Kategorie: Online-Datenschutz

Facebook: Vermeintliche Datenpanne sorgt für Verwirrung

1. Oktober 2012

Eine vermeintliche Datenpanne sorgt derzeit bei vielen Nutzern des Social-Networks Facebook für Verwirrung. Angeblich sollen unzählige eigentlich als private Nachrichten versendete Mitteilungen plötzlich in der Chronik der Jahre 2009 und 2010 aufgetaucht sein und seien somit für andere Nutzer öffentlich sichtbar. Doch Facebook dementierte eine Datenpanne. Bei den Meldungen handelt es sich nach Auskunft des Unternehmens um Meldungen, die von anderen Personen auf der alten Pinnwand hinterlassen wurden. Nach der Umstellung von Pinnwand auf Chronik sollen etliche Einträge, wenn auch nur vorläufig, nicht mehr zu sehen gewesen sein. Durch automatisierte Prozesse würden jedoch viele solcher Beiträge nach einiger Zeit wieder auftauchen.

Gegenüber der Online-Ausgabe des Nachrichtenmagazins Focus erklärte Facebook auf Nachfrage: „Eine kleine Anzahl an Nutzern zeigte sich besorgt, nachdem sie fälschlicherweise angenommen hatten, dass private Nachrichten auf ihrer Chronik aufgetaucht sind. Unsere Entwickler sind diesen Reports nachgegangen und haben herausgefunden, dass es sich bei den Posts um ältere Pinnwand-Einträge handelt.“ Nach Aussage von Facebook sei ein etwaiges Datenleck bereits aus technischen Umständen nicht möglich, da private Nachrichten und Chronik-Einträge technisch völlig unterschiedlich behandelt würden. Hinzu kommt nach Ansicht von Facebook die veränderte Wahrnehmung und Nutzung der User. Diese wären inzwischen erheblich sensibler was den Umgang mit öffentlich einsehbaren Chronik-Einträgen im Verhältnis zur privaten Nachricht angeht.

Kategorien: Social Media
Schlagwörter: , ,

Hacking-Angriff auf Deutsche Telekom

28. September 2012

Nach einem Bericht des Nachrichtenportals Spiegel-Online kam es in der Zeit zwischen dem 3. und 6. September 2012 zu einem massiven Hacking-Angriff auf die Deutsche Telekom AG. Ziel des Angriffs durch eine bislang noch unbekannte Hacker-Gruppe, war die Lahmlegung der DNS-Server der Telekom. Diese sind dafür zuständig, einer URL, also der durch den Nutzer in die Adresszeile eingegebe Web-Adresse (z.B.: www.datenschutzricker.de ) die IP (eine Ziffernfolge) der gewünschten Website zuzuweisen. Ein Ausfall der DNS-Server hätte zur Folge gehabt, dass Internetseiten nur noch über ihre jeweilige IP-Adresse erreichbar und somit für alle von einem DNS-Server der Telekom abhängigen Nutzer faktisch nicht mehr auffindbar  gewesen wären. Der Sicherheitszentrale der Telekom gelang es jedoch den Angriff abzuwehren. Auch wenn dieser “massiv und ungewöhnlich” gewesen sei, habe man die Situation zu jeder Zeit unter Kontrolle gehabt.

Die Deutsche Telekom erstatte anschließend umgehend Anzeige bei der zuständigen Staatsanwaltschaft in Bonn wegen eines “Angriffs auf kritische Infrastruktur”. Dabei gelang des den Sicherheitsexperten der Telekom bereits den Angriff zu einem deutschen Rechenzentrum zurück zu verfolgen. Der Betreiber des Rechenzentrums reagierte jedoch bislang nicht auf Kontaktversuche. Zusätzlich hat sich das Bundeskriminalamt in die Ermittlungen gegen die bislang noch unbekannten Täter und den Betreiber des Rechenzentrums eingeschaltet.

Facebook schaltet Gesichtserkennung in Europa ab

25. September 2012

Unmittelbar nach dem Erlass einer Verwaltungsanordnung durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Johannes Caspar hat das Social Network Facebook nun hinsichtlich der umstrittenen Gesichtserkennung einlenkt und sich bereit erklärt, bis zum 15. Oktober alle bisher erstellten Nutzerprofile zu löschen. Dies teilte die, wegen des dort ansässigen Hauptquartiers, für Facebook Europa zuständige irische Datenschutzbehörde am Freitag mit. Facebook-Europa-Chef Richard Allen äußerte sich der dpa gegenüber jedoch optimistisch: “Wir glauben weiter, dass man Gesichtserkennung in Europa legal anbieten kann”. Zunächst sei das Verfahren jedoch bereits jetzt für alle Nutzer in Europa gestoppt worden. Nach einer datenschutzrechtlichen Überarbeitung ist Facebook jedoch bestrebt die Gesichtserkennung wieder zu integrieren.

Es erscheint jedoch fragwürdig, dass das Einlenken von Facebook in einem direkten Zusammenhang mit der erlassenen Verwaltungsanordnung steht. Vielmehr ist dies auf das Bestreben der irischen Datenschutzbehörde zurückzuführen sein. Diese hat nach langer und intensiver Auseinandersetzung mit Facebook und der Thematik, unter Hinzuziehung anderer europäischer Datenschutzbehörden, als zuständige Behörde gegenüber dem US-Unternehmen Stellung bezogen, und die Gesichtserkennung als nicht datenschutzkonform deklariert. Allan erklärte zwar, die Gesichtserkennung sei ausdrücklich als “nicht illegal” erkannt worden, es erfolgte jedoch die nachdrückliche Empfehlung seitens der Behörde, das Verfahren dahingehend umzustellen, den Nutzer durch eine vorherige Zustimmung zu der Funktion in das Verfahren einzubinden.

Gary Davis, Vize-Chef der irischen Datenschutzbehörde, zeigte sich zufrieden. Mit der Entscheidung “die Uhr neu zu starten”, seien nun alle Probleme mit der Funktion ausgeräumt. Kritik kam seitens der Wiener Studenten-Initiative “Europe-v-Facebook“. Diese bemängelte in einer Stellungnahme, dass der Bruch bestehender Datenschutz-Gesetze für Facebook nun letztlich doch ohne wirkliche Konsequenzen bleiben würde. Der Effekt der Abschaltung der Gesichtserkennung sei jedoch begrüßenswert.

 

Kategorien: Social Media
Schlagwörter: ,

HmbBfDI: Verwaltungsanordnung gegenüber Facebook wegen Gesichtserkennung

24. September 2012

Die vom Social Network Facebook integrierte Gesichtserkennung steht seit langem als rechtswidrig in der Kritik. Das Verfahren schlägt Nutzern mögliche Verlinkungen von Personen auf Fotos vor, welche durch einen biometrischen Abgleich ermittelt wurden. Nun hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar (HmbBfDI), wie durch einen Pressemitteilung bekannt geben wurde, gegenüber Facebook eine Verwaltungsanordnung erlassen, welche das Unternehmen dazu verpflichtet, die Gesichtserkennung auch rückwirkend datenschutzkonform zu gestalten und sicherzustellen, dass nur mit der aktiven Zustimmung der bereits registrierten Nutzer biometrische Profile erzeugt und dauerhaft gespeichert werden. Zudem müssen diese zuvor umfassend über die Risiken des Verfahrens aufgeklärt werden. Facebook hat nun einen Monat lang Zeit gegen den Bescheid Widerspruch einzulegen, bevor dieser rechtskräftig wird. Anschließend sind die Anforderungen umzusetzen. Geschieht dies nicht fristgerecht, müssen die erhobenen Daten gelöscht werden.

Die Anordnung war nötig geworden, da Facebook auch nach langwierigen und intensiven Verhandlungen nicht bereit war, aus freien Stücken das Verfahren europäischen Datenschutzanforderungen anzupassen. Caspar dazu: „Ich bedaure, dass Facebook nicht willens ist, den europäischen Standard bei der Nutzung digitaler Bilder zur Erstellung biometrischer Profile umzusetzen. Die erlassene Anordnung basiert auf den von den europäischen Datenschutzbeauftragten gemeinsam erarbeiten Anforderungen. Ziel der Anordnung ist es im Übrigen nicht, den Einsatz dieser Technologie zu verhindern, sondern den Nutzerinnen und Nutzern Instrumente an die Hand zu geben, die ihnen eine bewusste und aktive Entscheidung für oder gegen eine Teilnahme an dieser nicht unproblematischen Technologie ermöglicht.“

Wegen der örtlichen Zuständigkeit gilt die Anordnung zunächst nur bezüglich Nutzern aus Hamburg. Andere deutsche Aufsichtsbehörden planen indes gleichlautende Anordnungen zu erlassen.

ULD: Persönlichkeitsschutz bei Suchmaschinen ist möglich

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat sich – anlässlich der Thematisierung des Persönlichkeits- und Datenschutzes im Internet im Rahmen des  69. Deutschen Juristentages und anlässlich eklatanter Verletzungen des Persönlichkeitsrechts im Internet, wie bei der Nutzung von Suchmaschinen in den Fällen Bettina Wulff oder Max Mosley – für die Neuregelung des Datenschutzes im Internet nebst Anpassung an die technischen Gegebenheiten ausgesprochen. Dennoch weise man darauf hin, dass Betroffene auch heute nicht schutzlos sind. Erkläre eine betroffene Person gegenüber einer für die Datenverarbeitung verantwortlichen Stelle gemäß § 35 Abs. 5 Bundesdatenschutzgesetz bzw. nach entsprechendem europäischen Recht seinen Widerspruch gegen eine Datenverarbeitung bzw. speziell gegen eine Veröffentlichung im Internet, müsse von dieser Stelle eine Überprüfung erfolgen und im Fall des Überwiegens schutzwürdiger Interessen wegen der “besonderen persönlichen Situation” eine Beendigung der Beeinträchtigung erfolgen, so der Leiter des ULD Weichert. Dies gelte auch für Google beim Betreiben ihrer Suchmaschine und dem Einsatz der Funktion “Autocomplete” (Bettina Wulff) oder dem Anzeigen von intimen Bildern durch Suchanfragen zu einem Namen (Max Mosley). Neben der Verantwortlichkeit von Stellen, die Daten ins Netz einstellen, begründe außerdem die Kenntniserlangung von einem Datenschutzverstoß durch einen Suchmaschinenbetreiber eine eigene Verantwortlichkeit. Dieser könne sich nicht auf die Meinungsäußerungsfreiheit von sich oder anonymen Dritten berufen, wenn der Datenschutzverstoß offensichtlich ist – so wie es bei den Fällen „Wulff“ und „Mosley“ gewesen sei. Voraussetzung dafür wäre, dass der Betreiber der Schutzanforderung des Betroffenen technisch nachkommen kann. Dies treffe bezüglich der Autocomplete-Funktion und dem Sperren bestimmter Bilddarstellungen durch Google zu. Diese Rechte bestünden nicht nur zugunsten von Promis, sondern für alle Menschen in Europa, deren Persönlichkeitsrechte im Internet verletzt werden. Googles Weigerung, den Datenschutzanforderungen von Betroffenen zu folgen, habe nicht die Verhinderung von Zensur zum Ziel, sondern die Beibehaltung eines Geschäftsmodells, das “Datenschutzverstöße in Kauf nehme“.

Ebooks: Neue Software trackt Nutzung

18. September 2012

Wie die Technology Review in ihrer Onlineausgabe berichtete, hat das US-amerikanische Unternehmen Hiptype eine Analysesoftware entwickelt, mit der Verlage die Nutzung der eigens angebotenen Ebooks zu Marketingzwecken überwacht und so das Nutzerverhalten detailliert nachvollziehbar darstellen kann. Erkennbar wird dadurch u.a., wo der Nutzer zu lesen beginnt, wo er die Lektüre beendet, welche Zitate unter den Nutzern getauscht werden und welche Kaufentscheidungen anschließend getätigt werden. Dabei bleibt die Software nicht nur den großen Verlägen vorbehalten und die Preispolitik transparent. Selbstverleger können für knapp 20 US-Dollar pro Buch und Monat bis zu 1000 Leser tracken und so aufschlussreiche Daten erlangen, wobei das Tracking des ersten Buches kostenlos ist. Für Verlage veranschlagt Hiptype 100 US-Dollar für bis zu 500.000 Leser pro Buch. Den getrackten Nutzern steht laut Aussagen von Hiptype jedoch frei, sich nachträglich aus dem Tracking löschen zu lassen. Zudem würden die Daten nur anonymisiert gespeichert.

Kategorien: Online-Datenschutz
Schlagwörter: , ,

BfDI: “Couchsurfing ohne Datenschutz”

In einem Schreiben an die für die Datenschutzaufsicht zuständige US-Behörde, die Federal Trade Commission, hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Peter Schaar auf Missstände in der Veränderung der Nutzungsbedingungen des internetbasierten Gastfreundschaftsnetzwerks “CouchSurfing.org“ zum 14. September 2012 hingewiesen. Die Änderungen seien inakzeptabel und sowohl nach deutschem als auch nach europäischem Datenschutzrecht  unzulässig. Sie würden die Nutzer durch die neuen Nutzungsbedingungen nötigen, auf jegliche Kontrolle über ihre Daten zu verzichten, sofern sie den Dienst weiter in Anspruch nehmen wollen. So räume z.B. der Nutzer durch das Hochladen von Inhalten dem Unternehmen CouchSurfing nicht nur eine unwiderrufliche Erlaubnis zu einer quasi unbegrenzten Verwendung dieser Inhalte , sondern auch das Recht zur Datenweitergabe an Dritte ein. Dieser Fall zeigt nach Ansicht Schaars abermals die Notwendigkeit auf, das europäische Datenschutzrecht zügig zu reformieren, damit ein adäquates Datenschutzniveau europäischern Nutzer auch dann zugute kommen kann, wenn Internetdienste aus einem Drittstaat angeboten werden. Derzeit findet deutsches/europäisches Datenschutzrecht keine Anwendung, da das Unternehmen couchsurfing.org seinen Sitz in den USA hat und keine Niederlassungen in Deutschland oder anderen Mitgliedstaaten der Europäischen Union hat.

 

Kategorien: Social Media
Schlagwörter: ,

Sicherheitslücke im Messenger-Dienst WhatsApp

17. September 2012

Der Online-Dienst heise security berichtet, dass WhatsApp weitaus unsicherer ist, als man zunächst vermutet hat. WhatsApp ist ein Kurznachrichtendienst, der über die Datenverbindung des Handys funktioniert und so kostenlose Kurznachrichten an andere WhatsApp-Nutzer ermöglicht.

Heise security ist es gelungen, nur mithilfe frei zugänglicher Tools einen anderen WhatsApp-Account zu übernehmen. Die Gefahr einer Übernahme bestehe immer, wenn WhatsApp in einem öffentlichen WLAN genutzt werde. Sei der Account einmal geknackt, könne er später nicht mehr abgesichert werden, so das Fazit.

Erst vergangene Woche war bekannt geworden, dass WhatsApp für die Authentifizierung des Kontos ein selbsterstelltes Passwort nutzt. Auf der Plattform Android wird zu diesem Zweck die Seriennummer (IMEI) zu einem MD5-Hash generiert, unter iOS bezieht sich der Hash auf die MAC-Adresse. Zur Nacherzeugung des Passworts müssen nur die Ausgangswerte des Hashs bekannt sein, also IMEI-Nummer oder MAC-Adresse. Die MAC-Adresse wird im WLAN mitgesendet, sodass ein Angreifer nur noch die Rufnummer herausfinden müsste, um den Account zu kapern.

Angesichts der gravierenden Sicherheitslücken ist bei der Nutzung von WhatsApp Vorsicht geboten.

VZBV: Facebook-App verstößt gegen Telemediengesetz

12. September 2012

Wieder einmal gerät das Social-Network Facebook in das Visier von Datenschützern. Die Verbraucherzentrale Bundesverband (VZBV) hat mitgeteilt, an Facebook eine Abmahnung sowie eine Unterlassungserklärung adressiert  zu haben, welche bis zum 4. September von dem Netzwerk unterzeichnet werden sollte. Die Mitteilung eines Ergebnisses stünde derweil noch aus. Stein des Anstoßes sei das von Facebook neu in dem Netzwerk intigrierte App-Zentrum. Dieses stellt eine Zusammenstellung von Programmen und Spielen von Drittanbietern dar, auf welche der Facebook-User über seinen Account zugreifen kann. Betätige der User den Button “Spiel spielen” oder “An Handy schicken”, komme es bereits zu einer Datenübertragung an den Drittanbieter. Dabei unterstellt Facebook nach Ansicht der VZBV die Einwilligung des Nutzers zur Datenverwendung, ohne dass dieser einer solchen zugestimmt habe oder überhaupt Kenntnis von der Verwendung genommen haben müsste. Zwar befinde sich unterhalb des Buttons eine kleine hellgraue Schriftzeile, die einen kurzen entsprechenden Hinweis enthalte, dieser jedoch beinhalte keine abschließende Auflistung der Nutzungszwecke durch den App-Anbieter. Nach Ansicht der Datenschützer der VZBV stellt eine solche Datenweitergabe an Dritte und die Verwendung der Daten, ohne die vorherige bewusste und informierte Einwilligung des Nutzers einen Verstoß gegen das Telemediengesetz dar. Die VZBV fordere Facebook daher über die Abgabe der Unterlassungserklärung hinaus auf, das App-Zentrum so zu gestalten, dass der Nutzer stets darüber informiert ist, welche Daten er freigibt und wozu diese verwendet werden.

Inwieweit Facebook sich auf diese Forderungen einlassen wird bleibt indes abzuwarten. Angesichts des weiterhin kostenfrei zur Verfügung gestellten Netzwerkzugangs stellt die Integration von Drittanbieter-Software sowie der damit verbundene Datenaustausch einen nicht unwesentlichen Wirtschaftsfaktor für das börsennotierte Social-Network dar.

Kategorien: Online-Datenschutz · Social Media
Schlagwörter: , ,

Apple bestreitet Weitergabe von iOS-Geräte-ID´s

7. September 2012

Nachdem am Dienstag über den Twitter-Account @AnonymousIRC Downloadlinks veröffentlicht worden waren, die zu einer Datei mit 1 Millionen iOS-Geräte-ID´s inklusive Unique Device Identifiern (UDID) führte, hat am darauf folgenden Mittwochabend Apple selbst dazu Stellung bezogen. Der Stellungnahme von Apple war eine eben solche der US-Ermittlungsbehörde FBI vorausgegangen. Das FBI war zunächst mit dem Vorwurf konfrontiert worden, es habe im großen Stil Daten von iOS-Nutzern gesammelt, welche durch einen Cyber-Angriff der Hacker-Gruppe Anonymous bzw. deren Splittergruppe AntiSec auf einen Laptop eines FBI-Mitarbeiters nach außen gelangt seien. Insgesamt soll es sich dabei um 12,37 Millionen Daten gehandelt haben, von denen 1 Millionen im Weiteren den Weg in die Datei fanden. Das FBI hatte dies entschieden dementiert. Apple teilte nun gegenüber Mac & I mit, das FBI habe die entsprechenden Informationen weder angefordert, noch habe das Unternehmen diese an “das FBI oder irgendeine andere Organisation” weitergeleitet.

Desweiteren ließ Apple mitteilen, dass die Nutzung der UDIDs durch iOS-Apps zukünftig verboten werden soll. So werde mit dem kommenden iOS 6 eine neue Schnittstellen-Technologie installiert, welche den Rückgriff auf UDIDs ersetzen soll. Hinweise für betroffene Nutzer erteilte Apple hingegen nicht.

Kategorien: Hackerangriffe · Mobile Business
Schlagwörter: , , , ,
1 77 78 79 80 81 90