Kategorie: Online-Datenschutz
20. Mai 2019
So lautet das interessante Ergebnis einer Studie zweier Datenforscher, wohnhaft in Warschau und Stanford.
Kinga Kita-Wojciechowska und Łukasz Kidziński begannen mit einem Datensatz von 20.000 Personen, die zwischen 2013 und 2015 in Polen eine Autoversicherung abgeschlossen hatten. Diese wurden nach dem Zufallsprinzip aus der Datenbank eines nicht offenbarten Versicherungsunternehmens ausgewählt. Jeder Datensatz enthielt die Adresse des Versicherungsnehmers und die Anzahl der Schadensfälle, die er in der Zeit von 2013 bis 2015 geltend gemacht hat.
Anschließend haben die Forscher die Adressen bei Google Street View eingegeben und ein Bild des Hauses heruntergeladen, welches kommentiert und mit Notizen über das Alter des Gebäudes, dessen Art (Einfamilienhaus, Reihenhaus, Mehrfamilienhaus, etc.) und Zustand versehen wurde.
Eine Software verarbeitete die Daten und erstellte ein Modell, das das Risiko von Autounfällen für die Haushalte genauer vorhersagen konnte, als die derzeit von den Versicherungsgesellschaften eingesetzten Modelle. Diese berücksichtigen für ihre Prognose der zukünftig eintretenden Schäden bisher die Postleitzahl des Versicherungsnehmers, dessen Alter und Geschlecht, sowie die Schadenhistorie des Fahrers und weitere Faktoren.
Laut Kidziński und Kita-Wojciechowska konnte festgestellt werden, dass Merkmale, die auf dem Bild eines Hauses sichtbar sind und Aufschlüsse über die Wohnsituation eines Versicherungsnehmers geben, das Risiko eines Autounfalls vorhersagen können.
Werden diese Faktoren in dem Risikomodell des Versicherers berücksichtigt, können sie seine Vorhersage um 2% verbessern.
Die Google Street View-Technik hat demnach das Potenzial, die Vorhersage zu optimieren.
Der Ansatz der Forscher wirft eine Reihe wichtiger Fragen hinsichtlich der Verwendung personenbezogener Daten auf. Kidziński und Kita-Wojciechowska stellten bereits kritisch fest, dass die Zustimmung der Kunden zum Speichern ihrer Adressen durch das Unternehmen nicht unbedingt eine Zustimmung zum Speichern von Informationen über das Aussehen ihrer Häuser bedeutet.
Es drängt sich die Frage auf, welche Unternehmen ebenfalls von diesem Modell profitieren könnten.
Kidziński und Kita-Wojciechowska vermuten, dass der Bankensektor der Versicherungsbranche schnell folgen könnte, da es eine Korrelation zwischen Versicherungsrisikomodellen und Kreditrisikoscoring gäbe.
In Deutschland sind die Dienste von Google Street View aus Datenschutzgründen nur eingeschränkt verfügbar.
17. Mai 2019
Am Münchner Standort verdoppelt der Internetkonzern Google bis zum Jahresende die Anzahl der Datenschutz-Spezialisten von 100 auf 200. Insgesamt beschäftigt Google in München dann 1000 Mitarbeiter. Für Firmenchef Sundar Pichai wird Deutschland damit zu einem globalen Drehkreuz für die produktübergreifende Datenschutzarbeit.
Zur Einweihung des Google Safety Engineering Centers sind auch Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer und Kristie Canegallo, Vice President of Trust & Safety aus dem Hauptquartier in Mountain View angereist.
Google habe bei der Entwicklung der Datenschutz-Tools nicht auf gesetzliche Vorgaben gewartet, erklärte Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer. Walker erkannte zwar an, dass die EU mit der Datenschutzgrundverordnung andere Regionen dazu veranlassen könnte, eigene Datenschutzgesetze zu entwickeln. Viele Google Privacy Tools seien aber älter als die DSGVO, und gingen durchaus über geltendes Gesetz hinaus.
Aktuell arbeitet das Team in München an verbesserten Datenschutzeinstellungen von Chrome und an datenschutzrelevanten Optionen und Funktionen, darunter auch einem Inkognito-Modus, in Apps wie Maps, Suche und Youtube (wir berichteten).
Ein spannendes Projekt ist dabei etwa der Versuch, neben klassischen Angriffen – wie geklaute und im Netz verfügbare Passwörter – bösartiges Browser-Fingerprinting durch Webseiten zu erkennen.
14. Mai 2019
Durch eine Sicherheitslücke bei WhatsApp konnte sich eine Überwachungssoftware auf Smartphones installieren. Hinter der Angriffs-Technologie wird die israelische Firma NSO vermutet, berichtet die New York Times.
Der Chatdienst WhatsApp hat eine Sicherheitslücke geschlossen, durch die eine Überwachungssoftware auf Smartphones installiert werden konnte. Die Geräte konnten mit einem präparierten WhatsApp-Anruf infiziert werden, da die Schwachstelle in der Umsetzung der Internet-Telefonie lag.
WhatsApp erfuhr nach eigenen Angaben Anfang Mai von dem Problem und schloss die Lücke innerhalb weniger Tage. Betroffen waren laut einem technischen Hinweis sowohl Smartphones mit Googles Android-System als auch Apples iPhones, Telefone mit Microsofts Windows Phone und Samsungs Tizen. Auch die US-Regierungsbehörden wurden in die Ermittlungen eingeschaltet.
Der Facebook-Konzern, zudem WhatsApp gehört, empfiehlt Nutzern dringend, App und Betriebssystem auf den neusten Stand zu bringen.
9. Mai 2019
Die Datenschutzoffensive (wir berichteten) des Suchmaschinenriesen geht weiter.
Im Google-Browser Chrome können Nutzer schon seit Jahren im Inkognito-Modus surfen. Infolgedessen werden die besuchten Webseiten und Cookies nicht gespeichert. Die Navigations-App Google Maps bekommt nun auch einen privaten Modus, wie Google in einem Blogbeitrag schreibt. Es ist nicht die einzige Neuerung.
Künftig können Nutzer die Speicherung von Aktivitätsdaten bei Google Maps vorübergehend aussetzen. Dazu müssen sie in den neuen Inkognito-Modus wechseln. Bisher war das nur über einen Umweg über die Privatsphäre-Einstellungen im Google-Konto möglich.
Auch im Fall von Google Maps bedeutet ein Inkognito-Modus, dass Google keine Daten über die vom Nutzer gesuchten Orte oder Routen speichert. Der Standortverlauf des Nutzers, also seine Bewegungsdaten und Aufenthaltsorte, bleiben vor Google verborgen.
Zudem ermöglicht Google jetzt in allen seinen wichtigen Anwendungen einen direkten Zugang zum Google-Account. Nach einem Klick auf das platzierte Profilbild sollen Nutzer einfacher sehen können, welche Informationen sie mit Google teilen. Auch ein schnelles Navigieren zu den mit An-/Aus-Schaltern zu kontrollierenden Privatsphäre- und Sicherheitseinstellungen soll künftig gewährleistet werden.
7. Mai 2019
Hacker sind offenbar in das deutsche Internet-Infrastrukturunternehmen Citycomp eingebrochen, das Dienstleistungen für viele große und weltweit tätige Unternehmen, wie beispielsweise Toshiba, Airbus, Oracle, Ericsson, Leica, UniCredit, British Telecom, Hugo Boss, NH Hotel Group und Kaufland, anbietet.
Laut Bericht des US-Portal „Motherboard“ seien dabei umfangreiche Daten von Citycomp-Kunden erbeutet worden. Das Portal beruft sich auf Angaben von Michael Bartsch, Geschäftsführer von Deutor Cyber Security Solutions, der von Citycomp ermächtigt worden sei, über den Fall zu sprechen.
Volkswagen untersuche derzeit ein Online-Datenleck das bei seinem Zulieferer Citycomp zu verantworten sei, bestätigte der Automobilkonzern auf Anfrage. „Nach aktuellen Erkenntnissen sind die potenziell zugänglichen Dokumente nicht vertraulicher Natur“, heißt es.
Dem Bericht zufolge behaupten die Hacker, im Besitz von 312.570 Dateien in 51.025 Ordnern zu sein. In dem Datenbestand von über 516 Gigabyte befänden sich finanzielle und private Informationen.
6. Mai 2019
Bereits seit einigen Jahren bietet die Deutsche Post einen Dienst an, der die Abwicklung des Schriftverkehrs vereinfachen soll. Durch die sogenannte „E-Post“ kann der Kunde einen Brief online erstellen und dieser digitale Brief wird von der Deutschen Post, falls auf der Empfängerseite kein E-Post-Konto besteht, ausgedruckt, kuvertiert und frankiert. Anschließend wird er auf dem normalen Postweg dem gewünschten Empfänger zugestellt. Die Deutsche Post bewirbt ihr Verfahren mit der Zeit-und Geldersparnis ihrer Kunden. Als weiteren Vorteil für die Kunden nennt die Deutsche Post das Versenden von Einschreiben, wenn die Filialen bereits geschlossen sind.
Doch weil sie die Daten für Werbezwecke nutzen will, sind Datenschützer skeptisch.
Die Bundesdatenschutzbehörde prüft das neue Angebot kritisch, insbesondere unter dem Aspekt, ob die Wahrung des Telekommunikations- und Postgeheimnisses sichergestellt ist. Eine „abschließende datenschutzrechtliche Bewertung“ sei bislang nicht erfolgt, teilte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit der FAZ auf Anfrage mit. Ebenso erklärte er dieser gegenüber, dass derzeit geprüft werde, „ob und inwieweit es überhaupt zulässig ist, für die werbliche Ansprache von neuen Kunden E-Post-fähige Sendungen auf Mikrozellenebene auszuwerten und die Sendungsempfänger zu kontaktieren“.
Die Post wird vorerst keine Daten zu Werbezwecken verwenden und die Bewertung der Datenschutzbehörde abwarten.
25. April 2019
Die Stiftung Warentest hat elf Cloud-Anbieter verglichen. Am besten schnitt der deutsche Freemail-Anbieter Web.de mit seinem Online-Speicher ab, knapp gefolgt von der Magentacloud der Telekom.
Es wurden nur Anbieter von kostenfreien, deutschsprachigen und betriebssystemunabhängigen Cloud-Diensten wie Dropbox, OneDrive, Amazon und iCloud verglichen. Das Testergebnis setzt sich aus Noten für die Handhabung (40 % der Wertung), die technischen Funktionen (30 %) und für die Datensicherheit (30 %) zusammen. Einen pauschalen Notenabzug gab es beispielsweise bei Mängeln in der Datenschutzerklärung oder den Nutzungsbedingungen (z.B. nur auf Englisch vorhanden oder für schwammige Verweise) oder wenn Daten von der Smartphone-App an die Cloud mitübertragen wurden, die für die Funktion nicht notwendig sind.
Fünf von elf Anbietern erhielten die Endnote „gut“. Die schlechteste Note für Datensicherheit bekam – trotz Zweitplazierung in der Gesamtwertung – die Magentacloud der Telekom (2,7). Den letzten Platz in der Gesamtwertung belegte der US-amerikanische Cloud-Dienst Sugarsync mit 3,5. Hier gab es vor allem Mängel beim Übertragen von zusätzlichen Daten an die Cloud und bei den Begleittexten.
18. April 2019
Firefox verbessert seinen Datenschutz fortwährend. So ist seit einiger Zeit bereits ein Tracking-Filter eingebaut worden. (wir berichteten)
In der noch aktuellen Version finden die Nutzer in der Rubrik „Browser-Datenschutz“ verschiedene Elemente, die die Aktivitätenverfolgung mindern sollen. Zum Zwecke des Privatsphärenschutz und schnellerer Ladezeiten können bekannte Tracker und auch Drittanbieter-Cookies blockiert werden. Diesen Schutz kann man derzeit nur im Privatmodus genießen.
Zeitnah bekommt Firefox zwei weitere Schutzfunktionen implementiert. Einerseits gegen Cryptomining und die andere Maßnahme soll gegen Browser-Fingerprinting schützen.
Beim Cryptomining klinken sich Skripte auf dem System ein, die dann lokale Ressourcen für Berechnungen anzapfen. Genau hier setzen einige Benutzer an und stellen die Rechnerleistung ihrer Computer zur Verfügung und „schürfen“ so Kryptowährung. Die Browser werden dann langsamer, der Verbrauch an CPU steigt, was dann wiederum den Akku eines Notebooks schneller leert und Stromkosten hochtreibt. Im Bereich „Benutzerdefiniert“ kann ein expliziter Schutz vor Cryptominern aktiviert werden. Bei dem Schutz vor Cryptominern arbeitet Firefox mit einer Block-Liste. Damit können bekannte Cryptominer-Domains erkannt und blockiert werden.
Beim Browser-Fingerprinting geht es darum, dass man Nutzer anhand von Browser- und Systemmerkmalen recht genau wiedererkennen kann. Dadurch können auch die Nutzer verfolgt werden, die sich einer gezielten Überwachung entziehen wollen, indem sie zum Beispiel Cookies löschen und Skripte blockieren. Ein neues Modul blockiert auch Domains, die für Fingerprinting bekannt sind. Beide Schutzmechanismen müssen explizit aktivieren werden.
8. April 2019
Bei Blockchain liegen Daten nicht auf einem zentralen Server, sondern sind dezentral auf Rechnern gespeichert, die sich zu diesem Zweck zu einem Netzwerk zusammengeschlossen haben. Veränderungen an den Daten bzw. Transaktionen müssen von den Rechnern bestätigt werden. Dieses Verfahren sichert die abgelegten Daten besonders gut gegen Manipulationen ab. Damit hat die Blockchain vielfältige Anwendungsmöglichkeiten.
Die Transparenz ist das Kernelement der Blockchain-Technologie. Daraus ergibt sich, dass „sicher“ in Bezug auf den Manipulationsschutz nicht gleichzeitig „sicher“ hinsichtlich des Datenschutzes bedeutet. Denn alle Teilnehmer innerhalb eines Netzwerks haben die Möglichkeit, die in der Blockchain gespeicherten Daten abzurufen. Allerdings ist diese absolute Transparenz nicht immer gewünscht. Kein Unternehmen will Zugang zu sensiblen Daten gewähren.
Mit Blick auf die DSGVO hat Art. 6 DSGVO eine besondere Blockchain-Relevanz, da bei öffentlichen Chains die gesamten Daten öffentlich zugänglich sind. Folglich bedarf der Schutz einer besonderen Beachtung. Das Recht auf Datenaktualisierung in Art. 16 DSGVO beschreibt die Möglichkeit, Daten zu aktualisieren. Es muss möglich sein, einen alten Datensatz durch einen neuen zu ersetzen. Dies könnte auch die Löschung der alten Daten bedeuten. Das wirft Schwierigkeiten innerhalb der Blockchain auf, was besonders im Hinblick auf Art. 17 DSGVO deutlich wird. Art. 17 DSGVO beschreibt das Recht auf Vergessenwerden. Es wird gerne herangezogen, um die Unmöglichkeit einer DSGVO-konformen Blockchain-Anwendung zu belegen; schließlich ist die Manipulationssicherheit der Daten eines der Hauptargumente für Blockchain-Techniken. Jedoch gibt es einige Lösungsmöglichkeiten dieser Problematik wie zum Beispiel die Hash-Funktion, wonach keine personenbezogenen Daten direkt auf der Blockchain gespeichert werden. Durch diese Konstruktion lässt sich die Korrektheit der Daten beweisen, ohne dass Dritte ungewünscht Zugang erhalten.
In heutigen Zeiten, in denen Daten immer stärker zum zentralen Bestandteil von Innovationen werden, stellt die DSGVO einen fundamental wichtigen Rahmen dar, wodurch verdeutlicht wird, dass nicht jede Art von Innovation auch wünschenswert ist. Innovation darf somit nicht ausschließlich dem Wunsch nach Wirtschaftswachstum unterliegen, sondern muss gleichzeitig auch nachhaltig sein und die Grundsätze unserer Demokratie respektieren. Somit bildet die DSGVO ein wichtiges Gegengewicht zur Datenökonomie. Datenwirtschaft und Datenschutz schließen sich nicht aus, sondern sind viel eher komplementär zueinander. Daher ist anzuraten die Technologien so zu gestalten, dass sie nicht nur wirtschaftlich, sondern auch gesellschaftlich sinnvoll sind.
2. April 2019
Facebook-Chef Mark Zuckerberg hatte am vergangenen Wochenende eine Debatte über eine einheitliche, weltweit geltende Regulierung im Internet angestoßen. Als Vorbild hierfür hob er die Datenschutzgrundverordnung hervor und betonte „Ich bin überzeugt, dass anstelle nationaler Regulierungen ein gemeinsamer globaler Rahmen notwendig ist, um eine Fragmentierung des Internets zu verhindern, damit Unternehmer nützliche Produkte entwickeln können und alle Menschen den gleichen Schutz erhalten“
Bundesjustizministerin Barley zeigte sich nach einem Treffen in Berlin allerdings nicht überzeugt von dem Modell des Facebook-Chefs und sieht die Vorschläge kritisch: „Mark Zuckerberg spricht seit einem Jahr über die Verantwortung von Facebook für Gesellschaft, Demokratie und die Privatsphäre von mehr als zwei Milliarden Menschen. Doch zu spüren ist davon wenig.“ Facebook habe durch sein Verhalten und kontinuierlich bekannt werdende „Sicherheitsskandale“ viel Vertrauen verspielt.
Zudem kritisierte Barley auch, dass Facebook plane, die Infrastruktur hinter den Chatdiensten WhatsApp und Messenger sowie der Messengerfunktion von Instagram zusammenzulegen. Dies widerspreche den ursprünglichen Ankündigungen. Sie warnte: „Bei der Zusammenführung dieser Dienste bestehen ganz erhebliche kartellrechtliche und datenschutzrechtliche Fragen.“
