Kategorie: Mobile Business

Apple´s iOS 10.3 soll erstmalig auch Nutzerdaten aus iCloud-Accounts erheben

27. Januar 2017

Fest steht bereits, dass Apple die Nutzerdaten mit der Einführung von iOS 10 nicht mehr nur – wie bisher gehandhabt – nach Einwilligung der Nutzer sammelt. Auch wenn sich Apple bisher nicht klar dazu äußert, welche Daten im Detail zukünftig gesammelt werden, so sollen durch iOS 10 neben Tastatureingaben wohl u.a. auch Aktivitätsdaten aus der Health-App erfasst werden womit eine lokale Datenanalyse auf dem Gerät erfolgen soll.

Dabei sei darauf hingewiesen, dass das Teilen der iCloud-Daten in den Datenschutzeinstellungen von iOS 10 abgeschaltet werden kann.

Mit iOS 10.3 werden nun erstmals Nutzerdaten aus iCloud-Accounts erhoben. Sinn und Zweck ist nach Angaben von Apple die Verbesserung von „intelligenten Diensten“, mithin von Produkten und Assistenzfunktionen, wie dem Erkennen von Gesichtern auf Fotos oder dem Sprachdienst „Siri“.

Nach Angaben von Entwicklern, soll Voraussetzung dafür sein, dass der Nutzer der Datensammlung im Einrichtungsassistenten einmalig zustimmt.

Die Analyse von “Nutzung und Daten des iCloud-Accounts” soll nach Angaben von Apple erst nach Einsatz der Datenschutztechnik “Differential Privacy”, bei welcher die Rückverfolgung auf die Nutzungsdaten einzelner Personen unmöglich sein soll, erfolgen.

 

 

Kategorien: Mobile Business · Online-Datenschutz
Schlagwörter:

Polizei warnt Iphone- und Ipad-Nutzer vor Betrugsmasche

23. Januar 2017

Die niedersächsische Polizei warnt aktuell mit einer Pressemitteilung vor einer Betrugsmasche, die Iphone- und Ipad-Nutzer betrifft.

Während des Surfens im Netz erscheint plötzlich ein Sperrbildschirm, sodass eine weitere Nutzung des Browsers unmöglich ist. Der Sperrbildschirm zeigt einen angeblichen Hinweis des Bundeskriminalamts (BKA) an und weist darauf hin, dass der Nutzer illegale Internetinhalte, wie beispielsweise Kinderpornografieseiten oder illegale Streamingseiten, besucht hat. Die Seite fordert den Nutzer dazu auf, eine Geldstrafe in Höhe von 200€ als Strafe zu zahlen und der Browser wird im Gegenzug innerhalb der nächsten 24 Stunden wieder entsperrt.

Bei der Polizei sind im Januar bereits mehrere Anzeigen bezüglich dieser Betrugsmasche eingegangen.

Zu raten ist den geforderten Geldbetrag nicht zu zahlen.

Der Browser kann auch ohne fremde Hilfe wieder entsperrt werden, indem in den Einstellungen unter dem Punkt Safari die “Verlauf und Websitedaten“ gelöscht werden. Dabei wird dann allerdings nicht nur das Fenster geschlossen bei dem die Sperrmeldung kam, sondern auch alle anderen geöffneten Seiten.

 

WhatsApp-Verschlüsselung hat Hintertür zu Facebook

17. Januar 2017

Die Begeisterung der WhatsApp-Nutzer war groß, als der Branchenprimus der Messenger verkündete, die Kommunikation der Nutzer Ende-zu-Ende zu verschlüsseln. Galt dies doch seit dem Launch der App als größtes Sicherheitsmanko. Wie sich nun rausstellt, hat diese Verschlüsselung wohl trotzdem seine Grenzen. Und diese liegen erwartungsgemäß in der Konzerneinbindung begründet. Demnach kann die Konzernschwester Facebook bei Bedarf seit Beginn der Verschlüsselung im April 2016 Nachrichten der WhatsApp-Nutzer in Reinschrift mitlesen. Dies ergaben Recherchen des britischen Guardian. Entwickler der App dementierten dies umgehend.

Achtung: Gefälschte Gutscheine

9. Januar 2017

Zurzeit kursieren auf WhatsApp Nachrichten die beispielweise einen LIDL-Gutschein in Höhe von 250€ versprechen. Dabei handelt es sich jedoch nicht um eine Aktion des Einzelhändlers, sondern um eine Fälschung.

Hinter der Fälschung stecken Datensammler, die mit Hilfe des Gutscheins personenbezogene Daten der Nutzer erlangen wollen. LIDL nahm bereits via Twitter von dem Gutschein Abstand.

Öffnet der Nutzer den in der Nachricht enthaltenen Link gelangt er auf eine Website, die aussieht als würde sie von dem Einzelhändler betrieben, wird sie aber nicht. Der Nutzer wird zunächst aufgefordert Fragen zu seinem Kundenverhalten zu beantworten. Auf verschiedenen anderen Websites die durch Weiterleitungen erreicht werden, sollen noch andere personenbezogene Daten angegeben werden. Zudem soll sich der Nutzer damit einverstanden erklären, dass er auf verschiedenen Wegen (per E-Mail oder SMS, postalisch oder telefonisch) über neue Angebote informiert wird. Zudem soll die WhatsApp-Nachricht wie ein Kettenbrief an Kontakte weitergeleitet werden, damit noch mehr Daten gesammelt werden können. Die eingegebenen Daten gehen anscheinend an Prorewards.net, wie onlinewarnungen.de herausgefunden haben will.

Den versprochenen Gutschein gibt es am Ende natürlich trotzdem nicht.

Was können Sie tun, wenn sie einen solchen Link erhalten? Sie sollten den Link nicht anklicken, sondern die Nachricht löschen. Es droht nicht nur die Preisgabe Ihrer Daten an dubiose Anbieter, sondern Sie können auf eine Website mit Schadsoftware weitergeleitet oder in eine Abofalle gelockt werden.

Entwurf für ePrivacy-Verordnung

2. Januar 2017

Ein Entwurf der Privacy-Verordnung für elektronische Kommunikation (ePrivacy-VO) durch die Europäische Kommission wurde geleakt. Mit der Verordnung soll die bisher geltende ePrivacy-Richtlinie (RL 2002/58) ersetzt werden. Durch diese wurden bislang Mindestvorgaben für den Datenschutz in der Telekommunikation gesetzt. Die Richtlinie wurde von den Nationalstaaten unterschiedlich in nationales Recht transformiert. In Deutschland wurden die Mindestvorgaben durch Novellierung des Telekommunikatiosngesetzes transformiert, nachdem die Europäische Kommission bereits ein Vertragsverletzungsverfahren gegen die Bundesrepublik wegen Verstoßes gegen die Umsetzungsfrist einleitete. Ein derartiger „Flickenteppich“ unterschiedlicher nationaler Gesetze wird nun durch den gesetzgeberischen Weg einer Vorordnung umgangen, da diese unmittelbare Anwendung findet.

Zwar ist der Gesetzgebungsprozess der ePrivacy-Verordnung noch nicht abgeschlossen, gleichwohl sind im Entwurf bereits gravierende Änderungen zur gegenwärtigen Rechtslage erkennbar.

Wie in der Datenschutzgrundverodnung (DS-GVO) ist räumlich eine extraterritoriale Anwendung vorgesehen. Entscheidend für die Anwendbarkeit der Verordnung sollen die Nutzung und das Anbieten von Kommunikationsdiensten in der EU sein, unabhängig davon, ob die eigentliche Datenverarbeitung außerhalb der EU stattfindet. Eine Umgehung des EU-Datenschutzrechts, wie beispielsweise durch Outsourcing der Datenverarbeitung, soll so verhindert werden.

Die ePrivacy-Verordnung findet sachlich auch auf sogenannte Over-the-Top-Dienste (OTTs), wie Messenger, und auf den für das Internet-of-Things (IoT) wesentlichen Datentransfer zwischen Maschinen Anwendung. Informationen, die im Rahmen der vernetzten Industrie zwischen zwei Geräten ausgetauscht werden, können auch personenbezogene Daten im Sinne der DS-GVO enthalten. Die näheren Umstände der Kommunikation, welche über den Inhalt hinausgehen (Metadaten) werden nun erfasst. Diese dürfen ohne vorherige Einwilligung der End-Nutzer nur in bestimmten Fällen, wie etwa zur Qualitätssicherung, IT-Sicherheit oder der Abrechnung, verarbeitet werden. Sofern demgegenüber keine Rechtsgrundlage für eine Verarbeitung besteht, müssen die Daten unverzüglich gelöscht oder anonymisiert werden.

Beim Einsatz von Cookies und anderen Tracking-Tools wird die vorherige Einwilligung der Nutzer benötigt. Dies wird auf anderweitiges Tracking (z.B. GPS), sowie den Zugriff auf im Endgerät gespeicherte Daten (z.B. Fotos, Kontakte, Nachrichten), erweitert. Die Einwilligung soll benutzerfreundlich eingeholt werden und durch technische Einstellungen des Browsers möglich sein (Privacy by Design).

Wie bereits nach der DS-GVO, sollen auch unter der ePrivacy-VO erhebliche Bußgelder von bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können.

Sensible Daten auf Smartphones werden zu wenig geschützt

9. November 2016

Nach einer aktuellen Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nutzt rund jeder fünfte Smartphone-Besitzer (20,7 %) sein Gerät ohne jegliche Sicherheitsfunktion. Dies überrascht umso mehr vor dem Hintergrund, dass fast Dreiviertel der Nutzer (74,6 %) sensible Daten wie Bilder, Videos, Kontaktdaten, Passwörter und sogar Gesundheitsdaten (etwa in Form von sog. Fitness-Apps) auf ihren Smartphones oder Tablets ablegen.

Das Marktforschungsinstituts TNS Infratest GmbH hatte diese Umfrage Ende Oktober im Auftrag des BSI anlässlich der vierten Aktionswoche im European Cyber Security Month (ECSM) durchgeführt. Das BSI nutzte diese Aktionswoche, um über Risiken und Schutzmöglichkeiten für Smartphones aufzuklären und die Nutzer zu sensibilisieren. Wie das konkret aussehen kann, hat das BSI auf einer Service-Seite zusammengestellt. Wenigstens die einfachen Sicherheitsmaßnahmen sollten konsequent und regelmäßig umgesetzt werden, wie beispielsweise die regelmäßige Aktualisierung des Betriebssystems, das Sichern des Gerätes mit PIN, Wischmuster oder Fingerabdruck und die Deaktivierung von offenen Schnittstellen wie WLAN oder Bluetooth bei Nichtgebrauch.

Bedenkt man, dass auch in Unternehmen teilweise die Verwendung des persönlichen Smartphones für betriebliche Zwecke zugelassen ist („Bring your own device – BYOD“), hat dieses Umfrageergebnis auch eine Bedeutsamkeit für den Datenschutz im Unternehmen.

Kategorien: Allgemein · Mobile Business
Schlagwörter: , ,

Dropbox verliert durch Datenleck mehr als 68 Mio. Passwörter

1. September 2016

Quasi unendlicher Speicherplatz und stete, vom Endgerät unabhängige Erreichbarkeit. Die offensichtlichen Vorzüge des Cloud-Hostings liegen auf der Hand, doch birgt das Thema nicht unerhebliche Datenschutzrisiken. Insbesondere wenn internationale Anbieter genutzt werden, ist die datenschutzrechtlich vorgeschriebene Kontrolle über die eigenen Daten schnell nicht mehr vorhanden. Subunternehmer sind nicht erkennbar, Verschlüsselungen fehlen oder Auftragsdatenverarbeitungsverträge können nicht abgeschlossen werden, diese Punkte sind nur beispielhaft für die Probleme die sich daraus ergeben.

Nichts desto trotz taucht in der Mandatsarbeit regelmäßig die Frage nach der Nutzbarkeit von Clouds auf, und nicht selten wird dabei Dropbox als Wunschanbieter genannt. Der US-amerikanische Anbieter ist jedoch aus den oben benannten Gründen keine Option für den Einsatz im Unternehmen. Die Sicherheitsbedenken bestätigen sich nun durch einen Vorfall im Jahr 2012, der aber erst jetzt publik wurde. Dabei waren mehr als 68 Mio. Passwörter von Nutzern gehackt worden. Laut Dropbox soll es jedoch keinen unbefugten Zugriff auf Kundenkonten gegeben haben. Dropbox rät den Nutzern, die sich vor 2012 registriert haben und seitdem ihr Passwort nicht geändert haben, dies nun nachzuholen.

Kategorien: Hackerangriffe · Mobile Business · Online-Datenschutz
Schlagwörter:

Facebook implementiert „Local Awareness“-Funktion

23. Juni 2016

Eine neue Funktion im sozialen Netzwerk Facebook bietet Dienstleistern neuerdings die Möglichkeit ihren tatsächlichen Erfolg von Werbeanzeigen in dem Netzwerk zu verifizieren. Hierbei können die Händler ihre Angebote auf Facebook mit einem geographisch definierten Gebiet verbinden. Bekommt anschließend ein Nutzer einer Werbeanzeige angezeigt und betritt mit eingeschalteter Ortungsfunktion im Mobilfunkgerät ein Geschäft des Händlers in dem Gebiet, wird dies durch Facebook registriert. Zudem sollen mit Hilfe von Programmierschnittstellen zwischen den Kassensystemen der Händler und Facebook tatsächlich getätigte Einkäufe erfasst werden können. Facebook gab an, dass die Händler die Kunden jedoch nicht einzeln erfassen könnten.

FBI entschlüsselt Smartphones

1. April 2016

Der Rechtsstreit zwischen Apple und dem FBI hinsichtlich der Entschlüsselung der iPhones von Tatverdächtigen hat sich erledigt. Zwischenzeitlich hat das FBI ohne Mithilfe von Apple einen Weg gefunden, an die auf dem Smartphone gespeicherten Daten zu gelangen. Hintergrund des Rechtsstreits war, dass das FBI im Rahmen der Strafverfolgung der mutmaßlichen Täter des Attentats von San Bernadino im Dezember 2015 den iPhone-Hersteller um Zugriff auf die Daten in deren Smartphones bat. Apple weigerte sich jedoch mit dem Argument des Datenschutzes der Anordnung nachzukommen.

Die Terroranschläge in Europa entfachen auch in den EU-Mitgliedsstaaten erneut die scheinbar endlose Debatte um die Abwägung von Sicherheit vs. Datenschutz. Das Argument der Sicherheitsbehörden auf Daten in Smartphones, PCs und weiteren Endgeräten zum Zwecke einer effektiven Gefahrenabwehr und Strafverfolgung zugreifen zu dürfen, erscheint plausibel. Gleichzeitig muss bedacht werden, dass das Streben nach Sicherheit nicht die Grundrechte der Bürger auf informationelle Selbstbestimmung und Vertraulichkeit und Integrität informationstechnischer Systeme ausgehöhlt und diese nur noch auf dem Papier existieren.

Da sich in dieser Hinsicht pauschale Regelungen verbieten, wird und sollte die öffentliche Debatte um die Abwägung von Sicherheit vs. Datenschutz weiterhin geführt werden.

Online Banking mittels TAN-Apps in der Kritik

23. Oktober 2015

Wie Forscher der Uni Erlangen in einem Angriff zeigen konnten, ist die Kombination der Sparkassen-Apps Sparkasse+ und pushTAN für Angreifer ausnutzbar. Bei Nutzung beider Apps auf einem Gerät genügt es Angreifern, einen Trojaner auf das Gerät zu installieren, um Transaktionen durchzuführen. Dieser Versuch entblößt zwar mit der Sparkasse vordergründig nur ein Bankhaus. Die Apps der Sparkasse wurden hier jedoch nur exemplarisch gewählt. Die Forscher weisen ausdrücklich darauf hin, dass die Sicherheitslücke bei allen Banken bestehen dürfte, die auf diese Weise vorgehen.

Der Nachteil eines Systems, welches nur auf ein Gerät abstellt, liegt auf der Hand. Ist dieses Gerät einmal kompromitiert, stehen dem Angreifer die Tore zum Konto des Betroffenen offen. Das in dieser Hinsicht sicherlich vorzugswürdige System mittels ChipTan ist in der Praxis unbeliebt, da es für Transaktionen erfordert, dass man einen TAN-Generator zur Verfügung hat.

Grund sofort das Online-Banking einzustellen und wieder auf den Sparstrumpf zu setzen besteht aber vorerst nicht unbedingt. Wie heise online ausführt ist der vorgeführte Angriff auf das Android-Betriebssystem (mittels Root Exploit) durchaus komplex. Die Forscher hätten allein mehrere Wochen benötigt um die App genau zu analysieren. Die Forscher halten einen Angriff von professionellen Online-Banking-Betrügern auf diese Weise aber für wiederholbar. Ein vollends sicheres System, welches gleichzeitig auch größtmögliche Benutzerfreundlichkeit bietet, ist also noch nicht gefunden.

1 3 4 5 6 7 14