Kategorie: Mobile Business

WhatsApp verhindert unbefugten Zugriff auf Konten durch 2-Faktor-Authentifizierung

10. Februar 2017

Mit seiner Freischaltung der 2-Faktor-Authentifizierung für alle WhatsApp Nutzer unter iOS und Android, möchte WhatsApp den Konten seiner Nutzer einen besseren Schutz vor dem Zugriff Unbefugter gewährleisten.

Grundsätzlich wird der unbefugte Zugang zu einem Online-Konto zunächst mit einem Passwort und einem sogenannten Token, z.B. einem Smartphone, über das Sicherheitscodes empfangen werden, geschützt.

Dies war bisher bei WhatsApp jedoch nicht der Fall: Die WhatsApp Nutzerkonten konnten nicht anhand eines Passwortes geschützt werden. Vielmehr legitimierte sich der Nutzer lediglich über seine Mobilfunknummer und sein Smartphone. Mit der 2-Faktor-Authentifizierung kommt jetzt als zweiter Faktor ein PIN-Code hinzu.

Durchaus ist die Freischaltung der 2-Faktor-Authentifizierung für alle WhatsApp Nutzer aus datenschutzrechtlicher Sicht begrüßenswert. So kann ein unbefugter Dritter die SIM Karte nicht einfach in ein anderes Smartphone stecken und sich Zugriff auf ein fremdes WhatsApp-Konto zu verschaffen.

Eine Pflicht stellt die 2-Faktor-Authentifizierung für die WhatsApp Nutzer jedoch nicht dar.

Der Nutzer legt unter der Rubrik „Einstellungen > Account > Verifizierung in zwei Schritten“ einen sechsstelligen Zahlencode fest, welchen WhatsApp abfragt, sobald ein Konto auf einem neuen Smartphone eingerichtet wird. Sollte der WhatsApp Nutzer seinen Zahlencode vergessen haben, kann er zusätzlich eine E-Mail-Adresse hinterlegen, über die er die 2-Faktor-Authentifizierung wieder ausschalten kann.

 

Neue Regelungen zur Vorratsdatenspeicherung widersprechen europarechtlichen Vorgaben

6. Februar 2017

Wie die Mitteldeutsche Zeitung (MZ) berichtet kommt ein Gutachten des Wissenschaftlichen Dienstes des Bundestages, welches der Zeitung vorliegt, zu dem Ergebnis, dass die neuen Regelungen zur Vorratsdatenspeicherung, welche Ende 2015 in Kraft traten, nicht mit europarechtlichen Vorgaben vereinbar sind.

Europarechtlich sind die Regelungen nicht haltbar, weil sie gegen Vorgaben des Europäischen Gerichtshofs (EuGH) verstoßen. Wie der EuGH jüngst wieder bekräftigte ist die Speicherung von Vorratsdaten nur bei Vorliegen einer schweren Straftat zulässig und nicht vorbehaltlos, wie das Gesetz es vorsieht.

Laut hiesigem Gesetz müssen Zugangsanbieter Verbindungsinformationen zehn Wochen und Standortdaten vier Wochen speichern und zwar von allen Nutzern, es entsteht ein Generalverdacht gegen jeden. Lediglich E-Mails werden nicht gespeichert.

Anderer Meinung ist Bundesjustizminister Heiko Maas (SPD) der fortlaufend betonte, dass die Regelungen der höchstrichterlichen Rechtsprechung vollumfänglich gerecht werden.

Die Gegner der Vorratsdatenspeicherung befürchten einen unverhältnismäßigen Eingriff in die Grundrechte. Es wurden bereits Verfassungsbeschwerden gegen die neuen Regelugen eingereicht in der Hoffnung, dass das Bundesverfassungsgericht auch dieses Mal den Bedenken zustimmt und hohe Maßstäbe für die Vorratsdatenspeicherung anlegt, sodass ein Gang zum EuGH vermieden werden kann.  In der Vergangenheit wurden durch die Speicherungsgegner bereits mehrere Verfassungsbeschwerden erhoben und das Vorgängergesetz wurde vom Bundesverfassungsgericht als verfassungswidrig gekippt.

WhatsApp wegen Datenweitergabe verklagt

30. Januar 2017

Bereits nach dem im letzten Jahr ankündigt wurde, das in WhatsApp gesammelte Daten an Facebook weitergeleitet werden sollen, gab es Proteste. Es gelang die Weitergabe zumindest vorläufig zu stoppen (wir berichteten), damit es dabei bleibt haben Verbraucherschützer jetzt Klage gegen WhatsApp eingereicht.

Der Verbraucherzentrale Bundesverband (VZBV) hat vor dem Landgericht Berlin Klage eingereicht, weil sie verhindern wollen, dass WhatsApp die Telefonnummern von Nutzern an Facebook weiterleitet. Zur Erklärung führen die Verbraucherschützer an, dass Whatsapp auf Basis der seit August 2016 geltenden Nutzungs- und Datenschutzbestimmungen, teilweise widerrechtlich Daten von Nutzern sammelt und speichert und diese Daten dann an Facebook weiterleitet.

Ziel der Klage des VZBV ist es, dass die weitergeleiteten Daten gelöscht werden und das keine neuen Daten weitergeleitet werden. Es ist daran zu erinnern, dass Facebook im Jahr 2014 nach der Übernahme erklärt hat, dass es zu keinem Austausch von Nutzerdaten zwischen den Diensten kommen wird.

Es bleibt also abzuwarten, ob die Dienste dieses Versprechen wieder beherzigen. Gehalten hat es jedenfalls nicht lange.

Apple´s iOS 10.3 soll erstmalig auch Nutzerdaten aus iCloud-Accounts erheben

27. Januar 2017

Fest steht bereits, dass Apple die Nutzerdaten mit der Einführung von iOS 10 nicht mehr nur – wie bisher gehandhabt – nach Einwilligung der Nutzer sammelt. Auch wenn sich Apple bisher nicht klar dazu äußert, welche Daten im Detail zukünftig gesammelt werden, so sollen durch iOS 10 neben Tastatureingaben wohl u.a. auch Aktivitätsdaten aus der Health-App erfasst werden womit eine lokale Datenanalyse auf dem Gerät erfolgen soll.

Dabei sei darauf hingewiesen, dass das Teilen der iCloud-Daten in den Datenschutzeinstellungen von iOS 10 abgeschaltet werden kann.

Mit iOS 10.3 werden nun erstmals Nutzerdaten aus iCloud-Accounts erhoben. Sinn und Zweck ist nach Angaben von Apple die Verbesserung von „intelligenten Diensten“, mithin von Produkten und Assistenzfunktionen, wie dem Erkennen von Gesichtern auf Fotos oder dem Sprachdienst „Siri“.

Nach Angaben von Entwicklern, soll Voraussetzung dafür sein, dass der Nutzer der Datensammlung im Einrichtungsassistenten einmalig zustimmt.

Die Analyse von “Nutzung und Daten des iCloud-Accounts” soll nach Angaben von Apple erst nach Einsatz der Datenschutztechnik “Differential Privacy”, bei welcher die Rückverfolgung auf die Nutzungsdaten einzelner Personen unmöglich sein soll, erfolgen.

 

 

Kategorien: Mobile Business · Online-Datenschutz
Schlagwörter:

Polizei warnt Iphone- und Ipad-Nutzer vor Betrugsmasche

23. Januar 2017

Die niedersächsische Polizei warnt aktuell mit einer Pressemitteilung vor einer Betrugsmasche, die Iphone- und Ipad-Nutzer betrifft.

Während des Surfens im Netz erscheint plötzlich ein Sperrbildschirm, sodass eine weitere Nutzung des Browsers unmöglich ist. Der Sperrbildschirm zeigt einen angeblichen Hinweis des Bundeskriminalamts (BKA) an und weist darauf hin, dass der Nutzer illegale Internetinhalte, wie beispielsweise Kinderpornografieseiten oder illegale Streamingseiten, besucht hat. Die Seite fordert den Nutzer dazu auf, eine Geldstrafe in Höhe von 200€ als Strafe zu zahlen und der Browser wird im Gegenzug innerhalb der nächsten 24 Stunden wieder entsperrt.

Bei der Polizei sind im Januar bereits mehrere Anzeigen bezüglich dieser Betrugsmasche eingegangen.

Zu raten ist den geforderten Geldbetrag nicht zu zahlen.

Der Browser kann auch ohne fremde Hilfe wieder entsperrt werden, indem in den Einstellungen unter dem Punkt Safari die “Verlauf und Websitedaten“ gelöscht werden. Dabei wird dann allerdings nicht nur das Fenster geschlossen bei dem die Sperrmeldung kam, sondern auch alle anderen geöffneten Seiten.

 

WhatsApp-Verschlüsselung hat Hintertür zu Facebook

17. Januar 2017

Die Begeisterung der WhatsApp-Nutzer war groß, als der Branchenprimus der Messenger verkündete, die Kommunikation der Nutzer Ende-zu-Ende zu verschlüsseln. Galt dies doch seit dem Launch der App als größtes Sicherheitsmanko. Wie sich nun rausstellt, hat diese Verschlüsselung wohl trotzdem seine Grenzen. Und diese liegen erwartungsgemäß in der Konzerneinbindung begründet. Demnach kann die Konzernschwester Facebook bei Bedarf seit Beginn der Verschlüsselung im April 2016 Nachrichten der WhatsApp-Nutzer in Reinschrift mitlesen. Dies ergaben Recherchen des britischen Guardian. Entwickler der App dementierten dies umgehend.

Achtung: Gefälschte Gutscheine

9. Januar 2017

Zurzeit kursieren auf WhatsApp Nachrichten die beispielweise einen LIDL-Gutschein in Höhe von 250€ versprechen. Dabei handelt es sich jedoch nicht um eine Aktion des Einzelhändlers, sondern um eine Fälschung.

Hinter der Fälschung stecken Datensammler, die mit Hilfe des Gutscheins personenbezogene Daten der Nutzer erlangen wollen. LIDL nahm bereits via Twitter von dem Gutschein Abstand.

Öffnet der Nutzer den in der Nachricht enthaltenen Link gelangt er auf eine Website, die aussieht als würde sie von dem Einzelhändler betrieben, wird sie aber nicht. Der Nutzer wird zunächst aufgefordert Fragen zu seinem Kundenverhalten zu beantworten. Auf verschiedenen anderen Websites die durch Weiterleitungen erreicht werden, sollen noch andere personenbezogene Daten angegeben werden. Zudem soll sich der Nutzer damit einverstanden erklären, dass er auf verschiedenen Wegen (per E-Mail oder SMS, postalisch oder telefonisch) über neue Angebote informiert wird. Zudem soll die WhatsApp-Nachricht wie ein Kettenbrief an Kontakte weitergeleitet werden, damit noch mehr Daten gesammelt werden können. Die eingegebenen Daten gehen anscheinend an Prorewards.net, wie onlinewarnungen.de herausgefunden haben will.

Den versprochenen Gutschein gibt es am Ende natürlich trotzdem nicht.

Was können Sie tun, wenn sie einen solchen Link erhalten? Sie sollten den Link nicht anklicken, sondern die Nachricht löschen. Es droht nicht nur die Preisgabe Ihrer Daten an dubiose Anbieter, sondern Sie können auf eine Website mit Schadsoftware weitergeleitet oder in eine Abofalle gelockt werden.

Entwurf für ePrivacy-Verordnung

2. Januar 2017

Ein Entwurf der Privacy-Verordnung für elektronische Kommunikation (ePrivacy-VO) durch die Europäische Kommission wurde geleakt. Mit der Verordnung soll die bisher geltende ePrivacy-Richtlinie (RL 2002/58) ersetzt werden. Durch diese wurden bislang Mindestvorgaben für den Datenschutz in der Telekommunikation gesetzt. Die Richtlinie wurde von den Nationalstaaten unterschiedlich in nationales Recht transformiert. In Deutschland wurden die Mindestvorgaben durch Novellierung des Telekommunikatiosngesetzes transformiert, nachdem die Europäische Kommission bereits ein Vertragsverletzungsverfahren gegen die Bundesrepublik wegen Verstoßes gegen die Umsetzungsfrist einleitete. Ein derartiger „Flickenteppich“ unterschiedlicher nationaler Gesetze wird nun durch den gesetzgeberischen Weg einer Vorordnung umgangen, da diese unmittelbare Anwendung findet.

Zwar ist der Gesetzgebungsprozess der ePrivacy-Verordnung noch nicht abgeschlossen, gleichwohl sind im Entwurf bereits gravierende Änderungen zur gegenwärtigen Rechtslage erkennbar.

Wie in der Datenschutzgrundverodnung (DS-GVO) ist räumlich eine extraterritoriale Anwendung vorgesehen. Entscheidend für die Anwendbarkeit der Verordnung sollen die Nutzung und das Anbieten von Kommunikationsdiensten in der EU sein, unabhängig davon, ob die eigentliche Datenverarbeitung außerhalb der EU stattfindet. Eine Umgehung des EU-Datenschutzrechts, wie beispielsweise durch Outsourcing der Datenverarbeitung, soll so verhindert werden.

Die ePrivacy-Verordnung findet sachlich auch auf sogenannte Over-the-Top-Dienste (OTTs), wie Messenger, und auf den für das Internet-of-Things (IoT) wesentlichen Datentransfer zwischen Maschinen Anwendung. Informationen, die im Rahmen der vernetzten Industrie zwischen zwei Geräten ausgetauscht werden, können auch personenbezogene Daten im Sinne der DS-GVO enthalten. Die näheren Umstände der Kommunikation, welche über den Inhalt hinausgehen (Metadaten) werden nun erfasst. Diese dürfen ohne vorherige Einwilligung der End-Nutzer nur in bestimmten Fällen, wie etwa zur Qualitätssicherung, IT-Sicherheit oder der Abrechnung, verarbeitet werden. Sofern demgegenüber keine Rechtsgrundlage für eine Verarbeitung besteht, müssen die Daten unverzüglich gelöscht oder anonymisiert werden.

Beim Einsatz von Cookies und anderen Tracking-Tools wird die vorherige Einwilligung der Nutzer benötigt. Dies wird auf anderweitiges Tracking (z.B. GPS), sowie den Zugriff auf im Endgerät gespeicherte Daten (z.B. Fotos, Kontakte, Nachrichten), erweitert. Die Einwilligung soll benutzerfreundlich eingeholt werden und durch technische Einstellungen des Browsers möglich sein (Privacy by Design).

Wie bereits nach der DS-GVO, sollen auch unter der ePrivacy-VO erhebliche Bußgelder von bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können.

Sensible Daten auf Smartphones werden zu wenig geschützt

9. November 2016

Nach einer aktuellen Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nutzt rund jeder fünfte Smartphone-Besitzer (20,7 %) sein Gerät ohne jegliche Sicherheitsfunktion. Dies überrascht umso mehr vor dem Hintergrund, dass fast Dreiviertel der Nutzer (74,6 %) sensible Daten wie Bilder, Videos, Kontaktdaten, Passwörter und sogar Gesundheitsdaten (etwa in Form von sog. Fitness-Apps) auf ihren Smartphones oder Tablets ablegen.

Das Marktforschungsinstituts TNS Infratest GmbH hatte diese Umfrage Ende Oktober im Auftrag des BSI anlässlich der vierten Aktionswoche im European Cyber Security Month (ECSM) durchgeführt. Das BSI nutzte diese Aktionswoche, um über Risiken und Schutzmöglichkeiten für Smartphones aufzuklären und die Nutzer zu sensibilisieren. Wie das konkret aussehen kann, hat das BSI auf einer Service-Seite zusammengestellt. Wenigstens die einfachen Sicherheitsmaßnahmen sollten konsequent und regelmäßig umgesetzt werden, wie beispielsweise die regelmäßige Aktualisierung des Betriebssystems, das Sichern des Gerätes mit PIN, Wischmuster oder Fingerabdruck und die Deaktivierung von offenen Schnittstellen wie WLAN oder Bluetooth bei Nichtgebrauch.

Bedenkt man, dass auch in Unternehmen teilweise die Verwendung des persönlichen Smartphones für betriebliche Zwecke zugelassen ist („Bring your own device – BYOD“), hat dieses Umfrageergebnis auch eine Bedeutsamkeit für den Datenschutz im Unternehmen.

Kategorien: Allgemein · Mobile Business
Schlagwörter: , ,

Dropbox verliert durch Datenleck mehr als 68 Mio. Passwörter

1. September 2016

Quasi unendlicher Speicherplatz und stete, vom Endgerät unabhängige Erreichbarkeit. Die offensichtlichen Vorzüge des Cloud-Hostings liegen auf der Hand, doch birgt das Thema nicht unerhebliche Datenschutzrisiken. Insbesondere wenn internationale Anbieter genutzt werden, ist die datenschutzrechtlich vorgeschriebene Kontrolle über die eigenen Daten schnell nicht mehr vorhanden. Subunternehmer sind nicht erkennbar, Verschlüsselungen fehlen oder Auftragsdatenverarbeitungsverträge können nicht abgeschlossen werden, diese Punkte sind nur beispielhaft für die Probleme die sich daraus ergeben.

Nichts desto trotz taucht in der Mandatsarbeit regelmäßig die Frage nach der Nutzbarkeit von Clouds auf, und nicht selten wird dabei Dropbox als Wunschanbieter genannt. Der US-amerikanische Anbieter ist jedoch aus den oben benannten Gründen keine Option für den Einsatz im Unternehmen. Die Sicherheitsbedenken bestätigen sich nun durch einen Vorfall im Jahr 2012, der aber erst jetzt publik wurde. Dabei waren mehr als 68 Mio. Passwörter von Nutzern gehackt worden. Laut Dropbox soll es jedoch keinen unbefugten Zugriff auf Kundenkonten gegeben haben. Dropbox rät den Nutzern, die sich vor 2012 registriert haben und seitdem ihr Passwort nicht geändert haben, dies nun nachzuholen.

Kategorien: Hackerangriffe · Mobile Business · Online-Datenschutz
Schlagwörter:
1 2 3 11