Kategorie: Online-Datenschutz
18. Juli 2018
Kalifornische Wissenschaftlicher haben einen neuen Weg gefunden, Passwort-Eingaben auslesen zu können, ohne eine spezielle Software auf dem System installieren oder in das Netzwerk des Unternehmens eindringen zu müssen.
Ausreichend ist eine Wärmebildkamera, mit der die Tastatur gefilmt wird. Die Wissenschaftler der Universität von Kalifornien haben festgestellt, dass bis zu einer Minute nach Eingabe der Passwörter die gedrückten Tasten noch zu erkennen seien, insbesondere dann, wenn die Nutzer die nur mit zwei Fingern statt mit dem Zehn-Finger-System schreiben. In diesen Fällen sind die Wärmeabdrücke bei dieser langsameren Eingabemethode häufig größer und damit für Angreifer einfacher wieder herzustellen.
Die Gefahr ist deshalb so groß, da kein besonderes Fachwissen für die Erkennung der Eingabe notwendig ist und selbst Laien nach einer kurzen Einweisung aus den Bildern auf korrekte Eingabe von Passwort-Fragmenten schließen konnten. Außerdem sei diese Technik unkompliziert und deutlich günstiger als andere Angriffsversuche auf die Infrastruktur eines Netzwerkes. Es ist lediglich eine freie Sicht mit der Kamera auf die Tastatur erforderlich.
Bei dieser Passwort-Rekonstruktion spielen die Stärke des Passworts und andere Maßnahmen, wie etwa spezielle Filter, die den Blick auf den Bildschirm erschweren, keine Rolle mehr.
Um nicht Opfer dieser neuen Methode zu werden, empfehlen die Wissenschaftlicher nach der Eingabe von sensiblen Informationen mit der Hand über die Tastatur zu streichen oder willkürliche Tastenkombinationen einzugeben. Eine weitere Möglichkeit bestünde in der Nutzung einer Bildschirmtastatur.
Diese neue ungewöhnliche Methode für das Ausspähen von Tastatureingaben zeigt auf, dass Passwörter eine Schwachstelle in jedem Sicherheitskonzept darstellen.
Die Zwei-Faktor-Authentifizierung würde eine größere Sicherheit bieten, da diese Möglichkeit den Zugriff auf ein System nicht von der Eingabe eines Passworts abhängig macht.
17. Juli 2018
Der US-Sonderermittler Robert Mueller untersucht seit dem Frühjahr 2017 mit welchen Mitteln die US-Präsidentschaftswahlen 2016 durch Russland beeinflusst werden konnten. Eine im Februar offengelegte Anklageschrift liefert ausführliche Erkenntnisse, dass russische Angreifer das Internet dazu nutzten die politische Haltung von US-Bürgern zu beeinflussen. Ein Sprecher des US-Justizministeriums wies dennoch darauf hin, dass eine Wahlbeeinflussung durch diese Handlung nicht Gegenstand der Anklageschrift sei, da man nicht nachempfinden könnte ob und in welchem Maß die Stimmenabgabe manipuliert wurde. Mueller erläutert in der Anklageschrift vielmehr, in wie weit die russischen Agenten durch Hackerangriffe auf das Wahlkampfteam von Hillary Clinton und die Demokraten in die Wahl eingriffen. Mueller und seinem Team zu Folge schleusten die Hacker sogenannte „Maleware“ auf Rechner der Demokraten durch welche sie beliebig Screenshots machen konnten. Die Ausleitung der Daten erfolgte durch Server, welche in den USA mittels Bitcoins angemietet wurden. Die Veröffentlichung der Daten erfolgte via Twitter und durch den Hacker „Guccifer 2.0“. Darüber hinaus geht die Anklageschrift auf eine vorerst nicht entdeckte „Linux-Maleware“ ein, durch die trotz bereits entdeckter Hackerangriffe weiterhin Daten abgeflossen sind. Auch die Wahlinfrastruktur soll durch ähnliche Hackerangriffe attackiert worden sein, sodass Daten von über 500.000 Wählern erbeutet wurden. Moskau wies die in der Anklageschrift offengelegten Vorwürfe von sich und gab bekannt sich nie in den US-Präsidentschaftswahlkampf eingemischt zu haben. Den Verdacht der Wahlmanipulation erklärte der außenpolitische Berater des russischen Präsidenten damit, dass Gegner einer russisch-amerikanischen Annäherung dieses Thema missbraucht hätten. Die geschädigten Demokraten forderten im Zuge dessen Präsident Trump auf den Gipfel mit Präsident Putin zu verschieben, bis die russische Regierung nachweisen kann, dass die Vorwürfe nicht wahrheitsgetreu sind.
16. Juli 2018
Was passiert mit den Inhalten eines Facebook-Nutzerkontos, wenn der Inhaber verstirbt und diesen Fall nicht vorab in seinen Einstellungen geregelt hat? Sind digitale Daten vererbbar?
Am Donnerstag, den 12. Juli, fiel in Karlsruhe ein Urteil von grundsätzlicher Bedeutung: Private Daten wie ein Facebook-Nutzerkonto fallen nach dem Tod des Nutzers grundsätzlich an seine Erben. Ein Anspruch der Erben auf Einsichtnahme in die Daten ergibt sich aus dem Nutzungsvertrag, welchen ein Kontoinhaber mit Facebook hat. Die Rechte und Pflichten aus diesem Vertrag gehen auf die Erben über.
Das Urteil beendet einen langjährigen Rechtsstreit zwischen Facebook und den Eltern einer verstorbenen Nutzerin, welche sich fünfeinhalb Jahre nach dem Tod ihrer Tochter gegen den US-Konzern durchsetzen konnten. Die Eltern hatten gegen Facebook geklagt, weil sie sich durch eine Einsicht in die Facebook-Kommunikation ihrer Tochter eine Aufklärung der Todesumstände erhofften. Das Mädchen war Ende 2012 in Berlin vor eine U-Bahn gestürzt. Bis heute ist ungewiss, ob es sich um einen tragischen Unfall oder um Selbstmord handelte.
Facebook hatte das Konto nach dem Tod des Mädchens in den Gedenkzustand versetzt und somit „eingefroren“. Auch mit dem Passwort war eine Anmeldung für die Eltern nicht möglich. Das Unternehmen verweigerte eine Freigabe der Kontoinhalte, weil die Freunde des Mädchens darauf vetraut hätten, dass ihre Kommunikation privat bliebe. Diese Ansicht teilte das höchste deutsche Gericht nicht: Zwar können der Absender einer Nachricht bei Facebook darauf vertrauen, dass diese an ein spezielles Konto zugestellt werde, nicht jedoch an eine konkrete Person.
Auch wenn das Urteil Bedenken in Bezug auf die Persönlichkeitsrechte Dritter, mit welchen die Verstorbene kommuniziert hat aufwirft, so ist dieses nur konsequent: Bei Briefen und Tagebüchern bestehen hinsichtlich einer Erbschaft keine Bedenken. Warum sollten digitale Daten dann anders behandelt werden?
11. Juli 2018
Die Regelungen der EU-Datenschutzgrundverordnung (DSGVO) gelten auch für Unternehmen außerhalb der Europäischen Union, wenn sie Daten von EU-Bürgern verarbeiten. Statt die 99 Artikel der DSGVO umzusetzen, haben einige US-Medien schlicht ihre Online-Präsenz für europäische Bürger gesperrt. So sind für Besucher mit europäischen IP-Adressen die Nachrichtenseiten der Baltimore Sun, Chicago Tribune, Los Angeles Times, New York Daily News und San Diego Union-Tribune geblockt. Alle genannten Seiten gehören zum Verleger Tronc, welcher bei einem Zugriff aus Europa verlautbaren lässt, man suche nach Möglichkeiten, die digitalen Angebote auf dem europäischen Raum anzubieten. Die Washington Post hat anlässlich der DSGVO ihr Geschäftsmodell erweitert und bietet eine „Premium EU Ad-Free Subscription“ ohne Werbung und Third-Party-Cookies für Europäer an.
Die wirtschaftlichen Folgen mögen für genannten US-Journalismus gering sein, da sich wohl nur wenige Europäer für Lokalnachrichten aus den USA interessieren. Kleinere Firmen, Start-Ups oder Vereine aus dem EU-Ausland ringen aber mit der DSGVO. Bevor Bußgelder oder Abmahnungen zu befürchten sind, blocken einige Verantwortliche während der Arbeit an den DSGVO-Vorgaben ihre Internetseiten für Europäer.
Die DSGVO gilt unmittelbar, sobald personenbezogene Daten von EU-Bürgern verarbeitet werden. Ob Großkonzern oder Start-Up, die datenschutzrechtlichen Pflichten unterscheiden sich grundsätzlich nicht. Lediglich in Erwägungsgrund 13 der Verordnung werden kleine und mittlere Unternehmen (KMU) ausdrücklich erwähnt. So kann es Entlastungen hinsichtlich Verzeichnissen von Verarbeitungstätigkeiten für Unternehmen mit weniger als 250 Mitarbeitern geben. Doch selbst diese Entlastung birgt gewisse Rechtsrisiken, sodass in der Regel dieser Dokumentationspflicht zu genügen ist. Zusätzlich ruft Artikel 40 DSGVO Verbände und Behörden dazu auf, Verhaltensregeln mit Berücksichtung der Bedürfnisse von KMU anzufertigen. Das Bayerische Landesamt für Datenschutzaufsicht hat für KMU einen Fragebogen und Handreichungen veröffentlicht.
Es bleibt abzuwarten, welche Reaktionen die DSGVO noch auf im EU-Ausland ansässige Anbieter mit Datenverarbeitung von EU-Bürgern haben wird. Journalismus mit globaler Berichterstattung und europäischer Leserschaft wird jedenfalls kaum den Weg einiger US-Medien wählen können und wollen, die Internetpräsenz für Europäer zu sperren.
9. Juli 2018
Der 23. Juli ist der Stichtag, ab dem Google mit der Version 68 des Webbrowsers Chrome unverschlüsselte Seiten ohne TLS-Zertifikat als nicht sicher markieren will. Eine entsprechende Warnung wird dann bei allen HTTP-Webseiten in der Adressleiste erscheinen.
Mit einem Anteil von 60% ist Chrome der Platzhirsch unter den Webbrowsern, sodass es Google mit dieser Maßnahme durchaus möglich ist, Web-Admins erheblich unter Druck zu setzen, ihre Webseiten auf HTTPS umzustellen. Das geplante Vorgehen von Google markiert daher einen weiteren Schritt in Richtung eines verschlüsselten Internets.
Die Zertifizierungsstelle „Let’s Encrypt“ ermöglicht eine kostenlose und unkomplizierte Umstellung auf HTTPS. Lässt man sich ein entsprechendes TLS-Zertifikat ausstellen, so ist darauf zu achten, dass die aktuelle Version (TLS 1.2) zum Einsatz kommt. Ältere Versionen gelten als nicht sicher und könnten zukünftig sogar verboten werden.
Aber Vorsicht: Das Surfen über HTTPs bietet keinen allumfassenden Schutz. HTTPS stellt nur sicher, dass die Übermittlung von Nutzerdaten an eine Webseite verschlüsselt stattfindet. Einige Phishing-Webseiten setzen bewusst HTTPS ein, um vertrauenswürdig zu erscheinen und ihre Opfer in Sicherheit zu wiegen. Der Nutzer assoziiert mit HTTPS Sicherheit und Seriösität, sodass sich die Nutzung von HTTPS mittlerweile als attraktives Werkzeug entpuppt hat, um eine betrügerische Webseite so glaubhaft wie möglich erscheinen zu lassen.
6. Juli 2018
Forscher haben eine künstliche Intelligenz (KI) entwickelt, die die Umsetzung der DSGVO für die EU erleichtern soll. Die KI mit dem Namen Claudette entdeckt Verstöße gegen die DSGVO.
Für die Aufsichtsbehörden ist die Prüfung der Unternehmen hinsichtlich des eingehaltenen Datenschutzes mit einem enormen personellen und zeitintensiven Aufwand verbunden. Aus diesem Grund ist die KI Claudette eine enorme Unterstützung für die überforderten Aufsichtsbehörden.
Bei einem Testlauf durch die KI kamen bei 14 Technologiekonzernen eklatante Mängel im Datenschutz zum Vorschein.
In einer laut Bloomberg Technology durchgeführten Studie, die die KI auch bei Großkonzernen wie Facebook und Google eingesetzt haben, hat sich herausgestellt, dass rund ein Drittel der Policen potentiell problematisch seien oder unzureichende Informationen enthielten.
Auffällig war, dass die Information über die Übermittlung der Daten an Dritte in den meisten Fällen fehlte.
Um Datenschutzverstöße zu identifizieren, nutzt die KI Claudette eine Form von „Machine Learning“, das sogenannte „Natural Language Processing“. Dabei vergleicht sie die untersuchten Datenschutzbedingungen mit den Modelklauseln der DSGVO.
Ob Claudette in Zukunft großflächig zum Einsatz kommt, ist bisher nicht bekannt.
5. Juli 2018
In einer Studie zur Umsetzung der DSGVO kritisiert die norwegische Verbraucherschutzorganisation Forbrukerrådet insbesondere Facebook und Google. Beide Plattformen sollen gezielt eine Zustimmung bezüglich der Datenverarbeitung von ihren Nutzern abdrängen.
Die Verbraucherorganisation wollte durch die Studie mit dem bezeichnenden Titel „Deceived by design“ gegen Irreführungen von Verbrauchern vorgehen. Im Mittelpunkt stand die Art und Weise wie die Zustimmung von den Nutzern der Dienste eingeholt wird. Auffällig schlecht schnitten Google und Facebook ab, auffallend positiv dagegen Microsoft mit Windows 10. Die Organisation wirft Google und Facebook vor, dass durch bestimmte Taktiken die Nutzer gedrängt werden Voreinstellungen zu belassen. Diese Vorgehensweisen werden als „Dark Patterns“ bezeichnet.
Eine der Strategien ist es eine Zustimmung zur Datenverarbeitung sehr einfach zu gestalten (z.B. durch einen einzigen Klick auf einen klar hervorgehobenen Button) und eine Ablehnung möglichst kompliziert (öffnen neuer Dialogfenster ist erforderlich, man sich immer weiter durchklicken). Des Weiteren werden die Nutzer dadurch in die Irre geführt, dass beispielsweise beim Deaktivieren der automatischen Gesichtserkennung bei Facebook darauf hingewiesen wird, dass es ein Sicherheitsrisiko darstellt. Als Grund wird angegeben, dass die Plattform ihre Nutzer so nicht vor Identitätsdieben schützen könne. Darüber hinaus wurde der Eindruck erweckt, dass eine sofortige Zustimmung zur Datenverarbeitung notwendig ist, um die Dienste weiter nutzen zu können.
Aufgrund der Erfahrung und Größe von Facebook und Google gehen die Autoren der Studie davon aus, dass bestimmte Privatsphäre-Optionen gezielt kompliziert gemacht wurden. Die Verbraucherschutzorganisation hat in einem Brief die europäische Datenschutzbehörde aufgefordert genaue Nachforschungen bezüglich der Wirksamkeit der Zustimmung anzustellen.
3. Juli 2018
Nach der DSGVO kommt eine weitere Stufe, die einen angemessenen Verbraucherschutz sicherstellen soll. Mit der in der Vorbereitung befindlichen neuen E-Privacy-Verordnung (EPVO) soll zukünftig der Verbraucherschutz weiter verbessert werden.
Anders als die DSGVO ist die EPVO nicht für jedes Unternehmen relevant, sondern lediglich für solche, die Kommunikationsdienstleistungen anbieten wie z.B. Telefon, Internetzugang, E-Mails, Chats, Messenger-Systeme oder personalisierte Onlinewerbung.
Die mögliche Sprengkraft der EPVO wird deutlich, wenn man bedenkt, dass zahlreiche Online-Medien deshalb kostenlos angeboten werden können, weil diese sich über personalisierte Werbung finanzieren. Durch personalisierte Werbung erhoffen sich Werbungtreibende eine höhere Trefferquote mit den anvisierten Zielgruppen. Kommt es zur einer Einschränkung der Möglichkeiten zur Verfolgung des Nutzerverhaltens, kann dieses Finanzierungsmodell für viele Internetangebote in Zukunft Probleme verursachen.
Die EPVO stellt eine Erweiterung der deutschen Regelungen des Telemediengesetzes und des Gesetzes gegen unlauteren Wettbewerb auf EU-Ebene dar. Durch das TMG und das UWG gibt es derzeit schon zahlreiche Vorschriften, die in der Online-Wirtschaft berücksichtigt werden müssen, dass für die Nutzer deutscher Websites sich nur wenig verändert.
Insbesondere dürfen Tracking-Cookies in Zukunft nicht dazu führen, dass ohne diese Cookies die Website gar nicht genutzt werden kann. Künftig muss explizit danach gefragt werden, ob Tracking-Cookies gesetzt werden dürfen. Wenn Sich der Nutzer dazu entschließt, grundsätzlich keine Tracking-Cookies zu akzeptieren, muss dieser nicht nur die Möglichkeit haben, diese Einstellung im Browser vornehmen zu können, sondern diese muss ebenfalls als Default-Einstellung im Browser vorinstalliert sein. Nicht betroffen von der EPVO sind Cookies, die in einem Online-Shop für den Warenkorb eingesetzt werden, da sonst der ganze Onlinehandel erhebliche Einschränkungen unterlegen wäre.
Diese Erneuerung bedürfen einer Umstrukturierung der Online-Medien, die sich klassischerweise über Webeeinnahmen finanziert haben. Das kann dazu führen, dass Medienangebote in Zukunft nicht mehr kostenlos abrufbar sind oder die Anbieter auf Spenden angewiesen sind.
Wie auch die DSGVO enthält die EPVO erhebliche Strafandrohungen von bis zu 20 Millionen Euro oder viert Prozent des Jahresumsatzes. Anders als bei der DSGVO, bei der es Ausnahmemöglichkeiten für Flüchtigkeitsfehler kleiner Anbieter gibt, gelten diese Strafen ohne Rücksicht für alle kommerziellen Webseiten-Anbieter unabhängig von ihrer Unternehmensgröße.
In einer letztinstanzlich Entscheidung hat das OLG Karlsruhe einen Beschluss des Landgerichts Karlsruhe bestätigt. Ein facebook-Nutzer, der über den Zeitraum von drei Jahren mindestens einhundert Hasskommentare gegen Flüchtlinge auf facebook veröffentlichte, wollte die Löschung seiner Kommentare im Wege der einstweiligen Verfügung verhindern. facebook hatte den Nutzer darüber hinaus für 30 Tage gesperrt.
Der Antragsteller beteiligte sich an politischen Diskussionen unter anderem mit Sätzen wie: „Flüchtlinge: So lange internieren, bis sie freiwillig das Land verlassen!“ In seiner Begründung bezog er sich auf die grundrechtliche Geschützte Meinungsfreiheit aus Art. 5 Abs. 1 GG. Sowohl das Landgericht Karlsruhe, als auch das Oberlandesgericht haben den Antrag zurückgewiesen. Eine weitere Anfechtung der Entscheidung ist nun nicht mehr möglich.
Die Löschung der Kommentare und Sperrung des Nutzers hatte facebook mit ihren Nutzungsbedingungen, die sog. Gemeinschaftsstandards (Ziffer 12), begründet. Da es sich im Verhältnis zwischen facebook und ihren Nutzern jedoch um ein privatrechtliches Verhältnis handelt, haben die Grundrechte nur mittelbare Wirkung. Grundrecht sind grundsätzlich Abwehrrecht der Bürger gegen staatliches Handeln. Diese sei nach Ansicht des OLG Karlsruhe im vorliegenden Fall ausreichend berücksichtigt.
Seit dem 1.1.2018 sind soziale Netzwerke wegen des Netzwerkdurchsetzungsgesetzes dazu angehalten gegen Hetze innerhalb ihres Netzwerkes vorzugehen.
2. Juli 2018
Einem Bericht des Nachrichtenmagazins „Der Spiegel“ nach hat der italienische Sammelalbenhersteller Panini mit erheblichen Sicherheitsproblemen zu kämpfen: Für Unbefugte bestand die Möglichkeit der Kenntnisnahme von personenbezogenen Daten anderer Kunden.
„Mypanini“ ist ein Serviceangebot des Unternehmens, welches die Herstellung und Zusendung personalisierter Klebebildchen beinhaltet. Die Fotos, welche Kunden für ihre Sammelbilder vorsehen, werden über den eigenen Konterfei hochgeladen. Bis vor kurzem war es eingeloggten Nutzern möglich, hochgeladene Bilder und personenbezogene Daten anderer Kunden einzusehen. Zu den personenbezogenen Daten der Betroffenen zählten neben dem (oftmals eigenen) Foto regelmäßig der volle Name, das Geburtsdatum sowie der Wohnort des Nutzers.
Auch wenn Giorgio Aravecchia, Paninis Direktor für Neue Medien, bereits erklärte, dass die Datenpanne umgehend durch ein Sicherheitsupdate behoben wurde, ist der Vorfall als gravierend einzustufen: Auf den für Unbefugte einsehbaren Bildern waren oftmals Kinder abgebildet, teilweise mit nacktem Oberkörper und/oder im privaten Umfeld.
Es liegt nun an Panini einen dsgvo-konformen Umgang mit den personenbezogenen Nutzerdaten sicherzustellen und in diesem Zusammenhang die geeigneten technischen und organisatorischen Maßnahmen zu treffen, um solche Datenschutzpannen präventiv auszuschließen.
