Kategorie: Online-Datenschutz
15. Mai 2013
Medienberichten zufolge versenden derzeit unbekannte Cyberkriminelle virenverseuchte E-Mails, die als Buchungsbestätigungen der Deutschen Bahn getarnt sind. Diese seien dadurch erkennbar, dass sie – im Gegensatz zu den originalen Buchungsbestätigungen – keine persönliche Anrede und eine grammatikalisch inkorrekte Betreffzeile aufweisen (“Ihren Fahrkartenkauf…”). Die den E-Mails angehängte ZIP-Dateienthalte eine als PDF-Datei getarnte ausführbare EXE-Datei. Mit dem Öffnen der Datei installiere sich ein Trojaner auf dem Rechner. Aktuell werde diese Art der Malware von nur wenigen Virenscannern erkannt. Kunden, die kürzlich und tatsächlich eine Online-Buchung bei der Deutschen Bahn vorgenommen haben, werde geraten, die E-Mail mit den tatsächlichen Buchungsdaten zu vergleichen, die man im Kundenbereich der Bahn-Webseite einsehen kann. Dazu solle man auf der Webseite www.bahn.de auf “Login” klicken und sich anschließend anmelden. Verdächtigte E-Mail-Anhänge sollten generell besser ignoriert und nicht geöffnet werden.
6. Mai 2013
Nach US-amerikanischen Medienberichten hat ein über den Zeitraum von sechs Monate durchgeführtes Audit ergeben, dass Facebook ausreichende Bestrebungen zum Schutz privater Daten vornimmt. Die Durchführung des Audits war Teil einer Vereinbarung, welche die FTC mit Facebook getroffen hat, nachdem Facebook vorgeworfen wurde, Details aus dem Leben seiner Nutzer ohne deren Zustimmung zu veröffentlichen.
Bisher veröffentlichte Facebook ausschließlich eine geschwärzte Version des Audits, welche weder Angaben zu gefundenen Schwachstellen, noch die auditierende Stelle enthält. Als Begründung führt Facebook Sprecherin Jodi Seth an, dass ansonsten die Gefahr von Sicherheitslücken oder Wettbewerbsnachteilen bestünde. Es ist jedoch damit zu rechnen, dass wenigstens die auditierende Stelle im Rahmen der Stellungnahme der FTC bekanntgegeben wird. Zumindest lässt sich dem Bericht jedoch bereits jetzt entnehmen, dass er sich sowohl auf Faceboooks geschriebene Richtlinien als auch auf die stichprobenhafte Untersuchung von Daten bezieht.
Das abgeschlossene Audit stellt den Auftakt einer längeren Serie dar, da Facebook sich in der vorerwähnten Vereinbarung mit der FTC zu einer Durchführung solcher Audits über 20 Jahre hinweg verpflichtet hat.
22. April 2013
Noch Anfang März 2013 hat sich Groupon nicht näher über einen Hackerangriff auf Kundendatenkonten geäußert. Groupon erstattete Anzeigen, konnte aber wegen des Anhaltens von Untersuchungen keine weiteren Auskünft geben. Nunmehr teilte Groupon mit, dass es keinen Einbruch oder ein technsiches Datenleck gegeben habe. Heise berichtete, dass es nahe lege, dass Daten bei Partnerunternehmen abhanden gekommen seien. Geklärt werden müsse, ob es sich um ein Versehen oder um einen Hackerangriffe gehandelt habe.
Der Bayerische Landesbeauftragte für Datenschutz (BayLfD) Petri hat bekannt gegeben, am heutigen Tag 66 bayerische öffentliche Stellen aufgefordert zu haben, die unzulässige direkte Einbindung von Social Plugins in ihren Internetauftritt zu unterlassen. Anderenfalls erhalte z.B. Facebook unzulässig Daten von Nutzern, die eine Behördenwebsite besuchen, wenn die Behörde den Like-Button (“Gefällt mir”) von Facebook direkt eingebunden hat. Dies erfolge ohne gesetzliche Grundlage und ohne die Möglichkeit von Seitenbesuchern, dies vor dem Seitenaufruf zu erkennen.
Man werde gegen bayerische öffentliche Stellen, die weiterhin Social Plugins direkt in ihre Webseiten einbinden, konsequent vorgehen, so Petri. Dies gelte umso mehr, als es mit der sogenannten 2-Klick-Lösung eine Variante gebe, bei der nicht bereits mit Aufruf der Behördenwebseite Daten an Facebook & Co fließen. Bei 2-Klick-Lösung müsse zunächst ein Vorschaltbutton angeklickt werden, bevor das Social Plugin aktiviert wird. Vor Betätigung des Vorschaltbuttons bestehe damit auch die Möglichkeit, den Nutzer über Folgen der Betätigung des Vorschaltbuttons zu informieren.
Gegenüber dem WIRED Magazine hat Apple jetzt erstmals offengelegt, was mit Daten geschieht, die man Siri anvertraut.
Demnach wird bei der Verwendung von Siri für jeden Nutzer eine zufällige Nummer generiert, die es ermöglicht, die jeweiligen Sprachdaten dem Nutzer zuzuordnen. Apple betont dabei, dass die Sprachdaten einzig mit dieser Nummer, nicht aber mit der Apple-ID und der E-Mailadresse des Nutzers verknüpft werden. Die Verknüpfung von Identifikationsnummer und Sprachdaten bleibt dabei sechs Monate bestehen. Nach Ablauf der sechsmonatigen Periode wird ausschließlich die Nummer von den Sprachdateien entfernt – die Sprachdaten selbst verbleiben jedoch bis zu 18 weitere Monate zu Test- und Produktverbessrungszwecken auf Apple Servern. Eine Zuordnung zu dem Sprecher soll jedoch nicht mehr möglich sein. Angesichts der immer besser werdenden Spracherkennungssoftware muss man sich jedoch die Frage stellen, ob Apple diese Daten, wenn es denn gewollt wäre, nicht zumindest theoretisch über ein Stimmprofilabgleich doch rückverknüpfen könnte.
Zumindest die Daten der letzten sechs Monate lassen sich laut Angaben von Apple Sprecherin Trudy Muller löschen: Bei Deaktivierung von Siri sollen sowohl die Nummer als auch die damit verbunden Sprachdaten gelöscht werden. Sämtliche davor von der Identifikationsnummer entkoppelten Sprachdaten können natürlich prinzipbedingt nicht entfernt werden und verbleiben auf Apples Servern.
Bevor man seine Daten einer Online-Spracherkennung anvertraut, sollte man bedenken, dass diese vor allem ihrem Betreiber und nicht dem Endnutzer dient. Man sollte daher überlegen, ob man diese Daten einem Fremden über Jahre hinweg preisgeben würde. Große Unternehmen wie IBM haben die Gefahr eines unbewussten, bzw. unüberlegten, Datentransfers bereits frühzeitig erkannt und daher Dienste wie Siri auf den Endgeräten ihrer Mitarbeiter gesperrt.
19. April 2013
Nach einem Bericht von heise hat der Krypto Experte und IT-Sicherheitspezialist Karsten Nohl heftig kritisiert, dass der Schutz für Steuer-, Sozial und Justizdaten gesenkt werden soll.
Anlass der tadelnde Worte war, dass die Vortragenden im Innenausschuss sich innerhalb eines umfangreichen Gesetzesvorhaben dafür aussprachen, dass das Datenschutz- und Datensicherheitsniveau in Deutschland erheblich gesenkt werden müsse. Lediglich der Chaos Computer Club war hiermit nicht einverstanden. Geplant sei, dass die Gesetze nicht mehr einen verschlüsselten Ende-zu-Ende Transport vorsehen. Dies gelte insbesondere für den bisher besonderen Schutz für Steuer-, Sozial- und Gerichtsdaten. Diese Entwicklung sei vor dem Hintergrund erstaunlich, dass sich die Regierung in der Vergangenheit stets für eine erhöhte Cybersicherheit ausgesprochen habe.
Noch vor kurzer Zeit wurde eine Ende-zu-Ende Verschlüsselung von elektronischen Gerichts- und Verwaltungspostfächern aus datenschutzrechlichen Gründen als notwendig erachtet. Nicht nachvollziehbar, so heise, sei es nun, dass der Sicherheitsstandard von De-Mail nunmehr gekürzt werde. Zudem habe Deutschland mit dem neuen Personalausweis bereits ein geeignetes Zertifikat, das eine Ende-zu-Ende Verschlüsselung ermögliche. Warum das Bundesministerium des Inneren diese vorhandene Möglichkeit nicht nutze, sei unerklärlich.
Gerade in letzter Zeit haben Hackerangriffe deutlich vor Auge geführt, dass eine Senkung des Schutzniveaus nicht vertretbar erscheint.
16. April 2013
Nach heftiger Kritik und Widerstand gegen das am 10.04.2013 auf den deutschen Markt gekommene Datensammler-Tool “Report an Sophos” hat die Entwicklerfirma eine Zusatzfunktion eingeführt, durch die das Sammeln von Nutzungsdaten in der Management-Oberfläche deaktiviert werden kann. Laut Sophos habe diese Möglichkeit schon immer Bestand gehabt.
Die Deaktivierung der Sammlung von Nutzerdaten erfolge durch ein Herausnehmen eines Häckchens bei der Genehmigung für die Berichte. Das Herausnehmen könne unter dem Menüpunkt “Extras/Report” in der Sophos Enterprise Console vorgenommen werden. Nach Aussage von Sophos efolge die Datenübertragung auf Grundlage der Lizenzbedingungen und diene zur Verbesserung der Produkte.
Kunden erhielten von Sophos E-Mails, in denen ihnen mitgeteilt worden sei, dass das Datensammel-Tool stets deaktiviert voreingestellt sei. Ein Sprecher revidierte dies jedoch, da versehentlich falsche Informationen an die Kunden übermittelt worden seien; das Tool sei vielmehr standardmäßig aktiv.
15. April 2013
Das Kollektiv Anonymous hat auf Pastebin mehr als 37.000 Datensätze der FDP Plattform my-fdp.de veröffentlicht. Dieser Schritt wird mit der Zustimmung der FDP zur Vorratsdatenspeicherung begründet. Dabei wird die Frage gestellt, wie der Datenschutz bei Bestands- und Vorratsdaten sichergestellt werden könne, wenn eine Partei, die eine solche Speicherung befürworte, nicht zumindest auf ihre eigenen Daten aufpassen könne. Auch die administrativ Verantwortlichen der FDP werden von Anonymous mit Spott bedacht: Wer als Administrator Passwörter wie “Pupi” oder “herakles” verwende, sollte keine “Macht” haben, über Daten von Bürgern zu entscheiden.
Von der Veröffentlichung betroffen sind folgende Daten: Nutzername, Vor- und Nachname, E-Mail Adresse und Passwort Hashes. Bei FDP Mitgliedern wurden zusätzlich noch die Telefonnummern genannt. Von der Preisgabe der Telefonnummern und Adressen der sonstigen Forumsmitglieder sah Anonymous mit der Begründung ab, dass diese “immerhin nichts für die schlechte Sicherheit der FDP” könnten.
Die vorrangig betroffenen Internetangebote my.fdp.de und das Nachfolgeangebot meine-freiheit.de stehen momentan wegen Wartungsarbeiten nicht zur Verfügung. Die Nutzer der betroffenen Websites wurden mittlerweile per E-Mail von Harald Ruppe (Vorstand der Universum Kommunikation und Medien AG, die z.T. für die Webangebote verantwortlich ist) aufgefordert ihre Passworte neu zu setzen, sobald die Dienste wieder zur Verfügung stehen. Weiterhin wurde auf das Risiko hingewiesen, dass zumindest schwache Passwörter mithilfe der Passworthashes geknackt werden könnten. Auch das Schreiben Ruppes wurde von Anonymous auf Pastebin veröffentlicht.
9. April 2013
Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden aktuell auf vielen bekannten oder viel besuchten deutschsprachigen Websites – u.a. Online-Angebote von Nachrichten-, Politik-, Lifestyle- und Fachmagazinen, Tageszeitungen, Jobbörsen und Städteportalen – manipulierte Werbebanner ausgeliefert, die einen schädlichen JavaScript-Code enthalten, der wiederum auf Exploit-Kits verweist. Diese würden bekannte Schwachstellen ausnutzen und sollen bezwecken, Schadprogramme (z.B. Online-Banking-Trojaner) auf Windows-basierten PCs der Besucher der Websites zu installieren. Die Infektion des Rechners erfolge bereits durch den schlichten Besuch der Website, auf der ein entsprechend manipuliertes Werbebanner eingeblendet wird. Das Computer-Notfallteam CERT-Bund des BSI habe in den vergangenen Tagen bereits vielzählige Betreiber betroffener Websites informiert, allerdings würden täglich neue Websites identifiziert, auf denen schädliche Werbebanner ausgeliefert werden.
Man rate daher allen Nutzern dringend an, den Stand der Sicherheitsaktualisierungen des Betriebssystems, des Browsers und anderer genutzter Anwendungssoftware (z.B. Java, Adobe Reader und Adobe Flash) regelmäßig zu überprüfen und von den Herstellern bereitgestellte Sicherheitsupdates rasch zu installieren.
8. April 2013
In der Aktion Frühjahrsputz hat Google angekündigt, den Dienst “Reader” zum 01. Juli einzustellen. Bei Reader handelt es sich um einen RSS-Aggregator, der besonders unter Nutzern beliebt ist, die viele Informationsquellen im Auge behalten wollen. Dies hat in der Netzgemeinde zu einem kleinen Proteststurm, einer Petetition sowie dazu geführt, dass die Zeit Online die Frage stellt, ob das Ende des offenen Internets kommt.
Offiziell betont Google in oben verlinktem Blogbeitrag, dass eine abnehmende Nutzerzahl und die Fokusierung auf andere Projekte der Grund für das Ende des Angebots sei. Amerikanische Medien stellen unter Berufung auf Insider-Angaben jedoch die Behauptung auf, dass Google zunehmend Angst vor Gesetzesverstößen, insbesondere vor Datenschutzverstößen, habe und den Dienst daher einstelle. Sicherlich ist der Reader einer der Dienste, der ein eher geringes Potential für Datenschutzverstöße bietet. Jedoch soll Google den Reader bisher ohne eine verantwortliche Führungsperson, geschweige denn ein Team für die Einhaltung gesetzlicher Vorgaben, betrieben haben. Den ungenannten Quellenangaben zufolge will Google aber nach den vergangenen Datenschutzskandalen und den daraus resultierenden Strafen für jeden Dienst sicherstellen, dass neue Gesetzesverstöße und Datenschutzpannen nicht mehr zu erwarten sind. Wenn man nun bedenkt, dass für den Reader eine entsprechende Infrastruktur erst aufgebaut würden müsste und der Dienst bezüglich der Werbeeinblendung sehr zurückhaltend aggiert, macht die Argumentation, dass der Privatsphärenschutz beim Reader für Google zu teuer wäre, dann auch bei einem eher “ungefährlichen” Produkt Sinn.
Pages: 1 2 ... 70 71 72 73 74 ... 90 91 
