Kategorie: Online-Datenschutz
12. August 2013
Die Deutsche Telekom und United Internet haben laut Medienberichten ein Projekt, das eine SSL/TSL-Verschlüsselung für den deutschen E-Mail-Verkehr vorsieht, gestartet (sog. E-Mail Made in Germany). Man setze damit einen weiteren Sicherheitsstandard, der Nutzern von GMX, T-Online.de und Web.de erstmals eine automatische Verschlüsselung von Daten auf allen Übertragungswegen ermöglicht und zusichert, dass die Daten datenschutzkonform verarbeitet werden. Die Verschlüsselung erfolge automatisch durch die Provider, so dass technisches Know-How oder ein Zusatzaufwand durch den Kunden entbehrlich seien. Die Speicherung aller Daten erfolge in sicheren Rechenzentren in Deutschland. Überdies werde eine Kennzeichnung für E-Mail-Adressen eingeführt, so dass Nutzer vor dem E-Mail-Versand erfahren, ob die ausgewählten Empfänger-Adressen den Sicherheitsstandards des Mailverbundes entsprechen.
“Die jüngsten Berichte über mögliche Zugriffe auf Kommunikationsdaten haben die Deutschen stark verunsichert. Mit unserer Initiative tragen wir diesen Sorgen Rechnung und machen die E-Mail-Kommunikation in Deutschland insgesamt sicherer. Der Schutz der privaten Sphäre ist ein hohes Gut”, kommentierte René Obermann, Vorstandsvorsitzender der Deutschen Telekom AG, den Projektstart.
6. August 2013
Datenschutz bei Facebook – es gleicht einer neverending story. Vor knapp zwei Jahren war es laut Medienberichten der österreichische Jurastudent Max Schrem, der aufdeckte, in welchem Ausmaß Facebook persönliche Daten seiner Nutzer speichert. Diesen Sommer wurde bekannt, dass wegen einer Sicherheitslücke bei Facebook, private Kontaktdaten für Unbefugte sichtbar gewesen waren – und das ein Jahr lang.
Und selbst die umsichtigsten der rund 900 Millionen Nutzer, die sich aktiv darum bemühen, auf Facebook gewissenhaft mit ihren eigenen Daten umzugehen, haben es nicht leicht. Das Sichern persönlicher Daten ist auf Facebook immer noch ziemlich undurchsichtig, wenn gleich in der Vergangenheit von Seiten Facebooks hier nachgebessert wurde. Dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zufolge hat nur ein Zehntel der Jugendlichen das Gefühl, dass seine Daten bei Facebook sicher sind. Ein Grund ist auch, dass sich die Datenschutzbestimmungen oft ändern und schwer verständlich sind.
So einfach und intuitiv es dem Nutzer auf Facebook gemacht wird, sich mitzuteilen, so undurchsichtig, vielseitig und oft versteckt sind die einzelnen Einstellungen zum Schutz der Privatsphäre.
Als User sollte man sich immer fragen, was man im welchem Maße öffentlich nutzen oder posten möchte. Beiträge, Kommentare, Fotos, Anwendungen, Standortmitteilungen, Chroniken, Markierungen und Freunde – alles kann Spuren hinterlassen. Deshalb gilt es bereits bei der ersten Anmeldung bei Facebook und dem Erstellen eines Profils besonders sorgfältig die Einstellungen zu wählen – auch wenn es zunächst sehr mühsam ist. Denn schon bei der Registrierung werden die Geburtsdaten und die Emailadresse des Users abgefragt. Nach erfolgter Registrierung sollte man über die Standard-Einstellungen für die Sichtbarkeit von Informationen („Alle“, „Freunde von Freunden“, „Nur Freunde“) hinaus die individuellen Privatsphäre-Einstellungen anpassen, um festzulegen, in welchem Umfang andere User mit einem in Kontakt treten und persönliche Daten sehen dürfen. Sein Profil richtig einzurichten ist unerlässlich und doch immer noch nicht genug. Es gilt auch die Einstellungen zur Chronik und zu Markierungen sorgfältig einzustellen, wie chip-online rät. Darüber hinaus sollte man behutsam mit Facebook-übergreifenden Anwendungen und der Nutzung von Facebook über mobile Endgeräte sein. Wird zum Beispiel über die Freundefinder-Anwendung beim iPhone synchronisiert, so werden alle Telefonbucheinträge an den Facebook-Server übermittelt. Wer weiß das schon?
Doch auch nach erfolgter Kündigung seines Facebook-Profils hat man nicht unbedingt Ruhe. Ob, in welchem Umfang und wie lange Daten auch nach der Kündigung bei Facebook gespeichert bleiben, ist seit Max Schrems Initiative zurecht fraglich. Auch kommt es vor, dass man weiterhin von Freunden auf Fotos markiert oder zu Veranstaltungen hinzugefügt werden kann. Bevor man sein Profil also endgültig löscht, sollte man vorsichtshalber alle bestehenden Facebook-Freundschaften „trennen“.
Was bleibt, ist, als User selber aktiv zu sein was den Schutz der eigenen Daten angeht und regelmäßig zu überprüfen, welche Möglichkeiten Facebook bietet, seine Einstellungen zu individualisieren und anzupassen. Als mündiger User sollte man sich zudem überlegen, was man der Öffentlichkeit in welchem Maße preisgeben will, anstatt wild zu posten, zu liken und zu kommentieren. Ebenfalls schadet es nicht, zu überlegen, wen man als Freund hinzufügen und welche Daten man mit ihm oder ihr teilen möchte. Facebook bietet zahlreiche Möglichkeiten die persönlichen Daten zu schützen. Es ist nur nicht immer einfach, diese zu finden oder richtig anzuwenden. Zeit, die hier investiert wird, ist jedoch ganz bestimmt keine vergeudete.
5. August 2013
Der Landesbeauftragte für den Datenschutz Baden-Württemberg Klingbeil hat vergangene Woche die Ergebnisse seiner Überprüfung der Internetpräsenzen öffentlicher Stellen in Baden-Württemberg hinsichtlich der Verwendung des Facebook-Like-Buttons bekannt gegeben. In den vergangenen Wochen seien insgesamt 4.394 Internetseiten mittels eines speziellen Prüfprogramms untersucht worden. Nur in 47 Fällen sei der Facebook-Like-Button direkt eingebunden gewesen. Dies sei eine “erfreulich geringe Quote von ca. 1,1%.”, so Klingbeil.
Die direkte Einbindung des Buttons führe dazu, dass schon durch das Laden der Internetseite und ohne das Zutun und die Information des Nutzers Daten an den Betreiber des Netzwerks übermittelt werden. Dies passiere auch, wenn der Nutzer gar nicht bei Facebook registriert ist. Wenn der Benutzer zur gleichen Zeit bei Facebook angemeldet ist oder sich später anmeldet, könne ihm sein Nutzerverhalten – auch rückwirkend – konkret zugeordnet werden. Dies stelle einen Datenschutzverstoß dar. Man habe nun die 47 Betreiber der Internetseiten kontaktiert und gebeten, künftig auf die Verwendung des Facebook-Like-Buttons zu verzichten. Bis September 2013 erwarte man eine Information über die getroffenen Maßnahmen.
1. August 2013
Ein Bündnis verschiedener Organisationen – darunter auch die Piratenpartei und Bündnis90/Die Grünen – hatte zu Demonstrationen gegen Datenüberwachung aufgerufen. Medienberichten zufolge gingen vergangenen Samstag tausende Menschen weltweit und in über 30 deutschen Städten auf die Straßen, um für den Datenschutz und gegen Internetüberwachung und das Ausspähen von Telefonverbindungen zu demonstrieren.
Gerade nach den jüngst bekannt gewordenen Abhöraktionen der NSA und den Berichten über den Geheimdienstaussteiger Edward Snowden ist der Datenschutz wieder in aller Munde und die Aufregung groß. Jedoch nicht so groß, wie man meinen möchte. Medienberichten zufolge gingen weit weniger Menschen auf die Straßen, als von den Veranstaltern erwartet wurden. So versammelten sich in Magdeburg lediglich 50 Menschen und in Halle, wo ebenfalls eine Demonstration angemeldet wurde, niemand, um für mehr Sicherheit im Datenschutz zu demonstrieren. Auch in Großstädten wie Frankfurt am Main, wo 5000 Demonstranten erwartet wurden, kamen lediglich rund 850 bis 1000 Menschen zusammen.
Die Demonstranten forderten nicht nur mehr Sicherheit für ihre Daten und eine umfassende Aufklärung der US-Abhöraktionen. Sie verteidigten und skandierten auch für Edward Snowden, der den US-Abhörskandal erst ins Rollen gebracht hatte und verlangten einen staatlichen Schutz für Whistleblower. Bisher gibt es einen solchen Schutz so gut wie gar nicht. Bereits 2012 hatten SPD und Güne einen Gesetzentwurf vorgelegt, der den Schutz vor Benachteiligung von Whistleblower vorsieht. Dieser scheiterte laut Golem jedoch im Bundestag.
Deutsche Politiker stehen dem Thema sehr unterschiedlich gegenüber. Der ehemalige Bundesinnenminister Otto Schily (SPD) hält den Trubel rund um das Thema Ausspähen von Daten für überzogen. So wird er diesbezüglich zitiert mit den Worten: „Ich finde manches Getöse, was da im Moment zu hören ist, nicht angemessen.“ Wohingegen Außenminister Guido Westerwelle (FDP) sogar einen Beauftragten für „Cyber-Außenpolitik“ einsetzen wolle. Von Sigmar Gabriel (SPD) wird Angela Merkel laut Tagesspiegel sogar vorgeworfen, sie nehme Grundrechtsverletzungen in Kauf.
Es bleibt wohl abzuwarten, wie das Thema Datenschutz und Spionage im Wahlkampf behandelt werden wird. Bislang bemüht man sich noch um Aufklärung des Abhörskandals.
30. Juli 2013
Wie gut sind Online-Speicherdienste? Diese Frage stellte sich die Stiftung Warentest und untersuchte 13 Online-Speicher (der Abruf der ausführlichen Testergebnisse ist kostenpflichtig). Das Ergebnis dürfte die Anbieter solcher Speicherdienste nicht erfreuen – keiner der getesteten Dienste konnte ein “gut” erreichen. Als größtes Manko aller Dienste identifizierte Stiftung Warentest dabei die Datensicherheit und den Datenschutz. Sämtliche US-amerikanischen Dienste erhielten hier nur ausreichende Zensuren. Jedoch betonen die Autoren, dass auch europäische Dienste nicht viel besser seien. Einzig der in der Schweiz beheimatete Dienst wuala by LaCie wurde insofern lobend erwähnt, dass die Daten der Nutzer vor dem Upload auf den Server bereits auf dem heimischen Rechner verschlüsselt werden und daher vom Dienstanbieter nicht eingesehen werden können. Wer nicht auf den Komfort eines Cloud-Speichers verzichten will, seine Daten aber keinem Dienst-Anbieter anvertrauen möchte, kann mit überschaubarem Aufwand und quelloffener Software wie OwnCloud seine eigene Cloud auf einem NAS oder einem Webspace verwirklichen. Natürlich ist weder ein NAS noch der eigene Webspace im Gegensatz zu den Lockangeboten von Dropbox & Co. kostenlos – es läuft letztlich also wie so häufig auf die Frage hinaus, ob man mit Geld oder Daten zahlen möchte.
Eine nicht repräsentative Umfrage der Cloud Security Alliance, (ein Zusammenschluss von Anbietern von Cloud-Diensten, dem u.a. Amazon, Microsoft, Google, Adobe, Swisscom, Thales, Türk Telekom und die indische Tata-Gruppe angehören) hat ergeben, dass die Enthüllungen Snowdens im Rahmen der PRISM Affäre zu einem Dämpfer bezüglich des Vertrauens in Cloud-Dienst geführt haben.
Die Umfrage ergab, dass nach den Enthüllungen Snowdens 56 % der 207 befragten Nicht-Amerikanern es für weniger wahrscheinlich halten US-Cloud-Dienste zu nutzen. 31 % sehen keine Auswirkungen, 10 % haben als Konsequenz der Enhüllungen sogar schon ein Projekt mit amerikanischen Cloud-Diensten beendet und nur 3 % halten es aufgrund der PRISM Vorkommnisse für wahrscheinlicher einen US-basierten Cloud-Dienst zu nutzen.
Die Amerikaner selbst sehen jedoch weniger ein Problem in den Enthüllungen: 64 % der befragten 220 US-Amerikaner gaben an, dass es für ihre Unternehmen infolge des Snowden Vorfalls nicht schwieriger werde, Geschäfte außerhalb der USA zu tätigen.
23. Juli 2013
Bring Your Own Device erfreut sich immer größerer Beliebtheit – nicht mehr nur bei jüngeren Arbeitnehmern und Jung-Unternehmen. Praktischerweise wird es Mitarbeitern gestattet, dienstliche Arbeiten an ihren privaten Endgeräten wie Notebook, Tablet oder Smartphone durchzuführen. Hierzu haben die Anwender in der Regel diverse Zugriffe u.A. auf das Netzwerk ihrer Firma. Während die Unternehmen selbst viel Geld und Aufwand in den Schutz ihrer Firmen-Daten investieren, wird es Privatanwendern immer leichter gemacht, die Fülle ihrer Passwörter und Log-in-Daten zentral zu speichern. Allen voran auf Geräten von Apple und Google (Android) sind dergleichen Features sehr beliebt, liegt doch der rein praktische Nutzen aufgrund der Unüberschaubarkeit von Anmeldedaten und deren außerordentliche Präsenz auf dem IT-Markt auf der Hand.
Doch genau hier wird es problematisch: Speichert ein privater Anwender im Rahmen von BYOD Firmen-Passwörter oder Log-in-Daten bei Apple, Google & Co., ist nicht mehr unbedingt sichergestellt, was mit diesen Daten geschieht. Legt man nun die jüngsten Fälle von Datenweitergabe an die NSA zugrunde, woran auch Google beteiligt war, und hält man sich vor Augen, dass die NSA nicht nur im Rahmen von Terrorabwehr tätig ist, sondern auch schon mit Fällen der Wirtschaftsspionage in Verbindung gebracht wurde, erscheint das praktische zentrale Passwort-Speichern in einem völlig neuen Licht, so Heise.
Anwender wie auch Arbeitgeber, die ihren Mitarbeitern BYOD gestatten, sollten hier besonders achtsam sein. Das Rechenzentrum der Universität Passau beispielsweise erklärt in seinen Benutzerbedingungen ihren Anwendern ausdrücklich, dass die Weitergabe von Passwörtern an Dritte verboten sei. Das gelte laut Heise auch dann, wenn dies durch automatisches Speichern geschieht. Somit liegt die Hauptverantwortung beim Benutzer. Schließlich liegt es in seinem Verantwortungsbereich, entsprechende Einstellungen an seinem Endgerät vorzunehmen, und zwar bevor er bestimmte Anwendungen damit durchführt.
Doch wichtig ist nicht nur, Anwender auf etwaige Gefahren hinzuweisen und durch Policys mögliche Haftungsfragen im Vorfeld zwischen Arbeitgeber und Arbeitnehmer hin und her zu schieben, sondern ganz explizit Anwendungshilfen mit auf den Weg zu geben. Hier hilft es oft nicht, dass es ja der Anwender ist, der die Möglichkeit hat, die Einstellungen seines Gerätes selber anzupassen. Ein ausgewogenes Datensicherheitskonzept, BYOD-Programme, Seminare und Schulungen, aber auch spezielle Software kann hier bereits im Vorfeld dafür sorgen, dass es gar nicht erst zu Konflikten kommt.
22. Juli 2013
Mit einem im Juni eingereichten Änderungsvorschlag versuchte die DAA (Digital Advertising Alliance) einmal mehr die Entwicklung des Do Not Track Standards durch dasW3C (Standardisierungsgremium für das Worl Wide Web) im Sinne der Online-Werbewirtschaft zu beeinflussen. Dabei wurde unter anderem eine enge Definition des Tracking Begriffs sowie ein Ampelsystem zu internen Behandlung von Daten, die durch Tracking gesammelt wurden, vorgeschlagen.
Die Tracking Protection Working Group des W3C hat dem Angebot der Werbewirtschaft jedoch eine Absage erteilt und führt aus, dass der DAA Vorschlag
- das DNT Signal nicht nutze, um einen Do Not Target oder Do Not Collect Ansatz zu verwirklichen.
- keine deutliche Verbesserung des Status Quo darstelle.
- das Retargeting und die Profilbildung wie bisher fortführe und sich einzig Auswirkungen auf die Handhabung der Daten durch die Werbewirtschaft habe.
Damit bleibt abzuwarten, ob und wie der Standardisierungsprozess fortschreitet.
Am vergangenen Donnerstag gelang es einem oder mehreren Angreifern die Entwickler-Website von Apple erfolgreich zu attackieren. Apple nahm die Website daraufhin vom Netz und schaltete eine Wartungsseite. Mittlerweile wurde der Text dieser Seite aktualisiert und bestätigt den Angriff.
Laut Apple sollen jedoch keine sensiblen Daten von dem Angriff betroffen sein. Sensible Daten setzt Apple dabei jedoch augenscheinlich nicht mit personenbezogenen Daten gleicht, weil sich in der Stellungnahme der Hinweis findet, dass die Möglichkeit bestehe, dass bei einigen Entwicklern auf deren Namen, Adressen und E-Mail-Adressen zugegriffen wurde.
In einer Stellungnahme gegenüber Macworld stellte Apple jedoch klar, dass weder Endkundendaten, Programmcode noch der Bereich, auf dem sich App-Daten befinden, von dem Angriff betroffen sei.
Auf YouTube findet sich derweil ein “Bekennervideo” von dem mutmaßlichen Angreifer, der behauptet kein Hacker sondern Sicherheitsforscher zu sein. Wenig Gespür für Datensicherheit legt der Urheber dieses Videos jedoch an den Tag, wenn er von einzelnen Datensätzen – so sie denn echt sind – die persönlichen Daten für die gesamte YouTube-Öffentlichkeit präsentiert.
17. Juli 2013
Das Oberlandesgericht Hamburg (OLG Hamburg) hat entschieden, dass ein abmahnfähiger Wettbewerbsverstoß vorliegt, wenn auf einer Website die nach § 13 Telemediengesetz erforderliche Datenschutzerklärung fehlt. Eine fehlende Datenschutzrerklärung ist somit auch wettbewerbsrechtlich angreifbar. Nach Ansicht des Gerichts sind die in der EU-Datenschutzrichtlinie verankerten Verpflichtungen, wozu auch § 13 Telemediengesetz zählt, nicht nur dazu bestimmt, den Einzelnen zu schützen, sondern auch dazu, einheitliche Verhaltensgrundsätze im Wettbewerb zu schaffen.
15. Juli 2013
Amazons 1Button App, welche es als Erweiterung für Firefox und Chrome gibt, bietet direkten Zugriff auf die Amazon-Suche und zeigt Angebote und Topseller übersichtlich an.
Doch das ist nicht alles, was das Programm kann! Wie wahrscheinlich kaum ein Nutzer weiß, übermittelt die Erweiterung sämtliche aufgerufenen Websites nicht nur an Amazon selber, sondern teilweise auch an den Webstatistik Dienst Alexa, welcher zum Amazon Konzern gehört. Wie der der polnische Sicherheitsfachmann Krzysztof Kotowicz herausgefunden hat, werden dabei sogar die URLs von verschlüsselten HTTPS-Verbindungen an die Amazon-Server übertragen.
In den Datenschutzbestimmungen zur App findet sich zu diesem Verhalten folgender Passus: “The Amazon Browser Apps may also collect information about the websites you view, but that information is not associated with your Amazon account or identified with you.” Dem Wortlaut nach ist also nur von Sammeln, nicht aber von Übermitteln die Rede. Auch die Angabe, dass die übermittelten Daten nicht mit dem Amazon-Account verbunden werden oder zur Identifizierung genutzt werden, scheint fragwürdig, weil Amazon bei der Übermittlung das gleiche Cookie verwendet, wie auch zur Identifikation der Nutzer im Onlineshop.
Doch damit nicht genug: Amazon überträgt von bestimmten Seiten sogar die Inhalte an die eigenen Server. So werden beispielsweise die über eine verschlüsselte HTTPS-Verbindung aufgerufenen Ergebnisse einer Google-Suche an Alexa übertragen. In Bezug auf diese Übermittlung an Alexa finden sich folgende Angaben in den Datenschutzbedingungen: “In some cases, that information may be personally identifiable, but Alexa does not attempt to analyze web usage data to determine the identity of any user.” Damit gibt Amazon recht unverhohlen zu, dass durch die Übermittlung einzelne Nutzer identifizierbar sind. Die übermittelten Daten enthalten dabei nicht nur identifizierende Merkmale, sondern auch sämtliche URL-Parameter wie Session-IDs, die zumindest theoretisch dazu genutzt werden können, die Identität des Nutzers gegenüber den besuchten Webdiensten zu übernehmen.
Pages: 1 2 ... 68 69 70 71 72 ... 90 91 
