Datendiebstahl bei Online-Dienstleister WHMCS

25. Mai 2012

Medienangaben zufolge ist es Hackern Anfang dieser Woche erfolgreich gelungen, in die Web-Server des Online-Dienstleisters WHMCS einzubrechen. Dabei sollen die Angreifer nicht nur den gesamten Serverinhalt kopiert und anschließend gelöscht haben, sondern auch die gesamte Kundendatenbank ausgelesen haben. Laut Angaben von WHMCS umfasst diese neben allen Bestellungen und Supportanfragen der letzten 17 Stunden vor dem Angriff auch über 500.000 E-Mail-Adressen und weitere personenbezogene Daten der Kunden. Die für den Angriff verantwortliche Hackergruppierung UGNazi soll unmittelbar nach dem Angriff die Benutzerdatenbank als MySQL-Dump online gestellt haben. Der Angriff sei damit begründet worden, dass den Betroffenen die mangelhafte Datensicherheit in eindeutiger Weise vor Augen geführt werden sollte.

Hierdurch wird wieder einmal mehr als deutlich, dass IT-Sicherheit und Datenschutz zwei Seiten der gleichen Medaille sind, die aufeinander abgestimmt dafür sorgen können, dass der Schaden solcher Angriffe auf ein Minimum reduziert werden kann.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: ,

Medien-Apps erfassen und übermitteln Unique Device ID an App-Anbieter und Dritte

Journalisten des NDR-Medienmagazins Zapp haben etwa 100 Apps von Massenkommunikationsanbietern, die sämtlich aus dem Apple App-Store heruntergeladen wurden, getestet. Ungefähr die Hälfte der getesteten Apps soll unbemerkt, also insbesondere ohne Kenntnis der Betroffenen, Nutzerdaten an die Anbieter übermitteln, einige zudem auch an andere Dritte (z.B. Facebook). Betroffen seien insbesondere Apps von öffentlich-rechtlichen Radios, Privatsendern und Verlagen. Als besonders kritisch sei die festgestellte Übermittlung der Unique Device Identification (UDID) anzusehen. Diese weltweit einmalige Seriennummer könne als eine Art digitaler Fingerprint des Mobiltelefons eingeordnet werden. Da Mobiltelefone regelmäßig nur von einer Person genutzt werden und somit über die UDID ein Nutzer wiedererkannt werden kann, sei die UDID als personenbezogenes Datum zu werten. Da die Übermittlung der UDID für die Funktionsweise der Apps jedoch nicht notwendig ist, sei diese als überaus problematisch einzustufen.

Die Ergebnisse dieses Tests offenbaren, dass sparsames Installieren und Nutzen von Apps, entsprechend dem Grundsatz der Datensparsamkeit, die Maßnahme der Wahl ist, um weitestgehende Kontrolle über die eigenen Daten zu behalten.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

DSK: Überarbeitung des Entwurfs für ein Patientenrechtegesetz gefordert

24. Mai 2012

In einer am gestrigen Tag veröffentlichten Entschließung hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) die Bundesregierung mit Nachdruck aufgefordert, den Entwurf eines Gesetzes zur Verbesserung der Rechte von Patientinnen und Patienten (Patientenrechtegesetz) zu überarbeiten. Zwar teile sie das Anliegen der Bundesregierung, die Rechte von Patienten zu stärken. Die in dem Gesetzesentwurf vorgesehenen Regelungen seien jedoch nicht ausreichend.

Nach Ansicht der DSK dürfen die vertraglichen Offenbarungsobliegenheiten der Patienten gegenüber den Behan­delnden nicht ausgeweitet werden. Insbesondere dürfe keine Verpflichtung zur Offenlegung von Angaben über ihre körperliche Verfas­sung aufgenommen werden, die keinen Behandlungsbezug haben. Ferner sei es zwingend, dass Patienten in jedem Fall und nicht erst auf Nachfrage über erlittene Behandlungsfehler informiert werden. Der Gesetzentwurf lasse zudem im Zusammenhang mit der Behandlungsdokumentation verlässliche Vorgaben zur Absicherung des Auskunftsrechts der Patienten sowie zur Archivierung und Löschung vermissen und bedürfe insoweit einer Ergänzung. Der Zugang der Patienten zu den sie betreffenden Behandlungsdokumentation dürfe weiterhin nur in besonderen Ausnahmefällen eingeschränkt werden. Klargestellt werden müsse überdies, dass auch berechtigte eigene Interessen der Angehörigen einen Auskunftsanspruch begründen können. Regelungsbedürftig seien zuletzt der Einbezug Dritter im Rahmen eines Behandlungsvertrages (Auftragsdatenverarbeitung) sowie der Umgang mit Behandlungsdokumentationen im Falle eines vorübergehenden Ausfalls, des Todes oder der Insolvenz des Behan­delnden.

Mehr Transparenz für Patienten: Patientenrechtegesetz beschlossen

23. Mai 2012

In einer gemeinsamen Presseerklärung haben das Bundesministerium der Justiz, das Bundesministeriums der Gesundheit und der Beauftragte der Bundesregierung für die Belange der Patientinnen und Patienten den vom Bundeskabinett am heutigen Tage beschlossenen Gesetzesentwurf zur Verbesserung der Rechte von Patientinnen und Patienten (Patientenrechtegesetz) kommentiert. In dem Gesetzesentwurf  ist u.a. aufgenommen, dass der Behandlungsvertrag – also die Vertragsbeziehung zwischen Patienten und Ärzten, aber auch Vertretern andere Heilberufe (z.B Heilpraktiker, Hebammen, Psycho- oder Physiotherapeut) – ausdrücklich im Bürgerlichen Gesetzbuch verankert wird. Weiterhin aufgenommen sind Regelungen zur umgehenden und verpflichtenden Aufklärung von Patienten sowie zu Dokumentationspflichten. Geregelt wird, dass Patientenakten vollständig und sorgfältig zu führen sind. Patienten bekommen des Weiteren nunmehr ein gesetzliches Recht auf Akteneinsicht. Fehlt die Dokumentation oder ist sie unvollständig, wird im Prozess zu Lasten des Behandelnden vermutet, dass die nicht dokumentierte Maßnahme auch nicht erfolgt ist.

Nach Ansicht der Bundesjustizministerin Leuthheusser-Schnarrenberger gleichen die neuen Regelungen nicht nur das Informationsgefälle zwischen Behandelndem und Patient aus, sondern sie helfen den Patientinnen und Patienten, ihre Rechte zu kennen und besser durchsetzen zu können. Auch Bundesgesundheitsminister Bahr sprach sich für das Patientenrechtegesetz aus. „Das neue Patientenrechtegesetz bringt umfassende und verständliche Informationen für Patientinnen und Patienten. Es ermöglicht Arzt-Patienten-Gespräche auf Augenhöhe und stärkt die Rechte der Versicherten gegenüber den Leistungserbringern. Mit dem gemeinsam vorgelegten Patientenrechtegesetz schaffen wir endlich eine einheitliche gesetzliche Grundlage und sorgen dadurch für mehr Klarheit und Transparenz im Gesundheits- wesen.“ Der Patientenbeauftragte der Bundesregierung Zöller sieht in dem Patientenrechtegesetz eine Stärkung der Patienten auf dem Weg „vom Bittsteller zum Partner“. Der Gesetzentwurf sei ein neues, zeitgemäßes Fundament.

SpyEye Trojaner filmt Nutzer deutscher Banking-Websites

Nach Angaben eines Kaspersky Mitarbeiters befindet sich eine neue Variante des SpyEye Trojaners im Umlauf, die sich gezielt gegen Benutzer richtet, die Websites deutscher Banken besuchen. Ruft der Nutzer eines infizierten PCs eine der im Code des Trojaners hinterlegten Bankingseiten auf, startet die Schadsoftware ein Flashelement, welches die Webcam aktiviert. Ab diesem Zeitpunkt werden aufgezeichnete Video- und Audiodaten in Echtzeit übertragen. Die normalerweise übliche Abfrage, ob die Webcam verwendet werden darf, unterdrückt der Trojaner.

Nicht völlig geklärt ist bisher, welchem Zweck die Übertragung des Videos dient. Für die eigentliche Schädigung wird die Webcam jedenfalls nicht benötigt, da die betroffenen Banken keinerlei biometrische Authentifizierung, z.B. per Gesichtserkennung, anbieten. In seinem Beitrag mutmaßt der Autor, dass die Aufzeichnung dazu diene, Telefongespräche mit der Bank aufzuzeichnen, wenn der Nutzer bei einer unerwarteten Abfrage eines Sicherheitscodes Verdacht schöpfe und daraufhin seine Bank kontaktiere. Die bei diesem Gespräch aufgezeichneten telefonischen Sicherheitsabfragen könne der Angreifer dazu nutzen, später selber bei der Bank anzurufen und so das Konto zu übernehmen. Für diese Einschätzung stützt sich der Kaspersky Mitarbeiter auch Erfahrungen eines Kollegen, der sich mit einer ähnlichen Schadsoftware beschäftigt hat, die Nutzer ecuadorianischer Banken ebenfalls per Video ausspionierte.

Nach Microsofts 12. Security Intelligence Report (PDF) ist SpyEye, welcher im Report als Win32/EyeStye bezeichnet wird, insbesondere in Deutschland stark verbreitet. Dem Report lässt sich entnehmen (Seite 66), dass mehr als die Hälfte aller durch Microsoft festgestellten Infektionen in Deutschland erfolgte.

Kategorien: Online-Datenschutz
Schlagwörter:

Facebook: Neue Richtlinie für den Umgang mit Nutzerdaten vorgestellt

22. Mai 2012

Das weltweit größte Social Network Facebook hat seine neue Richtlinie für den Umgang mit Nutzerdaten vorgestellt. Grund für die Änderungen waren die Empfehlungen der irischen Datenschutzbehörde, welche nach eingehender Prüfung Ende des vergangenen Jahres diverse Nachbesserungen empfohlen hatte. Die irische Datenschutzbehörde ist nach dem Verständnis des US-Amerikanischen Unternehmens als einzige Datenschutzbehörde in Europa für die Belange Facebooks zuständig, da dort das europäische Headquarter beheimatet ist.

In der Erklärung des Unternehmens zu den Neuerungen heißt es: „Wir werden Daten so lange einbehalten, wie dies erforderlich ist, um den Nutzern und anderen Dienstleistungen zur Verfügung zu stellen. Diese umfassendere Verpflichtung gilt für alle Daten, die wir über Dich sammeln und erhalten, einschließlich Informationen von Werbetreibenden“. Facebook kann somit Daten die das Unternehmen von Werbepartnern oder Spiele-Anbietern bekommt in manchen Fällen länger als die bisher gestatteten 180 Tage aufbewahren.

Zudem wird in der neuen Richtlinie ausführlich dargelegt, welche Informationen Facebook über seine Nutzer durch die Verwendung von, vor allem von Datenschützern vehement kritisierten, Cookies sammelt.

Kategorien: Social Media
Schlagwörter: ,

EU-Datenschutzbeauftragte: Technischer Fortschritt verstärkt Gefährdung für Datenschutz

Die Artikel-29-Gruppe der Europäischen Datenschutzbeuaftragten, ein unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, fordert in einer 34-seitigen Stellungnahme den rechtskonformen Einsatz biometrischer Technik. Die fortschreitende Verbreitung der Technologie stelle eine „enorme Bedrohung der Grundrechte“ dar. Vor allem der Umstand, dass Technologie wie etwa Lesegeräte für Fingerabdrücke und Videoüberwachungen zunehmend günstiger zu erstehen und somit längst auch Privaten zugänglich sind bedinge, dass die Gefährdung für Dritte enorm zugenommen habe. Auch DNA-Analysen seien erheblich schneller und kostengünstiger durchzuführen. Dies in Kombination mit dem praktisch unbegrenzt zur Verfügung stehenden Speicherplatz sowie der fortschreitenden Rechenkraft der Technologien führe aufgrund der Datenmengen zwangsläufig auch zu einer wachsenden Gefährdung des grundrechtlichen Datenschutzes.

Positiv an dieser Entwicklung sei zwar die höhere Aufklärungsrate von Straftaten, dies dürfe jedoch nicht zu Lasten der Grundrechte Betroffener führen. So sei etwa der Identitätsdiebstahl nicht länger nur ein theoretisches Problem. Gerade in Fällen in denen biometrische Daten mit einem Individuum direkt verknüpft werden bestünde eine besondere Gefahr. Kritisch setzt sich das Gremium daher zum Beispiel mit der in sozialen Netzwerken wie Facebook initiierten Technik der Gesichtserkennung auseinander und fordert derartigen Gefahren für den Datenschutz sowohl technisch als auch organisatorisch entschieden entgegen zu wirken. Informationen zu Körpermerkmalen dürften nur zweckgebunden verarbeitet sowie grundsätzlich nur sparsam erhoben werden. Der Erforderlichkeits- und Verhältnismäßigkeitsgrundsatz sei dabei zu wahren. Zudem sei immer die Zustimmung des Betroffenen erforderlich.

TLfD/LKHG: Informationsaustausch zur datenschutzkonformen Ausgestaltung von Krankenhausinformationssystemen

21. Mai 2012

Am 22.05.2012 findet im Thüringer Landtag eine gemeinsame Informations- veranstaltung des Thüringer Landesbeauftragten für den Datenschutz (TLfD) und der Landeskrankenhausgesellschaft Thüringen e.V. (LKHG)  zur Umsetzung der „Orientierungshilfe zur datenschutzkonformen Gestaltung und Nutzung von Krankenhausinformationssystemen (KIS)“ statt. Der TLfD wird im Rahmen der Veranstaltung den Vertretern von voraussichtlich 27 Thüringer Krankenhäusern sowohl den Inhalt der „Orientierungshilfe KIS“ vorstellen als auch Informationen über die Ergebnisse der im Jahr 2011 durchgeführten Prüfungen der Krankenhaus- informationssysteme geben. Zudem werden Vertreter der LKHG zu den Anforderungen der „Orientierungshilfe KIS“ und deren Umsetzung aus Sicht der Krankenhausträger referieren. Die Tagung soll insbesondere auch Gelegenheit bieten, Streitpunkte zu erörtern.

„Optimale Patientenversorgung muss immer auch mit optimalem Schutz der Patientendaten einhergehen.“, so der TLfD. Der Datenschutz stünde einem Einsatz von Informationstechnologie in Krankenhäusern nicht entgegen – vielmehr sei gemeinsam mit den Krankenhäusern ein Weg zu finden und zu gehen, der gerade in diesem sensiblen Bereich zu einem rechtskonformen Schutz der Patientendaten führt. Darüber zu wachen, dass die Nutzung von Krankenhausinformations- systemen datenschutzkonform erfolgt, verstehe er als eine seiner wichtigsten Aufgaben. „Ich verbinde die Informationsveranstaltung mit dem Angebot an die Vertreter der Krankenhäuser, im Dialog zu praktikablen Lösungen zu gelangen.“, betonte er im Vorfeld.

BITKOM: Umfrage zur Billigung von Online-Werbung

18. Mai 2012

Nach einer im Auftrag des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) durchgeführten Umfrage akzeptiert eine große Mehrheit der deutschen Internetnutzer Werbung, um Online-Angebote günstiger oder kostenlos nutzen zu können. 64 Prozent der deutschen Internetnutzer sollen angegeben haben, Werbeeinblendungen zu billigen, wenn dadurch ihr Geldbeutel geschont werden könne. 28 Prozent der Internetnutzer hingegen wären bereit, für keine Werbung einen höheren Preis zu zahlen. Nach den Umfrageergebnissen sind gerade Internetnutzer in der Altersgruppe 50+ offener für werbefreie Bezahlangebote. Werbefinanzierte Services würden von 83 Prozent der jungen Nutzer bevorzugt, aber nur von 49 Prozent der Internetnutzer ab 50 Jahren.

„Viele Internetnutzer sind offen für Werbung, weil sie ein niedriges Preisniveau bei Online-Diensten ermöglicht“, kommentierte BITKOM-Präsident Prof. Dieter Kempf das Umfrageergebnis. Da es aber auch für werbefreie Bezahlangebote ein inzwischen recht hohes Potenzial gebe, müsse man die rechtlichen Möglichkeiten der Werbefinanzierung von Online-Angeboten erhalten.

Kategorien: Allgemein
Schlagwörter: ,

ULD: „Facebook nervt – Widerspruch ist weiterhin und erneut nötig“

16. Mai 2012

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat die am 11.05.2012 von Facebook veröffentlichten Vorschläge für die Änderung seiner Datenverwendungsregeln überprüft und teilte mit, dass mit Implementierung der Datenverwendungsrichtlinien erneut keine wesentlichen Verbesserungen, sondern aus Datenschutzsicht sogar weitere Verschlechterungen einhergehen würden, wie z. B. Ermächtigungen für eine noch längere Speicherung und Nutzung der Daten. Die vom irischen Datenschutzbeauftragten geäußerte Kritik werde zwar aufgegriffen, aber die dort geforderten tatsächlichen Änderungen nicht umgesetzt.

„Facebook nervt, indem es die Öffentlichkeit mit immer wieder neuen Scheinma- növern hinhält. Facebook muss nicht einfach sein Kleingedrucktes ändern, sondern seine Geschäftspolitik und seine Datenverarbeitung. Hierüber muss dann Transparenz hergestellt werden.“, kommentierte der Landesbeauftragte für den Datenschutz Schleswig-Holstein Weichert. Er könne Facebook-Nutzern nur ein weiteres Mal empfehlen, gegen die geplanten Datenverwendungsrichtlinien Einspruch einzulegen.

 

1 155 156 157 158 159 182