Kategorie: Online-Datenschutz

Folgen der Weitergabe von Cloud-Daten an US-Behörden

13. Juli 2011

Wie bereits berichtet, hat Microsoft offen zugegeben, auch in Europa gespeicherte Daten seines Dienstes Office 365 unter Umständen an US-Behörden weitergeben zu müssen.

Sogleich haben die deutschen Aufsichtsbehörden hierzu eine Reaktion gezeigt: Nach einer Meldung von heise online sieht Dr. Thilo Weichert vom Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) in einer solchen Datenweitergabe aus dem EU-Gebiet heraus einen Widerspruch zum europäischem Datenschutzrecht. Ein drohender Zugriff von US-Behörden stelle die Vertraulichkeit der gespeicherten Daten infrage und entziehe bestehenden Verträgen zur Datenverarbeitung somit die Grundlage. Auf Grund dessen lasse sich sowohl ein Sonderkündigungsrecht ableiten als auch die Feststellung treffen, dass Microsoft als Anbieter von Cloud-Lösungen wie Office 365 und Windows-Azure für personenbezogene IT-Dienstleistungen ausscheide. Als Alternative käme ferner der Bezug von Office 365 über T-Systems infrage, da dieser Anbieter seinen Nutzern zusichert, dass die Daten ausschließlich auf „unter eigener Kontrolle stehenden“ Servern gespeichert werden.

Dies zeigt einmal mehr, dass das Feld des Cloud Computing in Bezug auf Datenschutz rechtlich immer noch ein Minenfeld ist. (se)

Update:

Auch seitens der EU-Kommission liegt nunmehr eine Reaktion vor: Matthew Newman, der Pressessprecher der für Justiz-, Grundrechts- und Bürgerschaftsbelange zuständigen EU-Kommisarin Viviane Reding, hat sich gegenüber CHIP Online zu der Datenübermittlung in die USA im Rahmen des Patriot Acts geäußert. Nach seinem Verständnis muss sich dabei „jedwede Übertragung personenbezogener Daten in Drittstaaten (…) an die grundlegenden Prinzipien des Datenschutzes in der EU halten“. Wenn ein Drittland Zugriff auf Daten aus dem EU-Raum erlangen wolle, setze dies voraus, „die etablierten offiziellen Kommunikationswege zwischen öffentlichen Ämtern benutzen“.

Zur abschließenden Regelung des Problems hält Newman es für unerlässlich, „eine allumfassende Vereinbarung zwischen der EU und den USA über die gemeinsamen Datenschutz-Prinzipien zu treffen, um die personenbezogenen Daten, die ausgetauscht werden, im Kontext der Verbrechens- und Terrorismusbekämpfung zu schützen.“ (se)

Änderung des Telemediengesetzes: Mehr Schutz und Transparenz für Nutzer

11. Juli 2011

Der Bundesrat hat einen Gesetzesentwurf zur Änderung des Telemediengesetzes (TMG), der der mangelnden Transparenz bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Diensteanbieter Abhilfe schaffen soll, in den Bundestag eingebracht.

Wegen der besonderen Gefahren für Persönlichkeitsrechte sollen danach u.a. Diensteanbieter von nutzergenerierten Inhalten zusätzliche Schutzpflichten einhalten. Diese beinhalten etwa bei Neuanmeldungen für soziale Netzwerke die standardmäßige Voreinstellung der höchsten Sicherheitsstufe, die ausschließlich durch den Nutzer reduziert werden kann, und die standardmäßige Verhinderung der Auffindbarkeit und Auslesbarket mittels externer Suchmaschinen. Den Nutzern soll künftig auch ohne technisches Hintergrundwissen die Gelegenheit gegeben werden, datenschutzrechtliche Transparenz zu erhalten und selbst zu veranlassen, dass die im Telemediendienst veröffentlichten personenbezogenen Daten gelöscht, gesperrt oder anonymisiert werden.

Der Gesetzentwurf wurde bereits der Bundesregierung zugeleitet, die zur Darlegung ihrer Auffassung bis Ende Juli aufgefordert wurde.

Kategorien: Online-Datenschutz
Schlagwörter:

US-Behörden erhalten Zugriff auf Cloud-Daten, die in Europa gespeichert sind

2. Juli 2011

Gordon Frazer, Managing Director bei Microsoft UK, räumte zum Start des Online-Office-Dienstes Office 365 ein, dass US-Behörden auch dann Zugriff auf Daten gewährt werden müsste, wenn diese physikalisch auf europäischen Servern gespeichert sind.

Auf Grundlage des USA Patriot Acts ist ein solcher Zugriff dann nicht auszuschließen, wenn eine Firma ihren Hauptsitz in den USA hat oder alle Anteile von einer US-Mutterfirma gehalten werden. Neben Microsoft sind auch sonstige Internetgrößen wie Amazon, Apple und Google betroffen. Dies wird auch durch die Aussage Frazers, dass weder Microsoft noch andere Firmen die Garantie geben könnten (, dass den US-Behörden kein Zugriff auf die Daten gewährt wird), deutlich.

Nach Möglichkeit würden die Kunden aber von einem solchen Zugriff unterrichtet. Die Einschränkung „nach Möglichkeit“ ist notwendig, da bestimmte US-Behörden wie das FBI einen National Security Letter erlassen können, welcher es den betroffenen Stellen verbietet, Informationen über die Anfrage weiterzugeben (sogenannte Gag order).

Insgesamt wurde damit zum ersten Mal eine solche Zugriffsmöglichkeit explizit bestätigt. Unternehmen, die den rechtlichen Anforderungen des Datenschutzes beim Cloud-Computing Genüge tun wollen, kann somit vorerst nur geraten werden, ihre Daten einem europäischen Anbieter anzuvertrauen. (se)

Bundesrat möchte Datenschutz in sozialen Netzwerken stärken

22. Juni 2011

Bisher schalten die Betreiber sozialer Netzwerke neue Funktionalitäten oftmals frei, ohne ihre Nutzer um Zustimmung zu fragen. Das prominentestes Beispiel der letzten Zeit dürfte hierbei die von Facebook eingeführte Gesichtserkennung sein. Dieses datenschutzrechtlich regelmäßig mehr als fragwürdige Verhalten ist nun auch in das Blickfeld des Bundesgesetzgebers geraten.

Das Ziel eines durch Hessen in den Bundesrat eingebrachten Entwurfs zur Änderung des Telemediengesetzes ist es daher, für den Nutzer transparenter darzustellen, wie seine personenbezogenen Daten durch Telemediendienste erhoben, verarbeitet oder genutzt werden.  Um eine unreflektierte Preisgabe personenbezogener Daten, deren Bedeutung sich insbesondere Jugendliche oft nicht bewusst sind, zu vermeiden, sieht der Entwurf konkret folgende Maßnahmen vor:

  • Standardmäßig soll der Dienstanbieter immer die höchstmögliche Sicherheitsstufe als Voreinstellungen wählen. Diese kann der Nutzer dann nach eigenem Belieben lockern.
  • Die Dienstanbieter sollen dazu verpflichtet werden, eine Voreinstellung zu wählen, die Nutzerinhalte nicht durch externe Suchmaschinen wie Google oder Bing durchsuchbar und indizierbar macht.
  • Insgesamt sollen die Anbieter stärker über die Risiken, die mit der Veröffentlichung persönlicher Daten im Internet einhergehen, aufklären.
  • Der Nutzer soll immer die Möglichkeit haben, die Löschung, Sperrung oder Anonymisierung seiner veröffentlichten Daten zu veranlassen.

Insbesondere das Vorhaben, die Anbieter zur Voreinstellung der höchstmöglichen Sicherheitsstufe zu verpflichten, widerspricht dem Ansinnen der Betreiber sozialer Netzwerke, die Daten möglichst breit verfügbar und damit auch für Werbekunden lukrativ zu machen. Man darf daher gespannt sein, ob diese den Online-Datenschutz betreffenden Änderungen tatsächlich Niederschlag im TMG finden und auch in der Praxis umgesetzt werden.

Massenhafter Angriff auf Firmen der Videospielebranche

15. Juni 2011

Die Hackergruppierung Lulzsec, welche sich für die erfolgreichen Angriff auf Sony verantwortlich zeichnet, hat innerhalb der letzten Woche weitere bedeutende Firmen der Videospielebranche erfolgreich angegriffen.

Besonders schlimm getroffen hat es Codemasters. Dort besteht die Möglichkeit, dass Mitgliedsnamen, Benutzernamen, Bildschirmnamen, E-Mail-Adressen, Geburtsdaten, verschlüsselte Kennwörter, Newsletter-Voreinstellungen, Benutzerbiographien, IP-Adressen und Xbox Live-Gamertags ausgelesen wurden. Codemasters entschied sich daher die Website codemasters.com offline zu nehmen und auf die Facebook-Präsenz umzuleiten.

Zu den weiteren Betroffenen zählen Bethesda (Zugriff auf Nutzernamen, E-Mail Adressen, Passwörter) und Epic Games (Zugriff auf E-Mail Adressen, Passwörter).

Bei Nintendo hingegen wurden keine sensiblen Daten entwendet, sondern nur Zugriff auf eine Konfigurationsdatei erlangt, da Nintendo die zum Angriff verwendete Lücke bereits geschlossen hat.

Neben Firmen der Videospielebranche wurden mittlerweile jedoch auch andere Ziele angegriffen. Prominentestes Beispiel dürfte dabei die Sicherheits-Organisation InfraGard sein, welche eine Verbindung zwischen dem FBI und US-Privatunternehmen herstellt, um die USA durch die Verzahnung von Regierungsbehörden und Privatfirmen vor groß angelegten Cyber-Angriffen zu schützen.

Einen besonderen „Spaß“ erlaubte sich die Gruppe, die sich auch bei Twitter ihrer Taten berühmt, beim Hack einer Website für Erwachsenenunterhaltung. In diesem Fall wurden die Nutzerdaten nach Entwendung veröffentlicht. Diese Veröffentlichung wurde mit der Empfehlung verbunden, die Passwörter bei Facebook zu testen und den Bekanntenkreis der Betroffenen über deren Treiben zu informieren.

Dieses kriminelle Treiben macht einmal mehr deutlich, dass Nutzer für jeden Dienst ein anderes Passwort verwenden sollten. Auch der Online-Datenschutz bei Firmen und Behörden muss bereits damit beginnen, dass die Angestellten für den Firmenzuganng nicht dieselben Passwörter verwenden wie für andere Dienste. So wurden in der oben angesprochenen Liste mit Zugangsdaten die Adressen von staatlichen Stellen besonders hervorgehoben. Sollte in diesem Fall das angegebene Passwort auch Zugang zu den entsprechenden Benutzerkonten gewähren, wäre der Schaden weitaus größer, als dass die Betroffenen peinlich berührt sind.

Abseits dieses Ausspähens von Daten hat Lulzsec auch eine Reihe von Zielen durch DDoS Attacken vorübergehend in die Knie gezwungen:

Solche DDoS-Angriffe werden mittlerweile von der Rechtsprechung als Staftat im Sinne des §303b StGB angesehen.

Mit weiteren Angriffen ist zu rechnen, da Lulzsec eine telefonische Hotline für die Entgegennahme von neuen Zielen geschaltet hat.

 

RSA: Austausch von 40 Millionen Zugangsschlüsseln

10. Juni 2011

Anfang März dieses Jahres haben sich Unbekannte Zugriff auf die Datenbank des Sicherheitsdienstleisters RSA verschafft und auf diese Weise geheime Informationen über das Berechnungsverfahren von Zugangscodes für das Sicherheitssystem „SecurID“ erlangt, das die Zwei-Faktor-Authentifizierung mittels Tokens und Passworts aushebeln kann. Dieses Insiderwissen sollen diese Unbekannten  jüngst eingesetzt haben, um einen Hackingangriff auf den US-Rüstungskonzern Lockheed Martin, welcher „SecurID“ einsetzt, durchzuführen. Um Gefahren für die rund 30.000 Kunden, die „SecurID“ im Einsatz haben, zu unterbinden, tauscht RSA nun rund 40 Millionen seiner Zugangsschlüssel aus.

Citigroup: Hacking-Angriff auf Kreditkartendaten

Die Serie von Hacking-Angriffen setzt sich fort: Nun hat die US-Großbank Citigroup bekannt gegeben, dass unbekannte Hacker eine Sicherheitslücke bei dem Dienst „Citi Account Online“ aufgespürt und sich so erfolgreich Zugriff auf deren Datenbank verschafft haben. Von etwa 200.000 US-Kunden konnten auf diese Weise Kreditkartendaten neben Kontaktdaten kopiert werden. Nach Angaben der Bank sollen nur Kreditkarten- und nicht die Bankarteninhaber Ziel des Angriffs gewesen sein. Die Strafverfolgungsbehörden seien umgehend eingeschaltet worden und derzeit informiere man die Betroffenen.

Update:

Reuters gegenüber räumte die Citigroup mittlerweile ein, dass der Vorfall 360.083 nordamerikanische Kreditkartenkunden betraf und 217.657 Kreditkarten neu ausgestellt werden mussten.

Ein Sicherheitsexperte gab gegenüber der New York Times an, dass der unberechtigte Zugriff durch die einfache  Manipulation eines URL-Parameters gelang. Hierzu loggten sich die Angreif zunächst mit einem gültigen Account in den Kundenbereich für Kreditkartenkunden ein. Im Anschluss daran genügte es, einfach eine Nummer in der URL der Website zu verändern, um Zugriff auf die Daten anderer Kunden zu erhalten. Dieses Vorgehen konnten die Hacker mit Hilfe eines Skripts automatisieren, was die große Zahl der Betroffenen erklärt.

Update 2:

Nach einer Meldung des Wall Street Journals haben die Hacker mittlerweile damit begonnen, Profit aus ihrem Treiben zu schlagen und circa 2,7 Millionen US-Dollar von ungefähr 3.400 betroffenen Konten transferiert. Bereits zuvor hatte die Citigroup angekündigt, eventuell entstehende Schäden zu ersetzen. (se)

Meinungsforschung: „Datenschutz im Internet 2011“

6. Juni 2011

Im Auftrag der Microsoft Deutschland GmbH sind repräsentative Meinungen von insgesamt 1.137 deutschen Internetnutzern ab 14. Jahren zum Thema Datenschutz im Internet erhoben worden. Nach Ergebnissen der von TNS Infratest durchgeführten Studie sollen sich zwei Drittel der deutschen Internetnutzer klarere Datenschutzbestimmungen und damit bessere Transparenz und Information wünschen und generell skeptisch gegenüber der sich mehrenden grenzenlosen Sammlung personenbezogener Daten durch Unternehmen sein. Die Mehrheit der befragten Internetnutzer sehe außerdem den Gesetzgeber bei Datenschutzthemen zukünftig stärker in der Pflicht und wünsche sich präzisere Datenschutzgesetze. Jeder Zweite befürworte außerdem die Einführung eines einheitlichen Datenschutzsiegels einer unabhängigen Institution.

Die Studie ergab auch, dass die Nutzer trotz deutlich zunehmender Furcht vor Datenmissbräuchen nur wenige Datensicherheitsmaßnahmen selbst treffen. Beispielsweise soll nur jeder fünfte Nutzer regelmäßige Updates von Anti-Viren-Programmen durchführen oder nur jeder vierte Nutzer eine Firewall auf seinem PC installiert haben. Insgesamt sei ein stetiger Rückgang angewandter Sicherheitsmaßnahmen durch den Nutzer festzustellen.

Aktueller Stand der Umsetzung des EU-Telekommunikationspaketes in nationales Recht

1. Juni 2011

Am 25. Mai lief die Frist zur Umsetzung der überarbeiteten EU-Vorschriften für Telekommunikationsnetze und ‑dienste  (MEMO/09/491) in nationales Recht ab. Der deutsche Gesetzgeber hat die Änderungen bisher noch nicht umgesetzt, möchte diesen Missstand aber im Rahmen der Novellierung des Telekommunikationsgesetzes (TKG) beheben. Aktuell wird der Regierungsentwurf zur Novellierung des Telekommunikationsgesetzes im Bundestag beraten. Bisher letzter Schritt im laufenden Verfahren war dabei eine öffentliche Anhörung am 31.05.2011, bei der auch die von den Oppositionsfraktionen eingebrachten Anträge auf Verpflichtung zur Netzneutralität behandelt werden sollten.

Der maßgebliche Kernpunkt des Paketes sind erweiterte Verbraucherschutzvorschriften im Bereich des TK-Rechts:

  • Es soll möglich sein Festnetz- oder Mobilfunkbetreiber innerhalb eines Werktags ohne Änderung der Telefonnummer zu wechseln.
  • Die Vertragslaufzeit für Erstverträge darf höchstens 24 Monate betragen. Weiterhind sind die Dienstanbieter verpflichtet, Verträge über 12 Monate anzubieten, um den Kunden den Anbieterwechsel zu erleichtern.
  • Der Nutzer muss klarer über die bestellten Dienstleistungen informiert werden. Die Verträge müssen daher Angaben zum Mindestniveau der Dienstleistungsqualität enthalten. Vorrangig zu erteilen sind hierbei Auskünfte über Datenverkehrssteuerung (sog. Trafficshapping), sowie über etwaige sonstige Einschränkungen (Bandbreitendrosselung, Höchstbandbreiten, Blockierung bestimmter Dienste, wie VOIP etc.). Außerdem ist in den Verträgen anzugeben, welche Kompensations- und Erstattungsleistungen die Kunden erhalten, sollten diese Mindeststandards nicht eingehalten werden (näher dazu IP/11/486 und MEMO/11/319).

Ebenfalls umzusetzen sind Verbesserungen beim Online-Datenschutz und der Online-Sicherheit:

  • Der Datenschutz und die Verhinderung von „Spam“ (unerwünschte E-Mails) sollen verbessert werden.
  • Eine Benachrichtigungspflicht bei Datenschutzverletzungen wird vorgeschrieben.
  • Für die Handhabung von „Cookies“ und anderer Informationen, die auf dem Computer der Nutzers gespeichert sind, werden bessere Informations- und Zustimmungspflichten vorgeschrieben (vertiefend MEMO/11/320).

Um eine bessere Durchsetzung der neuen Regelungen zu ermöglichen, sollen nationalen Regulierungsbehörden größere Unabhängigkeit und als ultima ratio sogar die Möglichkeit erhalten, Telekommunikations­betreiber mit beträchtlicher Marktmarkt zu zwingen, ihren Netz- und Dienstleistungsbetrieb zu trennen, um einen diskriminierungsfreien Zugang anderer Betreiber zu gewährleisten. Weiterhin wurden der Kommission neue Aufsichtsbefugnisse erteilt, die es ihr ermöglichen, in Abstimmung mit dem Gremium der Europäischen Regulierungsstellen für elektronische Kommunikation (GEREK gegründet im Mai 2010 in Riga), wettbewerbsrechtliche Abhilfemaßnahmen für die Telekommunikations­märkte im Rahmen des Verfahrens nach Artikel 7 festzulegen. (se)

Update:

Die Europäische Kommission hat mittlerweile Deutschland und 19 weitere EU-Mitgliedsstaaten, welche die Richtlinie ebenfalls noch nicht vollständig umgesetzt haben, ermahnt dies innerhalb von zwei Monaten nachzuholen. Sollte auch diese Frist ungenutzt verstreichen, will die Kommission formelle Vertragsverletzungsverfahren gegen die  Mitgliedsstaaten anstrengen. Mit Dänemark, Estland, Finnland, Großbritannien, Irland, Malta und Schweden haben bisher erst sieben Mitgliedsstaaten die Richtlinie vollständig umgesetzt. (se)

 

Hacking-Angriff bei Neckermann

31. Mai 2011

Heute wurde bekannt, dass das Versandkaufhaus Neckermann Ziel eines Hacking-Angriffs geworden ist. Von rund 1.2 Millionen Gewinnspielteilnehmern sind  personenbezogene Daten in Form von Name und E-Mail-Adresse gestohlen worden. Die auf einem anderen Server vorgehaltenen Kundendaten des Onlineshops blieben dabei verschont.
Die Betroffenen wurden mittels elektronischer Post über den Vorfall informiert und u.a. davor gewarnt, keine E-Mails und insbesondere keine Anhänge von E-Mails unbekannter Absender zu öffnen und damit die unbemerkte Installation von Malware zu vermeiden. Es wurde außerdem eine Service-Hotline für besorgte Kunden eingerichtet, die zuständige Datenschutzbehörde wurde über den Vorfall in Kenntnis gesetzt und die Staatsanwaltschaft eingeschaltet.

1 65 66 67 68