Fakt ist: Wer ein kostenpflichtiges Abonnement bei SKY Deutschland wünscht, muss im Regelfall alles preisgeben, was eine im Netz gültige Identität so mit sich bringt, als da wären: Name, Anschrift, Rufnummer, Email-Adresse, Geburtsdatum, Kontodaten. Entsprechend sorgsam sollte das Unternehmen mit diesen Daten auch umgehen.
Erfahrungen mit Sky:
Anfänglich war ich zunächst wirklich sehr zufrieden mit Sky. Als leidenschaftlicher Anhänger (vielen meiner Kunden bekannt) eines Fußballvereins im Ruhrgebiet führt in Deutschland ja auch kein Weg mehr an Sky vorbei: Sky ist der einzige Anbieter, welcher die Live-Spiele meines Lieblingsvereins auf dem heimischen Bildschirm bietet. Dieser Anbieter wird übrigens auch aktiv auf der Homepage meines Vereins beworben. Sicherlich überlegst auch Du Dir bei den immensen Kosten für ein solches Abonnement mindestens zweimal, ob Du das tatsächlich auch so abschließen möchtest.
Die Bildqualität (HD) und der Sound bei Sky sind enorm. Insbesondere bei Fussballübertragungen stört jedoch die zusätzliche Werbung. Dennoch wird die gesamte Spiel-Länge übertragen und darauf kommt es ja an. Auch Filme sind schön, die Neuerscheinungen halten sich jedoch in ihrer Anzahl in Grenzen, immer seltener ist wirklich was „nettes“ dabei. Man freut sich über den Abspann, der bei anderen Sendern nicht mehr angezeigt wird. Das DRM auch bei SkyGo kann einem den Nerv rauben, entweder ist man genötigt einen Receiver von Sky zu verwenden, der in seiner Funktionalität für manche sicherlich ganz toll ist, doch das gewohnte und geliebte UI vom TV kann man dann nicht mehr nutzen. Man ist dann entweder gezwungen, die nervenden Altersschutzverifikationen (PIN-Eingabe) des alternativen, originalen Sky-CI-Moduls zu verwenden oder man wird vertragsbrüchig und verwendet ein alternatives Modul oder einen Receiver eines anderen Herstellers, mit dem man dann vielleicht auch aufnehmen kann. Da mich momentan nur Fußball interessiert und das restliche Programmangebot weniger, habe ich mich mit erster Variante „rumgeschlagen“. Es nervt, doch will ich keinen weiteren Stromschlucker bei mir zuhause und ich liebe nunmal das schlichte Samsung-UI. Ich komme damit klar. Das Angebot ist für den vergünstigten Preis in Ordnung, absolut nicht jedoch für den regulären Preis.
Der Fehlpass von Sky:
Mit Sicherheit „unüblich“ für einen Kunden von Sky ist, dass dieser mehr als „gerade mal 10 Rufnummern“ zur Verfügung hat und frei entscheiden kann, welchem Anbieter er welche Rufnummer zur Verfügung stellt. Das geschieht aus verständlicher Paranoia, die bestimmt jetzt auch nachvollziehbar ist. In sofern ist zumindest bei mir relativ schnell erkennbar, wer meine Daten verschludert hat. Die bei Sky gemeldete Rufnummer wurde für 2 Zwecke eingesetzt: Zieladresse einer Weiterleitung meines Arbeitgebers (inzwischen aufgelöst) und für das SKY Abo.
Anfang November gingen die Anrufe auf dieser MSN los. In meiner Telefonanlage ist klar nachvollziehbar (SIP-Protokoll von Starface), wann welche Anrufe kamen und auf welchem Anschluss. Ich hatte mich zunächst gewundert, denn über knapp 7 Tage verteilt fanden so genannte „Ping“- Anrufe statt. D.h. ein Wählcomputer ruft diese Nummer an und überprüft, ob diese erreichbar ist. Üblicherweise werden diese unter teuren 0900-Rufnummern durchgeführt, bei diesen erfolgte der Ping-Test jedoch fragwürdigerweise anonym. Ein fragender Anruf bei Sky wurde zu diesem Zeitpunkt noch abgewehrt mit „sie hätten mich nicht angerufen“ und „sich könnten sich das so auch nicht vorstellen“.
Ein wenig später, so ab dem 15.11. herum fingen die Anrufe von bei Tellows negativ gemeldeten Rufnummern an, allerdings auch mit deutlicher Ausdauer, so dass ich genötigt war, die Anrufe auch zu beantworten. Doof ist jetzt, dass ich mich (wie üblich) bei den ersten Anrufen tatsächlich mit Namen gemeldet habe. Da ich generell an keinen Gewinnspielen teilnehme oder mir eine Kündigung vom Rundfunkbeitrag oder von Sky meinerseits bislang unbekannt war, stelle ich natürlich Rückfragen, wer dort anruft. Spannend ist, sobald eine Rückfrage meinerseits stattfindet, wird das Gespräch unterbrochen. Inzwischen sind 7 Rufnummern dieser Sorte in meiner Blockliste, die weiterhin regelmäßig anrufen, jedoch in einer Blackhole-Ansage landen – Das lässt sich mit Starface und ein wenig Gehirnschmalz + „Drag&Drop Modulklickerei“ schnell bewerkstelligen. Im Shop von Starface ist ein solches Modul auch vorgefertigt für den (für Geschäftskunden – Zielgruppe von Starface – günstigen) Preis von EUR200,- verfügbar, das kann ich mir momentan aber nicht leisten. Immerhin ist bei mir da endlich mal der Groschen gefallen, die nur bei Sky gemeldete Rufnummer, auf der die Anrufe eingingen, habe ich dann endlich wieder Sky gedanklich zusortiert.
Ab ungefähr den 25.11. finden Anrufe (strafbar) nun auch ab anonymen Quellen statt. Spätestens jetzt ist auch eine Starface Anlage machtlos. Man kann sich jetzt auch den Spaß machen, und mitspielen. Es findet grundsätzlich ein Identitätsabgleich statt, d.h. es werden die Adressdaten oder Kontonummern abgefragt oder eben das Geburtsdatum. Natürlich korrigiere ich die Informationen, die der Addresshändler von mir bereits hat in’s falsche, doch die Datenbank scheint immer wieder auf Defaultwerte zurückgesetzt zu werden. Am Ende wird versucht, ein kostenpflichtiges Abonnement einer Zeitschrift oder eines „Probierdienstes“ oder eines „Gewinnspielvermittlungsvereins“ oder eines Stromanbieters zu vermitteln. Ich denke, dass sich die zuvor genannten Kategorien noch vervielfältigen, ein Sky-Abo war jedoch bis jetzt nicht dabei.
Sky Deutschland hat sich seinen Kunden gegenüber nie öffentlich, in einer Pressemitteilung oder in einem direkten Anschreiben zu diesem Thema geäußert, es gibt keine Pressemitteilung zu einem Datenklau. Ich halte dieses Verhalten für absolut falsch und nicht vertretbar. In einem Twittergespräch mit dem durchaus höflichen und m.E. wirklich gut geschulten SocialMediaTeam von @SKYDeutschland und in einem Telefonat wurde mir gegenüber erstmals die Entwendung zugegeben. Wer in deren Tweets stöbert, wird sich mit diesem Problem nicht alleine wähnen. Es folgte auch bei mir ein freundliches hin und hergezwitscher:
Nach einer Kündigung meinerseits, welche übrigens bis heute nicht bestätigt wurde, und Meldung des Vorfalls bei Sky habe ich ein Schreiben bekommen, in dem die „Blockbausteine“ den Empfänger nicht nur zur Verzweiflung bringen können, sondern diesen verständlicherweise sogar zu einem tosenden, ja rasenden Wutanfall bewegen:
Ich will das vorformulierte Blockbausteinchreiben nicht in aller Tiefe kommentieren, bzw. bekomme bestimmt einen drüber, wenn ich den Inhalt des Schreibens einfach so in’s Netz stelle.
Höflich formuliert: Irritiert bin ich, dass ich nicht aktiv von Sky angeschrieben wurde und dass Sky davon ausgeht, dass Kunden sich auf deren Webseite unter http://sky.de/datenschutz permanent nach Informationen zum Problem erkundigen, und dass nur ein „ganz kleiner Teil“ der gesamten Sky-Kundenbestände vom Datenleck betroffen sind. Ich soll jetzt laut Schreiben o-Ton auch meine Konten regelmäßig kontrollieren, Sky sei jedoch der Meinung, dass es höchst unwahrscheinlich ist, dass meine Daten missbraucht werden.
Tja, Sky, da fährt der Missbrauchsdampfer aber in eine völlig andere Richtung, als das Protokoll meiner Starface Anlage notiert. Die Anrufe nehmen zu. Und zwar potentiell exorbitant:
Anruf bei der Polizei
Als es mir zu bunt wird, rufe ich bei der Polizei an. Diese tut zwar schon wissend und verbindet mich gleich (in diesem Kuhkaff Krefeld scheinen exakt dieses Problem doch noch weitere Sky-Kunden zu haben), der verbundene Beamte selbst sieht sich jedoch machtlos. Er könne erst mit einer Betrugsanzeige aktiv werden, wenn z.B. meine Konten geplündert werden oder mir Post in’s Haus flattert. Ich solle mich an die Verbraucherzentrale wenden. Sorge bereitet mir allerdings seine wirklich eindeutige Nachfrage, ob ich denn schon etwas zugeschickt bekommen hätte bzw. ob schon eine Abbuchung stattgefunden hätte.
Dumm ist, dass mir tatsächlich e-Post in’s Haus flattert, allerdings in’s virtuelle, unter einer Zieladresse, welche bislang für keinen Spamzuwachs gesorgt hatte – doch das ist jetzt – leider auch messbar – anders. Naja, das bewerkstelligt GFI Mailessentials Unified Protection (noch) ganz gut. E-Post ist ja sowieso kaputt.
Verbraucherzentrale NRW
Noch bunter wurde es mit den Anrufen jedoch heute und ich habe mindestens 15 Minuten für den nicht ganz unerheblichen Betrag von EUR 1,98 mit der Verbraucherzentrale NRW (+49 9001897969) gesprochen. Auch die Verbraucherzentrale kennt das Problem, hat sich jedoch auf deren Webseite noch nicht zu diesem Vorfall geäußert. Diese gibt mir nur die bekannten Tipps, z.B. die Kontoauszüge überprüfen. Rechtliche Schritte gegen Sky sind nicht möglich, da SKY mich ja nicht unerlaubt anruft. Der Verlust meiner Daten ist nicht strafbar, bzw. wird das durch den jeweils „Beauftragen für den Datenschutz“ oder eine Aufsichtsbehörde ggf. mit einem Bußgeld geklärt. Ich könne mich noch zusätzlich an die Bundesnetzagentur wenden.
Bundesnetzagentur
Ein Anruf bei der BNetzA (+49 2919955206) zeigt auch, dass (mann staunt nicht schlecht) selbst die das Problem kennen und eine massive Anzahl von Anrufen deswegen hatten und weiterhin haben. Bei den bei Tellows gemeldeten Rufnummern ist man schon aktiv (das ist ja schonmal was). Leider ist auch die Bundesnetzagentur bei anonymen Anrufern machtlos. Sie wissen, dass diese Anrufe stattfinden und diese hochgradig strafbar sind, können allerdings mangels technischer Einrichtung keinerlei Hilfestellung bieten.
Und jetzt?
In sofern sind die Aussagen von Sky diesbezüglich erstunken und erlogen. Das Vorgehen ist falsch. Die Sorge und das Kümmern um dieses Problem ist falsch und auch die Aussage „ein kleiner Teil“ offensichtlich komplett daneben. Es hat ein gigantisches Datenleck gegeben, und es sind dabei vermutlich nicht „nur ein kleiner Teil“ von Kundendaten abhanden gekommen. Sicher ist nur das: „Ich bin nicht allein“.
Postmortal bleibt nur die Erkenntnis, einen Fehler begangen zu haben. Ich kann derzeit nur ausdrücklich davor warnen, Daten in die Hände von Sky zu geben. Der Vorteil der mit Sicherheit sehr attraktiven Angebote von Sky können den finanziellen, als auch den immateriellen Schaden des Verlusts einer Identität nicht wettmachen. Der Umgang von Sky mit dem Problem ist eklatant fahrlässig.
Inzwischen warte ich täglich auf Schreiben von Abmahn- oder Inkassounternehmen und einen negativen Schufa-Eintrag. Bis heute ist dergleichen (noch) nichts passiert, jedoch kann das mein Leben nachhaltig negativ beeinträchtigen, bzw. tut es das durch die Anrufe von Callcentern bereits. Die Arbeitszeiten der mit teilweise osteuropäischen Dialekt sprechenden Angestellten, dieser fragwürdigen Callcenter gleichen ausdrücklich nicht den „üblichen“ Arbeitszeiten von Dir und mir. Die Zeit, die dafür in’s Land geht, bezahlt mir niemand. Auch Sky Deutschland nicht. Dass ich mit diesem Problem nicht alleine dastehe, zeigen die Antworten der Bundesnetzagentur, der Verbraucherzentrale NRW und sogar die der Polizei in meinem Heimatdorf Krefeld.
Kleine Anekdote noch am Rande: Nicht nur das Abrechnungsunternehmen unserer Holding in Berlin, verantwortlich für die ausgelagerte Buchhaltung meines Arbeitgebers, kümmert sich derzeit um die SEPA-Umstellung und gleicht massiv Daten mit unterschiedlichen Systemen ab. Ich bin die ganzen letzten zwei Monate ziemlich genervt wegen der unterschiedlichen, teilweise proprietären Schnittstellen der unterschiedlichen Anbieter von ERP-Systemen und deren Datenbanken.
-> Ich frage mich gerade ernsthaft, welcher Dienstleister das für SKY macht, und wie die mit den Daten umgehen.
Weiterhin: Es ist mir hochnotpeinlich, dass gerade mir, der in Sachen Datenschutz permanent auf einer öffentlichen Bühne steht, genau dieses widerfährt. Gerade das aktuelle, von „Mindestspeicherfrist“ zurückgetaufte Thema „Vorratsdatenspeicherung“, bei der im aktuellen Koalitionsvertrag geplant wird, dass private Unternehmen für die Speicherung genau solcher Daten zuständig sein sollen, ist m.E. ein durchaus „unbefriedigender“ Zustand.
Ich habe keinen Zorn auf Sky wegen dieses Unfalls. Ich bin höchstens „sauer“.
Dass Sky mit diesem oder ähnlichen Problemen nicht alleine dasteht, zeigt unter anderem diese Webseite. Es ist nunmal passiert und es ist bekanntermaßen technisch unmöglich, Data Leakage 100% verhindern zu können. Ich habe allerdings erheblichen Zorn auf Sky aufgrund der eklatant falschen Art und Weise im Umgang mit diesem Problem.
Ich kann auch nur an meine Kunden appellieren, das Thema Datenschutz genauso ernst zu nehmen, wie mein Arbeitgeber es tut, und auch die von mir gemachten Ratschläge zum Thema Sicherung der Infrastrukturen umzusetzen. Unternehmen, denen ein Fauxpas in dieser Größenordnung passiert, sollten entsprechend Rat – auch beim BSI – anfordern und mit diesem Problem öffentlich und ehrlich umgehen.