Kategorie: Mobile Business

Videodienst Zoom weiter in der Kritik

16. April 2020

Seit Wochen überschlagen sich die Nachrichten zur Videokonferenz App Zoom, das seit der Corona Krise eine rasante Nachfrage zu verzeichnen hat, gleichzeitig aber auch mit erheblicher Kritik hinsichtlich seiner Datensicherheit kämpft (wir berichteten hierzu am 01.04.2020 und 09.04.2020).

Das Unternehmen arbeitet laut eigener Aussage seitdem auf Hochtouren daran seine Datensicherheit zu verbessern.

Politiker raten von Nutzung ab

Deutsche Politiker raten momentan jedoch weiter von der Verwendung des Videodienstes ab. Solange es dem Unternehmen nicht gelinge, sämtliche Sicherheits- und Datenschutzvorwürfe vollständig zu entkräften, könne Zoom nicht als Videokonferenzdienst empfohlen werden.

Der Vorsitzende des Digitalausschusses im Bundestag, Manuel Höferlin (FDP) äußert sich hierzu sehr deutlich: „Solange Zoom nicht nachweisen kann, dass ihre Software sicher und vertrauenswürdig ist, sollten deutsche Unternehmen auf die Nutzung dieser Video-Plattform weitestgehend verzichten. Das sollte zumindest für alle Besprechungen gelten, bei denen das erforderliche Vertraulichkeitsmaß höher ist als bei einer Postkarte.“

Vor allem aber auch Behörden und Ministerien wird von einer Nutzung der App abgeraten. Politiker von CDU und FDP befürchten einen Zugriff Chinas auf die Nutzerdaten und Inhalte.

Das Unternehmen hatte noch im Februar Konferenzen über Server in China geleitet. Auch wenn das Problem nach eigener Aussage des Unternehmens mittlerweile behoben sei, sind deutsche Politiker weiterhin der Ansicht, dass der Zugriff chinesischer Behörden auf Zoom-Daten nicht ausgeschlossen werden könne. Vor allem da sich nach wie vor ein Rechenzentrum des Unternehmens in China befinde.

Zoom reagiert

Per Blog-Post gab das Unternehmen nun bekannt, dass zahlende Kunden ab dem 18.April die Möglichkeit erhalten sollen, Rechenzentren-Regionen selbst auszuwählen. Somit soll der zahlende Kunde selbst entscheiden können, über welche Länder die Daten und Konferenzen geleitet werden. Als Regionen zur Auswahl stehen derzeit die USA, Kanada, Europa, Indien, Australien, China, Lateinamerika, und die Region Japan / Hong Kong.

Nutzer die die App weiterhin kostenlos nutzen wollen, haben diese Möglichkeit allerdings nicht.

Fazit

Es bleibt abzuwarten, ob Zoom es schafft seine Funktionen sicherer zu gestalten. Massive datenschutzrechtliche Bedenken bestehen in jedem Falle weiterhin und auch die Politik hat deutlich gemacht, dass Zoom für sensible Daten oder vertrauliche Informationen keinesfalls verwendet werden sollte.

Update

Wie jetzt bekannt wurde, werden die Zugangsdaten von über 500.000 Zoom-Accounts im Darknet für weniger als einen Penny zum Kauf angeboten. In einigen Fällen werden die Daten auch kostenlos zur Verfügung gestellt. Der Verkauf soll seit Anfang April 2020 laufen.

Die Daten wurden vermutlich durch sogenannte „Credential Stuffing“-Angriffe gesammelt. Hierbei versuchen Hacker sich bei Online-Diensten – wie in diesem Fall Zoom – mit Login-Daten anzumelden, die aus älteren Datenpannen stammen. Denn: Viele Nutzer verwenden dasselbe Passwort für mehrere Dienste. Dies kommt Hackern beim „Credential Stuffing“ zugute. Erfolgreiche Anmeldungen werden dann in Listen zusammengestellt und an andere Hacker verkauft. Die Listen beinhalten neben den E-Mail-Adressen auch Passwortkombinationen.

Zoom erklärte, gegen diese Angriffe bereits umfangreiche Maßnahmen ergriffen zu haben. So habe man Firmen damit beauftragt, die Passwort-Dumps und Tools, mit denen diese erstellt wurden, ausfindig zu machen. Außerdem würden als kompromittiert erkannte Zoom-Accounts gesperrt und Nutzer würden gebeten, ihre Passwörter zu ändern. Zoom betonte außerdem, dass große Unternehmenskunden mit eigenen Single-Sign-On-Systeme im Allgemeinen nicht von den Angriffen betroffen seien.

Bei „Credential Stuffing“ handelt es sich um kein Zoom-spezifisches Sicherheitsproblem. Jeder Dienst kann Opfer solcher Angriffe werden.  Doch insbesondere während der Corona-Krise, in der ein erhöhter Bedarf an Video-Kommunikationsmitteln besteht, sind die Nutzerdaten von Zoom für Hacker wohl von besonderem Interesse.

„Zoombombing“ ade – Zoom reagiert auf Datenschutzbedenken

9. April 2020

Auch in Zeiten von Covid 19 gilt es den Datenschutz und die Datensicherheit ernst zu nehmen. Das hat sich mittlerweile auch bis zum Silicon Valley rumgesprochen. Der Anbieter der Videokonferenz-App Zoom reagiert nämlich auf die anhaltende Kritik. Das Unternehmen führt Maßnahmen ein, die bei den Nutzern für mehr Datenschutz- und Sicherheit sorgen sollen. Insbesondere das sogenannte „Zoombombing“ will Zoom verhindern.

Hintergrund

Die mittlerweile 200 Millionen Nutzer zählende Videokonferenz-App erlebt wegen der Corona Krise einen regelrechten Boom, war aufgrund seiner Datenschutzpraxis jedoch bereits mehrfach in die Kritik geraten:

So häuften sich in den USA Fälle des Zoombombing. Hierbei wählen sich Trolle durch das Erraten von Zoom-Meeting-IDs, eine Ziffernfolge, in die meist schlecht geschützten Konferenzen ein und spielen beispielsweise rassistische Beleidigungen ein. Bis jetzt war dies möglich, weil die bloße Kenntnis der ID ausreichte, um sich ungefragt in nicht passwortgeschütze Meetings einzuklinken. Manche Nutzer machten es den Trollen aber auch nicht gerade schwer. So teilten viele Nutzer – prominentestes Beispiel ist wohl der britische Premierminister Boris Johnson – Screenshots ihrer Zoom Gespräche über ihre Social Media Accounts. Auf diesen Screenshots war dann die Zoom-Meeting-ID für jedermann sichtbar.

Zuletzt hat sogar Google seinen Mitarbeitern die Benutzung des Videkonferenz-Programms auf Arbeitsrechnern untersagt, weil Sicherheitsstandarts nicht eingehalten würden, wie ein Konzernsprecher gegenüger BuzzFeed bekannt gab. In unserem Beitrag vom 01.04.2020 sind wir auf weitere datenschutzrechtliche Bedenken eingegangen.

Step by step: Zoom reagiert

Der Videodienst hat für alle seine Plattformen nun eine erneuerte Version seiner Client-Software zur Verfügung gestellt. Eine der Neuerungen ist, dass die Meeting-ID nun nicht mehr wie bis dato für jedermann sichtbar in der Titelleiste steht. Ferner wurde ein „Security“-Button eingeführt. Dieser soll relevante Sicherheitsfeatures bündeln und transparent darstellen. Beispielsweise kann so der Zurgiff auf Meetings für die Außenwelt komplett gesperrt werden.

Nach unserer Einschätzung dürfte dies kurzen Prozess mit dem Phänomen des Zoombombing machen. Doch damit nicht genug. Zoom-Chef Eric Yuan kündigte an, in den nächsten drei Monaten step by step weitere Schwachstellen zu eliminieren anstatt neue Funktionen zu entwickeln.

Datenpanne bei Twitter

8. August 2019

Die Daten von rund 300 Millionen Twitter-Nutzern könnten in ungefugte Hände gelangt sein.

Twitter teilte kürzlich mit, dass Daten über ein Jahr mit Werbekunden geteilt wurden, ohne dass die Nutzer dem zugestimmt hätten.

Laut eigener Aussage wurden die von den Nutzern vorgenommen Einstellungen hinsichtlich des Teilens der gesammelten Daten für Werbung mit externen Werbeanbietern nicht berücksichtigt. Das führte dazu, dass trotz des Verbots Daten an Externe weitergegeben wurden.

Zu den Daten gehört Ländercode sowie ob und gegebenenfalls wie lange die Anzeige angesehen und mit ihr interagiert wurde. Hinzu kommt, dass den Nutzern durch diesen Fehler auch personalisierte Werbung angezeigt wurde, die auf Daten beruht, die nicht hätten gesammelt werden dürfen. Darüber hinaus seien, laut Aussage von Twitter, keine Informationen zu E-mailkonten oder Passwörtern betroffen gewesen.

Der Fehler wurde am 05.August behoben. Zurzeit laufen noch Ermittlungen bezüglich der Anzahl der Betroffenen. Zudem werden Vorkehrungen getroffen, damit ein solcher Fehler zuünftig nicht mehr auftritt.

Face App: Kritik wird lauter

18. Juli 2019

Ist man derzeit im Internet und dort insbesondere auf den unterschiedlichsten Social-Media-Netzwerken unterwegs, stolpert man seit einigen Tagen vermehrt auf Portraitbilder, die die Abgebildeten älter erscheinen lassen als sie tatsächlich sind. Möglich macht dies ein Filter der App „Face App“, die sowohl auf iOS als auch auf Android erhältlich ist und sich momentan großer Beliebtheit erfreut – auch weil oben erwähnter Gesichtsfilter kostenlos und beliebig oft auf bereits vorhandene Fotos sowie auf Liveaufnahmen angewendet werden kann.

Wie so oft bei der Nutzung von neuen Apps bleibt dabei jedoch die datenschutzrechtliche Komponente von der großen Maße der Nutzer unbeachtet. Auch gerade deshalb werden die öffentlichen Stimmen und Kritiken gegen die App des russischen Unternehmens Wireless Lab lauter, um vor datenschutzrechtlichen Risiken zu warnen.
So warnt nun auch der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) bei SWR aktuell wegen „Befürchtungen, dass wichtige persönliche Daten in die falschen Hände geraten könnte“ vor der Nutzung der App. Die Nutzungsbedingungen und die Datenschutzerklärung seien schwammig, insbesondere im Hinblick auf die Informationen wie die im Rahmen der App verarbeiteten und erhobenen personenbezogenen Daten genutzt und weitergegeben werden.
Die Entwickler betonen dagegen, dass keine Daten an Dritte weitergegeben oder verkauft würden.

50.000 Euro Bußgeld für die N26 Bank

24. Mai 2019

Nach Informationen des Fachdienstes „Tagesspiegel Background Digitalisierung & KI“ verhängte die Berliner Landesdatenschutzbeauftragte Maja Smoltczyk  gegen die N26 Bank eine der bislang höchsten Strafen wegen Verletzungen der DSGVO. Grund für die Strafe ist eine von der N26 Bank geführte schwarze Liste mit ehemaligen Kunden. Zulässig ist dies jedoch nur wenn diese unter Geldwäscheverdacht stehen. Dadurch konnten die Betroffenen kein neues Konto eröffnen.

Auf Nachfrage bestätigte N26, dass diese Praxis inzwischen geändert wurde.

Gegen das verhängte Bußgeld geht die N26 Bank nun rechtlich vor.

Vor kurzem  hat auch die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) von dem Unternehmen eingefordert, die Kontrolle von möglicher Geldwäsche zu verbessern.

Viele Android-Apps spionieren Nutzer unzulässig aus

18. Februar 2019

Trotz eindeutiger Werberichtlinien von Google senden offenbar zehntausende Android-Apps Werbe-Daten nicht nur mit der dafür vorgesehenen Werbe-ID eines Handys, sondern auch mit permanenten Geräte-IDs an Werbekunden. Werbedienstleister können so auch dann personalisierte Anzeigen darstellen, wenn der Nutzer seine Werbe-ID kürzlich zurückgesetzt hat. Das geht aus einer Untersuchung der unabhängigen Forschungseinrichtung Appcensus aus dem kalifornischen Berkeley hervor. Aus einer Datenbank von 24.000 Android-Apps, die die sogenannte Werbe-ID für Smartphones abfragen, griffen der Studie zufolge rund 70 Prozent weitere Identifizierungsmerkmale ab. Mehr als 18.000 unterschiedliche Apps seien betroffen.

Die sogenannte Werbe-ID soll es eigentlich ermöglichen, dass Smartphone-Nutzer personalisierte Werbung erhalten, ohne gleichzeitig kaum oder gar nicht veränderbare Gerätedaten wie die Seriennummer IMEI, Mac-Adressen von Routern oder die Android-ID (SSAID) übertragen zu müssen. Wie bei Browser-Cookies können Nutzer auf Wunsch die Werbe-ID jederzeit zurücksetzen oder deren Übertragung generell deaktivieren. Im Anschluss sollten Dienstleister nicht mehr in der Lage sein, personalisierte Werbung anhand der vorherigen Nutzung auszuspielen.

Die Forscher vom International Computer Science Institute haben Google bereits im vergangenen September über die Funde informiert, allerdings keine Antwort bekommen. Dem US-Computermagazin Cnet sagte ein Google-Sprecher hingegen: „Die Kombination der Werbe-ID mit Gerätekennungen zum Zwecke der Personalisierung von Anzeigen ist strengstens verboten. Wir überprüfen ständig Apps – einschließlich der im Bericht des Forschers genannten – und werden Maßnahmen ergreifen, wenn sie unseren Richtlinien nicht entsprechen.“

Kategorien: Allgemein · Mobile Business · Tracking
Schlagwörter: , , ,

Panne bei Apple

29. Januar 2019

Der iPhone-Telefoniedienst Facetime weist einen Softwarefehler auf, welcher das Ausspionieren von Kontakten ermöglicht. Die Panne tritt bei der Gruppenfunktion von Facetime auf, die relativ neu eingeführt und nun deaktiviert wurde. Durch den Softwarefehler konnte der Anrufer den Angerufenen noch bevor er den Anruf abnahm, hören. Der Fehler werde in den kommenden Tagen per Sofwareupdate behoben. Auch Mac-Computer sind davon betroffen.

Erst Ende Oktober wurde die Gruppenfunktion mit der Version 12.1 des iPhone-Systems iOS hinzugefügt. Es bleibt unklar, wie lange der Softwarefehler bestand.

Für Apple ist diese Datenpanne sehr unangenehm, da ihr Konzernchef Tim Cook momentan für einen starken Datenschutz wirbt. Außerdem ist Apple für die Komplett-Verschlüsselung und Sicherheit seiner Dienste bekannt.

Datensatz mit gestohlenen Login-Informationen aufgetaucht

18. Januar 2019

Im Internet ist ein 87 Gigabyte großer Datensatz mit gestohlenen Login-Informationen aufgetaucht. Betroffen sind 773 Millionen E-Mailadressen und über 21 Millionen Passwörter.

Die Daten stammen nach ersten Informationen nicht aus einem einzelnen Hack, sondern sind aus verschiedenen zusammengetragen worden. Der Datensatz enthält Informationen von 12.000 Domains und verschiedenen Web-Diensten.

Die Existenz des Datensatzes wurde von dem australischen IT-Sicherheitsexperten Troy Hunt auf seiner Homepage publik gemacht, der den Datensatz als Collection #1. Der Experte schreibt, dass er zunächst von Bekannten auf den Datensatz aufmerksam gemacht worden ist und die Daten ursprünglich bei einem Filehosting-Anbieter verfügbar waren, wo sie inzwischen aber nicht mehr zu finden sind.

Sie haben die Möglichkeit selbst zu überprüfen, ob Ihre Daten betroffen sind. Zur Prüfung muss lediglich die eigene Adresse in das Suchfeld eingegeben und auf „pwned?“ geklickt werden. Der von dem australischen Sicherheitsforscher Troy Hunt veröffentlichte Dienst zur Überprüfung wird von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für vertrauenwürdig gehalten. Sollten Sie betroffen sein, wird empfohlen schnellstmöglich das Passwort zu ändern.

EuGH-Urteil zum Zugriff auf Handydaten

9. Oktober 2018

Der EuGH hat nun entschieden, wann Behörden personenbezogene Daten der Betreiber elektronischer Kommunikationsdienste anfordern dürfen.

In dem bezeichneten Sachverhalt geht es um den Raub einer Brieftasche und eines Mobiltelefons. Die spanische Polizei wollte Zugriff auf Identifikationsdaten der Nutzer der Telefonnummer haben, die mit dem entwendeten Mobiltelefon aktiviert wurden. Identifikationsdaten wie u.a. Name und Adresse des Karteninhabers, sind personenbezogene Daten.

Nach spanischem Recht stellt ein Raub keine „schwere Straftat“ (mehr als 5 Jahre Strafandrohung) dar. In diesem Fall stellt sich nun die Frage, ob eine Verarbeitung dieser Identifikationsdaten zulässig ist, wenn es um Aufklärung einer Straftat geht, die gerade nicht als „schwer“ einzustufen ist. Anders gefragt: Wie weit dürfen die Behörden gehen, um Straftaten aufzuklären?

Zunächst stellt das Gericht u.a. fest, dass der Zugang von Behörden zu den von Betreibern elektronischer Kommunikationsdienste gespeicherten Daten einen Eingriff in die EU-Grundrechtecharta (insb. Art. 7 und 8 EU-GrCh) darstellt.

Sodann stellt der EuGH auf die Schwere des Eingriffs ab. Ein schwerer Eingriff könne nur bei einer schweren Straftat gerechtfertigt sein. Andererseits sei es aber auch grundsätzlich möglich, personenbezogene Daten für die Ermittlungsarbeit zu verarbeiten, wenn es sich nicht um eine schwere Straftat handelt. Um den Grundsatz der Verhältnismäßigkeit zu wahren, dürfte es sich dann aber entsprechend nicht um einen schweren Eingriff handeln.

Letztlich bleibt es aber eine Einzelfallprüfung inwieweit die Datenverarbeitung in die Privatsphäre des Betroffenen eingreift und um welche Straftat es sich handelt. In diesem Fall kommt der Gerichtshof zu dem Ergebnis, dass „der Zugang nur zu den Daten, auf die sich der im Ausgangsverfahren in Rede stehende Antrag bezieht, nicht als „schwerer“ Eingriff in die Grundrechte der Personen eingestuft werden kann, deren Daten betroffen sind, da sich aus diesen Daten keine genauen Schlüsse auf ihr Privatleben ziehen lassen.“

Zusammenfassend:

Erfolgt ein schwerer Eingriff in die Privatsphäre, ist ein Zugang zu den Daten nur für die Aufklärung „schwerer Straftaten“ möglich. Erfolgt kein schwerer Eingriff in die Privatsphäre, ist der Zugang auch für die Aufklärung „nicht schwerer“ Straftaten möglich.

Große amerikanische Unternehmen drängen auf Bundesgesetz für Datenschutz

30. August 2018

Unternehmen wir Facebook, Google etc. scheinen sich dem Thema Datenschutz angenommen zu haben und setzen sich laut der New York Times immer mehr für ein bundesweites Datenschutzgesetz in den USA ein.

Allerdings stehen dort andere Interessen im Vordergrund, als ausschließlich der Datenschutz. Neben der DSGVO wurde im Juni 2018 ebenfalls ein kalifornisches Datenschutzgesetz erlassen, welches vor allem Firmen, die personenbezogene Daten zur kommerziellen Zwecken nutzen, Kopfschmerzen bereitet. Dieses Gesetz soll 2020 in Kraft treten und könnte andere Staaten in den USA dazu bewegen, ähnliche Gesetze auf den Weg zu bringen und damit dem gesamten Geschäftszweig Probleme bereiten.

Der Erlass eines bundesweiten Datenschutzgesetzes könnte allerdings dazu führen, dass den einzelnen Staaten der Wind aus den Segeln genommen wird. Daher liegt der Fokus der technischen Unternehmen nicht mehr unbedingt im Verhindern von Regulationen, sondern vielmehr darauf, ein Gesetz zu erlassen, welches die eigene Handschrift mitträgt und somit „geschäftsschädigende“ Regelungen weitestgehend vermieden werden können. Ob diese Vorgehensweise erfolgreich ist, hängt überwiegend davon ab, welchen Stellenwert der Datenschutz in der amerikanischen Gesellschaft in Zukunft einnehmen wird.

Das ein unternehmensfreundliches Gesetz dabei herum kommt, ist sehr wahrscheinlich. Allerdings wäre es ein erster Schritt in Richtung mehr Datenschutz in den Staaten.

1 2 3 14