Kategorie: Online-Datenschutz
31. August 2017
Der Taxidienst Uber hat seine Nutzer mit dem sogenannten Post-Trip-Tracking bis zu fünf Minuten nach Fahrtende via GPS überwacht.
Uber ist im Moment dabei sein Image was den Datenschutz angeht aufzupolieren. Im Zuge dessen wird seit dieser Woche eine Maßnahme nicht mehr genutzt. Mit dem Post-Trip-Tracking konnte Uber noch fünf Minuten nach der Fahrt sehen wohin sich der gerade ausgestiegene Fahrgast bewegt.
Die Begründung des Unternehmens, welche auf massive Kritik folgte, ist, dass sichergestellt werden sollte, dass die Fahrgäste auch wirklich an ihrem Ziel ankommen und nicht überfallen werden. Wie ein solcher Überfall hätte verhindert werden sollen, wenn es dazu gekommen wäre, wird von Uber nicht beantwortet.
Bis zum Update war es so, dass Uber den Fahrgast via GPS auch tracken konnte, wenn die App nur im Hintergrund lief, um dies zu verhindern musste die Anwendung komplett geschlossen werden. Seit dieser Woche wird die GPS-Position nur noch erfasst, wenn die Anwendung im Vordergrund ist.
Allerdings bedeutet das nicht, dass es zukünftig dabei bleibt. Bis November letzten Jahres bestand die Möglichkeit das GPS-Tracking im Hintergrund durch App-Einstellungen zu unterbinden, diese Möglichkeit wurde durch ein Update entfernt und es kam zu dem Zustand wie er bis zu diesem Update herrschte. Der Sicherheitschef von Uber Joe Sullivan hat jedoch gegenüber Reuters klargestellt, dass es zu einem Hop oder Top wie zuletzt nicht mehr kommen werde, sondern das wieder der Nutzer entscheiden kann, ob er das Post-Trip-Tracking aktiviert, wenn es eine erneute Änderung diesbezüglich gibt.
Das Update wird zunächst nur für iPhone-Nutzer verfügbar sein. Ein Update für Android-Nutzer soll zeitig folgen.
23. August 2017
Der chinesische Staat möchte bis 2020 ein „Sozialkreditsystem“ einsetzen. Es soll auf einer Erhebung der personenbezogenen Daten chinesischer Bürger beruhen, und als Rating-System gestaltet werden, das ihre „Ehrenhaftigkeit“ bewertet. Mehrere Pilotprojekte sollen derzeit schon existieren. Außerdem verwenden bereits manche große chinesische Unternehmen wie Alibaba eigene ähnliche Systeme zur Berechnung der Kreditwürdigkeit ihrer Kunden.
Das staatliche Projekt wird u.a. von dem chinesischen Softwareunternehmen Kingdee programmiert. Kingdee entwickelt die Plattformen, die von den Lokalregierungen zu Zwecken der Durchführung des Rating-Systems genutzt werden können. Die bereits beteiligten Behörden speichern über die Plattformen die personenbezogenen Daten, die sie online oder in staatlichen Registern über die Bürger sammeln konnten. Die eingesetzte Software bewertet sie anschließend mittels eines Algorithmus. Die chinesischen Machthaber planen dabei eine Bewertung der Bürger anhand von vier Hauptkriterien: Ihr Verhalten gegenüber der Verwaltung, ihre Einhaltung der Gesetze, ihre finanzielle Aktivität und ihr soziales Verhalten.
Diese Bewertung ermöglicht anschließend eine Belohnung oder Bestrafung der Betroffenen. Die Lokalregierungen, die das Sozialkreditsystem bereits eingeführt haben, verwenden eine Bewertungsskala mit den Noten A, B, C und D. Die unter A eingestuften Bürger werden in vieler Hinsichten bevorzugt behandelt: Sie erhalten leichter Visen, bekommen mehr Sozialleistungen, und ihre Kinder werden ggf. für Schulzulassungen privilegiert. Dagegen werden die „C- und D-Bürger“ bestraft: Sie dürfen teilweise keine Flug- oder Zugtickets mehr buchen, ihre Visa-Anträge werden abgelehnt, ihre Sozialleistungen werden gekürzt oder sogar gestrichen.
Dies besorgt vor allem Regierungskritiker, die eine noch weitere Einschränkung ihrer Meinungsfreiheit im Netz durch die Androhung dieser Strafen befürchten.
17. August 2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) konnte dieser Tage durchsetzen, dass die Google Inc. mehrere Internetangebote, auf denen personenbezogene Daten aus Insolvenzverfahren unzulässig veröffentlicht werden, generell nicht mehr als Suchergebnisse verlinkt.
Vorausgegangen waren zahlreiche Beschwerden von Bürgerinnen und Bürgern über die Auffindbarkeit ihrer Insolvenzdaten über die Google-Suchmaschine. Nach Einschätzung des HmbBfDI stellt die Auffindbarkeit von Informationen über die Insolvenzverfahren der Betroffenen bei bloßer Namenssuche einen erheblichen Eingriff in deren Recht auf informationelle Selbstbestimmung dar. Diese Informationspreisgabe könne erhebliche Auswirkungen auf die Teilnahme der Betroffenen am geschäftlichen Verkehr haben, zudem mangele es bei den Nutzern der Suchmaschine häufig am diesbezüglichen Informationsinteresse, wenn sie bei bloßer Namenssuche über die Suchmaschine Informationen aus Insolvenzverfahren erhalten.
Dazu äußerte sich der HmbBfDI, Prof. Dr. Johannes Caspar, erfreut: “In Fällen wie diesem (…) hat das Recht auf Vergessenwerden gegenüber Suchmaschinen eine besondere Bedeutung für die Betroffenen.”
Aus dem letzten Verfassungsschutzbericht des Bundesamts für Verfassungsschutz geht hervor, dass das Risiko, Opfer von Cyber-Attacken ausländischer Dienste zu werden, stetig steigt. Dabei registriert der Verfassungsschutz unter anderem vermehrt auch Attacken auf die Politik und die Verwaltung. Bei früheren Cyber-Attacken auf verschiedene Parteien und den Bundestag ist es dabei bereits zu größeren Datenabflüssen gekommen.
Im Wahljahr gerät nun auch die im September 2017 anstehende Bundestagswahl in den Fokus. Die Möglichkeit gezielter Cyber-Attacken auf das Verwaltungsnetz sieht auch der Bundeswahlleiter Dieter Sarreither. Man bereite sich auf verschieden Szenarien vor und spiele diese durch. Um einen bestmöglichen Schutz zu gewährleisten sei die Infrastruktur des Rechenzentrums verdreifacht worden. Darüber hinaus sei man nach Sarreither auch in der Lage, die Standorte und die Rechner zu wechseln. Im Ernstfall könne man außerdem auch auf das Cyber-Abwehrzentrum der Bundesregierung zurückgreifen. Des Weiteren würde das Datennetz der Wahlleitung von Experten des Bundesamtes für Sicherheit in der Informationstechnik überprüft und auf mögliche Schwachstellen hin untersucht. Rund eine Woche vor der Bundestagswahl sollen schließlich noch einmal alle Systeme in einer ausführlichen Generalprobe getestet werden.
Aufgrund all dieser Sicherheitsmaßnahmen sieht sich Sarreither für die Bundestagswahl gut gewappnet: „Eine Attacke könnte die Veröffentlichung des vorläufigen Wahlergebnisses schlimmstenfalls verzögern”.
11. August 2017
Bill Burr ist 72 Jahre alt, mittlerweile im Ruhestand und arbeitete beim National Institute of Standards and Technology, das unter anderem für Technlogiestandards zuständig ist. Er ist auch derjenige, der die Vorgaben für Passwörter verfasst hat, die mehr als ein Jahrzent als das Nonplusultra galten. Im Rahmen seines 2008 verfassten Dokumentes “NIST Special Publication 800-63. Appendix A” empfahl er, welche Passwort-Richtlinien Behörden, Unternehmen und Webseitenbetreiber für ihre Nutzer und Mitarbeiter einführen sollten.
Konkret regte Burr an, dass Passwörter alle 90 Tage gewechselt werden sowie stets nicht nur kleine und große Buchstaben, sondern auch eine Nummer und ein Sonderzeichen enthalten sollten. Der Schutz, der durch solche Maßnahmen tatsächlich erreicht wird, ist allerdings schon seit längerem fraglich. So schätzte Microsoft-Analyst Cornac Herley schon vor Jahren, dass die Pflicht, das Passwort in regelmäßigen Abständen zu wechseln, mehr koste als eventuelle Angriffe von IT-Kriminellen, vor denen der Wechsel des Kennwortes schützen soll. Auch die Varation zwischen normalen Buchstaben, Zahlen und Sonderzeichen bringt oftmals nicht den gewünschten Effekt der höheren Sicherheit, da Nutzer in vielen Fällen einfach nur einen Begriff variieren und die einzelnen Buchstaben eines Wortes mit Sonderzeichen – wie etwa dem “$” für ein “S” – ersetzen. Algorithmen, die dafür genutzt werden, Passwörter erraten zu können, können diese Varationen leicht erraten.
Wie Burr in einem Interview mit dem Wall Street Journal erklärte, bereue er seine Empfehlungen mittlerweile: “Vieles von dem, was ich getan habe, bereue ich.” Sein Problem war vor allem, dass 2003 der Kenntnisstand über den effektiven Schutz von Passwörtern sehr gering war und er sich daher laut seinen Angaben im Interview auf ein Paper aus den 1980er Jahren stützte. Einem Jahrzent, in dem nur Wenige überhaupt ein Computerpasswort benutzten.
Nicht nur deswegen hat der NIST in diesem Sommer Burrs Empfehlungen komplett überarbeitet. Dabei konnten sie auf die Auswertung von einer Vielzahl von Passwörtern zurückgreifen, die Hacker in den letzten Jahren nach Angriffen auf beliebte Webseiten geknackt und ins Netz gestellt hatten. Dies half dem NIST, zu verstehen, wie Nutzer ihre Kennwörter auswählen und wie leicht sie für Hacker zu knacken sind. Nach Ansicht des NIST empfiehlt es sich daher, Passwörter aus möglichst mehreren Wörter zu bilden, sodass ein langes Passwort entsteht. Die Nutzung von Sonderzeichen und Zahlen ist dabei nicht mehr erforderlich.
28. Juli 2017
Hackern gelang es durch einen Cyberangriff an Kontodaten von über 400.000 italienischen Kunden der UniCredit-Bank zu kommen. Das Unternehmen bestätigte den Angriff, unterstreicht allerdings auch, dass keine besonders kritischen Daten, wie Passwörter, kopiert wurden, die für einen Zugriff auf Kundenaccounts oder illegale Transaktionen genutzt werden könnten. Sicher ist jedoch, dass persönliche Informationen und die IBAN-Nummern der Kunden abhanden gekommen sind.
Bereits Ende 2016 war die UniCredit-Bank in das Visier von Hackern geraten und erlebt damit nun bereits den zweiten Cyberangriff innerhalb von zehn Monaten. Nach Angaben des Unternehmens soll der Zugriff auf die Daten über einen “unautorisierten Zugang durch einen italienischen Dienstleister” erfolgt sein.
Die UniCredit-Bank will nun 2,3 Milliarden Euro investieren, um die eigene IT-Sicherheit zu stärken. Zu beachten ist hierbei, dass das Unternehmen für die Datensicherheit ihrer Kunden und Partner stets selbst verantwortlich bleibt, auch wenn verschiedene Prozesse – wie hier – durch Outsourcing von anderen Unternehmen im Wege der Auftragsdatenverarbeitung übernommen werden. Das Outsourcing stellt aber oftmals auch ein erhöhtes Sicherheitsrisiko dar, weshalb bei der Auswahl des Dienstleisters und den zu treffenden Sicherheitsvorkehrungen höchste Sorgfalt geboten ist. Erst recht, wenn 2018 die DSGVO in Kraft tritt und solche Datenpannen mit erhöhten Bußgeldern geahndet werden können.
21. Juli 2017
Der Einsatzbereich des Staatstrojaners ist in Deutschland erheblich vergrößert worden. Im Zuge dessen beabsichtigt das Bundeskriminalamt (BKA) noch dieses Jahr die erforderliche Software fertigzustellen, damit der noch mächtigere Staatstrojaner fortan auch Smartphones überwachen kann. Demnach sind nicht mehr nur, wie bisher, Skype und Windows betroffen, sondern auch Messenger auf mobilen Plattformen wie Android, iOS und Blackberry.
Das Parlament hat im Eilverfahren ein Gesetz verarbschiedet, welches die Strafverfolgungsbehörden ermächtigt, in bestimmten Fällen verschlüsselte Internet-Telefonate und Chats über Messenger wie Signal, WhatsApp oder Threema zu überwachen. Erforderlich dafür ist, dass die vom BKA momentan sich in intensiver Entwicklung befindliche Schadsoftware die Geräte der Betroffenen infiziert. Dieses Vorgehen läuft zwar der allgemeinen IT-Sicherheit zuwider. Nach Angaben des BKA hat dieses jedoch alle “Grundrechtsschonenden Alternativen” ohne Erfolg überprüft. Damit kann die Polizei u.a. auch, sofern der Verdacht auf eine besonders schwere Straftat vorliegt, komplette IT-Systeme wie Computer oder Smartphones ausspähen.
20. Juli 2017
Der österreichische Datenschützer Maximilian Schrems will mit einer Sammelklage von 25.000 Verbrauchern aus der ganzen Welt gegen Facebook vorgehen. Vor dem OGH in Wien hatte der Jurist schon gegen die missbräuchliche Verwendung von Nutzerdaten geklagt. In Österreich ist es möglich, dass viele Personen ihre Ansprüche an eine Person abtreten, die dann alle Ansprüche gesammelt geltend machen kann, die sogenannte “Sammelklage österreichischer Prägung“. Mehr als 25.000 Verbraucher hatten über Schrems´ Webseite ihre Ansprüche gegen Facebook an Maximilian Schrems abgetreten.
Facebook führte an, dass die österreichischen Gerichte hierfür nicht zuständig seien. Somit bliebe Betroffenen nur der Weg einer einzelnen Klage gegen Facebook. Der Europäische Gerichtshof (EuGH) muss nun klären, ob eine Sammelklage gegen Facebook grundsätzlich zulässig ist.
Je nach der Entscheidung des EuGH könnte eine europaweite, oder gar weltweite Sammelklage möglich, oder aber auch nur für Verbraucher aus bestimmten Ländern zulässig sein. Andernfalls müssten viele parallele Verfahren in Österreich und anderen Ländern geführt werden. Mit einer schnellen Entscheidung ist aber nicht zu rechnen. Der EuGH-Generalanwalt will erst nach dem Sommer eine Einschätzung abgeben.
Schrems ist vor dem EuGH kein Unbekannter. Er hatte bereits eine Klage vor den EuGH gebracht. Dieser Rechtsstreit drehte sich um die Weitergabe von Facebook-Daten an den US-amerikanischen Geheimdienst NSA. Der EuGH setzte darauf das Safe-Harbor-Abkommen aus.
10. Juli 2017
Bei kleinen und mittelgroßen Unternehmen wächst die Angst vor Cyber-Attacken. Zu diesem Ergebnis kommt eine Studie der Gothaer die zwischen Ende April und Anfang Mai diesen Jahres (vor dem Trojaner Wannacry) durchgeführt wurde. Insgesamt wurden 1000 kleine und mittlere Unternehmen befragt.
35 % der befragten Unternehmen halten es für wahrscheinlich, dass Cyber-Risiken bestehen. Im Jahr 2015 waren es noch 5 % weniger.
Zur Risikominimierung setzen die Unternehmen Virenschutzprogramme und Firewalls ein, jedoch gibt jedes 5. Unternehmen an, dass es einen solchen Schutz nicht hat. Eine mehrfache Datensicherung führen nur zwei von drei Unternehmen durch. Cyber-Policen die inzwischen von vielen Versicherungen angeboten werden haben nur 9% der Unternehmen.
Im Ergebnis rangiert die Angst vor Cyber-Attacken auf Rang drei der meist gefürchteten Risiken. Davor befindet sich noch das Risiko von Einbruch/Vandalismus und das Risiko von menschlichem Versagen.
5. Juli 2017
Das umstrittene Netzwerkdurchsetzungsgesetz von Justizminister Heiko Maas wurde am 30. Juni 2017 vom deutschen Bundestag verabschiedet. Ziel des neuen Gesetzes ist es, schneller und effektiver gegen Hassmeldungen und sog. „Fake News“ in sozialen Netzwerken wie Facebook, Twitter oder Youtube vorgehen zu können. Dazu sind die betroffenen Unternehmen nach dem neuen Gesetz verpflichtet, offensichtlich rechtswidrige Inhalte, die ihnen von anderen Usern gemeldet werden, innerhalb von 24 Stunden nach ihrer Meldung zu löschen. In Ausnahmefällen, in denen nicht unmittelbar erkennbar ist, ob die Inhalte rechtswidrig sind, wird den Unternehmen eine Entscheidungsfrist von 7 Tagen zur Verfügung gestellt.
Kritiker befürchten, dass die Unternehmen in Zukunft schneller Inhalte löschen werden, um so den im Zweifel drohenden hohen Geldbußen zu entgehen. Als Folge wird eine Einschränkung des Grundrechts auf freie Meinungsäußerung befürchtet. Zwar befürworten die meisten Kritiker den Ansatz von Justizminister Maas, kritisieren jedoch die Umsetzung in Form des jetzt verabschiedeten Gesetzes. Ein Problem stelle es insbesondere dar, dass es den Unternehmen überlassen werde, über die Rechtswidrigkeit von geposteten Inhalten zu entscheiden. Darüber hinaus seien die vorgesehenen Löschfristen zu kurz bemessen und die Unternehmen so zu einem “overblocking” von Inhalten gezwungen.
In Italien und Israel wird das Netzwerkdurchsetzungsgesetz hingegen positiv betrachtet. Auch die Regierungen dieser Länder sind der Ansicht, dass eine Selbstregulierung der Plattformen nicht ausreichend sei.
Pages: 1 2 ... 42 43 44 45 46 ... 90 91 
