Kategorie: Mobile Business

Viele Android-Apps spionieren Nutzer unzulässig aus

18. Februar 2019

Trotz eindeutiger Werberichtlinien von Google senden offenbar zehntausende Android-Apps Werbe-Daten nicht nur mit der dafür vorgesehenen Werbe-ID eines Handys, sondern auch mit permanenten Geräte-IDs an Werbekunden. Werbedienstleister können so auch dann personalisierte Anzeigen darstellen, wenn der Nutzer seine Werbe-ID kürzlich zurückgesetzt hat. Das geht aus einer Untersuchung der unabhängigen Forschungseinrichtung Appcensus aus dem kalifornischen Berkeley hervor. Aus einer Datenbank von 24.000 Android-Apps, die die sogenannte Werbe-ID für Smartphones abfragen, griffen der Studie zufolge rund 70 Prozent weitere Identifizierungsmerkmale ab. Mehr als 18.000 unterschiedliche Apps seien betroffen.

Die sogenannte Werbe-ID soll es eigentlich ermöglichen, dass Smartphone-Nutzer personalisierte Werbung erhalten, ohne gleichzeitig kaum oder gar nicht veränderbare Gerätedaten wie die Seriennummer IMEI, Mac-Adressen von Routern oder die Android-ID (SSAID) übertragen zu müssen. Wie bei Browser-Cookies können Nutzer auf Wunsch die Werbe-ID jederzeit zurücksetzen oder deren Übertragung generell deaktivieren. Im Anschluss sollten Dienstleister nicht mehr in der Lage sein, personalisierte Werbung anhand der vorherigen Nutzung auszuspielen.

Die Forscher vom International Computer Science Institute haben Google bereits im vergangenen September über die Funde informiert, allerdings keine Antwort bekommen. Dem US-Computermagazin Cnet sagte ein Google-Sprecher hingegen: “Die Kombination der Werbe-ID mit Gerätekennungen zum Zwecke der Personalisierung von Anzeigen ist strengstens verboten. Wir überprüfen ständig Apps – einschließlich der im Bericht des Forschers genannten – und werden Maßnahmen ergreifen, wenn sie unseren Richtlinien nicht entsprechen.”

Kategorien: Allgemein · Mobile Business · Tracking
Schlagwörter: , , ,

Panne bei Apple

29. Januar 2019

Der iPhone-Telefoniedienst Facetime weist einen Softwarefehler auf, welcher das Ausspionieren von Kontakten ermöglicht. Die Panne tritt bei der Gruppenfunktion von Facetime auf, die relativ neu eingeführt und nun deaktiviert wurde. Durch den Softwarefehler konnte der Anrufer den Angerufenen noch bevor er den Anruf abnahm, hören. Der Fehler werde in den kommenden Tagen per Sofwareupdate behoben. Auch Mac-Computer sind davon betroffen.

Erst Ende Oktober wurde die Gruppenfunktion mit der Version 12.1 des iPhone-Systems iOS hinzugefügt. Es bleibt unklar, wie lange der Softwarefehler bestand.

Für Apple ist diese Datenpanne sehr unangenehm, da ihr Konzernchef Tim Cook momentan für einen starken Datenschutz wirbt. Außerdem ist Apple für die Komplett-Verschlüsselung und Sicherheit seiner Dienste bekannt.

Datensatz mit gestohlenen Login-Informationen aufgetaucht

18. Januar 2019

Im Internet ist ein 87 Gigabyte großer Datensatz mit gestohlenen Login-Informationen aufgetaucht. Betroffen sind 773 Millionen E-Mailadressen und über 21 Millionen Passwörter.

Die Daten stammen nach ersten Informationen nicht aus einem einzelnen Hack, sondern sind aus verschiedenen zusammengetragen worden. Der Datensatz enthält Informationen von 12.000 Domains und verschiedenen Web-Diensten.

Die Existenz des Datensatzes wurde von dem australischen IT-Sicherheitsexperten Troy Hunt auf seiner Homepage publik gemacht, der den Datensatz als Collection #1. Der Experte schreibt, dass er zunächst von Bekannten auf den Datensatz aufmerksam gemacht worden ist und die Daten ursprünglich bei einem Filehosting-Anbieter verfügbar waren, wo sie inzwischen aber nicht mehr zu finden sind.

Sie haben die Möglichkeit selbst zu überprüfen, ob Ihre Daten betroffen sind. Zur Prüfung muss lediglich die eigene Adresse in das Suchfeld eingegeben und auf “pwned?” geklickt werden. Der von dem australischen Sicherheitsforscher Troy Hunt veröffentlichte Dienst zur Überprüfung wird von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für vertrauenwürdig gehalten. Sollten Sie betroffen sein, wird empfohlen schnellstmöglich das Passwort zu ändern.

EuGH-Urteil zum Zugriff auf Handydaten

9. Oktober 2018

Der EuGH hat nun entschieden, wann Behörden personenbezogene Daten der Betreiber elektronischer Kommunikationsdienste anfordern dürfen.

In dem bezeichneten Sachverhalt geht es um den Raub einer Brieftasche und eines Mobiltelefons. Die spanische Polizei wollte Zugriff auf Identifikationsdaten der Nutzer der Telefonnummer haben, die mit dem entwendeten Mobiltelefon aktiviert wurden. Identifikationsdaten wie u.a. Name und Adresse des Karteninhabers, sind personenbezogene Daten.

Nach spanischem Recht stellt ein Raub keine “schwere Straftat” (mehr als 5 Jahre Strafandrohung) dar. In diesem Fall stellt sich nun die Frage, ob eine Verarbeitung dieser Identifikationsdaten zulässig ist, wenn es um Aufklärung einer Straftat geht, die gerade nicht als “schwer” einzustufen ist. Anders gefragt: Wie weit dürfen die Behörden gehen, um Straftaten aufzuklären?

Zunächst stellt das Gericht u.a. fest, dass der Zugang von Behörden zu den von Betreibern elektronischer Kommunikationsdienste gespeicherten Daten einen Eingriff in die EU-Grundrechtecharta (insb. Art. 7 und 8 EU-GrCh) darstellt.

Sodann stellt der EuGH auf die Schwere des Eingriffs ab. Ein schwerer Eingriff könne nur bei einer schweren Straftat gerechtfertigt sein. Andererseits sei es aber auch grundsätzlich möglich, personenbezogene Daten für die Ermittlungsarbeit zu verarbeiten, wenn es sich nicht um eine schwere Straftat handelt. Um den Grundsatz der Verhältnismäßigkeit zu wahren, dürfte es sich dann aber entsprechend nicht um einen schweren Eingriff handeln.

Letztlich bleibt es aber eine Einzelfallprüfung inwieweit die Datenverarbeitung in die Privatsphäre des Betroffenen eingreift und um welche Straftat es sich handelt. In diesem Fall kommt der Gerichtshof zu dem Ergebnis, dass „der Zugang nur zu den Daten, auf die sich der im Ausgangsverfahren in Rede stehende Antrag bezieht, nicht als „schwerer“ Eingriff in die Grundrechte der Personen eingestuft werden kann, deren Daten betroffen sind, da sich aus diesen Daten keine genauen Schlüsse auf ihr Privatleben ziehen lassen.“

Zusammenfassend:

Erfolgt ein schwerer Eingriff in die Privatsphäre, ist ein Zugang zu den Daten nur für die Aufklärung “schwerer Straftaten” möglich. Erfolgt kein schwerer Eingriff in die Privatsphäre, ist der Zugang auch für die Aufklärung “nicht schwerer” Straftaten möglich.

Große amerikanische Unternehmen drängen auf Bundesgesetz für Datenschutz

30. August 2018

Unternehmen wir Facebook, Google etc. scheinen sich dem Thema Datenschutz angenommen zu haben und setzen sich laut der New York Times immer mehr für ein bundesweites Datenschutzgesetz in den USA ein.

Allerdings stehen dort andere Interessen im Vordergrund, als ausschließlich der Datenschutz. Neben der DSGVO wurde im Juni 2018 ebenfalls ein kalifornisches Datenschutzgesetz erlassen, welches vor allem Firmen, die personenbezogene Daten zur kommerziellen Zwecken nutzen, Kopfschmerzen bereitet. Dieses Gesetz soll 2020 in Kraft treten und könnte andere Staaten in den USA dazu bewegen, ähnliche Gesetze auf den Weg zu bringen und damit dem gesamten Geschäftszweig Probleme bereiten.

Der Erlass eines bundesweiten Datenschutzgesetzes könnte allerdings dazu führen, dass den einzelnen Staaten der Wind aus den Segeln genommen wird. Daher liegt der Fokus der technischen Unternehmen nicht mehr unbedingt im Verhindern von Regulationen, sondern vielmehr darauf, ein Gesetz zu erlassen, welches die eigene Handschrift mitträgt und somit “geschäftsschädigende” Regelungen weitestgehend vermieden werden können. Ob diese Vorgehensweise erfolgreich ist, hängt überwiegend davon ab, welchen Stellenwert der Datenschutz in der amerikanischen Gesellschaft in Zukunft einnehmen wird.

Das ein unternehmensfreundliches Gesetz dabei herum kommt, ist sehr wahrscheinlich. Allerdings wäre es ein erster Schritt in Richtung mehr Datenschutz in den Staaten.

Mehr Sicherheit bei Instagram durch verbesserte 2-Faktor-Authentifizierung und Konto-Verifikation

29. August 2018

Instagram wird zukünftig seine 2-Faktor-Authentifizierung ausbauen, um den Verifikationsprozes für die Mitglieder zu vereinfachen.

Zum jetzigen Zeitpunkt ist als zweiter Faktor nur die Authentifizierung via SMS möglich. Diese Methode wird jedoch als unsicher bewertet, da es potentiellen Angreifern möglich wäre, die Telefonnummern-Mitnahme zu missbrauchen, um eine Nummer einer anderen SIM-Karte zuzuschreiben. In den kommenden Wochen soll daher die App “Google Authenticator” zu mehr Sicherheit beitragen: Diese wird einen Code produzieren, mithilfe dessen Eingabe erst die Anmeldung ermöglicht wird. Im Unterschied zu der SMS-Authentifizierung kann der Code in diesem Fall nicht auf anderen Geräten erzeugt werden.

Darüber hinaus soll in Zukunft die Überprüfung der Echtheit von Profilen für die Nutzer erleichtert werden: Ein weißes Häkchen auf blauem Grund wird die Echtheit eines Profils bestätigen und somit die Account-Verifikation erweitern. Für die Nutzer bedeutet das konkret, dass sie eine Verifikation selbst über einen entsprechenden Button anfordern und mithilfe ihres Personalausweisfotos sodann ihre Identität bestätigen können.

Auch wenn bei Instagram in datenschutzrechtlicher Hinsicht noch viel Optimierungspotential besteht, so sind diese beiden Modifizierungen gleichwohl als Schritt in die richtige Richtung zu werten.

Staatstrojaner und Online-Durchsuchung auf dem Prüfstand: Mehrere FDP-Politiker reichen Verfassungsbeschwerde ein

20. August 2018

Mit diesem Schritt ziehen zahlreiche bekannte Politiker der FDP dem Datenschutzverein Digitalcourage nach, welcher schon vor einigen Tagen Verfassungsbeschwerde einreichte.

Nicht nur der Weg, auf welchem die CDU/CSU-Fraktion und die SPD das umstrittene Gesetz durch Bundestag und Bundesrat brachten, wirft Fragen auf. Inhaltlich richtet sich die Beschwerde gegen die auf die laufende Kommunikation abzielende Quellen-Telekommunikationsüberwachung sowie gegen die Online-Durchsuchung, welche es der Bundespolizei bereits bei einem Verdacht auf eine besonders schwere Straftaten erlaubt, alle Daten eines bestimmten Gerätes zu durchleuchten. Bislang durften derartige Mittel nur zur Terrorabwehr eingesetzt werden.

Die Auswirkungen des Gesetzes sind nicht zu unterschätzen, zumal nun auch die Inhalte verschlüsselter Kommunikationsmedien wie WhatsApp und Threema, welche dem Grundsatz nach nur auf dem jeweiligen Endgerät des Kommunikationspartners lesbar sind, eingesehen werden können.

Insbesondere in Anbetracht des starken Eingriffs in die Privatsphäre als Ausgestaltung des allgemeinen Persönlichkeitsrechts, liegt es nun an den Richtern in Karlsruhe, eine sorgsame Überprüfung des Gesetzes vorzunehmen. Die Kernfrage dürfte hierbei sein, bis zu welchem Punkt es dem Staat erlaubt ist, das technisch Mögliche auch wirklich umzusetzen. Der Schutz der Privatsphäre dürfte in seiner Bedeutung jedenfalls nicht geringer zu bewerten sein, als das Interesse der Sicherheitsbehörden, in technischer Hinsicht zeitgemäß und effektiv handeln zu können.

Apple Pay Cash wird von US-Verbraucherschutz-Organisation für gut befunden

9. August 2018

Die Funktion Apple Pay Cash ist seit Dezember 2017 in den USA verfügbar und ermöglicht Applenutzern über iMessage Geld an andere Nutzer zu transferieren. In einem Test der Verbraucherschutz-Organisation Consumer Reports, die die Funktion mit ähnlichen Produkten anderer, konkurrierenden, Unternehmen verglich, schnitt Apple Pay Cash mit Bestnoten ab und war in allen Testkategorien besser als die Produkte der anderen Anbieter. Insbesondere in den Bereichen Datenschutz und Datensicherheit konnte die Funktion die Tester überzeugen, da Apple angibt, weder Kreditkartennummern zu speichern noch personenbezogene Daten an Dritte zu verkaufen.

Wann die Funktion in Deutschland bereitgestellt wird und genutzt werden kann, ist noch nicht bekannt. Die Grundfunktion Apple Pay, bei der bislang in Deutschland zehn Finanzinstitute teilnehmen wollen, soll allerdings noch in diesem Jahr verfügbar sein.

 

Spioniert Facebook die Konten seiner Nutzer aus?

7. August 2018

Facebook wird wohl zeitnah eine neue Dienstleistung anbieten: In Zukunft sollen Banken ihre Kunden auch via Facebook betreuen können. Im Rahmen dieser Dienstleistung fragt das Social-Media-Unternehmen nach eigener Auskunft allerdings nicht aktiv nach Finanzdaten der Nutzer.

Diese Aussage steht im Widerspruch zu einem Bericht des Wall Street Journal, nach welchem Facebook sich aktiv Informationen über Einkäufe mit Kreditkarten oder Kontoständen der eigenen Nutzer im letzten Jahr einholen wollte und zu diesem Zwecke große amerikanische Geldhäuser wie bspw. JPMorgan Chase oder Wells Fargo kontaktierte. In dem Bericht wurden Bedenken bzgl. der Datensicherheit geäußert, zumal Facebook bei den Banken auch versucht haben soll in Erfahrung zu bringen, wo die Nutzer mit ihren Kreditkarten einkaufen.

Nach der Aussage eines Firmensprechers seien diese Informationen unzutreffend. Facebook sei eines von zahlreichen Online-Unternehmen, welches mit Finanzdienstleistern zusammen arbeite, um Leistungen wie Kundenchat oder Kontoführung zu ermöglichen. Diese Dienstleistungen werden angeboten, da es für den Nutzer einfacher sei, mit seiner Bank über Facebook zu kommunizieren, als am Telefon. Der Sprecher versicherte zudem, dass Facebook die Daten nur zu diesem Zweck und nicht zu Webezwecken verwende.

Während der Aktienkurs an der Börse in der Aussicht auf das zukünftige Dienstleistungsgeschäft deutlich anstieg, zeigten sich einige Banken wenig erfreut. Bereits ein Finanzdienstleister hat in Anbetracht der datenschutzrechtlichen Problematik eine Kooperation mit Facebook abgelehnt.

Bundesgerichtshof bestätigt Neuregelung zur Störerhaftung

27. Juli 2018

Der Bundesgerichtshof (BGH) hat am Donnerstag die Neuregelung zur Störerhaftung dem Grunde nach bestätigt.

Der BGH urteilte in einem seit 2013 anhängigen Verfahren zu Gunsten des Beklagten, Az.: I ZR 64/17, der in den Vorinstanzen noch unterlegen war. Der Anschlussinhaber eines ungesichterten WLANs haftet nicht für Urheberrechtsverletzungen. Damit bestätigte der BGH zum einen die Neuregelung der Störerhaftung im Telemediengesetz (TMG), zum anderen entspricht das Urteil der Rechtsprechung des Europäischen Gerichtshof (EuGH), was bedeutet, dass das reformierte TMG mit EU-Recht vereinbar ist. Damit endet die Störerhaftung für Betreiber offener WLANs.

Betreiber können somit künftig nicht mehr auf Unterlassung und Schadensersatz verklagt werden, wenn jemand den Anschluss für illegale Uploads missbraucht. Eine solche Regelung findet sich auch seit 2017 in § 8 TMG. Hinsichtlich der Frage, ob der Klägerin gegen den Beklagten ein Anspruch auf Sperrung von Informationen gemäß § 7 Abs. 4 TMG zusteht, hat der BGH die Sache an die Vorinstanz zurückverwiesen.

1 2 3 4 15