Datensatz mit gestohlenen Login-Informationen aufgetaucht

18. Januar 2019

Im Internet ist ein 87 Gigabyte großer Datensatz mit gestohlenen Login-Informationen aufgetaucht. Betroffen sind 773 Millionen E-Mailadressen und über 21 Millionen Passwörter.

Die Daten stammen nach ersten Informationen nicht aus einem einzelnen Hack, sondern sind aus verschiedenen zusammengetragen worden. Der Datensatz enthält Informationen von 12.000 Domains und verschiedenen Web-Diensten.

Die Existenz des Datensatzes wurde von dem australischen IT-Sicherheitsexperten Troy Hunt auf seiner Homepage publik gemacht, der den Datensatz als Collection #1. Der Experte schreibt, dass er zunächst von Bekannten auf den Datensatz aufmerksam gemacht worden ist und die Daten ursprünglich bei einem Filehosting-Anbieter verfügbar waren, wo sie inzwischen aber nicht mehr zu finden sind.

Sie haben die Möglichkeit selbst zu überprüfen, ob Ihre Daten betroffen sind. Zur Prüfung muss lediglich die eigene Adresse in das Suchfeld eingegeben und auf „pwned?“ geklickt werden. Der von dem australischen Sicherheitsforscher Troy Hunt veröffentlichte Dienst zur Überprüfung wird von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für vertrauenwürdig gehalten. Sollten Sie betroffen sein, wird empfohlen schnellstmöglich das Passwort zu ändern.

Datenschutzrechtliche Mängel bei Smartphone-Apps

17. Januar 2019

Eine Studie im Auftrag des Justizministeriums hat gravierende datenschutzrechtliche Mängel bei Apps für Android-Smartphones festgestellt.

Im Auftrag des Bundesministeriums für Justiz und Verbraucherschutz wurde eine Studie („Verbraucherinformationen bei Apps – Empirie“) zu der DSGVO-Konformität von Smartphone-Apps durchgeführt. Getestet wurden zunächst 200 Apps im Jahr 2017 und 50 von den Apps nach Inkrafttreten der DSGVO im Jahr 2018 hinsichtlich der Vollständigkeit und Verständlichkeit der für VerbraucheriInnen bereitgestellten Informationen.

Das Ergebnis war ernüchternd: 2018 wurden zwei Drittel der Apps mit ausreichend oder mangelhaft bewertet. Die Bundesjustizministerin Katarina Barley kritisierte, dass „nur unzureichend über den Umgang mit den erhobenen Daten informiert“ wird. „Die die Datenschutzerklärungen bleiben unkonkret und zählen häufig nur die Verbraucherrechte auf, ohne verständliche Erläuterungen.“

Viele Apps informieren die Verbraucher nicht hinreichend, welche Daten für welche Zwecke verarbeitet würden. Datenschutzerklärungen sind nicht auf die konkrete App zugeschnitten, sondern beziehen sich auf alle Produkte des App-Anbieters. In den Apps werde nicht über die Zugriffsberechtigungen (z. B. auf das Adressbuch oder das Mikrofon) informiert. Teilweise werden Zugriffsberechtigungen eingeholt (z. B. auf die Standortdaten), obwohl sie nicht für die Ausführung der App notwendig sind.

Auswirkungen des Brexit auf den Datenschutz

Nachdem der von Premierministerin Theresa May vorgelegte Entwurf eines Vertrags zur Regelung des Brexit am 15. Januar durch eine deutliche Mehrheit der Parlamentarier abgelehnt wurde, rückt das Szenario eines ungeordneten Austritts des Vereinigten Königreichs aus der Europäischen Union wieder in greifbare Nähe. Neben vielfältigen wirtschaftlichen und europarechtlichen Fragestellungen besitzt der Brexit auch eine konkret datenschutzrechtliche Komponente.

Mit dem für den 29.03.2019 angekündigten Austritt des Vereinigten Königreichs aus der Europäischen Union ist das Vereinigte Königreich ohne entsprechende Übergangsregeln ab diesem Zeitpunkt als Drittland im Sinne der DSGVO anzusehen. Dies bestätigte auch Prof. Dr. Dieter Kugelmann, Landesdatenschutzbeauftragter für Rheinland-Pfalz: „Fakt ist, dass das Vereinigte Königreich nach Austritt aus der EU zu einem „Drittland“ im Sinne der Datenschutzgrundverordnung wird“.

Da viele Unternehmen aktuell Kunden- oder Beschäftigtendaten in das Vereinigte Königreich übermitteln und dort ansässige Rechenzentren zu den eigenen Dienstleistern zählen, ergibt sich nach der Datenschutzgrundverordnung durch den Brexit Anpassungsbedarf. Unternehmen mit Vertragspartnern im Vereinigten Königreich müssen im Falle eines Datentransfers sicherstellen, dass es auch nach dem Brexit noch eine hinreichende Rechtsgrundlage für die entsprechenden Datenübermittlungen gibt. Weiterhin sind die Informationspflichten nach Artt. 13, 14 Datenschutzgrundverordnung bezüglich eines Datentransfers in ein Drittland zu ergänzen. Gleiches gilt für Datenschutzerklärungen im Internet. Im Falle eines Auskunftsersuchens einer betroffenen Person ist diese nach Art. 15 Datenschutzgrundverordnung auch über den Datentransfer in ein Drittland zu unterrichten. Darüber hinaus dürften bei Datenübermittlungen in das Vereinigte Königreich als Drittland vielfach die Verzeichnisse von Verarbeitungstätigkeiten nach Art. 30 Datenschutzgrundverordnung anzupassen sein. Gegebenenfalls ist nach dem Brexit auch das Durchführen von Datenschutzfolgenabschätzungen notwendig.

Es empfiehlt sich, dass sich Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, bereits jetzt auf entsprechende Anpassungen und Änderungen vorbereiten, um weiterhin eine rechtlich konforme Datenverarbeitung gewährleisten zu können. Da die Datenschutzgrundverordnung kein Konzernprivileg kennt, gelten die zuvor dargestellten Anmerkungen prinzipiell auch für Datenströme innerhalb einer Konzerngruppe.

IfW-Präsident Snower fordert Eigentumsrechte an Daten für Nutzer von sozialen Netzwerken

14. Januar 2019

Der Ökonom Dennis Snower vergleicht das Verhältnis zwischen dem Online-Business und den Nutzern mit moderner Sklaverei. „Wir generieren eine Unmenge an Daten, die nicht uns gehören, sondern den Netzwerken“, sagte der Präsident des Kieler Instituts für Weltwirtschaft (IfW) der Deutschen Presse-Agentur. „Die großen digitalen Netzwerke werden immens reich, so wie es die Sklavenbesitzer einst geworden sind.“

Snower forderte: „Nutzer müssen mehr und mehr Rechte über die Nutzung ihrer Daten bekommen.“ Das Ziel solle sein, „dass sie ein Eigentumsrecht an allen Daten haben, die sie generieren.“ Diese Daten könnten sie dann freiwillig weitergeben an jene, die sie haben wollten – unentgeltlich oder zu einem Preis. Damit würde sich das gesamte Businessmodell bei Google und Facebook komplett ändern. Technologische Lösungen für ein solches Modell existierten bereits.

Für die digitale Zukunft der Welt sieht der Präsident des IfW Europa mit Deutschland an der Spitze in einer Schlüsselverantwortung. „Es geht um sehr, sehr viel, um das Regime des neuen digitalen Zeitalters und damit letztlich auch um die Demokratie“, sagte der Ökonom.
Die von China auf der einen und den US-Weltkonzernen auf der anderen Seite verkörperten Systeme gingen in eine falsche Richtung und seien gefährlich für die liberale Demokratie, mahnte Snower. Dagegen habe Europa mit der DSGVO den richtigen Weg eingeschlagen, welcher weltweit implementiert werden sollte. Dabei könne Deutschland eine zentrale Rolle spielen.

Kategorien: Allgemein · Online-Datenschutz · Social Media
Schlagwörter:

Löschpflicht von Suchmaschinenergebnissen

10. Januar 2019

In seinem Schlussantrag hat der Generalanwalt Maciej Szpunar eine Löschpflicht von Suchmaschinenbetreibern von Links, die zu Internetseiten mit den sensiblen Daten der Betroffenen führen, bestätigt. Es müsse jedoch das Recht auf Zugang zu Informationen und das Recht auf Freiheit der Meinungsäußerung gewahrt werden.

Mehrere Privatpersonen sind gegen Beschlüsse der französischen Datenschutzbehörde (Commission nationale de l’informatique et des libertés, CNIL) vor den EuGH (Rechtssache C-136/17) gezogen. Die Behörde hat ihre Anträge einen Suchmaschinenbetreiber aufzufordern Suchergebnisse zu ihrem Namen zu löschen, abgelehnt. Die Suchergebnisse führten zu Internetseiten Dritter, die Informationen über die religiöse Zugehörigkeit, die politische Einstellung und eine strafrechtliche Verurteilung der Betroffenen veröffentlichten.

Im Zusammenhang mit Ergebnislisten einer Suchmaschine muss berücksichtigt werden, dass diese nur auf Webseiten Dritter zugreift und selbst keine personenbezogenen Daten veröffentlicht. Der Suchmaschinenbetreiber verarbeitet aber diese sensiblen Daten von den Internetseiten und kann deshalb zur Löschung verpflichtet werden. In dem Schlussantrag kam der Generalanwalt zu dem Ergebnis, dass ein Suchmaschinenbetreiber systematisch Anträgen auf Löschung von Suchergebnissen mit sensiblen Daten stattgeben muss. Hierbei muss aber das Recht auf Zugang zu Informationen anderer Nutzer und das Recht auf Freiheit der Meinungsäußerung berücksichtigt werden.

Der Schlussantrag beurteilt den Fall auf Grundlage der alten Datenschutz-Richtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) und nicht nach der DSGVO. Der EuGH ist grundsätzlich nicht an das Ergebnis in den Schlussanträgen gebunden, folgt ihnen allerdings häufig.

Sprachassistenten in unserem Alltag

Die moderne Technik schreitet immer weiter voran, sodass in Zukunft viel alltägliches über Sprachassistenten geregelt werden soll. Über Sprachbefehl soll zum Beispiel Badewasser eingelassen sowie der Fernseher bedient werden. Konzerne, die solche Technik herstellen und vertreiben, können dadurch Daten ermitteln um die Gewohnheiten ihrer Kunden zu analysieren und somit Milliarden zu verdienen.

Die Anzahl solcher Technologien in den Haushalten wächst stetig. So behauptet der Technologiemarkt-Analysten Canalys, dass die Geräte mit Sprachassistenten weltweit von derzeit rund 100 Millionen bis 2022 auf mehr als 300 Millionen zunehmen werden.
Konzerne wie Amazon und Google sind ganz vorne dabei den Vertrieb sowie die Weiterentwicklung solcher Technologien voranzutreiben.

Datenschützer sind jedoch in Sorge, dass Aufnahmen, die durch die Aktivierung von solchen Geräten entstehen, in die jeweilige Cloud übertragen werden können. Von dem was weiter mit den dadurch erhobenen Daten geschieht bekommt der Kunde nichts mit.

Die Technologiekonzerne rechtfertigen die Datenerhebung damit, dass
maschinelle Lern-Algorithmen zu Verbesserung der Technologie genutzt werden sollen und schließen eine Weitergabe an Dritte aus. Jedoch kam es wohl schon dazu, dass Daten auf Sprachbefehl vorgespielt wurden, die nicht dem Kunden zugeordnet waren.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 8): Neue KDG-DVO

9. Januar 2019

Am 19. November 2018 hat die Vollversammlung des Verbandes der Diözesen Deutschlands in ihrer Sitzung die neue Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) beschlossen.

Nach Inkrafttreten des Gesetzes über den Kirchlichen Datenschutz (KDG) blieb die auf der bisherigen Anordnung über den kirchlichen Datenschutz der Katholischen Kirche (KDO) basierende Durchführungsverordnung auf Basis einer Übergangsregelung in Kraft. Durch eine Expertenkommission, bei deren Teilnehmern es sich um Fachleute aus den Bereichen IT und Datenschutz handelte, wurde für die Vollversammlung 2018 des Verbandes der Diözesen Deutschlands eine Neufassung der KDO-DVO ausgearbeitet. Diese wurde von der Versammlung beschlossen und den Diözesen der Katholischen Kirche in Deutschland als Empfehlung zur Inkraftsetzung vorgelegt.

Geplanter Termin für das Inkrafttreten der KDG-DVO als neuer Regelung für den kirchlichen Datenschutz ist der 01. März 2019.

Kategorien: Allgemein
Schlagwörter:

Neuer Gesetzesentwurf zur Kontrolle von Dieselfahrverboten mit verbessertem Datenschutz

Zum Zwecke der Durchsetzung eines Dieselfahrverbotes ist zur Zeit ein Gesetzesentwurf im Umlauf, der automatisierte Kontrollmöglichkeiten vorsieht. Die Kontrolle sieht dabei vor, das Autos, die in eine Verbotszone fahren, automatisiert fotografiert werden sollen um, das Kennzeichen mit den Daten der Zentralen Fahrzeugregister abgleichen zu können und so zu ermitteln, ob das Befahren der Zone erlaubt oder verboten war. Nachdem der Bundesrat den ersten Entwurf an verschiedenen Punkten, insbesondere aufgrund datenschutzrechtlicher Bedenken, kritisierte, besserte Bundesverkehrsminister Andreas Scheuer (CSU) nun nach.

Im alten Gesetzesentwurf war noch vorgesehen, dass die durch die automatisierten Kontrollen gewonnenen Daten spätestens sechs Monate nach ihrer erstmaligen Erhebung zu löschen sind. Im neuen Entwurf wurde diese Frist nun auf zwei Wochen verkürzt, um dem datenschutzrechtlichen Prinzip der Datenminimierung zu entsprechen. Selbst wenn die frühzeitige Löschung bedeuten würde, dass dies die Verfolgung eines etwaigen Verstoßes verhindern könnte, soll die Frist eingehalten werden.

Im Falle eines Verstoßes gegen das Dieselfahrverbot sollen die Daten unverzüglich an die zuständige Behörde weitergeleitet werden. Die Kontrollen sollen dabei allerdings nur stichprobenartig sowie ohne Videoaufzeichnungen oder verdeckte Kontrollen erfolgen.

Es bleibt abzuwarten, wie der Bundesrat auf den neuen Gesetzesentwurf reagiert.

Gesichtspflege mit Hilfe von Smartphones

Mit Hilfe eines Kameraaufsatzes wird das Gesicht des Nutzers gescannt. Eine App analysiert daraufhin die Hautoberfläche und wertet ihren Zustand aus. Anhand der ausgewertet Daten hat die Neutrogena-App bereits Pflegeprodukte vorgeschlagen. Nun wurde das Angebot dahingehend ausgeweitet, dass basierend auf der Hautanalyse eine Gesichtsmaske hergestellt werden kann, die auf die individuellen Bedürfnisse der Haut zugeschnitten ist. Das unter dem Namen „MaskID“ vermarktete Produkt wertet biometrische Daten, wie Gesichtsform und Abstand zwischen Nase und Augen und den Zustand der Haut aus.

Das Kosmetikunternehmen Neutrogena überraschte auf der Technikmesse in Las Vegas mit einem ungewöhnlichen Produkt. Das Unternehmen bietet nun individuell angepasste Gesichtspflegemasken mittels Smartphone-Gesichtsanalyse für seine Kunden an.

Der Kameraaufsatz „Skin360“ ist bis jetzt nur für bestimmte iPhone-Modelle erhältlich und kostet etwa 60 US-Dollar. Er hat eine 30-fach-Vergrößerungslinse und sechs helle LEDs, die eine zuverlässige Hautanalyse gewährleisten sollen. Eine Markteinführung in Europa ist geplant.

Update Hackerangriff: Verdächtiger festgenommen

8. Januar 2019

Ein Tatverdächtiger im Zusammenhang mit dem riesigen Datenklau wurde festgenommen und soll nach bisherigen Erkenntnissen Einzeltäter gewesen sein.

Rund tausend Politiker und Prominente waren von dem in die Schlagzeilen geratenen massiven Online-Angriff betroffen, sogar ganz persönliche Dinge standen von einigen Betroffenen im Internet.

Am Wochenende hatte das BKA bereits Wohnungen in Hessen und Baden-Württemberg durchsucht und zahlreiche Beweismittel beschlagnahmt. Am Sonntag wurde die Wohnung des Tatverdächtigen durchsucht und er vorläufig verhaftet. Nach Informationen der Welt soll der junge Mann (20) nach mehreren Vernehmungen geständig gewesen sein. Das BKA und die Generalstaatsanwaltschaft Frankfurt am Main werden heute um 12 Uhr über das Ergebnis der Ermittlungen informieren. Der Verdächtige wurde inzwischen, mangels Haftgründen, aus der Untersuchungshaft entlassen.

Das inzwischen gesperrte Twitter-Konto @_0rbit wurde im Dezember 2018 als eine Art Adventskalender benutzt, indem jeden Tag ein Link zu neuen Daten online gestellt wurde. Zahlreiche personenbezogene Daten von Politikern und Prominenten waren betroffen. Einige Daten wurden bereits vorher veröffentlicht. Bekannt wurde das Ganze jedoch erst im neuen Jahr.

Überwiegend ging es um die Veröffentlichung von Kontaktdaten (940 Fälle). In etwa 50 Fällen handelte es sich um schwerwiegendere Veröffentlichungen, wie die Preisgabe von Privatdaten, Chatverläufen, Korrespondenzen sowie Fotos von Pässen.

Betroffen sind zahlreiche Daten von Europa-, Bundes- und Landespolitikern der FDP, der Linken, den Grünen, der SPD und der CDU/CSU, wie auch Frank-Walter Steinmeier. Aber auch Daten von Prominenten wie Jan Böhmermann wurden nicht verschont.

Die Bundesregierung kündigt an, aus diesem Fall Konsequenzen zu ziehen und möchte in Zukunft die Cyber-Sicherheit verbessern. In Planung ist derzeit, in den nächsten Monaten unter anderem ein „Cyber-Abwehrzentrum plus“ zu schaffen.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter:
1 2 3 179