Kategorie: Online-Datenschutz
17. Juli 2020
Hacker verschafften sich Zugang zu den Prominenten-Accounts mit Millionen Followern. Betroffene sind unter anderem Barack Obama, Warren Buffet, Kanye West, Bill Gates, Elon Musk und Jeff Bezos.
Auf den gehackten Accounts wurde am Mittwoch dazu aufgefordert, Bitcoins zu überweisen. Nach öffentlichen Daten flossen Bitcoins im Wert von mindestens 120.000 Dollar über rund 400 Überweisungen ab.
„Harter Tag für uns bei Twitter.“
Dies erklärte Twitter-Chef Jack Dorsey. Laut Twitter haben die Hacker sich anscheinend zunächst die Zugänge von Twitter-Mitarbeitern gesichert und erst anschließend die Profile der Prominenten gehackt. Es handelt sich nach Meinung vieler Experten um einen der größten Angriffe auf eine reichweitenstarke Social-Media-Plattform.
Twitter sperrte nach mehr als einer Stunde die entsprechenden Konten. Nach Meinung von Experten, ist es sehr wahrscheinlich, dass die Hacker Zugriff auf die Systeme von Twitter gehabt haben. Daher ist das wahre Ausmaß der Attacke noch nicht abzusehen. Da manche Politiker über ihren Twitter-Kanal auch Außenpolitik betreiben, ist das Risiko nicht nur monetärer Natur.
3. Juli 2020
In dem Rechtsstreit Max Schrems gegen die Facebook Ireland Limited ist am 30.06.2020 – Aktenzeichen 3 Cg 52/14k-91 – ein Urteil ergangen. Hier hat das „Landesgericht für ZRS Wien“ entschieden, dass
1. die Beklagte dem Kläger binnen vierzehn Tagen schriftlich und kostenlos vollständig Auskunft über alle von ihr verarbeiteten personenbezogenen Daten des Klägers unter Angabe der genauen Herkunft und gegebenenfalls der genauen Empfänger der Daten zu erteilen.
2. Dem Kläger binnen vierzehn Tagen einen Betrag von 500 € zu zahlen. (Redaktionelle Leitsätze)
Sachverhalt
Der Kläger stellte in den Jahren 2011, 2012, 2013, 2015 und zuletzt 2019 Auskunftsbegehren nach Maßgabe des Art. 15 DSGVO. Diese beantwortete die Beklagte zunächst mit einer 18-Seitigen Pdf-Datei vom 09.06.2011 und einer CD-Rom mit weiteren PDF im Umfang von 1.222 A4-Seiten. Der Kläger sah sich trotz erteilter Auskunft in seinen durch die DSGVO normierten Rechten verletzt. Die bereitgestellten Informationen waren aus seiner Perspektive weder inhaltlich ausreichend, noch genügte ihm die Anzahl der Antworten im Verhältnis zur Anzahl der gestellten Begehren.
Ferner störte sich der Kläger an der Datenverarbeitung durch Drittunternehmen. Hierzu führte aus, er sei „Verantwortlicher“ im Sinne der DSGVO. Die daraus resultierenden Anforderungen habe die Beklagte nicht erfüllt. Abschließend habe die Beklagte gegen Art. 9 DSGVO verstoßen, indem sie eine Einwilligung in Bezug auf seine Interessen nicht eingeholt habe.
Das Urteil reiht sich in eine Vielzahl von Klagen Herrn Schrems gegen Facebook ein. So hatte dieser bereits im August 2014 in Wien eine Sammelklage gegen Facebook eingereicht. Ziel der Klage war unter anderem, von Facebook einen symbolischen Schadenersatz von 500 Euro für jeden Beteiligten der Klage erstreiten. Hierzu beschied der Europäische Gerichtshof (EuGH) im Januar 2018, dass derartige Sammelklagen unzulässig seien.
Entscheidung
Das Wiener Gericht gibt dem Kläger teilweise Recht. So habe die Beklagte die ihre Auskunftspflicht dadurch verletzt, dass sie trotz neuerlich begehrter Auskunft sämtliche personenbezogenen Daten mitgeteilt hätte, die Gegenstand der Verarbeitung seien. Der konkrete Umfang sei sowohl durch das Gesetz auch auch in den Erwägungsgründen (hier: EG 63) niedergelegt.
Auch begründe die Regelmäßigkeit der Anfragen keine Möglichkeit der Verweigerung, da ein Jahresabstand der Anfragen angemessenen im Sinne der DSGVO sei.
Entgegen der Ansicht des Klägers sei er jedoch kein „Verantwortlicher“ im Sinne der DSGVO. Diese sei auf den Kläger in seiner Funktion als privater Nutzer des Dienstes nicht anwendbar. Überdies greife die Haushaltsausnahme aus Art. 2 Abs. 2 lit. c) DSGVO mangels Anwendbarkeit nicht.
Die abschließend gerügte Verletzung aus Art. 9 DSGVO sei jedenfalls im konkreten Fall nicht tatsächlich feststellbar gewesen. So habe der Kläger die für die Informationen selbst veröffentlicht, weshalb eine Einwilligung gemäß Art. 9 DSGVO nicht erforderlich gewesen sei.
Praktische Relevanz
Die praktische Relevanz scheint aus aktueller Perspektive überschaubar. So ist weder abschließend zu beurteilen, wie sich das Verhalten auf die künftige Unternehmensführung auswirkt noch steht fest, ob das Urteil überhaupt rechtskräftig wird. So kündigte der Kläger auf der Homepage des Unternehmens NOYB bereits die Einhegung einer Berufung an.
4. Juni 2020
Der Bundesgerichtshof (BGH) hat am 28.05.2020 entschieden, dass eine Opt-Out Regelung nicht ausreicht, um die Zustimmung von Nutzern zur Speicherung von Daten zu erlangen. Dabei hat der BGH in seiner Entscheidung Cookie-Banner für unrechtmäßig erklärt, wenn diese nur weggeklickt werden können (Urt. v. 28.05.2020, Az. I ZR 7/16). Die Nutzer müssen ihre Einwilligung durch aktives Ankreuzen entsprechender Felder erklären. Laut BGH sei das vorformulierte Einverständnis zum Setzen von Cookies sonst unwirksam.
Cookies sind kleine Dateien, die im Rahmen des Besuchs einer Internetseite an den Browser des Endgeräts gesendet und dort gespeichert werden. Sie dienen dazu, um die Navigation im Internet zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen. Große Tracking-Anbieter, wie Google Analytics, nutzen Cookies um auf diese Weise ein Werbeprofil des Nutzer zu erstellen.
Hintergrund der Entscheidung
Das Urteil markiert den Abschluss eines 2014 begonnen Rechtsstreit zwischen der Verbraucherzentrale Bundesverband (vzbv) und dem Gewinnspielanbieter Plant49. Darüber wurde bereits berichtet.
Nun hat der BGH die Rechtsauffassung des EuGH von 2019 bestätigt. Eine aktive und informierte Einwilligung ist für alle technisch nicht notwendigen Cookies auf Webseiten erforderlich.
Ausnahmen für das Einwilligungserfordernis
Eine Ausnahme bilden „zwingend erforderliche“ Cookies. Wann dies genau der Fall sein soll, hängt von dem konkreten Einzelfall ab. Die zwingende Erforderlichkeit kann z.B. bei Nutzereinstellungen wie etwa der Einstellung der Sprache angenommen werden. Das Tracking zu Werbezwecken und zur Profilbildung ist nach Ansicht des BGH jedoch nicht zwingend erforderlich. Hierfür ist eine Einwilligung mittels Opt-In erforderlich. Abzuwarten bleibt, was sich zu dieser Diskussion aus der Urteilsbegründung der BGH-Entscheidung entnehmen lässt.
28. Mai 2020
Der Dialyseanbieter Fresenius Medical Care (FMC) bestätigt, dass es in Folge eines Hackerangriffs zur illegalen Veröffentlichung von Patientendaten gekommen ist. Die Patientendaten stammen aus einigen Dialysezentren in Serbien.
FMC teilte mit, dass
„ein Zusammenhang mit einem IT-Vorfall
vor einigen Wochen besteht, der Teile der IT-Systeme von Fresenius betroffen
hatte, und dass Hacker in der Lage waren, bestimmte Daten zu stehlen“. Diesbezüglich
wurden Untersuchungen durchgeführt. Die Betriebsabläufe des Unternehmens in
Serbien werden fortgesetzt und die medizinische Versorgung von Patienten in
Serbien sei sichergestellt.
Das Unternehmen hat gegen die unbekannten Täter Strafanzeige
erstattet und will mit den zuständigen Behörden zusammenarbeiten. Mit den
Patienten, die von dem Datendiebstahl und deren illegalen Veröffentlichung
betroffen sind, will FMC Kontakt
aufnehmen.
Das Unternehmen „bedauert
diesen Eingriff in die Privatsphäre einiger Patienten zutiefst und tut sein
Möglichstes, um die Veröffentlichung weiterer Daten zu verhindern und Schaden
von betroffenen Patienten und anderen Personen bzw. Partnern
abzuwenden. Interne und externe Spezialisten arbeiten kontinuierlich
daran, weitere potenzielle Angriffe, Datendiebstähle oder illegale
Veröffentlichungen von Daten zu verhindern.“
27. Mai 2020
„Deutschlands größte E-Mail-Anbieter“, GMX und WEB.DE, haben anlässlich des zweijährigen Jubiläums des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) am 25.05.2020 eine Umfrage zur Sicht deutscher Internetnutzer auf die DSGVO veröffentlicht, welche durch das Meinungsforschungsinstitut YouGov Deutschland GmbH duchgeführt wurde. Im Rahmen der repräsentativen Umfrage wurden im Zeitraum vom 15.-18.05.2020 ingsesamt 2045 deutsche Internetnutzer ab 18 Jahren befragt.
Großteil der Nutzer von Cookie-Hinweisen „genervt“
Statt einer Umfrage zur Sicht deutscher Internetnutzer auf die Datenschutz-Grundverordnung – wie es der Titel vermuten lässt – handelt es sich vielmehr um eine Umfrage zur derzeitigen Cookie-Praxis. Die Teilnhmer der Umfrage wurden unter anderem gefragt, ob sie sich durch regelmäßige Cookie-Hinweise in ihrer Internetnutzung eingeschränkt fühlen, und wenn ja, warum. Aus den gegebenen Antworten wird geschlossen, dass sich 63% der Nutzer durch wiederholt auftretende Cookie-Hinweise „genervt bzw. eingeschränkt“ fühlen. Dabei erscheint interessant, dass sich ein Großteil der Teilnehmer daran stört, dass sie langsamer surfen können (25%), bei Nichtzustimmung die Website nicht nutzen zu können (30% – zur Frage der Rechtmäßigkeit solcher „Cookie-Walls“ lesen sie mehr in unsererm Blog-Beitrag) oder durch Cookie-Hinweise überhaupt erst darauf hingewiesen werden, dass bei der Internetnutzung eine „Überwachung“ bzw. Tracking stattfindet (26%). Deutlicher weniger Nutzer kritisieren hingegen die Verständlichkeit der Hinweise (12%) oder deren wiederholtes Erscheinen (10%). Aus diesen Antworten könnte man auch ablesen, dass nicht die Art und Weise der Cookie-Praxis das Problem darstellt, sondern dass sich die Nutzer zwecks „ungestörtem Nutzererlebnis“ einfach nicht mit Fragen des Schutzes ihrer personenbezogenen Daten beschäftigen möchten.
Dem scheint auch die Antwort von 41% der Teilnehmer zu entsprechen, wonach diese die Cookie-Hinweise gar nicht erst lesen und der Verwendung der Cookies ungeprüft zustimmen. Immerhin 16% lesen die Hinweise und stimmen anschließend ihrer Nutzung zu, und 23% nehmen eine individuelle Cookie-Einstellung vor. Ganze 12% der Nutzer lassen sich von den Cookie-Hinweisen sogar gänzlich von der Nutzung einer Website abbringen und verlassen diese.
Verbesserungswünsche: Einfachheit, Transparenz, zentrale Cookie-Verwaltung
Die Nutzer wurden aber nicht nur nach ihrer Kritik an der gängigen Cookie-Praxis gefragt, sondern auch, welche Verbesserungsvorschläge sie haben. Obwohl 41% die Hinweise gar nicht erst lesen (s.o.), wünschen sich dennoch 39% der Teilnehmer mehr Transparenz darüber, welche ihrer Daten überhaupt erhoben werden, und 31% wünschen sich mehr „Einfachheit und Verständlichkeit bei den Hinweisen und Erklärungen zum Datenschutz“. Andere Teilnehmer wünschen sich hingegen eine grundlegende Änderung der Cookie-Praxis, wobei die Frage gestellt werden muss, ob dies so umsetzbar ist. Dabei geht es einerseits um technische Fragen (25% wünschen sich einheitliche Lösungen, die abgebenene Einwilligungen für mehrere Webseiten speichern), andere Wünsche der Teilnehmer würden hingegen eine Änderung der Rechtslage erfordern. Denn immerhin 33% fordern von der Internet-Industrie, „eine Alternative zur nervigen Cookie-Praxis“ bereitzustellen.
Eine weitere Frage richtet sich wieder an das individuelle Nutzerverhalten. Gefragt ist danach, wie häufig die Nutzer manuell die gespeicherten Cookies löschen. 10% löschen diese sogar mehrmals am Tag, jeweils 9% immerhin einmal am Tag bzw. der Woche, und ebenfalls 9% mehrmals in der Woche. Große Teile der Teilnehmer verlassen sich hingegen bei der Nutzung auf ihre Browser-Einstellungen und löschen die gespeicherten Cookies deswegen selten (29%) oder gar nie (14%).
Zum Abschluss wurden die Teilnehmer gefragt, wie sie die Möglichkeit fänden, ihre Cookie- und Datennutzungseinstellungen bei einem Dienstleister zentral für alle anderen Webseiten speichern zu können, sodass keine individuellen Cookie-Abfragen mehr erforderlich wären. Diese Möglichkeit fänden 27% hilfreich und würden diese nutzen, 34% würden dies vielleicht. Die übrigen Teilnehmer lehnen eine solche Möglichkeit hingegen ab und würden diese sicher (11%) oder doch zumindest wahrscheinlich (10%) nicht nutzen.
Schlussfolgerungen
Welche Schlüsse können nun aus dieser Umfrage gezogen werden? Jan Oetjen, Geschäftsführer von GMX und WEB.DE, sieht aufgrund der aktuellen Regelung – welche auf den Anforderungen der DSGVO beruhe – eine drohende „Klick-Müdigkeit“, denn wer jede Woche dutzende Male nach Einwilligungen für „eher unkritische Daten“ gefragt werde, verliere „schnell den Überblick“. In der Tat ist nach der aktuellen Rechtslage die Einholung einer ausdrücklichen Einwilligung des Nutzers erforderlich, wenn der Betreiber der Website Cookies verarbeiten möchte, die über die „technisch notwendigen“ Erfordernisse hinausgehen. Die Interaktion mit Cookie-Hinweisen kann für den Nutzer sicherlich durch eine vereinfachte optische und technische Gestaltung angenehmer gestaltet werden. Eine „zentralisierte Verwaltung“ aller Cookies wäre für viele Nutzer sicherlich die optimale Lösung. Es stellt sich aber die Frage, welcher Anbieter überhaupt die Entwicklung einer solchen Lösung auf sich nehmen sollte, wenn der Großteil der Nutzer die Verarbeitung seiner Cookies sowieso ungeprüft hinnimmt. Die zentralisierte Verwaltung würde zudem die technische und rechtliche Zusammenarbeit (Joint Control? Auftragsverarbeitung?) verschiedenster Anbieter erfordern.
Stattdessen könnte auch weiter in die Sensibilisierung der Internetnutzer für das Thema Datenschutz investiert werden. Wer sich bewusst ist, wozu die Verarbeitung von Cookies überhaupt dient und welche personenbezogenen Daten hier verarbeitet und eventuell miteinander verknüpft werden, empfindet Cookie-Hinweise vielleicht nicht mehr als lästige Störung des Nutzererlebnisses, sondern als notwendigen Schutz der eigenen Privatsphäre.
20. Mai 2020
Die Fluggesellschaft räumte ein, dass sie Ziel eines Hackerangriffs geworden ist. Die Angreifer hatten Zugriff auf die Daten von rund neun Millionen Kunden. Auch Kreditkartendaten sind teilweise betroffen.
Dies teilte Easyjet am Dienstag mit. Die Angreifen konnten unter anderem auf E-Mail-Adressen sowie Reisedetails zugreifen. Zum jetzigen Zeitpunkt gebe es keine Hinweise darauf, dass die Daten missbraucht worden seien. Die Airline will alle Betroffenen bis zum 26. Mai über den Angriff informieren, um so das Risiko möglicher Phishing-Attacken einzudämmen. „Wenn Sie nicht kontaktiert werden, dann wurde auf ihre Daten nicht zugegriffen“, betonte die Airline.
Wer nicht darauf warten möchte, kann hier durch Eingabe seiner Email auf der Website „Have I been pwned?“ überprüfen, ob er vom Datenleck betroffen ist.
Bei mehr als 2200 Kunden gelang es den Hackern darüber hinaus die Kreditkartendaten zu erbeuten. Erste Hinweise auf die Attacke hatte Easyjet im Januar 2020. Wer dahinter steckt, ist dem Unternehmen nicht bekannt.
„Es tut uns leid, dass das passiert ist“, verlautbarte das Unternehmen. Die zuständigen Behörden seien informiert.
13. Mai 2020
Mit Wirkung zum 04. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien zur Einwilligung nach der Datenschutz-Grundverordnung erlassen und veröffentlicht (bisher liegen die neuen Leitlinien nur in englischer Sprache vor). Dabei handelt es sich um eine aktualisierte Fassung des „Working Papers“ WP 259 rev. 01 der Artikel-29-Datenschutzgruppe. Diese Aktualisierungen betreffen vor allem den Betrieb von Webseiten und dort einzuholende Einwilligungen der Nutzer.
Der EDSA sah sich zu einer Aktualisierung dieser Leitlinien veranlasst, da das Thema „Einwilligung“ noch immer zahlreiche praktische und rechtliche Schwierigkeiten mit sich bringt. Dabei geht es laut EDSA insbesondere um zwei Punkte, die weiterer Klarstellung bedürften: zum einen die Wirksamkeit von Einwilligung bei der Nutzung sog. „Cookie Walls“, zum anderen das im WP 259 rev. 01 dargestellte Beispiel 16 zum Scrollen und Wischen auf einer Website als mögliche Einwilligung.
„Cookie Walls“ unzulässig
Zunächst stellt der EDSA klar, dass eine Einwilligung dann nicht als „freiwillig“ abgegeben (im Sinne des Art. 4 Nr. 11 DS-GVO) angesehen werden könne, wenn der Verantwortliche die Nutzung eines Services von der Erteilung einer Einwilligung abhängig macht und darauf verweist, die betroffene Person könne den Service andernfalls auch bei einem anderen Anbieter nutzen (Rn. 38). Eine solche Einwilligung sei wegen einer fehlenden echten Wahlmöglichkeit nicht freiwillig, denn sie sei vom Verhalten anderer Marktteilnehmer sowie von der Beurteilung des Betroffenen abhängig, ob das andere Angebot als tatsächlich gleichwertig angesehen wird. Zudem würde dies den Verantwortlichen dazu verpflichten, Marktveränderungen zu beobachten, um Änderungen in Bezug auf gleichartige Angebote feststellen zu können. Im Ergebnis dürften Verantwortliche die Nutzung eines Services nicht davon abhängig machen, dass der Nutzer eine Einwilligung in die Verarbeitung seiner Daten für zusätzliche Zwecke erteilt. Sog. „Cookie Walls“ seien demnach unzulässig (Rn. 39).
Scrollen und Wischen nicht als Einwilligung geeignet
Die zweite Klarstellung des EDSA bezieht sich auf das Beispiel 16, welches die Artikel-29-Datenschutzgruppe im WP 259 rev. 01 gegeben hatte. Demnach stelle das Scrollen oder Wischen auf einer Webseite keine eindeutig bestätigende Handlung dar (Rn. 68). Der Hinweis durch den Verantwortlichen, das fortgesetzte Srollen oder Wischen würde durch den Verantwortlichen als Einwilligung aufgefasst, könne schwierig zu erkennen sein, sodass er durch den Betroffenen übersehen werden könne. Diese Auffassung hat der EDSA nun bestätigt und klargestellt, dass ein solches Scrollen oder Wischen „unter keinen Umständen“ eine unmissverständlich abgegebene Willensbekundung (siehe Art. 4 Nr. 11 DS-GVO) darstelle. Ein solches Verhalten könne deshalb nicht als Einwilligung angesehen werde, weil es sich nicht leicht von sonstigem Nutzerverhalten unterscheiden lasse. Zudem könne der Betroffene in einem solchen Fall seine Einwilligung nicht „so einfach wie die Erteilung der Einwilligung“ widerrufen, wie dies Art. 7 Abs. 3 S. 4 DS-GVO fordert.
Ulrich Kelber, Bundesdatenschutzbeauftragter und selbst Mitglied des EDSA, unterstützte diese Klarstellungen. Es sei problematisch, dass einige Internetseiten durch ihre Gestaltung den Nutzenden Tracking aufdrängten, und er hoffe, dass die Klarstellungen zu einem Umdenken bei solchen Anbietern sorgt. Es sei erforderlich, dass diese den Nutzenden endlich datenschutzfreundliche Alternativen anbieten.
7. Mai 2020
IT-Sicherheitsforscher werfen dem chinesischen Smartphone-Hersteller Xiaomi vor, das Verhalten ihrer Nutzer in großem Umfang aufzuzeichnen. Dabei geht es insbesodere um Browserdaten. Auch wenn der Inkognito-Modus eingeschaltet ist, soll Xiaomi besuchte Websites und Eingaben in eine Suchmaschine aufzeichnen.
Bei der Verwendung des Standardbrowsers sollen Daten über jede besuchte Website an einen Server von Xiaomi übermittelt werden. Davon sollen auch Daten umfasst sein, die der Nutzer in Suchmaschinen eingibt. Und das unabhängig davon, ob Google verwendet wird oder DuckDuckGo, eine Suchmaschine die keine personenbezogenen Daten sammeln soll. Daran ändere auch die Nutzung des Inkognito-Modus nichts. Dies hatte der IT-Sicherheitsforscher Gabriel Cîrlig herausgefunden und dem US-Magain Forbes berichtet.
Es werden offenbar auch Angaben zum Smartphone, der Android-Version und eine Nutzerkennung übermittelt. Zudem soll das Smartphone bestimmte Nutzungsdaten an Server übermitteln, etwa welche Ordner geöffnet werden oder welche Apps verwendet werden. Cîrlig fürchtet, dass damit Nutzer einndeutig identifiziert werden können. Der Forscher stellte die Datenverarbeitungen auf einem Redmi Note 8-Smartphone fest. Er befürchtet aber, dass auch andere Modelle des Herstellers betroffen sind. Denn die Firmware für Mi10, Redmi K20 und Mi MIX 30 sollen den gleichen Browsercode haben. Die Daten wurden offenbar an Server in Singapur und Russland übermittelt, die beim Internetkonzern Alibaba gehostet wurden.
Auf Nachfrage von Forbes untersuchte der Cyber-Sicherheitsforscher Andrew Tierney weitere Browser, die Xiaomi im Google Play-Store bereitstellt. Sie kommen auf etwa 15 Mio. Downloads. Tierney fand heraus, dass diese Browser dieselben Daten sammelten – unabhängig vom Modus, in dem er surfte.
Xiaomi widersprach den Ergebnissen zunächst in einer Stellungnahme an Forbes. Dem Unternehmen sei die Privatsphäre ihrer Nutzer wichtig. Die Daten seien zwar gesammelt, jedoch anonymisiert worden und der Nutzer habe der Datenerhebung zugestimmt. Xiaomi widersprach insbesondere der Behauptung, dass die Daten auch bei der Verwendung des Inognito-Modus gespeichert werden. Die Datenverarbeitungen seien gängige Praxis. Die Experten Cîrlig und Tierney meinen dagegen, dass die Datenübermittlung deutlich umfangreicher als bei Google Chrome oder Apple Safari sei.
Xiaomi kündigte mittlerweile in einem Blogbeitrag an, eine Opt-out-Möglichkeit im Inkognito-Modus einzubauen. Damit wolle man die Kontrolle des Nutzers über sein Daten weiter stärken.
4. Mai 2020
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Stellungnahme vom 24.04.2020 dazu geraten die iOS Applikation „Mail“ von Apple zu löschen oder zumindest die Synchronisation mit den eigenen Postfächern abzuschalten. Die Schwachstelle wird als „besonders kritisch“ eingestuft und ist bislang nicht geschlossen.
Das US-amerikanische Unternehmen ZecOps hatte während einer Untersuchung eine Sicherheitslücke entdeckt, welche es Hackern ermöglichen könnte auf Mail-Inhalte zuzugreifen, diese zu ändern oder zu löschen. Hierzu genüge es bereits, wenn der Nutzer eine Mail mit dem Schadcode der Hacker öffne. Unter der neuesten Betriebssystemversion iOS 13 müsse der Nutzer die Mail garnicht erst öffnen. Hier genüge es sogar die Mail zu empfangen.
Laut ZecOps lassen erste Hinweise darauf schließen, dass entsprechende Angriffe bereits stattgefunden haben. Nach Angaben des BSI betrifft die Sicherheitslücke tausende Verbraucher, Behörden und Unternehmen. Nicht betroffen ist hingegen die Mail-App in macOS.
Laut Apple besteht keine Gefahr
Apple hat die Sicherheitslücke untersucht und gibt an, es bestehe keine Gefahr für die Nutzer des Programms. Es treffe zwar zu, dass die Mail App entsprechende Probleme aufweise, die in iPhones und iPads integrierten Sicherheitsvorkehrungen reichen aber vollkommen aus um diese Sicherheitslücke zu schließen. Zudem konnte Apple keinen Beweis für das Ausnutzen der Sicherheitslücke feststellen.
Sicherheitslücke noch nicht geschlossen
Für App-Nutzer ist es daher nicht ganz klar, auf welche Informationen sie sich nun stützen sollten. Ratsam ist es den Empfehlungen des BSI zu folgen, bis Apple ein neues Patch zur Behebung der Fehler zur Verfügung gestellt hat.
30. April 2020
Das amerikanische Pharma-Unternehmen ExecuPharm teilt in einem Brief seinen Angestellten und der Generalstaatsanwaltschaft in Vermont mit, dass es am 13. März von einem Hackerangriff getroffen worden sei. Die Hacker forderten Lösegeld und warnten davor, dass auf Sozialversicherungsnummern, Steuer-IDs, IBAN-Nummern, Kreditkartennummern und weitere Daten zugegriffen worden sein könnte.
Die Mitarbeiter von ExecuPharm erhielten Phishing-E-Mails
von unbekannten Personen. Nach einer Untersuchung stellte ExecuPharm fest, dass
die Personen, die hinter der Verschlüsselung und dem Versand dieser E-Mails
standen, möglicherweise auf ausgewählte personenbezogene Daten des
ExecuPharm-Personals sowie auf personenbezogene Daten ausgewählter Mitarbeiter
von Parexel, deren Informationen im Datennetzwerk von ExecuPharm gespeichert
waren, zugegriffen und/oder diese weitergegeben haben.
Das amerikanische Pharma-Unternehmen hat die Behörde in den
Vereinigten Staaten darüber informiert und eine Cybersecurity-Firma beauftragt,
den Vorfall vollständig aufzuklären.
