Stoppt die Vorratsdatenspeicherung! Jetzt klicken && handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:

Donnerstag, Februar 08, 2007

Kreditkarten und so (Was wirklich an Mikado so gefährlich ist)
Vor einer Weile gabs ja diese Aufregung um die Mikado-Geschichte. Leider hatte ich die letzten Wochen keine Zeit, mich dazu mal zu äußern, denn es gibt hier ein paar Anmerkungen, die ich schonlänger mal anbringen wollte. Die hauptsächliche Kritik an der Aktion bezieht sich ja darauf, daß die Bankdaten von zigtausenden Kreditkartenbesitzern durchsucht wurden.
Es ist zwar nun so, daß ich ebenfalls meine, daß die Aktion nicht hätte stattfinden dürfen, allerdings nicht wegen der Annahme, daß die Privatsphäre all der Kreditkartenbesitzer kompromittiert wurde, deren Transaktionen von ihren Banken zur Durchsuchung freigegeben wurden. Die ist nämlich nicht richtig.
Es wurden nämlich nicht "sämtliche Kreditkarten" überprüft, sondern Transaktionen. Kreditkarten sind Personengebunden. Transaktionen nicht. Eventuell erkläre ich das zwar jetzt auch etwas verkehrt, weil ich versuche, es einfach zu machen: Eine Transaktion beinhaltet keinerlei Daten über Personen sondern lediglich eine Information über eine Zahlung. Und eine Transaktionsnummer. Wenn ich die Berichte richtig gelesen habe, wurden Transaktionen durchsucht. Nach in Transaktionen vorkommenden Daten wie Preis und purchasing date. Daher ist es ein Trugschluss, wenn man hier von Rasterfahndung und Millionen von überprüften Bankkunden spricht.
Das wars aber auch schon mit Relativierungen, denn ich schrieb ja schon, daß ich die Aktion ablehne, denn wenn man zwar weiß, daß es diese Trennung von Transaktionen und Person - die Eigenschaft, die Kreditkarten zu meinem bevorzugten Zahlungsmittel macht - gibt, aber nicht, wozu dies führt, dann gibts ganz andere Probleme. Eine Transaktion kann nicht auf eine Person zurückgeführt werden, sondern höchstens auf eine Kartennummer. Nur diese Kartennummer ist personengebunden, aber eben nicht die Transaktion. Es gibt daher im Pool der Processinginstitute jede Menge Transaktionen, die auf Kartenebene zurückgebucht wurden, weil die Kartenbesitzer gemerkt haben, daß ihre Karte missbraucht wurde. Das wird aber in der Transaktion selbst nirgends vermerkt und das bedeutet, daß man beim Durchsuchen von Transaktionen eigentlich immer davon ausgehen muss, daß ein "Fund" zwar den Kauf bei einem kriminellen Websitebetreiber beweisen kann, aber nicht, wer der Käufer ist. Auch ob eine Karte gesperrt wurde, ist auf Transaktionsebene nicht herauszufinden.
Insoweit ist die Beweiskraft, daß ein Kauf von einer bestimmten Person getätigt wurde, über die Durchsuchung von Transaktionen gleich null. Daraus die Berechtigung abzuleiten, bei Menschen eine Hausdurchsuchung anzusetzen und deren Rechner abzuholen, weil denen eine Kreditkarte gehört (hat), für die eine Transaktion mit einer verdächtigen Zahlung gefunden wurde, halte ich für einen Gang auf extrem dünnem Eis und zeigt nur, daß die Leute, die sich diese seltsame Aktion ausgedacht haben, überhaupt keine Ahnung davon haben, wie der Datenverkehr bei Kreditkarten funktioniert.

Labels: , ,

von Jens Scholz   direct link     
 

Kommentare:

«...zeigt nur, daß die Leute, die sich diese seltsame Aktion ausgedacht haben, überhaupt keine Ahnung davon haben, wie der Datenverkehr bei Kreditkarten funktioniert.»

oh, ganz im gegenteil. das zeigt, dass diese leute genau wissen, wie's läuft und wo sie ansetzen müssen. die haben sich nämlich genau an den richtigen gewandt. ansonsten ist das erbsenzählerei, jens. von der transaktion zur kreditkarte ist es ein verdammt kurzer weg, und die behörden haben ja auch keine transaktionen gemeldet bekommen, sondern konkrete namen. dass das kein beweis ist - gerade im internet ist die fehlende möglichkeit der authentifizierung ein bekanntes problem - ist klar, aber ein hinreichender tatverdacht besteht dann natürlich. dass dieser tatverdacht unter umgehung des datenschutzes ermittelt wurde, ist das problem.
 
ähm... das war ich. sorry, aber seit blogger zu google gehört, ist das alles ziemlich komisch. ;-)
 
eben nicht, der weg von der tn zum ki über bande ist ja eben genau nicht so einfach, wie man sich das da wohl vorgestellt hat und wie man ja an den beispielen sieht, bei denen das schon schiefgelaufen ist. das ist ja genau das problem, daß man meint, man kommt sofort zum namen. das kommt man halt in wirklichkeit nicht, wenn man nicht vorher auch die cardhistory betrachtet.
 
ich glaub, ich verstehe jetzt, worauf du hinaus willst: dass der karteninhaber nicht unbedingt der kartenbenutzer sein muss, oder? das ist sicher richtig, aber ein fahrzeughalter ist auch nicht immer der tatsächliche fahrer, und trotzdem käme wohl kein ermittler auf die idee, einem zeugen zu sagen: «hey, toll dass sie sich das kfz-kennzeichen gemerkt haben, aber das war für'n arsch.» ;-)

davon abgesehen: hier musste nicht «über bande» gespielt werden, weil die abwickler der transaktionen zu jeder transaktion die entsprechende kartennummer (sprich: einen namen) haben. da war keine bank beteiligt (banken vermitteln lediglich die kreditkarten).

nein, mich stört weiterhin einfach, dass hier nicht aufgrund eines verdachts geprüft wurde, sondern aus der willkürlichen prüfung heraus ein verdacht herbeigeführt wurde.
 
ja, genau. beides.
und was mich stört ist eben, daß man das problem bei autos und fahrern beo der polizei durchaus kennt und beachtet, aber eben bei dieser geschichte nicht.

(mit der bank hast du natürlich auch recht: die unterschiede zwischen banken, issuer und processor war übrigens das, was zu erklären ich mir erspart habe und weswegen ich ja sagte, daß ich das wegen dieser vereinfachung auch nicht ganz richtig erklärt hab.)
 
außerdem passt das autobeispiel nur halb:
eine transaktion wird nicht vom ki erzeugt, sondern vom händler, weshalb ja auch nur dessen angaben drin stehen: dieses vertragsunternehmen zog am soundovielten über diesen weg soundsovieleuro ein. d.h., ob der kauf wirklich aktiv getätigt wurde ist nie sicher. die transaktion wird daher auch nach chargebacks nicht verändert (sondern dann gibts eine weitere transaktion, die die gutschrift enthält).
Es ist daher völlig irrsinnig, so vorzugehen,wie mans getan hat, weil da vielzu viele fehler passieren, wie man ja inzwischen sieht.
 
Kommentar veröffentlichen
.. jens scholz ..

personal news in undefinierter dringlichkeit, wichtigkeit oder thematik .. ein subjektives log als experiment, wie lange dinge, die wichtig erscheinen, es in wirklichkeit bleiben ..


.. archiv ..
  .. zum archivindex
  .. aktuell

.. mehr futter ..
  .. über.mich
  .. mein.twitter
  .. meine.videos
  .. meine.musik
  .. meine.fotos
  .. mein.galaxies.blog
  .. kein.halma.blog
  .. mein.xing
  .. mein.facebook
  .. mein.delicious
  .. mein.soup.io
  .. mein.posterous
  .. mein.qype
  .. mein.renderosity
  .. mein.myspace
  .. meine.webcam
  .. meine.mailadresse
  .. seite drucken
  .. disclaimer

.. lesbare logs ..
  .. juggernaut invasion
  .. doc rollinger
  .. hirnschmelze
  .. ulrich janus
  .. isablog
  .. herr frick
  .. thomas thayer
  .. wetterdistel
  .. sven
  .. axonas
  .. habitsoftheheart
  .. larissa
  .. schicksen
  .. udo
  .. stephan
  .. homomagi
  .. marrak

  .. one take tapes
  .. valerie
  .. annalist
  .. nilz
  .. ukkult
  .. alarmschrei
  .. udos lawblog
  .. mediaclinique
  .. van vanity
  .. vasili
  .. merlix horoskop
  .. termo
  .. das nuf
  .. frapp.antville
  .. pepa
  .. ronsens
  .. lisa neun
  .. dekaf
  .. new joerg times
  .. anke gröner
  .. don dahlmann
  .. batzlog
  .. jaqueline godany
  .. miss caro
  .. thomas knüwer
  .. kaltmamsell
  .. rushme
  .. cynx
  .. fabi
  .. hinterding
  .. ntropie
  .. schmitzchen
  .. wirres
  .. schwadroneuse
  .. lila
  .. nerdcore
  .. b.l.u.b.
  .. sebas
  .. boris schneider
  .. titania carthaga
  .. bov
  .. nice bastard
  .. e-script
  .. blogpiloten
  .. fireball
  .. sixtus
  .. miagolare
  .. spreeblick
  .. mc winkel
  .. svenk
  .. toomuchcookies
  .. haltungsturner
  .. kaliban
  .. spiegelfechter
  .. djundee
  .. bernd
  .. zenzizenzizenzic

  .. stranger
  .. thomas nephew
  .. miss wurzel tod
  .. vowe dot net
  .. bruce schneier
  .. neil gaiman
  .. warren ellis
  .. boing boing
  .. wil wheaton
  .. ron gilbert
  .. silent bob speaks
  .. mobys journal
  .. cats and dogs

.. desktop ..

.. del.icio.us links ..
.. shop ..

Site Feed

how not2bseen: wie man seine privatsphäre schützen kann