Kategorie: Online-Datenschutz

Ist Apples Face ID doch unsicher? Sohn entsperrt iPhone X der Mutter

17. November 2017

Nach dem Verkaufsstart vor wenigen Wochen ist Apples neuester Smartphone-Streich, das iPhone X in aller Munde. Aufgrund des Wegfalls des allseits bekannten Home-Buttons sorgt vor allem Apples neue Entsperrmethode „Face ID“ für Aufsehen, die dem Nutzer die Möglichkeit gibt, sein iPhone mittels Gesichtserkennung zu entsperren. Sensoren am oberen Bildschirmrand scannen dabei das Gesicht und die Gesichtszüge des Nutzers und erkennen ihn wieder. Bei der Präsentation des iPhones hatte Apple dabei versichert, dass Face ID dabei sicherer sei als der Fingerabdruckssensor, der bei vorherigen Modellen zum Einsatz kam. Insbesondere versicherten sie, dass die Sensoren nicht durch ein Foto des Nutzers oder eine Maske überlistet werden könne.  Kritiker hatten bereits nach der Ankündigung ihre Zweifel an der Sicherheit des neuen Features. Bereits vor kurem haben vietnamesische Sicherheitsforscher es nach eigenen Angaben geschafft, Face ID mit einer Maske auszutricksen.

Ein Artikel des Magazins „Wired“ bestätigte nun diese Zweifel mit einem Bericht über einen kuriosen Einzelfall. Wie eine Familie in New York feststellen musste, gewährt Face ID in bestimmten Fällen Kindern den Zugang zum iPhone X der Eltern. Der zehnjährige Sohn konnte das neu eingerichtete Handy der Mutter unmittelbar und mehrmals mit seinem Gesicht öffnen. Auch das iPhone X des Vaters habe der Sohn – auch wenn nur einmalig – entsperren können.

Bereits zuvor hatten mehrere Geschwisterpaare berichtet, dass sie in der Lage seien, das iPhone X des Bruders oder der Schwester zu entsperren. Der Grund hierfür sei, dass nach Fehlversuchen der Code eingegeben wird und durch diesen Prozess Face ID kleine Änderungen an dem zuerst gescannten Gesicht vornimmt. Face ID lernt also, um weitere Fehlversuche im Laufe der Zeit weiter auszuschließen.

Apple gibt an, dass die Wahrscheinlichkeit, dass eine andere Person das iPhone X entsperren kann bei 1:100.000.000 liege. Bei Zwillingen oder ähnlich aussehenden Geschwistern sei die Wahrscheinlichkeit „anders“. Dies gelte auch für Kinder unter 13 Jahren, da deren Gesichtszüge noch nicht voll entwickelt sind.

Aus datenschutzrechlticher Sicht kann das Anlernen bzw. Ausbessern des Scans nach einem Fehlversuch eine Sicherheitslücke darstellen. Es ist daher anzuraten, in jedem Fall einen sicheren Code zu verwenden und vertrauliche Daten auf dem iPhone besonders vor dem Zugriff durch Unbefugte zu schützen.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

Eine Alternative auf dem Suchmaschinenmarkt?

16. November 2017

Wer sein Such- und Surfverhalten nicht mehr ohne weiteres dem Internetriesen Google offenbaren möchte, hat in naher Zukunft die Möglichkeit auf einen alternativen DNS-Server auszuweichen. Packet Clearing House (PCH), die Global Cyber Alliance (GCA), IBM und weitere Partner bildeten eine Interessensgemeinschaft, die den Startschuss für ein globales Netz von DNS-Resolvern geben will.
Dabei soll das neue Projekt alle Vorteile eines guten Resolver-Dienstes vereinen, gegen Phishing und Malware-Attacken gewappnet sein und den Nutzer weitgehend von der Sammlung seiner Daten verschonen.

Jeder Aktivität eines Internetnutzers geht eine Anfrage nach den IP-Adressen einer Domain voran, was sowohl für den Besuch einer Website als auch für den Versand einer E-Mail gilt. Entsprechende Anfragen an das Domain Name System (DNS) sind daher sehr interessant und von enormem Wert für diverse Marketing- und Profiling-Aktivitäten. Dass Google auf Basis seines Public-DNS-Systems in zunehmender Anzahl Anfragen an sich ziehen konnte, erklärt ein Stück weit die Quasi-Monopolstellung des Unternehmens.

Eine datenschutzfreundlichere Alternative soll sich nun jedoch in Form der rund einhundert Quad9-Server bieten, die sich aus Spenden und Beiträgen der öffentlichen Hand, darunter die New Yorker und Londoner Polizei, finanzieren sollen. Ein besserer Datenschutz soll sich aus der Möglichkeit der Nutzer ergeben, DNS-Anfragen über TLS zu verschlüsseln. Auf dem Weg zu den neuen Servern befindliche Suchanfragen sollen von Dritten somit nicht mehr abgefangen werden können.

Schlussendlich wird wohl das Nutzerverhalten darüber entscheiden, ob sich das neue Angebot als echte Alternative zum etablierten Internetriesen Google positionieren kann. Interessant wird zudem die Beobachtung sein, welche Rolle die Londoner und New Yorker Strafverfolgungsbehörden im Zusammenhang mit dem Projekt spielen möchten.

WhatsApp Update – Live Standort

20. Oktober 2017

Whatsapp bringt wieder eine Neuerung für seinen Messenger raus – den Live Standort.

Demnächst soll es für Whatsapp-User möglich sein mit ihren Freunden in Echtzeit ihren Standort zu teilen und somit verfolgen zu lassen. Die Freigabe des Live Standorts an die Freunde aus der Kontaktliste erfolgt dabei freiwillig und nicht ohne Einwilligung des Benutzers. Um den Live Standort mitteilen zu können muss der Benutzer der App diesen aktiv an seine Freunde senden. Danach erscheint der Standort für eine ausgewählte Zeit auf einer Karte. Benutzer von Whatsapp können zum Beispiel gucken ob die Person, mit der sie sich treffen wollen bereits auf dem Weg zum vereinbarten Treffpunkt ist oder gesund zu Hause angekommen ist.

Neu ist diese Funktion jedoch nicht. Facebook, das Unternehmen hinter Whatsapp, eröffnete seinen Nutzern bereits Anfang diesen Jahres eine solche Funktion. Auch der Messengerdienst Snap Chat fügte eine solche Funktion benannt als „Snap Map“ seiner App hinzu.

Whatsapp argumentiert dabei mit der Nützlichkeit dieser Funktion, wohingegen Datenschützer das ganze Vorhaben als sehr bedenklich erachten, da Standortdaten eine der persönlichsten Daten eines Smartphone-Nutzers sind.

Die Empfehlung ist daher nicht allen Apps zu erlauben die Standortnutzung zu aktivieren und den Ortungsdienst des Smartphones abzuschalten wenn er nicht aktiv benutzt wird.

Um dem Datenschutz trotzdem seinen Tribut zu zollen nutzt Whatsapp eine Ende-zu-Ende-Verschlüsselung, damit den Benutzern eine „sichere“ Übermittlung gewährleistet werden kann.

Kategorien: Social Media · Tracking
Schlagwörter: ,

WPA2: Sicherheitslücke aufgedeckt

19. Oktober 2017

In der WPA2-Verschlüsselung ist eine kritische Schwachstelle gefunden worden.

Die WPA2-Verschlüsselung ist üblicherweise für den Schutz der Datenübertragung im WLAN zuständig.

Zwei Sicherheitsforscher der belgischen KU Leuven haben die Schwachstelle im WPA2-Protokoll, die dazu führt, dass Angreifer den eigentlich geschützten Datenverkehr mitlesen können, aufgedeckt. Durch einen Angriff auf die Schwachstelle können persönliche Informationen belauscht und mitgeschnitten und/oder Daten manipuliert werden. Zugegriffen wird dabei auf den Verbindungsaufbau. Die Angreifer klinken sich in diesen ein und haben so Zugriff auf die nicht mehr geschützten Daten.

Das hört sich in der Theorie schlimmer an, als es in der Praxis tatsächlich ist. Durch den Angriff kann zum einen nicht das WLAN-Passwort in Erfahrung gebracht werden und zum anderen werden sehr viele Vorgänge durch SSL/TLS zusätzlich gesichert, wie beispielsweise bei HTTPS-Verbindungen die für Online-Banking oder zum Übertragen von Login-Daten  genutzt werden. Außerdem müssen die Angreifer für den Zugriff in Reichweite des WLANs sein, was zumindest zahlenmäßig große Angriffe ausschließt, da sie sehr aufwändig wären.

Die Schwachstelle kann zudem durch Software-Updates, welche von einigen Herstellern bereits angekündigt wurden,  behoben werden.

Kategorien: Allgemein · Hackerangriffe · Online-Datenschutz
Schlagwörter:

Bericht über massives Lobbying zur E-Privacy-Verordnung

18. Oktober 2017

Laut einer Quelle aus dem Europäischen Parlament sei im Zusammenhang mit der geplanten E-Privacy-Verordnung eine der intensivsten Lobbykampagnen wahrzunehmen, die es auf europäischer Ebene je gegeben habe. Dies geht aus dem Bericht „Big Data Is Watching You“ der Initiative ´Corporate Europe Observatory´ hervor. Vonseiten der Online-Industrie werde demnach lehrbuchartig in die Werkzeugkiste der Beeinflussungsmethoden gegriffen, u.a. in Form von direkten Treffen oder Diskussionsveranstaltungen in kleineren Kreisen mit Cocktailempfang.

Bei der E-Privacy-Verordnung geht es um den Datenschutz im Internet. Hier stehen sich die Interessen der Nutzer an der Privatheit Ihrer elektronischen Kommunikation und die kommerziellen Interessen der Diensteanbieter gegenüber. Insofern überrascht es nicht, dass eine Verordnung zur Regelung von Themen wie der Profilbildung von Usern, der Nutzung von Cookies und Metadaten u.v.m. die Aufmerksamkeit der Online- und Werbeindustrie genießt.

Die E-Privacy-Verordnung wird neben der Datenschutz-Grundverordnung einen weiteren wichtigen Maßstab dessen darstellen, was im Kontext der Datenverarbeitung von Unternehmen zu beachten ist. Geht man von den bisherigen Vorschlägen für die besagte Verordnung aus, muss auch hier mit einem gewissen Anpassungsaufwand zur Sicherstellung der künftigen Verordnungskonformität gerechnet werden.

 

Cybercrime – Jeder zweite Deutsche war schon Opfer

12. Oktober 2017

Im vergangenen Jahr ist fast jeder zweite Deutsche Opfer von Cybercrime geworden. Dies ergab eine Umfrage im Auftrag des Digitalverbands BITKOM. Das häufigste Delikt ist dabei die Infizierung des Computers mit Schadprogrammen wie Viren. 43 Prozent der Internetnutzer wurden Opfer eines solchen Angriffs.
Bei rund jedem Fünften wurden Zugangsdaten zu Online-Diensten wie sozialen Netzwerken oder Online-Shops gestohlen (19 Prozent) oder persönliche Daten illegal genutzt (18 Prozent). Jeder Sechste (16 Prozent) ist beim Online-Shopping oder Online-Banking betrogen worden. Acht Prozent berichten von massiven Beleidigungen, fünf Prozent von sexueller Belästigung im Web. In jedem zweiten Fall von Cybercrime (54 Prozent) ist auch ein finanzieller Schaden entstanden.

„Die zunehmende Vernetzung und die verbreitete Nutzung digitaler Technologien lockt auch Kriminelle an. Internetnutzer sollten sich mit technischen Hilfsmitteln wie aktuellen Virenscannern und Firewalls schützen, zugleich muss aber auch das Wissen der Nutzer über mögliche Angriffe im Netz und Schutzmöglichkeiten verbessert werden“, fordert BITKOM-Präsidiumsmitglied Winfried Holz. Denn

Die Opfer sehen wenig Chancen die Täter zu ergreifen, so haben gut 65 % der Opfer nichts gegen die Cybercrime-Fälle unternommen. Nur 18 % haben überhaupt eine Anzeige bei den Strafverfolgungsbehörden erstattet.Rund jedes zweite Cybercrime-Opfer (45 Prozent), das keine Anzeige erstattet hat, glaubt, dass die Täter ohnehin nicht gefasst werden, jedem Dritten (34 Prozent) ist zudem der Aufwand zu hoch. 13 Prozent sagen, dass Polizei und Staatsanwaltschaft Cybercrime nicht ernst nehmen, zwölf Prozent waren sich nicht sicher, ob ihr Fall überhaupt von den Behörden verfolgt würde und acht Prozent glauben, dass sich die Ermittler mit dem Thema schlicht nicht auskennen.

Dabei sollten sich die Opfer an die Strafverfolgungsbehörden wenden. „Verbrechen in der digitalen Welt sind kein Kavaliersdelikt. Bei allen Landeskriminalämtern gibt es inzwischen eine Zentrale Ansprechstelle Cybercrime, an die sich betroffene Bürger und Unternehmen wenden können“, so Holz. „Die staatlichen Stellen müssen jetzt technologisch und personell besser ausgestattet werden, damit sie solche Vorfälle ebenso verfolgen können wie Verbrechen in der analogen Welt.“

Häufig rechtswidriger Einsatz von gezielter Facebook-Werbung

6. Oktober 2017

Anders als bei einem klassischen Flyer im Briefkasten ist es im Bereich der Online-Werbung möglich, Bedürfnisse und Interessen von potentiellen Kunden gezielt zu adressieren und somit das Verkaufspotential erheblich zu steigern. Ein solches Werkzeug für personalisiertes Marketing bietet auch der Internetriese Facebook in Form seiner „Custom Audience“ an.

Das Bayerische Landesamt für Datenschutzaufsicht nahm nun diverse Anfragen von Unternehmen zum rechtskonformen Einsatz des Tools zum Anlass, den Service und die entsprechende Umsetzung unter rechtlichen Gesichtspunkten zu überprüfen. In ihrer Pressemitteilung legt die Behörde anschaulich dar, welche beiden Varianten es von der „Facebook Custom Audience“ gibt:

  • Custom Audience über die Kundenliste:
    Ein Unternehmen erstellt eine Liste mit Name, Wohnort, E-Mail-Adresse u. Telefonnummer seiner Kunden und/oder Interessenten. Nach Umwandlung der Kundendaten mittels Hash-Verfahren gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab. Es erfolgt eine präzise Auswahl der Personen, deren Interessen sich mit dem Angebot des Unternehmens decken und die Werbung von dem Unternehmen erhalten sollen.
  • Custom Audience über das Pixel-Verfahren:
    Auf der Webseite des Unternehmens wird ein unsichtbares Facebook-Pixel eingebunden, durch welches das komplette Nutzungsverhalten einer Person nachvollzogen werden kann. Das BayLDA skizziert beispielhaft folgendes Szenario: „Ein Nutzer besucht einen Webshop und interessiert sich für das neuste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet.“ Auf Basis dieser Informationen kann das Unternehmen den Kunden nun mit passender Werbung zu dem betreffenden Smartphone versorgen und kann auf die Rückkehr des Kunden auf den zuvor besuchten Webshop hoffen.

Die Prüfung der Unternehmen, die „Facebook Customer Audience“ für sich nutzen, ergab in vielen Fällen einen datenschutzrechtlich unzulässigen Umgang mit dem Service. Oftmals wurde der Nutzer nicht oder nicht vollständig über den Einsatz des Pixel-Verfahrens informiert. Zudem fehlte die Möglichkeit des Users, dem Einsatz von „Customer Audience“ zu widersprechen (Opt-Out). Dies stellt einen Verstoß gegen geltendes Datenschutzrecht dar und kann zu Bußgeldern führen, die sich mit Anwendung der Datenschutz-Grundverordnung ab Mai 2018 drastisch erhöhen.

Yahoo: Hackerangriff aus 2013 betraf mehr als drei Milliarden Nutzer

5. Oktober 2017

Der Hackerangriff auf den US-Internetanbieter Yahoo im Jahr 2013 hat nach Medienangaben alle drei Milliarden Nutzer getroffen – und somit zwei Milliarden mehr als bisher bekannt. Die Betroffenen würden per Email informiert, teilte das Unternehmen mit. Zugleich versicherte Yahoo, dass die Hacker weder Passwörter noch Bankdaten entwendet hätten. Yahoo war Anfang des Jahres von dem US-Telekommunikationskonzern Verizon übernommen worden. Danach wurden das Ausmaß und die Umstände der Cyberattacke von 2013 noch einmal überprüft.

Kategorien: Hackerangriffe
Schlagwörter: ,

USA: Datenspeicherung von Einwanderern zukünftig auf Onlinesuchen und Social Media erweitert

29. September 2017

Die Trump-Regierung verstärkt ihren Überwachungskurs gegenüber Einwanderern nun auch im Internet. Die Datenerhebung und -speicherung von Einwanderern in die USA soll nach Angaben des US-Heimatschutzministeriums weiter angezogen werden. So sollen ab dem 18. Oktober 2017 von allen Einwanderern, auch Green-Card-Inhabern sowie bereits eingebürgerten Einwanderern, zukünftig personenbezogene Daten im Zusammenhang mit Social-Media-Nutzerkonten gespeichert werden. In den für Einwanderer bestehenden „Alien-Files“ sollen demnach der Nutzername bei dem jeweiligen sozialen Netzwerk, ggfs. der Spitzname des Nutzers sowie weitere Informationen zur Identifizierung des Nutzers aufgeführt werden. Darüber hinaus sollen auch die Onlinesucheingaben der Einwanderer und die dazugehörigen Suchergebnisse gespeichert werden.

Bürgerrechtler kritisieren, dass von dieser neuen Art der Überwachung nicht nur Einwanderer betroffen sein werden, sondern auch Dritte, die in unmittelbaren Kontakt mit den Einwanderern stehen würden. Sie sehen darin einen weiteren Eingriff in die Privatsphäre. Und auch die Meinungsfreiheit könne durch derartige Maßnahmen eingeschränkt werden, indem die Menschen aus Angst vor oder in dem Wissen, dass sie überwacht werden,sich nicht mehr trauen, ihre persönliche Meinung und insbesondere politische Haltung frei in der Öffentlichkeit zu äußern.

Neben LinkedIn droht auch Facebook die Sperrung in Russland

Bekanntermaßen versucht die russische Regierung seit mehreren Jahren die Kontrolle über das Internet auszuüben. Nun droht auch Facebook, sollte es nicht bis 2018 einwilligen, einem russischen Gesetz Folge zu leisten, nach dem russische Nutzerdaten auch auf Servern in Russland gespeichert werden sollen, die Sperrung. Dieses Gesetz über die Speicherung personenbezogener Daten von Russen ist bereits seit 2015 in Kraft.
Twitter hat gegenüber Moskau dem Datenumzug bereits zugestimmt, dieser soll Ende 2018 abgeschlossen sein. Das soziale Netzwerk LinkedIn dagegen wurde von russischen Behörden bereits geschlossen, nachdem es vor Gericht zweimal gegen die drohende Sperrung erfolglos vorgegangen war.
Eine weitere, kürzlich ausgeübte, Kontrollmaßnahme der russischen Führung erfolgte durch einen Gesetzesbeschluss, der die Nutzung von Virtuellen Privaten Netzwerken und von Anonymisierungs-Software im Internet einschränkt.
Alexander Scharow, der Leiter der Aufsichtsbehörde für Medien, Telekommunikation und Datenschutz in Russland erklärte, dass das Gesetz für alle gelte und dass seitens der Regierung keine Ausnahmen gemacht würden.

1 2 3 49