admin? Im Laufe der Untersuchung der frei zugänglichen Dateien fielen mehrere Schlüsselwörter und Domainnamen auf, die meist mit Glücksspielen zu tun haben. Häufig vermerken die Dateien einen Hinweis auf ihren Ursprung, so lauten Tabellenspalten etwa »Herkunft«, andere tragen sprechende Namen. Einige dieser Hinweise führen nach Schleswig-Holstein.

In Itzehoe betreibt Marco B. als Geschäftsführer einer in Großbritannien angemeldeten Limited das “Dienstleistungsunternehmen im und für den Direktvertrieb”. Das Unternehmen hostet eine ganze Reihe von Domains nach dem Muster [http://ultrapreise.de] oder [http://bonitas24.de] (alle Namen von Personen und Domains anonymisiert oder geändert). Das Unternehmen “S. Ltd” ist nicht das einzige seiner Art: Im Internet finden sich Dutzende von Gewinnspielen, Rabattgemeinschaften und Schnäppchen-Informationsdienste.

Bei allen ist das Muster gleich: Die Website fordert eine Registration mit Adresse, Telefonnummer und Geburtsdatum. Daraufhin verspricht sie im Gegenzug die Teilnahme an der Verlosung eines Ferrari oder heißer Höschen oder lockt mit günstigen Preisen bei Sammelbestellungen. Solche Angebote sind nicht illegal, dennoch sollten sich Teilnehmer schon genau überlegen, was sie tun, denn laut AGB erklären sie sich damit einverstanden, “dass seine Angaben für Marketingzwecke verwendet werden dürfen. Eine Weitergabe der personenbezogenen Daten an Dritte und Partnerunternehmen ist gestattet. Die Daten werden unter Beachtung des Bundesdatenschutzgesetzes elektronisch verarbeitet und genutzt.”

Fünf Anrufe pro Tag

Die Redaktion hat stichprobenartig einige Betroffene aus den entdeckten Daten telefonisch kontaktiert und erhielt immer wieder die gleichen Antworten: Hartmut K. aus München etwa erklärte, dass er vor längerer Zeit an einem Gewinnspiel teilgenommen hätte. Seitdem erhält er bis zu fünf Telefonanrufe täglich von Callcentern – zumeist mit unterdrückter Telefonnummer. “Die wollen mir alles mögliche andrehen”, erklärt K., “das reicht von Lotteriespielen über Zeitschriftenabos bis hin zu Versicherungen”. Eine häufige Masche sei, die Betroffenen zu überrumpeln und zu behaupten, sie hätten ein Abo abgeschlossen. Um das zu kündigen, sei zum Datenabgleich die Angabe einer Kontonummer nötig.

Ein weiteres Opfer, Peter O. aus Brunnthal weiß zu berichten: “Bei mir haben die auch schon Beträge vom Girokonto abgebucht, aber das habe ich bei meiner Bank storniert.” Diese Masche hat offenbar System, zumal nicht alle Betroffenen so regelmäßig ihr Konto prüfen. Markus Saller, Justiziar der Verbraucherzentrale Bayern [1] hat Erfahrungswerte: “Zwischen acht und zehn Prozent aller Abbuchungen bemerken Verbraucher nicht, wenn der Betrag niedrig genug ist, etwa unter 100 Euro”. Häufig erscheint so etwas unter “Jahresgebühr” auf dem Kontoauszug. Liegt keine Einwilligung zu so einer Lastschrift vor, sei dies Betrug, sagt Saller. Aber kaum jemand gehe wegen solcher Beträge zum Staatsanwalt.

Legalisierte Plünderung

Das beklagt auch Dr. Thilo Weichert, Landesbeauftragter für den Datenschutz in Schleswig-Holstein [2] und damit zuständig für das Dienstleistungsunternehmen S. Ltd. aus Itzehoe. Daher sichtet seine Behörde schon seit längerem Datenfunde und versucht sie zu korrelieren, um gegebenenfalls die Staatsanwaltschaft einzuschalten. Bei einem Streitwert von wenigen Euro hat die aber oft nur wenig Interesse, solchen Fällen nachzugehen, bedauert der Jurist.

Ist Marco B. nun ein schwarzes Schaf der Branche, gehört ihm der thüringische Server und würde das Abschalten des Servers dem Spuk ein schnelles Ende für die mutmaßliche halbe Million Telefonterroropfer machen? Eine Untersuchung der vielen Dateien deutet darauf hin, dass die Adressen aus unterschiedlichen Quellen stammen. So hat jede Tabelle einen anderen Aufbau, manchmal sind Datensätze einer halben Stadt in Versalien erfasst, anderswo fehlen bestimmte Attribute wie das Geburtsdatum (siehe Abbildung 2).

Abbildung 2: Die Daten stammen offenbar aus mehreren Quellen. Schreibweisen in Versalien oder Spaltenüberschriften deuten das an. Callcenter stellen daraus Anrufpläne für Kampagnen zusammen.

Namen und Zeitstempel der Dateien zeigen, dass jemand aktiv an ihnen arbeitet. So kennt der Server »500_Hohes_Einkommen.xls« von Mitte März oder »5500_Banking.xls« vom Januar 2009. Die Dateiinformationen in Open Office unter »Datei | Eigenschaften …« geben weiteren Aufschluss (siehe Abbildung 3): Hier taucht sehr häufig der Name Cenk Y. auf. Außerdem findet er sich in einer Reihe von Code-Schnipseln. Welche Rolle spielt er in dem internationalen Verwirrspiel?

Eine weitere Erkenntnis ergibt sich beim Suchen in den entdeckten Dateien. Sie enthalten nämlich nicht nur Adressen, sondern auch Fragmente von Webseiten, zumeist in Microsofts Active Server Pages. Unterverzeichnisse deuten auf eine Reihe von Domains mit türkischen Namen hin. Tatsächlich gibt es diese Domains, die ein wenig wie eine türkische Version eines Domaingrabbers aussehen (siehe Abbildung 4). Darüber hinaus erscheinen sie harmlos: Eine Reihe von Versuchen, Foren und Kontaktbörsen mit Microsoft-Mitteln zu programmieren.

Abbildung 3: Der Programmierer Cenk Y. arbeitet regelmäßig an den gefundenen Dateien, um sie nach bestimmten Kriterien auszuwerten.

Abbildung 4: Auf dem FTP-Server hostet der Inhaber vordergründig unspektakuläre ausländische Websites.

Türkische Callcenter

Einzig [http://callcenterinput.com] sticht aus dem Namensschema hervor, zeigt jedoch wieder nur eine einfache Webseite an, die auf einen Klick hin per Javascript das Fenster schließt – das ist harmlos. Schließlich findet das Untersuchungsteam in den Serverlogs doch noch einen Hinweis: Aus Antalya an der türkischen Riviera loggt sich der Besitzer Cenk Y. regelmäßig als Nutzer ein, sodass auch das Untersuchungsteam schließlich den Zugang [http://sueperphone.callcenterinput.com] entdeckt: Die Zugangsdaten dazu stehen direkt in den Logs. Nun wird einiges klarer: Eine aufwändige Webanwendung für Callcenter begrüßt sie (siehe Abbildung 5).

Abbildung 5: Aus der Türkei betreibt Cenk Y. für Partner eine mandantenfähige Callcenter-Anwendung. Täglich rufen knapp 40 Agents bis zu 4000 Teilnehmer an.

Cenk Y. betreibt offenbar die mandantenfähige Software für eine Reihe von Callcentern, da es neben »Süperphone« noch ein halbes Dutzend weiterer Mandanten gibt. In einem Callcenter riefen laut Statistikfunktion 38 Agents rund 4000 Teilnehmer an einem Tag an. Jeder Agent hat eine komfortable Maske, in die er die Reaktion der Angerufenen eingibt.

Für Logis und eine Hand voll türkischer Lira

So berichteten auch mehrere Opfer, dass sie zu monatlichen Vertragsabschlüssen für ein wertloses Abo gedrängt werden sollten. Für 49 Euro nähmen sie dann an 200 Preisausschreiben teil. Auf diese Weise versuchen die Abzocker, Lastschriften zu rechtfertigen, wenn schon Kontodaten vorliegen. Anderfalls verlangen die Agents diese Angaben, angeblich, um eine Kündigung abzugleichen.

Einige Opfer merken die gebrochene deutsche Sprache mancher Anrufer an, konnten sich aber nicht auf eine regionale Mundart einigen: Manche vermuteten danach das Callcenter in Hessen andere in Berlin. Wahrscheinlich lagen alle falsch: Das mutmaßliche Callcenter steht in Samsun, weit im Norden der Türkei an der Schwarzmeerküste. Das geht zumindest aus einer Anzeige hervor, die das Unternehmen Süperphone in mehreren türkischen Zeitungen auf Deutsch geschaltet hat (siehe Abbildung 8). Umgerechnet knapp 500 Euro Festgehalt, freie Logis sowie Abschlussprämien bietet es an.

Bei solchen Tarifen sind eine Voice-over-IP-Verbindung nach Deutschland und entsprechende Ausstattung mit Computern durchaus erschwinglich (siehe Abbildung 9). Wer sich die Bildergallerie des Unternehmens genau ansieht, entdeckt auch wieder die in ASP programmierte Callcenter-Oberfläche aus Antalya (siehe Abbildung 10).

Abbildung 6: Die Wege der personenbezogenen Daten sind oft verworren und erstrecken sich über mehrere Beteiligte und Länder. Für jede der abgebildeten Positionen gibt es parallel arbeitende Unternehmen, die dann übernehmen, wenn ein Glied der Kette ausfällt, um Teilnehmer zu Vertragsabschlüssen zu drängen.

Abbildung 7: Auch Daten altern. Kann das Callcenter keine Profite mehr mit einem Satz Daten abschöpfen, verkauft es den einfach an die Wettbewerber.

Abbildung 8: Umgerechnet knapp 500 Euro und Logie bietet ein türkisches Callcenter Arbeitnehmern, die deutsche Sprachkenntnisse mitbringen.

Täter und Opfer

Das System der Adresshändler und Abzocker ist gut durchdacht: Hier arbeiten mehrere Firmen Hand in Hand, teilweise im Ausland, teilweise in Wegwerf-Unternehmen, die zumal oft einen Strohmann vorschieben. Webseitenbetreiber zocken die Adressen ab, ein Broker sammelt sowie wertet sie aus und verkauft sie an Callcenter. Die wiederum rufen mit mehr oder weniger legalen Methoden bei Kunden an und versuchen weitere Informationen herauszufinden (siehe Abbildung 6). Das ist eigentlich nach Paragraf 7 des Gesetzes gegen den unlauteren Wettbewerb eine “unzumutbare Belästigung” und mit bis zu 50 000 Euro Bußgeld bewehrt, aber wo kein Kläger, da kein Richter [3].

Jeder Datensatz stellt je nach Vorauswahl und Qualifikation einen beachtlichen Wert von einigen Cent bis hin zu Bruchteilen von Euro dar. Und lässt sich mit einem Satz Daten nicht mehr verwenden, so verkaufen ihn die Callcenter einfach an die Konkurrenz (siehe Abbildung 7).

Abbildung 9: Ferngespräche sind mit moderner Voice-over-IP-Technik kein Problem mehr: Eines der Callcenter, das Kontodaten von Gewinnspielteilnehmern abfragt, steht in Samsun, an der türkischen Schwarzmeerküste.

Abbildung 10: Fotos aus der Unternehmensgalerie des Callcenters belegen bei genauerer Betrachtung, dass ihre Agents in der Türkei das gefundene Webfront-end von Cenk Y. verwenden, um damit deutschen Teilnehmer anzurufen.

Schwere Terrorbekämpfung

Einen besonderen Teil der Verwertungskette betreiben diejenigen, die mit Lastschrift-Bankeinzügen und windigen Erklärungen versuchen, den oft älteren Opfern das Geld aus der Tasche zu ziehen. Technisch ist das kein Problem, durch elektronische Schnittstellen wie Ebics [4] lassen sich solche Aufträge im Batchbetrieb bei Banken absetzen.

Was kann der einzelne tun? Nicht viel. Die Daten kursieren in so vielen Kopien zwischen den im halblegalen Raum agierenden Unternehmen, dass es mit der Aufforderung einen Datensatz zu löschen alleine nicht getan ist – zumal, wenn diese im Ausland sitzen. Ein Betroffener aus der halben Million Datensätze zieht resigniert Resümee: “Ich gehe einfach nicht mehr so häufig ans Telefon”. Die Redaktion hat die gefundenen Daten an einen Datenschutzbeauftragten weitergegeben. Denn eines ist sicher: Auch wenn einige Aktivitäten der Szene sich rechtlich in einem Grenzbereich befinden, der straf- oder zivilrechtlich schwer nachzuweisen ist, irgendwer hat hier massiv seine Sorgfaltspflicht gegenüber personenbezogenen Daten vernachlässigt.