Schlagwort: Datenpanne

Testversionen des „Google Home Mini“ hörten auch ohne Sprachbefehl zu

12. Oktober 2017

Zukünftig soll es ein Mini-Version des Google Lautpsrechers Google Home mit integriertem Sprachassistenzsystem geben, der „Google Home Mini“ soll ab dem 19. Oktober auf den US-amerikanischen Markt kommen.

Zuvor hatte Google im Rahmen einer Promo-Aktion mehrere Testgeräte an Journalisten vergeben. Dabei fiel auf, dass einige der Testgeräte durchgehend ihrer Umgebung zuhörten und die so gesammelten Daten speicherten. Wie Mitarbeiter von Google anschließend feststellten, beruhte dies auf einer Fehleinstellung. Die betroffenen Geräte nahmen durchgehend sogenannte „Phantom“-Berührungen wahr. Der „Google Home Mini“ hört nämlich nicht nur auf Sprachbefehle, sondern lässt sich auch per Knopfdruck bedienen.

Google versicherte, dass die Knopfdruck-Option vorerst deaktiviert und anschließend neu konfiguriert werde. Dazu wurde den Testpersonen gegenüber versprochen, dass ihre Aktivitäts-Protokolle auf den Servern gelöscht würden.

Der Vorfall bestätigt einmal mehr die datenschutzrechtlichen Bedenken hinsichtlich vernetzter Lautsprecher.  Auch wenn der Fehler nun behoben wurde und voraussichtlich bei den Kunden, die den Mini demnächst erwerben können, nicht mehr auftreten wird, bleibt die Angst vieler Kunden, durchgehend belauscht zu werden, weiterhin bestehen.

Kategorien: Allgemein
Schlagwörter: , ,

Umzugsadressen einsehbar

5. Juli 2017

Wenn ein Umzug ins Haus steht, kann man über das Internetportal umziehen.de, das von der Deutsche Post Adress GmbH & Co. KG betrieben wird, viele Unternehmen und Institutionen über seine neue Anschrift informieren. Dadurch kann etwa sichergestellt werden, dass auch nach einem Umzug die Zustellbarkeit von Briefen und sonstigen Postsendungen sichergestellt ist.

Vor kurzem hat es bei der Deutsche Post Adress GmbH & Co. KG nun wohl ein Datenleck gegeben. Personen mit entsprechenden Computerfähigkeiten soll es unkompliziert möglich gewesen sein, die von den Nutzern des Portals umziehen.de hinterlegten Daten einzusehen. Konkret sollen Daten zu Namen, Alter und neuer Adresse, Umzugsdatum und E-Mail-Adresse offengelegen haben. Auslöser für diese Panne soll nach Angaben der Post ein Update für das Portal umziehen.de gewesen sein. Kurz nach Bekanntwerden der Sicherheitslücke sei man aber in der Lage gewesen diese zu schließen. Im Anschluss habe man die zuständige Datenschutzaufsichtsbehörde in Nordrhein-Westfalen über den Vorfall informiert und vorsorglich eine Informationsmail an die Nutzer des Portals umziehen.de geschickt.

Diese Datenpanne veranschaulicht, dass es für Unternehmen wichtig ist, bestehende Prozesse für den Umgang mit Datenpannen (Data Breach Management) zu implementieren. Das Bundesdatenschutzgesetz (BDSG) regelt in § 42a gewisse Informationspflichten gegenüber der zuständigen Datenschutzaufsichtsbehörde und den von einer Datenpanne betroffenen Personen. Ein Verstoß gegen diese Verpflichtung stellt nach § 43 Abs. 2 Nr. 7 BDSG eine Ordnungswidrigkeit dar, die mit bis zu 300.000 EUR Geldbuße geahndet werden kann und in den in § 44 Abs. 1 BDSG aufgeführten Fällen sogar eine Straftat darstellt. Die Bedeutung eines funktionierenden Data Breach Managements erhöht sich noch einmal vor dem Hintergrund der ab Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO), da diese strengere Maßstäbe als das BDSG stellt und auch höhere Bußgelder vorsieht.

Über die Regelungen der DSGVO zum Umgang mit Datenpannen informieren wir Sie unter anderem auch in unserem nächsten Blogbeitrag der Themenreihe DSGVO.

198 Millionen US-Wählerdaten frei zugänglich

21. Juni 2017

Eine Datenbank mit persönlichen Wählerinformationen zu 198 Millionen US-Bürgern stand 2 Wochen frei zugänglich im Internet zum Download zur Verfügung.

Wie die US-Website Gizmodo berichtet, hatte das Unternehmen Deep Root Analytics im Auftrag der Republikanischen Partei eine Datenbank mit bis zu 198 Millionen Datensätzen an Wählerinformationen erstellt. Aus dieser gingen Namen, Geburtsdaten, Adressen und Telefonnummern eines Großteils der rund 200 Millionen wahlberechtigten US-Bürger hervor. Daneben waren in der Datenbank auch Analyseergebnisse zur politischen Einstellung, Religion, ethnischer Herkunft und wahrscheinliche Meinungen zu Themen wie Waffenbesitz, Stammzellenforschung oder Abtreibung der betroffenen Personen aufgeführt.

Auf die Datenbank aufmerksam geworden war die IT-Sicherheitsfirma UpGuard, nach deren Angaben die Eingabe der URL ausreichend war, um auf 1,1 Terrabyte der Datenbank, die auf einem Amazon Server gespeichert war, zugreifen und sie herunterzuladen zu können. Nicht einmal die Eingabe eines Passworts sei nötig gewesen.

Deep Root Analytics hat mit einer Stellungnahme auf die Datenpanne, die mittlerweile behoben ist,  reagiert und eigene Fehler eingeräumt. So wird die Datenpanne auf ein fehlerhaftes Update am 1. Juni zurückgeführt. Weiter heißt es darin, dass die Daten gesammelt würden, um personalisierte Wahlwerbung im Fernsehen schalten zu können.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

Deutliche Zunahme von gemeldeten Datenpannen

13. März 2017

Nach dem Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), der dieser Tage veröffentlich wurde, ist die Zahl der Meldungen zu „unrechtmäßiger Kenntniserlangung von Daten“ gemäß § 42a des Bundesdatenschutzgesetzes (BDSG) stark angestiegen. Während es im Jahr 2015 nur 28 Unternehmen waren, die zu einer solchen Meldung verpflichtet gewesen waren, lag die Zahl im Jahr 2016 bei 85, allein in Bayern.

Diese Vervielfachung läge vor allem am gesteigerten Bewusstsein der Unternehmen, Datenpannen mit einem erhöhten Risiko melden zu müssen, so der Präsident des Landesamtes, Thomas Kranig. § 42 a BDSG sieht vor, dass immer dann die Meldung einer Panne verpflichtend ist, wenn die Daten wie etwa Bank- und Gesundheitsdaten als besonders sensibel gelten und wenn den Betroffenen schwerwiegende Beeinträchtigungen drohen.

Nach der Europäischen Datenschutzgrundverordnung (DSGVO), die ab 25. Mai 2018 anzuwenden sein wird, wird das Ausmaß der Meldungen weiter zunehmen. Die Schwelle für die Meldepflicht von Datenpannen wird dann deutlich herabgesetzt sein. So muss künftig jede Datenschutzverletzung gemeldet werden, wenn sie „voraussichtlich zu einem Risiko“ für die Betroffenen führen kann (Artt. 33, 34 DSGVO). Auch der Zeitpunkt der Meldung wird gesetzlich festgelegt: Die Anzeige der Datenpanne muss künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde stattfinden.

Verwaltungsmitarbeiter verbreitet Stimmung im Fußballstadion – mit Konfetti aus vertraulichem Aktenmaterial

23. September 2016

Angestellten im öffentlichen Dienst eilt nicht unbedingt der Ruf als Stimmungskanone voraus. Dieses Klischee hat ein Mitarbeiter der Kommunalverwaltung im rheinland-pfälzischen Bad Kreuznach eindrucksvoll widerlegt. Auch wenn es wohl kaum die Absicht des Angestellten gewesen sein dürfte, den wohl größten Eindruck ausgerechnet bei Datenschützern zu hinterlassen.

Um sich bei der Fan-Choreografie im Rahmen eines Heimspiels des Fußball-Zweitligisten 1. FC Kaiserslautern zu beteiligen, fertigte der fleißige Fußballfan eine gehörige Menge rosa-weißes Konfetti, welches in der Fankurve in die Luft geschmissen und im Stadion großflächig verteilt wurde. Aufmerksame Besucher der Partie erkannten allerdings in den wohl mehr schlecht als recht zerkleinerten Papierschnipseln vertrauliche Dokumente der Kommunalverwaltung Bad Kreuznachs, so rosafarbene Formulare, mit denen Bedürftige Mietkostenzuschüsse beantragen konnten, aber auch Anwaltspost zu Unterhaltsforderungen.

Diese Dokumente wurden schon von der Behörde nicht geschreddert, sondern unversehrt als Altpapier entsorgt. Einen gehörigen Anteil an der bunten Choreografie darf sich also auch die Stadt Bad Kreuznach als verantwortliche Stelle zuschreiben.

Dass Kaiserslautern sein Heimspiel gegen den Gast aus Dresden auch noch verlor, dürfte den gebrauchten Tag für den Konfettiproduzenten komplettiert haben.

Daten von Millionen von Flugreisenden ungeschützt im Internet

10. August 2016

Einem Bericht der Süddeutschen Zeitung zufolge, standen auf dem Online-Reiseportal www.cosmita.com jahrelang Informationen ungeschützt im Internet. Die Nutzer dieses Portals konnten darüber Ihre Reiseunterlagen einsehen, Sitzplatzreservierungen sowie Essensbestellungen für den Flug vornehmen und sonstige Reisepläne an Freunde und Verwandte versehden. Zur Einsicht und Bearbeitung dieser Informationen benötigte der Nutzer nur seinen Flug-Buchungscode und seinen Nachnamen oder den eines Mitreisenden.

Diese recht einfache Zugriffsmöglichkeit auf die Daten des Reiseportals haben sich zuletzt auch Kriminelle zu eigen machen und damit die oberen bereits genannten personenbezogene Daten von mehreren Millionen Reisenden abgreifen können. Weitergehende technische Kenntnisse waren dafür nicht erforderlich. Jeder wäre in der Lage gewesen, diese Informationen abzurufen. Recherchen der Süddeutschen Zeitung haben ergeben, dass der Auslöser hierfür ein seit 2011 bestehendes Datenleck bei dem Ticket-Großhändler Aerticket gewesen sei. Aerticket stelle für mehrere tausend Großkunden, wie unter anderem die Unister-Töchter www.fluege.de, Flug 24, Ab in den Urlaub, Tickets aus. Etwa ein Viertel davon seien von dem Datenleck betroffen und damit einsehbar gewesen. Nach Angaben der Süddeutschen Zeitung zufolge, sei die Sicherheitslücke umgehend nach Kenntnis geschlossen worden.

Aerticket verteidige sich derzeit mit der Behauptung, dass die über fünf Jahre bestehende Sicherheitslücke gar nicht von Kriminellen entdeckt worden sei. Die Sicherheitsexperten des Ticket-Großhändlers hätten geprüft, ob eine überdurchschnittlich hohe Anzahl an Zugriffen von einzelnen IP-Adressen aus einem bestimmten WLAN-Netz zu verzeichnen gewesen seien. Dies sei jedoch zumindest in den vergangenen eineinhalb Jahren nicht der Fall gewesen. Nun läge der Fall beim Berliner Datenschutzbeauftragten zur abschließenden Prüfung. Diese könne sich jedoch noch einige Monate hinziehen. Die Konsequenzen seien noch nicht bekannt.

Hackerangriff: Massiver Datendiebstahl in den USA betrifft persönliche Daten von über 20 Millionen Regierungsangestellten

10. Juli 2015

Die US-Regierungsbehörde United States Office of Personnel Management (OPM) ist jüngst wiederholt Opfer von Cyberattacken geworden. Die Behörde ist für die Verwaltung des Öffentlichen Dienstes in den Vereinigten Staaten verantwortlich.

Bei den Attacken dürfte es sich nach offiziellen Angaben um die bisher größte Cyberattacke auf eine amerikanische Regierungseinrichtung handeln. Betroffen sind personenbezogene Daten von ca. 21,5 Millionen Angestellten des Öffentlichen Dienstes; darunter neben aktuellen auch ehemalige Angestellte sowie eventuell Bewerber und Anwärter für Regierungsorganisationen. Auch solchen nahestehende Verwandte und Freunde, welche im Rahmen sogenannter Background-Analysen durchleuchtet wurden, zählen wohl zu den Opfern. Von den Betroffenen wurden neben Adressen, Sozialversicherungsnummern und Finanzangaben auch besonders sensible Gesundheitsdaten erbeutet – besonders brisant darunter wohl die über eine Million Fingerabdrücke. Die OPM verwaltet auch Zugangsberechtigungen und Sicherheitsscreenings.

Die Angriffe erfolgten wohl bereits im letzten Jahr in zwei Fällen, wurden seitens der OPM aber erst im April dieses Jahres erstmals entdeckt. Im Juni bestätigte sich dann die nun veröffentlichte Zahl der Betroffenen.

Darüber, inwieweit diese Daten vor Angriffen von außen gesichert waren, schweigt die Behörde. Sie hat inzwischen eine Informationsseite für Betroffene eingerichtet. Darauf findet sich kein Hinweis auf den Urheber der Attacken – bereits nach den ersten Meldungen über die Cyberattacke berief sich die Washington Post auf Regierungsvertreter, die hinter den Hackern die chinesische Regierung vermuten. Das chinesiche Dementi folgte wenig überraschend.

BayLfD: Entsorgung von Patientenakten durch Dritte regelmäßig unzulässig

19. Februar 2015

Nachdem in München mindestens vier Säcke voller Röntgenbildern aus dem Krankenhaus Weilheim auf der Straße entdeckt wurden, die auch die Namen und Geburtsdaten der jweiligen Patienten enthielten, hat der Bayerische Landesdatenschutzbeauftragte, Dr. Thomas Petri, eine Prüfung des Falles eingeleitet.

Nach einer regelmäßigen Entsorgungsaktion ist ein Teil der Aufnahmen offenbar nicht an der dafür beauftragten Stelle angekommen. Es handle sich um Unterlagen, für die die zehnjährige Aufbewahrungsfrist abgelaufen sei, teilte eine Sprecherin des Krankenhauses mit.

Der Landesdatenschutzbeauftragte kündigte in bayerischen Krankenhäusern verstärkte Kontrollen der Einhaltung datenschutzrechtlicher Vorschriften beim Outsourcing an. Das Bayerische Krankenhausgesetz sehe besonders strenge Regelungen vor, die das Patientengeheimnis schützen sollen, so Dr. Petri in einer nun veröffentlichten Pressemitteilung. Bei der Verarbeitung von Patientendaten dürfe sich ein Krankenhaus regelmäßig nicht anderer Stellen außerhalb des Krankenhauses bedienen, was auch auch die Vernichtung bzw. Entsorgung von Patientendaten mit umfasse. Ein solches Outsourcing könne sogar gegen die ärztliche Schweigepflicht (§ 203 StGB) verstoßen.

Bankmitarbeiter verbreitet Kundendaten im Internet

8. Januar 2015

Wie die amerikanische  Großbank Morgan Stanley berichtete, hat am vergangenen Montag einer ihrer Mitarbeiter die Daten von rund 350.000 Kunden gestohlen und einige von ihnen im Internet veröffentlicht.

Inzwischen sei dem Mitarbeiter gekündigt worden, teilte das Geldhaus mit. Es sei den betroffenen Kunden dadurch jedoch kein finanzieller Schaden entstanden, so alle bisherigen Erkenntnisse. Man habe die betroffenen Kunden bereits informiert und die Kontonummern geändert. Zudem informierte die Großbank nach eigenen Angaben die Aufsichtsbehörden.

Nach Angaben der Frankfurter Allgemeinen Zeitung veröffentlichte dieser Mitarbeiter von 900 Kunden der Vermögensverwaltung Informationen wie Namen oder Kontonummer im Internet. Er hatte offenbar die Absicht, die übrigen Datensätze zu verkaufen.

Es ist noch ungeklärt, wie der Mitarbeiter an die Datensätze gelangen konnte.

 

Datenpanne: PC mit ungesicherten Daten der Stadt Friedrichshafen im Sperrmüll gefunden

30. Oktober 2014

Der Computer eines ehemaligen Mitarbeiters der Stadt Friedrichshafen mit ungesicherten dienstlichen Daten ist Medienberichten zufolge im Sperrmüll gefunden worden. Die Stadt plane nun die Einleitung rechtlicher Schritte gegen den Finder, die diesen verpflichten, die Festplatte nebst etwaiger Kopien herauszugeben oder aber die Daten zu löschen.

„Der Rechner ist durch eine Nachlässigkeit eines früheren Mitarbeiters auf dem Sperrmüll gelandet“, so die Pressesprecherin der Stadt Friedrichshafen. Der Mitarbeiter sei früher bei der Stadt im Bereich der Verwaltungsmodernisierung beschäftigt gewesen. Ihm sei, weil er während seiner Beurlaubung eine beratende Tätigkeit für die Stadt ausübte, erlaubt worden, die Daten für seine Forschung und seine Lehraufträge an einer Fachhochschule zu nutzen. Dies sei ein absoluter Einzelfall gewesen, den es zuvor und seitdem nicht (mehr) gegeben habe.

Sicher sei derzeit, dass zwei Entwürfe von Praktikantenzeugnissen auf diese Weise nach außen gedrungen sind. Diese habe der Finder vorgelegt. Man gehe aktuell jedoch davon aus, dass es sich um weitergehende Daten handelt, die von deutlich höherer Bedeutsamkeit zu sein scheinen. „Vorgelegt wurden uns diese Dokumente allerdings nicht“, so die Pressesprecherin der Stadt. Die Stadt Friedrichshafen pflege einen sehr hohen Standard, wenn es um die interne Sicherung der Daten gehe. Festplatten von nicht mehr benötigten Laptops oder Rechnern würden fach- und sachgerecht gelöscht und die Festplatten zerstört.

Kategorien: Allgemein
Schlagwörter: , , ,
1 2 3