Android-Apps mit erhöhtem Risikopotential

Bereits am 28. Februar 2014 haben wir über ein Datenleck bei der App Tinder berichtet. Wie eine aktuelle Untersuchung des Frauenhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) von 10.000 Android-Apps  zeigt, ist dies kein Einzelfall. Danach ließen sich 49 Prozent der getesteten Apps das Recht einräumen, den genauen Standort des Geräts zu ermitteln. Dazu zählt auch der der beliebte Musikerkennungsdienst Shazam . Dieser ermittelt nach einem Bericht von Heise nicht nur die genaue Position des Nutzers, sondern gibt diese und weitere Daten, wie etwa die IP-Adresse,Android-ID und die Liste der installierten Apps, an Werbekunden weiter. 

Laut einem Bericht von Heise-online übermitteln sogar Virenscanner, die eigentlich für die Datensicherheit sorgen sollen, Daten über das Surf-Verhalten ihrer Nutzer an die Hersteller. Die Virenscanner sollen den Nutzer vor bösartigen Seiten warnen. Dazu erfolgt ein Abgleich der aufgerufenen Seiten mit einer Cloud. Heise fand heraus, dass die meisten Apps die vollständige URL der aufgerufenen Web-Seite übertragen und einige sogar Passwörter oder Session-IDs.

Nach der Untersuchung der AISEC  liegt das Risiko aber nicht allein darin, dass die Betreiber zahlreiche sensible Daten ihrer Nutzer sammeln, die sie für den Betrieb nicht benötigen, sondern auch darin, dass die Daten nicht oder nur unzureichend verschlüsselt übertragen werden. Danach übermitteln 69 Prozent der beliebtesten Android-Apps Daten im Klartext, weitere  26 Prozent setzen SSL so ein, dass die Verbindung angreifbar ist. Dadurch können auch Dritte leicht an die sensiblen Daten und Bewegungsprofile gelangen.

Twitter setzt unzählige Nutzer-Passwörter zurück

Neben dem Marktführer im Social Network Facebook hat sich Twitter mittlerweile als eine der zweiten Kräfte dieses Segments einen festen Platz erkämpft. 214 Millionen Nutzer zwitschern (engl.: to tweet, abgeleitet: twittern) Nachrichten und Fotos für ihre Follower und haben dem 2006 gegründeten Unternehmen so zu einem viel beachteten weltweiten Aufstieg verholfen. Das Thema Datenschutz war in diesen Jahren nicht selten im Kontext von Nachrichten über Twitter in Erscheinung getreten.

Jüngstes Beispiel ist, laut einem Bericht von Spiegel Online, eine Warnung, die von Twitter am vergangenen Montag an die Nutzer übermittelt wurde. Darin warnt das Unternehmen, dass möglicherweise in die Konten der Nutzer eingebrochen wurde und das Passwort geändert werden müsse. Vorsorglich hatte Twitter in diesem Zug bereits den Login zahlreicher Nutzer blockiert indem deren Passwörter zurückgesetzt worden waren. Als kleiner Schönheitsfehler stellte sich jedoch heraus, dass die Warnung jeglicher Grundlage entbehrte und die Mitteilungen lediglich einem Systemfehler geschuldet waren, wie ein Twitter-Sprecher dem Technologieblogg Recode gegenüber einräumte. Die Zahl der Betroffenen dürfte im fünfstelligen Bereich gelegen haben.

Clouds bei deutschen Firmen weiterhin beliebt

Trotz der Snowden-Enthüllungen setzen deutsche Unternehmen weiterhin auf Clouds. 40 Prozent der deutschen Unternehmen nutzen cloudbasierte Dienste, wie Chip Online schreibt. Was die NSA-Affäre aber mit sich bringt ist, dass Nutzer und Interessenten deutlich vorsichtiger geworden sind und genauer wissen wollen, was wie funktioniert und wie die Daten geschützt und transportiert werden, sagt Dirk Emminger vom Cloud-Dienstleister Finanz Informatik Technologie Service (FI-TS). Das Bewusstsein für die Sicherheit der eigenen Daten wurde in den letzten Jahren mehr und mehr geschult und gehört zur strategischen Notwendigkeit eines jeden Unternehmens. Das mag auch ein positiver Effekt der Snowden-Enthüllungen sein.

Bitkom stellt auf seiner Homepage den Leitfaden „Wie Cloud Computing neue Geschäftsmodelle ermöglicht“ zum Download bereit und zeigt hier u.a. an Beispielen aus der Wirtschaft und der öffentlichen Verwaltung, wie Cloud Computing bereits sinnvoll und sicher in Geschäftsabläufe integriert wird.

Der Nutzen und die Vorteile von cloudbasierten Anwendungen sind mittlerweile unumstritten. Und so ist auch mit einem weiteren Anstieg des Cloud Computing zu rechnen, wie es auch bei der Cloudconf im Dezember in Berlin hieß.

Adobe warnt vor Sicherheitslücke im Flash-Player

Zum bereits zweiten mal innerhalb eines Monats warnt das Unternehmen Adobe vor einer kritischen Sicherheitslücke im Flash-Player. Dies berichtet das Online-Portal Heise. Diese ermögliche es unter Umständen unberechtigten Dritten Schadsoftware auf den Computer des Betroffenen aufzuspielen. Adobe stellte gleichzeitig auf der Unternehmenshomepage eine Aktualisierung des Players bereit und empfiehlt allen Nutzern das Update zeitnah zu installieren.

Flirt-App Tinder übermittelt unbemerkt Standortdaten

Die Suche nach dem richtigen Partner ist längst ein häufig digitales Unterfangen geworden. Einer der diversen Anbieter, die die Suche nach dem passenden Partner unterstützen, ist die über Android und iOS beziehbare Flirt-App Tinder. Wie jetzt das Online-Portal Heise meldet, lieferte diese jedoch neben den üblichen Informationen über die möglicherweise Auserwählten gleich einen genauen Standort mit. Standardmäßig zeigt Tinder bereits auf eine US-Meile genau die Position anderer User. Erst bei näherer Kontaktaufnahme und der Einwilligung dazu, werden üblicherweise genauere Standortdaten übermittelt. Tatsächlich wurden jedoch bis zu 165 Tage lang wesentlich präzisere Daten geliefert.

Bereits am 23. Oktober 2013 sei Tinder über das Daten-Leck informiert worden. Ein entsprechender Patch, der die Lücke zu schließen vermochte, wurde jedoch erst Ende Dezember bereit gestellt. Das US-Wirtschaftsblatt BloombergBusinessweek versuchte in der Folge eine Stellungnahme von Tinder dazu einzuholen. Diese steht jedoch bis dato aus.

Neue Abhörstationen der Bundeswehr: Mitschnitt von Handydaten der Zivilbevölkerung möglich

Die Bundeswehr testet in der Eifel eine neuartige Abhörplattform, das sogenannte „Mobile Geschützte Fernmeldeaufklärungssystem (MoGeFa)“.  Einem Bericht des Bundeswehr-Journals zufolge  habe die Bundeswehr diese Abhörplattform bereits im Oktober 2013  von dem Unternehmen Plath GmbH erworben. Hierbei handele es sich um ein System, das mit großer Bandbreite und hoher Scangeschwindigkeit Kommunikationsdaten aller wichtigen Frequenzbereiche ermitteln kann. Durch ein automatisiertes Verfahren sollen sich selbst hohe Datenaufkommen schnell auswerten lassen. Ohne weiteres ist es damit auch möglich, Handytelefonate abzuhören.

Im Rahmen der Plenarsitzung vom Mittwoch den 19. Februar 2014 im Bundestag warf der Politiker Hans Christian Ströbele (Bündnis 90/Die Grünen) die Fragen auf, ob das oben dargestellte Vorhaben mit einem Datenschutzbeauftragten abgeklärt bzw. dessen Stellungnahme eingeholt worden sei und darüber hinaus, wie ausgeschlossen werden könne, dass nicht auch andere Telekommunikationsverkehre als die der Bundeswehr erfasst werden. Konkrete Antworten konnte der Vertreter des Verteidigungsministeriums, Staatssekretär Ralf Brauksiepe, diesbezüglich jedoch nicht liefern. Er gab lediglich an, dass eine Weitergabe der Daten an Dritte nicht beabsichtigt sei. Auch gehöre dies nicht zum klassischen Aufgabengebiet eines Datenschutzbeauftragten, so dass ein Datenschutzbeauftragter bisher nicht in das Projekt involviert.

Laut netzpolitik.org  sei ab 2016 geplant, das fahrbare Abhörsystem in größerer Serie zu beschaffen. Bis dahin werde erst einmal die “operationelle Leistungsfähigkeit” geprüft.

Datacoup kauft Nutzerdaten

Das New Yorker Start-Up-Unternehmen Datacoup bietet derzeit in einem Betatest Nutzern Geld für deren Daten. Für acht US-Dollar im Monat erhält das Unternehmen die Zugangsdaten zu Twitter- und Facebook-Accounts und zu Kreditkartenabrechnungen der Nutzer, berichtet heise online. In der Online-Welt sind Nutzerdaten, mit denen sich Verhaltensmuster aufzeichnen, Nutzerprofile erstellen und sogar Trends vorhersagen lassen, bares Geld wert.

Datacoup wertet die so erhaltenen Informationen aus, erstellt Trends und verkauft diese zu Marktforschungszwecken weiter. Speziell für Werbezwecke sind diese Informationen von enormem Potenzial. Aber auch unter verhaltensökonomischen Gesichtspunkten sind solche Daten nicht uninteressant. Derzeit haben sich 1500 Personen für den Betatest angemeldet, sagt Matt Hogan, Firmenmitgründer von Datacoup. Hogan glaubt auch, dass Verbraucher auf diese Weise mehr Kontrolle über die eigenen Daten erhalten. Grundsätzlich sei es ja sinnvoll, wenn man weiß, was mit den eigenen Daten geschieht. Wie heise online schreibt, werden die Datensätze anonymisiert und ein sorgsamer Umgang garantiert.

Datenhändler gibt es nicht wenige. Die Inovation bei Datacoup ist  jedoch die Verbindung von Informationen zum Onlineverhalten mit Informationen zum Kaufverhalten von ein und der selben Person.

In wenigen Monaten soll der Dienst auch für die Allgemeinheit geöffnet werden. Dann kann man seine privaten Kreditkarten- und Login-Daten für einen (geringen) monatlichen Betrag an Datacoup veräußern. Darüber hinaus plant das Unternehmen auch weitere Datensätze von Verbrauchern ins Angebot mitaufzunehmen, beispielsweise Browser-Verläufe.

Ein nicht uninteressanter Nebeneffekt für den Verbraucher ist, so Hogan, dass er überhaupt erstmals über den Wert seiner Daten nachdenkt. Hogen sieht sich auf der Seite der Verbraucher und glaubt, ihm mit solchen Angeboten mehr Kontrolle über die eigenen Daten zu geben.

Kickstarter: Hacking-Angriff auf Crowdfunding-Plattform

Medienberichten zufolge haben Hacker eine unbekannte Anzahl Nutzerkonten der Crowdfunding-Plattform Kickstarter kompromittiert. Das Unternehmen soll selbst erst durch Strafermittlungsbehörden von dem Einbruch in seine Computersysteme erfahren und danach die Sicherheitslücke geschlossen haben. Zudem habe man daraufhin “die Sicherheitsvorkehrungen im gesamten Kickstarter-System verstärkt”. Unternehmensangaben zufolge seien Nutzernamen, E-Mail-Adressen, Postanschriften, Telefonnummern und verschlüsselte Passwörter von dem Angriff betroffen. Es werde den Nutzern empfohlen, Passwörter umgehend zu ändern. Das gelte auch für alle Websites und Dienste, für die dasselbe Passwort hinterlegt sei. Zudem habe man als unternehmensseitige weitere Vorsichtsmaßnahme die Zugänge aller Nutzer zurückgesetzt, die sich per Facebook angemeldet hätten. Sie müssten sich lediglich neu anmelden. Weitere Maßnahmen seien  nicht erforderlich.

 

OLG Düsseldorf: Facebook-Impressum unter Info-Button unzureichend

Die 2. Kammer des Oberlandesgerichts (OLG) Düsseldorf hat mit nun veröffentlichtem Urteil vom 13.08.2013, Az.: I-20 U 75/13 entschieden, dass die Verlinkung einer Anbieterkennzeichnung auf einer gewerbsmäßig betriebenen Facebook-Seite unter dem Button “Info” nicht  § 5 Telemediengesetz (TMG) genügt. Der Button “Info” verdeutliche dem durchschnittlichen Nutzer nicht in ausreichendem Maße, dass darüber auch Anbieterinformationen abgerufen werden können. Zweck der Informationspflichten über Identität, Anschrift, Vertretungsberechtigten und Handelregistereintrag nach § 5 TMG sei, dem Verbraucher klar und unmissverständlich mitzuteilen, mit wem er hier in geschäftlichen Kontakt tritt. Der Gesetzgeber fordere deshalb, dass die erforderlichen Informationen auf der jeweiligen Seite leicht aufzufinden sind. Begriffe wie “Kontakt” und “Impressum” seien als Links zur Anbieterkennzeichnung erlaubt. Die Bezeichnung “Info” sei als Synonym für “Impressum”den Nutzern hingegen nicht geläufig und bleibe auch deutlich hinter dem Informationsgehalt des Begriffs “Kontakt” zurück. Bei “Kontakt” erwarte der User Informationen darüber, wie mit wem Verbindung aufgenommen werden könnte. Die Palette der mit dem Begriff “Info” zu erwartenden Informationen sei hingegen deutlich größer.

 

Datenschutzverstöße bei baden-württembergischen Websites

Der Landesbeauftragte für den Datenschutz Baden-Württemberg (Klingbeil) hat am vergangenen Freitag die Ergebnisse der datenschutzrechtlichen Überprüfung von insgesamt 12.205 baden-württembergischen Websites mitgeteilt. Von den geprüften Internetseiten sollen  2533 das Analyse-Tool Google Analytics zur Beobachtung des Nutzerverhaltens eingesetzt haben. Bei rund 65 Prozent dieser Websites seien Mängel bei der Umsetzung der datenschutzrechtlichen Vorgaben ermittelt worden.

„Die von uns ermittelten Webseitenbetreiber werden von uns angeschrieben und in einem ersten Schritt aufgefordert, die festgestellten Mängel zu beheben. Dazu gehört unter anderem, dass die Betreiber das Programm so anpassen, dass die von Google Analytics erfassten IP-Adressen verkürzt werden, bevor sie weiter verarbeitet werden. Damit ist es nicht mehr möglich, den jeweiligen Nutzer zu identifizieren. Eine wesentliche Beeinträchtigung der Auswertungsergebnisse für den Webseitenbetreiber erfolgt dadurch nicht,“ so Klingbeil. „Unsere Untersuchung hat wieder einmal gezeigt, dass die Rechte der Nutzer im Internet oftmals vernachlässigt werden. Dies wird den meisten Betreibern beim Einsatz von Google Analytics vermutlich gar nicht bewusst gewesen sein. Insofern diente unsere Aktion auch dem Ziel, das Datenschutzbewusstsein der in Baden-Württemberg ansässigen Unternehmen zu stärken.“

Hinweise zu Reichweitenanalysediensten im Internet sind einem Merkblatt auf dem Internetauftritt des Landesbeauftragten für den Datenschutz Baden-Württemberg zu entnehmen.

Archiv: « 1 2 3 4 5 ... 19 20 21 22 23 24 25 ... 95 96 97 98 99 »