Kategorie: Online-Datenschutz
27. Mai 2020
„Deutschlands größte E-Mail-Anbieter“, GMX und WEB.DE, haben anlässlich des zweijährigen Jubiläums des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) am 25.05.2020 eine Umfrage zur Sicht deutscher Internetnutzer auf die DSGVO veröffentlicht, welche durch das Meinungsforschungsinstitut YouGov Deutschland GmbH duchgeführt wurde. Im Rahmen der repräsentativen Umfrage wurden im Zeitraum vom 15.-18.05.2020 ingsesamt 2045 deutsche Internetnutzer ab 18 Jahren befragt.
Großteil der Nutzer von Cookie-Hinweisen „genervt“
Statt einer Umfrage zur Sicht deutscher Internetnutzer auf die Datenschutz-Grundverordnung – wie es der Titel vermuten lässt – handelt es sich vielmehr um eine Umfrage zur derzeitigen Cookie-Praxis. Die Teilnhmer der Umfrage wurden unter anderem gefragt, ob sie sich durch regelmäßige Cookie-Hinweise in ihrer Internetnutzung eingeschränkt fühlen, und wenn ja, warum. Aus den gegebenen Antworten wird geschlossen, dass sich 63% der Nutzer durch wiederholt auftretende Cookie-Hinweise „genervt bzw. eingeschränkt“ fühlen. Dabei erscheint interessant, dass sich ein Großteil der Teilnehmer daran stört, dass sie langsamer surfen können (25%), bei Nichtzustimmung die Website nicht nutzen zu können (30% – zur Frage der Rechtmäßigkeit solcher „Cookie-Walls“ lesen sie mehr in unsererm Blog-Beitrag) oder durch Cookie-Hinweise überhaupt erst darauf hingewiesen werden, dass bei der Internetnutzung eine „Überwachung“ bzw. Tracking stattfindet (26%). Deutlicher weniger Nutzer kritisieren hingegen die Verständlichkeit der Hinweise (12%) oder deren wiederholtes Erscheinen (10%). Aus diesen Antworten könnte man auch ablesen, dass nicht die Art und Weise der Cookie-Praxis das Problem darstellt, sondern dass sich die Nutzer zwecks „ungestörtem Nutzererlebnis“ einfach nicht mit Fragen des Schutzes ihrer personenbezogenen Daten beschäftigen möchten.
Dem scheint auch die Antwort von 41% der Teilnehmer zu entsprechen, wonach diese die Cookie-Hinweise gar nicht erst lesen und der Verwendung der Cookies ungeprüft zustimmen. Immerhin 16% lesen die Hinweise und stimmen anschließend ihrer Nutzung zu, und 23% nehmen eine individuelle Cookie-Einstellung vor. Ganze 12% der Nutzer lassen sich von den Cookie-Hinweisen sogar gänzlich von der Nutzung einer Website abbringen und verlassen diese.
Verbesserungswünsche: Einfachheit, Transparenz, zentrale Cookie-Verwaltung
Die Nutzer wurden aber nicht nur nach ihrer Kritik an der gängigen Cookie-Praxis gefragt, sondern auch, welche Verbesserungsvorschläge sie haben. Obwohl 41% die Hinweise gar nicht erst lesen (s.o.), wünschen sich dennoch 39% der Teilnehmer mehr Transparenz darüber, welche ihrer Daten überhaupt erhoben werden, und 31% wünschen sich mehr „Einfachheit und Verständlichkeit bei den Hinweisen und Erklärungen zum Datenschutz“. Andere Teilnehmer wünschen sich hingegen eine grundlegende Änderung der Cookie-Praxis, wobei die Frage gestellt werden muss, ob dies so umsetzbar ist. Dabei geht es einerseits um technische Fragen (25% wünschen sich einheitliche Lösungen, die abgebenene Einwilligungen für mehrere Webseiten speichern), andere Wünsche der Teilnehmer würden hingegen eine Änderung der Rechtslage erfordern. Denn immerhin 33% fordern von der Internet-Industrie, „eine Alternative zur nervigen Cookie-Praxis“ bereitzustellen.
Eine weitere Frage richtet sich wieder an das individuelle Nutzerverhalten. Gefragt ist danach, wie häufig die Nutzer manuell die gespeicherten Cookies löschen. 10% löschen diese sogar mehrmals am Tag, jeweils 9% immerhin einmal am Tag bzw. der Woche, und ebenfalls 9% mehrmals in der Woche. Große Teile der Teilnehmer verlassen sich hingegen bei der Nutzung auf ihre Browser-Einstellungen und löschen die gespeicherten Cookies deswegen selten (29%) oder gar nie (14%).
Zum Abschluss wurden die Teilnehmer gefragt, wie sie die Möglichkeit fänden, ihre Cookie- und Datennutzungseinstellungen bei einem Dienstleister zentral für alle anderen Webseiten speichern zu können, sodass keine individuellen Cookie-Abfragen mehr erforderlich wären. Diese Möglichkeit fänden 27% hilfreich und würden diese nutzen, 34% würden dies vielleicht. Die übrigen Teilnehmer lehnen eine solche Möglichkeit hingegen ab und würden diese sicher (11%) oder doch zumindest wahrscheinlich (10%) nicht nutzen.
Schlussfolgerungen
Welche Schlüsse können nun aus dieser Umfrage gezogen werden? Jan Oetjen, Geschäftsführer von GMX und WEB.DE, sieht aufgrund der aktuellen Regelung – welche auf den Anforderungen der DSGVO beruhe – eine drohende „Klick-Müdigkeit“, denn wer jede Woche dutzende Male nach Einwilligungen für „eher unkritische Daten“ gefragt werde, verliere „schnell den Überblick“. In der Tat ist nach der aktuellen Rechtslage die Einholung einer ausdrücklichen Einwilligung des Nutzers erforderlich, wenn der Betreiber der Website Cookies verarbeiten möchte, die über die „technisch notwendigen“ Erfordernisse hinausgehen. Die Interaktion mit Cookie-Hinweisen kann für den Nutzer sicherlich durch eine vereinfachte optische und technische Gestaltung angenehmer gestaltet werden. Eine „zentralisierte Verwaltung“ aller Cookies wäre für viele Nutzer sicherlich die optimale Lösung. Es stellt sich aber die Frage, welcher Anbieter überhaupt die Entwicklung einer solchen Lösung auf sich nehmen sollte, wenn der Großteil der Nutzer die Verarbeitung seiner Cookies sowieso ungeprüft hinnimmt. Die zentralisierte Verwaltung würde zudem die technische und rechtliche Zusammenarbeit (Joint Control? Auftragsverarbeitung?) verschiedenster Anbieter erfordern.
Stattdessen könnte auch weiter in die Sensibilisierung der Internetnutzer für das Thema Datenschutz investiert werden. Wer sich bewusst ist, wozu die Verarbeitung von Cookies überhaupt dient und welche personenbezogenen Daten hier verarbeitet und eventuell miteinander verknüpft werden, empfindet Cookie-Hinweise vielleicht nicht mehr als lästige Störung des Nutzererlebnisses, sondern als notwendigen Schutz der eigenen Privatsphäre.
20. Mai 2020
Die Fluggesellschaft räumte ein, dass sie Ziel eines Hackerangriffs geworden ist. Die Angreifer hatten Zugriff auf die Daten von rund neun Millionen Kunden. Auch Kreditkartendaten sind teilweise betroffen.
Dies teilte Easyjet am Dienstag mit. Die Angreifen konnten unter anderem auf E-Mail-Adressen sowie Reisedetails zugreifen. Zum jetzigen Zeitpunkt gebe es keine Hinweise darauf, dass die Daten missbraucht worden seien. Die Airline will alle Betroffenen bis zum 26. Mai über den Angriff informieren, um so das Risiko möglicher Phishing-Attacken einzudämmen. „Wenn Sie nicht kontaktiert werden, dann wurde auf ihre Daten nicht zugegriffen“, betonte die Airline.
Wer nicht darauf warten möchte, kann hier durch Eingabe seiner Email auf der Website „Have I been pwned?“ überprüfen, ob er vom Datenleck betroffen ist.
Bei mehr als 2200 Kunden gelang es den Hackern darüber hinaus die Kreditkartendaten zu erbeuten. Erste Hinweise auf die Attacke hatte Easyjet im Januar 2020. Wer dahinter steckt, ist dem Unternehmen nicht bekannt.
„Es tut uns leid, dass das passiert ist“, verlautbarte das Unternehmen. Die zuständigen Behörden seien informiert.
13. Mai 2020
Mit Wirkung zum 04. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien zur Einwilligung nach der Datenschutz-Grundverordnung erlassen und veröffentlicht (bisher liegen die neuen Leitlinien nur in englischer Sprache vor). Dabei handelt es sich um eine aktualisierte Fassung des „Working Papers“ WP 259 rev. 01 der Artikel-29-Datenschutzgruppe. Diese Aktualisierungen betreffen vor allem den Betrieb von Webseiten und dort einzuholende Einwilligungen der Nutzer.
Der EDSA sah sich zu einer Aktualisierung dieser Leitlinien veranlasst, da das Thema „Einwilligung“ noch immer zahlreiche praktische und rechtliche Schwierigkeiten mit sich bringt. Dabei geht es laut EDSA insbesondere um zwei Punkte, die weiterer Klarstellung bedürften: zum einen die Wirksamkeit von Einwilligung bei der Nutzung sog. „Cookie Walls“, zum anderen das im WP 259 rev. 01 dargestellte Beispiel 16 zum Scrollen und Wischen auf einer Website als mögliche Einwilligung.
„Cookie Walls“ unzulässig
Zunächst stellt der EDSA klar, dass eine Einwilligung dann nicht als „freiwillig“ abgegeben (im Sinne des Art. 4 Nr. 11 DS-GVO) angesehen werden könne, wenn der Verantwortliche die Nutzung eines Services von der Erteilung einer Einwilligung abhängig macht und darauf verweist, die betroffene Person könne den Service andernfalls auch bei einem anderen Anbieter nutzen (Rn. 38). Eine solche Einwilligung sei wegen einer fehlenden echten Wahlmöglichkeit nicht freiwillig, denn sie sei vom Verhalten anderer Marktteilnehmer sowie von der Beurteilung des Betroffenen abhängig, ob das andere Angebot als tatsächlich gleichwertig angesehen wird. Zudem würde dies den Verantwortlichen dazu verpflichten, Marktveränderungen zu beobachten, um Änderungen in Bezug auf gleichartige Angebote feststellen zu können. Im Ergebnis dürften Verantwortliche die Nutzung eines Services nicht davon abhängig machen, dass der Nutzer eine Einwilligung in die Verarbeitung seiner Daten für zusätzliche Zwecke erteilt. Sog. „Cookie Walls“ seien demnach unzulässig (Rn. 39).
Scrollen und Wischen nicht als Einwilligung geeignet
Die zweite Klarstellung des EDSA bezieht sich auf das Beispiel 16, welches die Artikel-29-Datenschutzgruppe im WP 259 rev. 01 gegeben hatte. Demnach stelle das Scrollen oder Wischen auf einer Webseite keine eindeutig bestätigende Handlung dar (Rn. 68). Der Hinweis durch den Verantwortlichen, das fortgesetzte Srollen oder Wischen würde durch den Verantwortlichen als Einwilligung aufgefasst, könne schwierig zu erkennen sein, sodass er durch den Betroffenen übersehen werden könne. Diese Auffassung hat der EDSA nun bestätigt und klargestellt, dass ein solches Scrollen oder Wischen „unter keinen Umständen“ eine unmissverständlich abgegebene Willensbekundung (siehe Art. 4 Nr. 11 DS-GVO) darstelle. Ein solches Verhalten könne deshalb nicht als Einwilligung angesehen werde, weil es sich nicht leicht von sonstigem Nutzerverhalten unterscheiden lasse. Zudem könne der Betroffene in einem solchen Fall seine Einwilligung nicht „so einfach wie die Erteilung der Einwilligung“ widerrufen, wie dies Art. 7 Abs. 3 S. 4 DS-GVO fordert.
Ulrich Kelber, Bundesdatenschutzbeauftragter und selbst Mitglied des EDSA, unterstützte diese Klarstellungen. Es sei problematisch, dass einige Internetseiten durch ihre Gestaltung den Nutzenden Tracking aufdrängten, und er hoffe, dass die Klarstellungen zu einem Umdenken bei solchen Anbietern sorgt. Es sei erforderlich, dass diese den Nutzenden endlich datenschutzfreundliche Alternativen anbieten.
7. Mai 2020
IT-Sicherheitsforscher werfen dem chinesischen Smartphone-Hersteller Xiaomi vor, das Verhalten ihrer Nutzer in großem Umfang aufzuzeichnen. Dabei geht es insbesodere um Browserdaten. Auch wenn der Inkognito-Modus eingeschaltet ist, soll Xiaomi besuchte Websites und Eingaben in eine Suchmaschine aufzeichnen.
Bei der Verwendung des Standardbrowsers sollen Daten über jede besuchte Website an einen Server von Xiaomi übermittelt werden. Davon sollen auch Daten umfasst sein, die der Nutzer in Suchmaschinen eingibt. Und das unabhängig davon, ob Google verwendet wird oder DuckDuckGo, eine Suchmaschine die keine personenbezogenen Daten sammeln soll. Daran ändere auch die Nutzung des Inkognito-Modus nichts. Dies hatte der IT-Sicherheitsforscher Gabriel Cîrlig herausgefunden und dem US-Magain Forbes berichtet.
Es werden offenbar auch Angaben zum Smartphone, der Android-Version und eine Nutzerkennung übermittelt. Zudem soll das Smartphone bestimmte Nutzungsdaten an Server übermitteln, etwa welche Ordner geöffnet werden oder welche Apps verwendet werden. Cîrlig fürchtet, dass damit Nutzer einndeutig identifiziert werden können. Der Forscher stellte die Datenverarbeitungen auf einem Redmi Note 8-Smartphone fest. Er befürchtet aber, dass auch andere Modelle des Herstellers betroffen sind. Denn die Firmware für Mi10, Redmi K20 und Mi MIX 30 sollen den gleichen Browsercode haben. Die Daten wurden offenbar an Server in Singapur und Russland übermittelt, die beim Internetkonzern Alibaba gehostet wurden.
Auf Nachfrage von Forbes untersuchte der Cyber-Sicherheitsforscher Andrew Tierney weitere Browser, die Xiaomi im Google Play-Store bereitstellt. Sie kommen auf etwa 15 Mio. Downloads. Tierney fand heraus, dass diese Browser dieselben Daten sammelten – unabhängig vom Modus, in dem er surfte.
Xiaomi widersprach den Ergebnissen zunächst in einer Stellungnahme an Forbes. Dem Unternehmen sei die Privatsphäre ihrer Nutzer wichtig. Die Daten seien zwar gesammelt, jedoch anonymisiert worden und der Nutzer habe der Datenerhebung zugestimmt. Xiaomi widersprach insbesondere der Behauptung, dass die Daten auch bei der Verwendung des Inognito-Modus gespeichert werden. Die Datenverarbeitungen seien gängige Praxis. Die Experten Cîrlig und Tierney meinen dagegen, dass die Datenübermittlung deutlich umfangreicher als bei Google Chrome oder Apple Safari sei.
Xiaomi kündigte mittlerweile in einem Blogbeitrag an, eine Opt-out-Möglichkeit im Inkognito-Modus einzubauen. Damit wolle man die Kontrolle des Nutzers über sein Daten weiter stärken.
4. Mai 2020
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Stellungnahme vom 24.04.2020 dazu geraten die iOS Applikation „Mail“ von Apple zu löschen oder zumindest die Synchronisation mit den eigenen Postfächern abzuschalten. Die Schwachstelle wird als „besonders kritisch“ eingestuft und ist bislang nicht geschlossen.
Das US-amerikanische Unternehmen ZecOps hatte während einer Untersuchung eine Sicherheitslücke entdeckt, welche es Hackern ermöglichen könnte auf Mail-Inhalte zuzugreifen, diese zu ändern oder zu löschen. Hierzu genüge es bereits, wenn der Nutzer eine Mail mit dem Schadcode der Hacker öffne. Unter der neuesten Betriebssystemversion iOS 13 müsse der Nutzer die Mail garnicht erst öffnen. Hier genüge es sogar die Mail zu empfangen.
Laut ZecOps lassen erste Hinweise darauf schließen, dass entsprechende Angriffe bereits stattgefunden haben. Nach Angaben des BSI betrifft die Sicherheitslücke tausende Verbraucher, Behörden und Unternehmen. Nicht betroffen ist hingegen die Mail-App in macOS.
Laut Apple besteht keine Gefahr
Apple hat die Sicherheitslücke untersucht und gibt an, es bestehe keine Gefahr für die Nutzer des Programms. Es treffe zwar zu, dass die Mail App entsprechende Probleme aufweise, die in iPhones und iPads integrierten Sicherheitsvorkehrungen reichen aber vollkommen aus um diese Sicherheitslücke zu schließen. Zudem konnte Apple keinen Beweis für das Ausnutzen der Sicherheitslücke feststellen.
Sicherheitslücke noch nicht geschlossen
Für App-Nutzer ist es daher nicht ganz klar, auf welche Informationen sie sich nun stützen sollten. Ratsam ist es den Empfehlungen des BSI zu folgen, bis Apple ein neues Patch zur Behebung der Fehler zur Verfügung gestellt hat.
30. April 2020
Das amerikanische Pharma-Unternehmen ExecuPharm teilt in einem Brief seinen Angestellten und der Generalstaatsanwaltschaft in Vermont mit, dass es am 13. März von einem Hackerangriff getroffen worden sei. Die Hacker forderten Lösegeld und warnten davor, dass auf Sozialversicherungsnummern, Steuer-IDs, IBAN-Nummern, Kreditkartennummern und weitere Daten zugegriffen worden sein könnte.
Die Mitarbeiter von ExecuPharm erhielten Phishing-E-Mails
von unbekannten Personen. Nach einer Untersuchung stellte ExecuPharm fest, dass
die Personen, die hinter der Verschlüsselung und dem Versand dieser E-Mails
standen, möglicherweise auf ausgewählte personenbezogene Daten des
ExecuPharm-Personals sowie auf personenbezogene Daten ausgewählter Mitarbeiter
von Parexel, deren Informationen im Datennetzwerk von ExecuPharm gespeichert
waren, zugegriffen und/oder diese weitergegeben haben.
Das amerikanische Pharma-Unternehmen hat die Behörde in den
Vereinigten Staaten darüber informiert und eine Cybersecurity-Firma beauftragt,
den Vorfall vollständig aufzuklären.
29. April 2020
Die amerikanische, gemeinnützige Stiftung Mozilla hat 15 der wichtigsten Videokonferenz-Apps einer Sicherheitsanalyse unterzogen und Ihre Ergebnisse in einem Leitfaden mit Datenschutz- und Sicherheitsmerkmalen sowie Datenschutz- und Sicherheitsmängeln zusammengestellt. Der Leitfaden soll Nutzern dabei helfen, die für sie richtige App auswählen zu können.
Um zu bestehen, mussten die Apps folgende fünf Mindestanforderungen erfüllen:
- Verschlüsselung von Anrufen
- Regelmäßige Sicherheitsupdates
- Forderung nach sicheren Passwörtern
- Umgang mit Schwachstellen
- Vorliegen einer Datenschutzrichtlinie
12 Apps erfüllen Mindestanforderungen
12 der 15 geprüften Apps konnten diese Mindestsicherheitsstandards erfüllen. Dazu zählen WhatsApp, Apple FaceTime, Skype, Google Duo/HangoutsMeet, Facebook Messenger, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting, Cisco WebEx und Zoom.
Insbesondere Zoom wurde in der Analyse dafür gelobt, dass es auf die vielfache Kritik (wir berichteten) schnell reagiert habe, um Sicherheitsmängel zu beseitigen, auch wenn der Grund dieses Handelns, laut Mozilla, wohl vor allem der großen Konkurrenz unter den verschiedenen Videokonferenz-App-Anbietern zu verdanken sei.
Dennoch erhebliche Unterschiede unter den Apps
Die Ausgestaltung der einzelnen Sicherheitsstandards unterscheidet sich zwischen den Anbietern jedoch deutlich.
So werden Anrufe zwar verschlüsselt, allerdings seien es nur Google Duo, FaceTime, WhatsApp, Signal, Goto-Meeting und Doxy.me, die die sicherste Variante, die Ende-zu Ende Verschlüsselung, verwendeten. Nur diese Art der Verschlüsselung gewährleistet, dass der Inhalt eines Anrufs nur für die jeweiligen Teilnehmer einsehbar ist.
Bei der Skype-App, dem Facebook-Messenger und Webex habe der Nutzer aber zumindest die Option eine Ende-zu Ende Verschlüsselung zu wählen.
Andere Apps würden hingegen eine Client-zu-Server-Verschlüsselung verwenden, welche die Daten, sobald sie auf den Servern eines Unternehmens landen, lesbar macht.
Außerdem weist Mozilla auf eine Reihe weiterer Risken hin. Unter anderem sammle Facebook über seine Apps eine Menge persönlicher Informationen wie Name, E-Mail, Standort, Geolokationen auf Fotos, die hochgeladen werden sowie Informationen über Kontakte und den Nutzer selbst, die andere Personen (möglicherweise) freigeben und sogar alle Informationen, die die App über einen sammeln kann, wenn die Kamerafunktion verwendet wird. Außerdem teile Facebook die Informationen auch mit einer großen Anzahl von Drittparteien wie Werbeagenturen, Anbietern, akademischen Forschern und Analysediensten.
WhatsApp hingegen sei sehr anfällig für Fehlinformationen. Gerade während der Pandemie werde die App zur Verbreitung von Verschwörungstheorien und gefälschten Nachrichten gebraucht.
Drei Apps fielen durch
Die Apps Houseparty, Discord und Doxy.me fielen bei der Sicherheitsanalyse hingegen durch. Sie erfüllten bereits nicht die fünf Mindest-Sicherheitsanforderungen. Laut Mozilla verlangen die genannten Dienste keine sicheren Passwörter und Houseparty und Discord sammeln zu viele persönliche Daten.
28. April 2020
Nintendo hat bestätigt, dass Hacker sich Anfang April unbefugten Zugriff auf 160.000 Nintendo-Accounts verschafft haben und zahlreiche Daten abgegriffen haben könnten. Laut Nintendo: „Die Untersuchungen sind noch im Gange. Derzeit gibt es jedoch keine Hinweise auf einen unerlaubten Zugriff auf die Datenbanken, Server oder Services von Nintendo.“ Aus Sicherheitsgründen sei es ab sofort nicht mehr möglich, sich über eine Nintendo-Network-ID bei einem Nintendo-Account anzumelden.
Unter den erbeuteten Informationen sind neben der Nintendo-ID, der Nickname, das Geburtsdatum, die Region und die E-Mail-Adresse des Nutzers. Im Laufe der Tage meldeten auch immer mehr User aus Deutschland, dass Geld von verknüpften PayPal-Konten abgebucht wurde. Kreditkarten-Daten sollen sich laut Nintendo jedoch nicht unter den gestohlenen Daten befinden.
Nintendo Deutschland hat sich gemeldet und rät dazu, den Account mit einer Zweistufen-Bestätigung zu schützen, um einen unerlaubten Zugriff zu vermeiden. Zur weiteren Sicherheit wird Nintendo alle Nutzer informieren, die von der Datenpanne betroffen sind. Außerdem empfiehlt Nintendo Kreditkarteninformationen und verknüpfte PayPal-Konten aus dem Account zu entfernen. In der Stellungnahme hat sich Nintendo für die Vorkommnisse entschuldigt.
23. April 2020
Der unabhängige Android-App-Store Aptoide hat ein gewaltiges Datenleck zu beklagen. Der Anbieter teilte am 18. April mit, dass seine Datenbank gehackt wurde. Dabei sind Nutzerdaten von über 20 Millionen Kunden abgeflossen. Im Anschluss veröffentlichten die Hacker die erbeuteten Daten auf bekannten Hacker-Foren. Auch der Passwort-Prüfdienst „Have I Been Pwned“ (HIBP) bestätigte den Data Breach.
Welche Daten wurden geleaked?
Nach Aptoides Angaben griffen die Hacker jeweils die E-Mail-Adressen sowie „verschlüsselte“ Passwörter ab. Zusätzlich sollen aber auch die IP-Adressen, Benutzernamen und Details zum verwendeten Webbrowser kopiert worden sein. Außerdem wurden die Passwörter mit dem sogennanten „Secure Hash Algorithm“ (SHA) der Stufe 1 ohne Salt (=Salz; eine Methodik aus der Kryptologie) verschlüsselt. Wegen Sicherheitsbedenken wird allgemein vom Verweden dieser Hash-Funktion abgeraten. Auf die Sicherheit der Verschlüsselung sollte man sich also lieber nicht verlassen.
Aptoide appeliert an Nutzer: Ändert eure Passwörter zügig!
Die Passwort-Hashes sind nach Angaben des Anbieters allerdings nur dann Teil des Leaks, wenn diese auch extra für den Store angelegt wurden. Wer sich also über Google oder Facebook angemeldet hat, kann insofern beruight sein, da dann nur eine zufällig gespeicherte Zeichenfolge erbeutet wurde. Wer aber sein Passwort selbst angelegt hat, sollte dieses umgehend ändern.
Wie finde ich heraus, ob ich betroffen bin?
HIBP hat die geleakted Daten bereits in seine Datenbank implementiert. Unter diesem Link können Sie umgehend prüfen, ob Sie betroffen sind.
16. April 2020
Seit Wochen überschlagen sich die Nachrichten zur Videokonferenz App Zoom, das seit der Corona Krise eine rasante Nachfrage zu verzeichnen hat, gleichzeitig aber auch mit erheblicher Kritik hinsichtlich seiner Datensicherheit kämpft (wir berichteten hierzu am 01.04.2020 und 09.04.2020).
Das Unternehmen arbeitet laut eigener Aussage seitdem auf Hochtouren daran seine Datensicherheit zu verbessern.
Politiker raten von Nutzung ab
Deutsche Politiker raten momentan jedoch weiter von der Verwendung des Videodienstes ab. Solange es dem Unternehmen nicht gelinge, sämtliche Sicherheits- und Datenschutzvorwürfe vollständig zu entkräften, könne Zoom nicht als Videokonferenzdienst empfohlen werden.
Der Vorsitzende des Digitalausschusses im Bundestag, Manuel Höferlin (FDP) äußert sich hierzu sehr deutlich: „Solange Zoom nicht nachweisen kann, dass ihre Software sicher und vertrauenswürdig ist, sollten deutsche Unternehmen auf die Nutzung dieser Video-Plattform weitestgehend verzichten. Das sollte zumindest für alle Besprechungen gelten, bei denen das erforderliche Vertraulichkeitsmaß höher ist als bei einer Postkarte.“
Vor allem aber auch Behörden und Ministerien wird von einer Nutzung der App abgeraten. Politiker von CDU und FDP befürchten einen Zugriff Chinas auf die Nutzerdaten und Inhalte.
Das Unternehmen hatte noch im Februar Konferenzen über Server in China geleitet. Auch wenn das Problem nach eigener Aussage des Unternehmens mittlerweile behoben sei, sind deutsche Politiker weiterhin der Ansicht, dass der Zugriff chinesischer Behörden auf Zoom-Daten nicht ausgeschlossen werden könne. Vor allem da sich nach wie vor ein Rechenzentrum des Unternehmens in China befinde.
Zoom reagiert
Per Blog-Post gab das Unternehmen nun bekannt, dass zahlende Kunden ab dem 18.April die Möglichkeit erhalten sollen, Rechenzentren-Regionen selbst auszuwählen. Somit soll der zahlende Kunde selbst entscheiden können, über welche Länder die Daten und Konferenzen geleitet werden. Als Regionen zur Auswahl stehen derzeit die USA, Kanada, Europa, Indien, Australien, China, Lateinamerika, und die Region Japan / Hong Kong.
Nutzer die die App weiterhin kostenlos nutzen wollen, haben diese Möglichkeit allerdings nicht.
Fazit
Es bleibt abzuwarten, ob Zoom es schafft seine Funktionen sicherer zu gestalten. Massive datenschutzrechtliche Bedenken bestehen in jedem Falle weiterhin und auch die Politik hat deutlich gemacht, dass Zoom für sensible Daten oder vertrauliche Informationen keinesfalls verwendet werden sollte.
Update
Wie jetzt bekannt wurde, werden die Zugangsdaten von über 500.000 Zoom-Accounts im Darknet für weniger als einen Penny zum Kauf angeboten. In einigen Fällen werden die Daten auch kostenlos zur Verfügung gestellt. Der Verkauf soll seit Anfang April 2020 laufen.
Die Daten wurden vermutlich durch sogenannte „Credential Stuffing“-Angriffe gesammelt. Hierbei versuchen Hacker sich bei Online-Diensten – wie in diesem Fall Zoom – mit Login-Daten anzumelden, die aus älteren Datenpannen stammen. Denn: Viele Nutzer verwenden dasselbe Passwort für mehrere Dienste. Dies kommt Hackern beim „Credential Stuffing“ zugute. Erfolgreiche Anmeldungen werden dann in Listen zusammengestellt und an andere Hacker verkauft. Die Listen beinhalten neben den E-Mail-Adressen auch Passwortkombinationen.
Zoom erklärte, gegen diese Angriffe bereits umfangreiche Maßnahmen ergriffen zu haben. So habe man Firmen damit beauftragt, die Passwort-Dumps und Tools, mit denen diese erstellt wurden, ausfindig zu machen. Außerdem würden als kompromittiert erkannte Zoom-Accounts gesperrt und Nutzer würden gebeten, ihre Passwörter zu ändern. Zoom betonte außerdem, dass große Unternehmenskunden mit eigenen Single-Sign-On-Systeme im Allgemeinen nicht von den Angriffen betroffen seien.
Bei „Credential Stuffing“ handelt es sich um kein Zoom-spezifisches Sicherheitsproblem. Jeder Dienst kann Opfer solcher Angriffe werden. Doch insbesondere während der Corona-Krise, in der ein erhöhter Bedarf an Video-Kommunikationsmitteln besteht, sind die Nutzerdaten von Zoom für Hacker wohl von besonderem Interesse.
