Kategorie: Online-Datenschutz

Schufa-Projekt: Daten aus sozialen Netzwerken für Kreditwürdigkeitsprüfung nutzen

8. Juni 2012
Medienangaben zufolge hat Deutschlands führende Auskunftei Schufa ein Projekt in Gang gesetzt, das realisieren soll, Nutzerdaten aus sozialen Netzwerken wie Facebook, Xing oder Twitter mit allen bereits vorgehaltenen Daten, z.B. aus Verträgen und Bankverbindungen, sowie Klarnamen und echter Adresse zu verknüpfen und abschließend für die Kreditwürdigkeitsbegutachtung heranzuziehen. So sollen beispielsweise die Kontakte von Facebook-Mitgliedern herangezogen werden, um Beziehungen zwischen Personen zu untersuchen und Zusammenhänge mit der Kreditwürdigkeit der Verbraucher herzustellen. Zusätzlich sei auch die Analyse von Textdaten denkbar, um „ein aktuelles Meinungsbild zu einer Person zu ermitteln.“

Die kritischen Reaktionen von Daten- und Verbraucherschützer ließen – zu Recht – nicht lange auf sich warten. „Sollte die Schufa die gewonnenen Daten tatsächlich einsetzen, wäre das eine völlig neue Dimension“, soll der Datenschutzbeauftragte des Landes Schleswig-Holstein Weichert gewarnt haben. Er zweifle daran, dass eine Umsetzung der Projektideen rechtlich überhaupt haltbar sei. Die Verbraucherzentrale Hamburg wiederum soll das Schufa-Projekt als „Grenzüberschreitung“ bezeichnet haben. „Wenn diese sehr privaten und persönlichen Datensammlungen wie Facebook von der Schufa zusammengeführt und ausgenutzt werden, dann wird es hochgefährlich.“

„Do Not Track“ auf dem Weg zum Industriestandard

6. Juni 2012

Bereits seit Längerem wird nach gangbaren Ansätzen gesucht, um dem Nutzer eine einfache Möglichkeit zu bieten, eine websiteübergreifende Profilbildung zu verhindern. Bei diesem sogenannten Tracking wird der Nutzer mithilfe von Cookies und anderen Techniken über ein Angebot hinaus verfolgt. Dadurch soll ein möglichst präzises Profil erstellt werden, welches wiederum dazu genutzt wird, um „interessengerechte“ Werbung einzublenden.

Bereits Anfang 2011 hat die gemeinnützige Mozilla Stiftung, die beispielsweise hinter dem Firefox Browser steht, damit begonnen die sogenannte „Do Not Track“ (DNT) Technik voranzutreiben. Dieser Ansatz basiert darauf, dass der Nutzer in seinem Browser die „Do Not Track“ (DNT) Funktion aktiviert. Dadurch wird beim Aufruf von Websites eine Header-Kennung gesendet, die Werbenetzwerken signalisiert, dass der Nutzer nicht verfolgt werden möchte. Eine Profilbildung findet dann nicht statt und der Nutzer erhält nur generische Werbung.

Ein solcher Ansatz steht und fällt natürlich mit einer breiten Unterstützung durch Browserhersteller, Websitebetreiber und Werbenetzwerke. Auf Browserseite gaben neben Mozilla (Firefox) auch Microsoft (Internet Explorer) und Apple (Safari) ihre Unterstützung innerhalb kürzester Zeit bekannt. Zögerlicher reagierte Opera, welches den Ansatz erst aufgriff, nachdem das W3C (World Wide Web Consortium) bekanntgab, „Do Not Track“ zum Webstandard erheben zu wollen. Google, welches als Betreiber eines der größten Werbenetzwerke lange gegen den Ansatz opponierte, kündigte mittlerweile an, die Technik bis Ende 2012 im populären Chrome Browser unterstützen zu wollen. Bisher ist für Chrome ausschließlich ein Plug-In von Jonathan Mayer, einem der Köpfe hinter „Do Not Track“, verfügbar. Zu Googles Sinneswandel trugen maßgeblich auch die voranschreitenden Überlegungen zu einem Consumer Privacy Bill of Rights (in etwa: Grundrecht auf Verbraucherdatenschutz) durch die Obama Administration bei. Auch dort wird sich klar für den „Do Not Track“ Ansatz ausgesprochen. Auf Smartphones wird DNT bisher ausschließlich von Firefox für Android unterstützt.

Im Zuge der Diskussion um das Consumer Privacy Bill of Rights hat sich auch die DAA (Digital Advertising Alliance) zur Unterstützung des DNT Standards verpflichtet. Die DAA ist ein Konsortium von Firmen aus der Werbebranche, in dem unter anderem auch große Werbenetzwerke wie Akamai, Google oder Yahoo vertreten sind.

Auch der populäre Kurznachrichtendienst Twitter ist mittlerweile auf den DNT Zug aufgesprungen, bevor wenige Tage später das vielfach eingesetzte Website-Analyse-Tool Piwik in seiner neuesten Version die Unterstützung von „Do Not Track“ aktivierte.

Mit der Ankündigung beim kommenden Internet Explorer 10 die „Do Not Track“ Kennung standardmäßig zu aktivieren, hat Microsoft insbesondere bei der DAA, zu deren Kreis auch Microsoft selbst gehört, einen Aufschrei ausgelöst. Damit wäre der Internet Explorer der erste große Browser, der als Voreinstellung Tracking ablehnt. Somit könnte Microsoft die Anforderungen der Artikel-29 Gruppe erfüllen, die bei Browser basierten Mechanismen ein Opt-In verlangt. Mozilla hingegen bekräftigte die Position bei einem Opt-Out System bleiben zu wollen.

Wer nun „Do Not Track“ gerne einsetzen möchte, kann auf der Website donottrack.us in der oberen rechten Ecke erkennen, ob der eigene Browser dies unterstütz, und ob die Funktion bereits aktiviert ist. Ebenfalls dort finden sich Anleitungen, um „Do Not Track“ zu aktivieren.

ULD: Inszenierte Abstimmung bei Facebook über Änderung der Nutzungsbedingungen

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat sich kritisch bezüglich der Abstimmungsmöglichkeiten von Facebook-Nutzern über die Änderungsvorschläge der Nutzungsbedingungen geäußert. Zwar sei es grundsätzlich begrüßenswert, dass die Nutzer von Facebook überhaupt abstimmungsberechtigt, jedoch bestünde keine echte Wahlmöglichkeit der Nutzer. Zum einen würden nur solche Nutzer von Facebook über die Abstimmung informiert, die „Fan“ von der Seite „Facebook Site Governance“ sind, was gegenüber angeblich 900 Millionen Facebook-Mitgliedern eine verschwindend geringe Zahl sei. Zum anderen müssten nach dem Regelungswerk von Facebook weit mehr als 200 Millionen registrierte Nutzer abstimmen, um eine verbindliche Entscheidung zu erzwingen. Bei derart umfänglichen Änderungen wäre es erforderlich gewesen, alle Nutzer hierauf hinzuweisen. Besonders kritisch sei, dass wer an der Abstimmung teilnehmen möchte, nur zwischen den alten und den neuen Bedingungen wählen könne. Beide Alternativen enthielten allerdings rechtswidrige Klauseln, so dass guten Gewissens beide nicht wählbar seien.

„Ehrlich wäre es gewesen, sich mit den Forderungen der Nutzerinnen und Nutzer ernsthaft auseinanderzusetzen und echte Alternativen – natürlich auf Basis einer rechtskonformen Lösung – zur Wahl zu stellen. So ist die Abstimmung reine Augenwischerei. Das ganze Verfahren zeigt, dass Facebook keine wirkliche Mitbestimmung der Mitglieder möchte. Facebook stößt die vielen tausend Nutzerinnen und Nutzer, die sich an der Diskussion um die Regelungen beteiligt haben, vor den Kopf.“, kommentiert der Leiter des ULD Weichert.

Dropbox, CloudMe & Co.: Datenschutz-Experten warnen

1. Juni 2012

Forscher des Bereichs Cloud-Sicherheit des Frauenhofer-Instituts Darmstadt (SIT) haben beliebte Webdienste, welche Netzwerk-Dateisysteme für die Synchronisation von Dateien zwischen Rechnern und Benutzern bereitstellen und eine Online-Datensicherung ermöglichen, im Rahmen einer Studie getestet und teilweise erhebliche Sicherheitsmängel im Segment des Datenschutzes festgestellt.

Zu den untersuchten Diensten gehörten auch die beliebten Dienste Dropbox und CloudMe. Michael Herfert, Leiter des Forschungsbereichs, urteilte deutlich über den Umstand, dass Dropbox trotz der technischen Machbarkeit keine Verschlüsselung der Daten während der Ablage auf den Rechnern gewährleisten würde: „Der Nutzer kann nur darauf vertrauen, dass Dropbox die Daten nicht einsehen will.“ Andere Anbieter hätten eine solche Verschlüsselung bereits integriert, dementsprechend herrsche unter den Forschern Einigkeit darüber, dass auch Dropbox diesen Service hätte einrichten können. Ebenso würden andere Sicherheitsstandards nicht erfüllt.

Noch empfindlicher fällt das Urteil über den Service CloudMe aus. Dieser gewährleistet nach den Studienergebnissen im Gegensatz zu den anderen Anbietern selbst während der Übermittlung zwischen den Heimcomputern und den Servern keine Verschlüsselung der Daten. Zudem sei die URL der Daten schlecht und durch ihre Einfachheit theoretisch sogar über Suchmaschinen ablesbar.

Angesichts der Testergebnisse empfiehlt die Forschergruppe den Usern, ihre Daten vor dem Hochladen selbst zu verschlüsseln.

 

Neues zur Cookie-Richtlinie

30. Mai 2012

Deutschland:

Auch wenn zwischenzeitlich sowohl vom Bundesrat, als auch von der SPD-Fraktion, ein Entwurf zur Änderung des Telemediengesetzes in den Bundestag eingebracht wurde, ist die E-Privacy Richtlinie (= Cookie-Richtlinie) in Deutschland bisher nicht umgesetzt worden, da die Vorschläge bei der schwarz-gelben Regierungsmehrheit nicht auf Zustimmung stießen. Obwohl Deutschland ein Vertragsverletzungsverfahren droht, da die Richtlinie bereits bis Mai letzten Jahres hätte umgesetzt sein müssen, zeichnet sich eine zeitnahe Änderung des TMG somit weiterhin nicht ab. Nichtsdestotrotz hält der Bundesbeauftragte für den Datenschutz, Peter Schaar, die E-Privacy Richtlinie nach Medienberichten für unmittelbar in Deutschland anwendbar. Eine unmittelbare Anwendung von EU-Richtlinien in Mitgliedsländern, ohne die im Normalfall notwendige Umsetzung in nationales Recht, ist möglich, wenn die Umsetzungsfrist abgelaufen ist, die Richtlinie unbedingt und hinreichend bestimmt ist. Diese Vorraussetzungen sieht Schaar als gegeben an, und folgert daraus, dass die deutschen Datenschutzbehörden ihre Aufsichtsmaßnahmen direkt auf die E-Privacy Richtlinie stützen könnten.

EU:

Basierend auf den bereits skizzierten Einschätzungen ihres Vorsitzenden Jakob Kohnstamm hat auch die Artikel-29-Gruppe eigene Best Practice Empfehlungen für den datenschutzkonformen Einsatz von Cookies im Rahmen des Behavorial Targetings veröffentlicht.

UK:

Ende Mai 2012 ist eine einjährige Übergangsfrist abgelaufen, innerhalb derer das ICO (Information Commissioner’s Office) keine formalen Maßnahmen wegen Verstößen gegen die in den Data Protection Act aufgenommenen Bestimmungen der Cookie-Richtlinie ergreifen wollte. Von nun an drohen bei schweren Verstößen Strafen bis zu 500.000 £. Um solch drastische Sanktionen zu vermeiden, beantwortet das ICO die am häufigsten gestellten Fragen rund um die datenschutzkonforme Implementierung von Cookies in einem Video und stellt ausführliche Leitlinien zum Cookieeinstatz zur Verfügung. Auch die ICC (International Commerce Chamber) hält eigene Informationsmaterialien zu dem Thema bereit. Wie eine solche Umsetzung aussehen kann, zeigt beispielsweise die Website der BBC, welche sich für eine Leiste am oberen Bildrand entscheidet. Aboutcookies.org  wählt hingegen eine dauerhaft präsente Box am unteren Bildschirmrand.

Irland:

In Irland wurde die Cookie-Richtlinie durch S.I. No. 336 of 2011 umgesetzt. Der irische Data Protection Commissioner hat gegenüber der Website the Sociable in Bezug auf diese Umsetzung ausgeführt, dass keine gesonderte Einwilligung für den Einsatz von seitenfremden Analysewerkzeugen, wie z.B. Google Analytics, notwendig ist, solange der Website-Betreiber die Information bereitstellt, dass auch Cookies von Drittanbietern gesetzt werden.

Data Dealer: Spielerische Aufklärung zum Thema Onlinedatenschutz

Ein kleines, nicht kommerziell arbeitendes Team aus Österreich möchte auf ungewöhnliche Weise Verständnis für die wirtschaftliche Bedeutung von (privatem) Onlinedatenschutz wecken. Dazu entwickeln sie das Browserspiel Data Dealer, in welchem der Spieler sich zum mächtigten Datenhändler aufschwingen soll. Getreut dem Untertitel „Legal, illegal, scheißegal“ stehen dabei nicht ausschließlich gesetzeskonforme Methoden, die man sich als Datenschützer wünschen würde, zur Verfügung. Auch wenn die bereits erhätliche Demo durchaus auch als humoriges Spiel zu verstehen ist, verdeutlicht sie dennoch, wie aus personenbezogenen Daten Profit geschlagen wird. Das Spiel schafft es, ein grundlegendes Verständnis für den Wert der eigenen Daten zu vermitteln, ohne dabei allzu mahnend oder kulturpessimistisch zu wirken und könnte so auch eine Zielgruppe erreichen, für die Datenschutz bisher wenig relevant erscheint. Insofern ist das große mediale Echo, welches diesem kleinen Projekt zuteil wird, verständlich.

EU-Standardvertragsklauseln für die Microsoft Cloud

Nach einer Meldung von heise.de hat Microsoft angekündigt, dass künftig die EU-Standardvertragsklauseln auch für den Cloud-Dienst „CRM-Online“ verfügbar seien. Neben Office 365 ist dies der zweite Cloud-Dienst von Microsoft, für den die Vertragsklauseln aus der Feder der EU-Kommission herangezogen werden können. Unternehmen in Europa ist auf ihrer Grundlage gestattet, Daten in Länder ohne angemessenes Datenschutzniveau zu transferieren, wenn sich der Vertragspartner zur Einhaltung der Standardvertragsklauseln verpflichtet hat. Sie stellen nach einer Orientierungshilfe zum Cloud-Computing der Konferenz der Datenschutzbeauftragten von Bund Ländern vom Septemer 2011 die Mindestanforderungen für internationales Cloud-Computing dar, wenn die Anbieter keine Safe-Harbor-Zertifizierung vorweisen können.

Datendiebstahl bei Online-Dienstleister WHMCS

25. Mai 2012

Medienangaben zufolge ist es Hackern Anfang dieser Woche erfolgreich gelungen, in die Web-Server des Online-Dienstleisters WHMCS einzubrechen. Dabei sollen die Angreifer nicht nur den gesamten Serverinhalt kopiert und anschließend gelöscht haben, sondern auch die gesamte Kundendatenbank ausgelesen haben. Laut Angaben von WHMCS umfasst diese neben allen Bestellungen und Supportanfragen der letzten 17 Stunden vor dem Angriff auch über 500.000 E-Mail-Adressen und weitere personenbezogene Daten der Kunden. Die für den Angriff verantwortliche Hackergruppierung UGNazi soll unmittelbar nach dem Angriff die Benutzerdatenbank als MySQL-Dump online gestellt haben. Der Angriff sei damit begründet worden, dass den Betroffenen die mangelhafte Datensicherheit in eindeutiger Weise vor Augen geführt werden sollte.

Hierdurch wird wieder einmal mehr als deutlich, dass IT-Sicherheit und Datenschutz zwei Seiten der gleichen Medaille sind, die aufeinander abgestimmt dafür sorgen können, dass der Schaden solcher Angriffe auf ein Minimum reduziert werden kann.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: ,

Medien-Apps erfassen und übermitteln Unique Device ID an App-Anbieter und Dritte

Journalisten des NDR-Medienmagazins Zapp haben etwa 100 Apps von Massenkommunikationsanbietern, die sämtlich aus dem Apple App-Store heruntergeladen wurden, getestet. Ungefähr die Hälfte der getesteten Apps soll unbemerkt, also insbesondere ohne Kenntnis der Betroffenen, Nutzerdaten an die Anbieter übermitteln, einige zudem auch an andere Dritte (z.B. Facebook). Betroffen seien insbesondere Apps von öffentlich-rechtlichen Radios, Privatsendern und Verlagen. Als besonders kritisch sei die festgestellte Übermittlung der Unique Device Identification (UDID) anzusehen. Diese weltweit einmalige Seriennummer könne als eine Art digitaler Fingerprint des Mobiltelefons eingeordnet werden. Da Mobiltelefone regelmäßig nur von einer Person genutzt werden und somit über die UDID ein Nutzer wiedererkannt werden kann, sei die UDID als personenbezogenes Datum zu werten. Da die Übermittlung der UDID für die Funktionsweise der Apps jedoch nicht notwendig ist, sei diese als überaus problematisch einzustufen.

Die Ergebnisse dieses Tests offenbaren, dass sparsames Installieren und Nutzen von Apps, entsprechend dem Grundsatz der Datensparsamkeit, die Maßnahme der Wahl ist, um weitestgehende Kontrolle über die eigenen Daten zu behalten.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

SpyEye Trojaner filmt Nutzer deutscher Banking-Websites

23. Mai 2012

Nach Angaben eines Kaspersky Mitarbeiters befindet sich eine neue Variante des SpyEye Trojaners im Umlauf, die sich gezielt gegen Benutzer richtet, die Websites deutscher Banken besuchen. Ruft der Nutzer eines infizierten PCs eine der im Code des Trojaners hinterlegten Bankingseiten auf, startet die Schadsoftware ein Flashelement, welches die Webcam aktiviert. Ab diesem Zeitpunkt werden aufgezeichnete Video- und Audiodaten in Echtzeit übertragen. Die normalerweise übliche Abfrage, ob die Webcam verwendet werden darf, unterdrückt der Trojaner.

Nicht völlig geklärt ist bisher, welchem Zweck die Übertragung des Videos dient. Für die eigentliche Schädigung wird die Webcam jedenfalls nicht benötigt, da die betroffenen Banken keinerlei biometrische Authentifizierung, z.B. per Gesichtserkennung, anbieten. In seinem Beitrag mutmaßt der Autor, dass die Aufzeichnung dazu diene, Telefongespräche mit der Bank aufzuzeichnen, wenn der Nutzer bei einer unerwarteten Abfrage eines Sicherheitscodes Verdacht schöpfe und daraufhin seine Bank kontaktiere. Die bei diesem Gespräch aufgezeichneten telefonischen Sicherheitsabfragen könne der Angreifer dazu nutzen, später selber bei der Bank anzurufen und so das Konto zu übernehmen. Für diese Einschätzung stützt sich der Kaspersky Mitarbeiter auch Erfahrungen eines Kollegen, der sich mit einer ähnlichen Schadsoftware beschäftigt hat, die Nutzer ecuadorianischer Banken ebenfalls per Video ausspionierte.

Nach Microsofts 12. Security Intelligence Report (PDF) ist SpyEye, welcher im Report als Win32/EyeStye bezeichnet wird, insbesondere in Deutschland stark verbreitet. Dem Report lässt sich entnehmen (Seite 66), dass mehr als die Hälfte aller durch Microsoft festgestellten Infektionen in Deutschland erfolgte.

Kategorien: Online-Datenschutz
Schlagwörter:
1 58 59 60 61 62 67