Kategorie: Online-Datenschutz

EU-Standardvertragsklauseln für die Microsoft Cloud

30. Mai 2012

Nach einer Meldung von heise.de hat Microsoft angekündigt, dass künftig die EU-Standardvertragsklauseln auch für den Cloud-Dienst „CRM-Online“ verfügbar seien. Neben Office 365 ist dies der zweite Cloud-Dienst von Microsoft, für den die Vertragsklauseln aus der Feder der EU-Kommission herangezogen werden können. Unternehmen in Europa ist auf ihrer Grundlage gestattet, Daten in Länder ohne angemessenes Datenschutzniveau zu transferieren, wenn sich der Vertragspartner zur Einhaltung der Standardvertragsklauseln verpflichtet hat. Sie stellen nach einer Orientierungshilfe zum Cloud-Computing der Konferenz der Datenschutzbeauftragten von Bund Ländern vom Septemer 2011 die Mindestanforderungen für internationales Cloud-Computing dar, wenn die Anbieter keine Safe-Harbor-Zertifizierung vorweisen können.

Datendiebstahl bei Online-Dienstleister WHMCS

25. Mai 2012

Medienangaben zufolge ist es Hackern Anfang dieser Woche erfolgreich gelungen, in die Web-Server des Online-Dienstleisters WHMCS einzubrechen. Dabei sollen die Angreifer nicht nur den gesamten Serverinhalt kopiert und anschließend gelöscht haben, sondern auch die gesamte Kundendatenbank ausgelesen haben. Laut Angaben von WHMCS umfasst diese neben allen Bestellungen und Supportanfragen der letzten 17 Stunden vor dem Angriff auch über 500.000 E-Mail-Adressen und weitere personenbezogene Daten der Kunden. Die für den Angriff verantwortliche Hackergruppierung UGNazi soll unmittelbar nach dem Angriff die Benutzerdatenbank als MySQL-Dump online gestellt haben. Der Angriff sei damit begründet worden, dass den Betroffenen die mangelhafte Datensicherheit in eindeutiger Weise vor Augen geführt werden sollte.

Hierdurch wird wieder einmal mehr als deutlich, dass IT-Sicherheit und Datenschutz zwei Seiten der gleichen Medaille sind, die aufeinander abgestimmt dafür sorgen können, dass der Schaden solcher Angriffe auf ein Minimum reduziert werden kann.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: ,

Medien-Apps erfassen und übermitteln Unique Device ID an App-Anbieter und Dritte

Journalisten des NDR-Medienmagazins Zapp haben etwa 100 Apps von Massenkommunikationsanbietern, die sämtlich aus dem Apple App-Store heruntergeladen wurden, getestet. Ungefähr die Hälfte der getesteten Apps soll unbemerkt, also insbesondere ohne Kenntnis der Betroffenen, Nutzerdaten an die Anbieter übermitteln, einige zudem auch an andere Dritte (z.B. Facebook). Betroffen seien insbesondere Apps von öffentlich-rechtlichen Radios, Privatsendern und Verlagen. Als besonders kritisch sei die festgestellte Übermittlung der Unique Device Identification (UDID) anzusehen. Diese weltweit einmalige Seriennummer könne als eine Art digitaler Fingerprint des Mobiltelefons eingeordnet werden. Da Mobiltelefone regelmäßig nur von einer Person genutzt werden und somit über die UDID ein Nutzer wiedererkannt werden kann, sei die UDID als personenbezogenes Datum zu werten. Da die Übermittlung der UDID für die Funktionsweise der Apps jedoch nicht notwendig ist, sei diese als überaus problematisch einzustufen.

Die Ergebnisse dieses Tests offenbaren, dass sparsames Installieren und Nutzen von Apps, entsprechend dem Grundsatz der Datensparsamkeit, die Maßnahme der Wahl ist, um weitestgehende Kontrolle über die eigenen Daten zu behalten.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

SpyEye Trojaner filmt Nutzer deutscher Banking-Websites

23. Mai 2012

Nach Angaben eines Kaspersky Mitarbeiters befindet sich eine neue Variante des SpyEye Trojaners im Umlauf, die sich gezielt gegen Benutzer richtet, die Websites deutscher Banken besuchen. Ruft der Nutzer eines infizierten PCs eine der im Code des Trojaners hinterlegten Bankingseiten auf, startet die Schadsoftware ein Flashelement, welches die Webcam aktiviert. Ab diesem Zeitpunkt werden aufgezeichnete Video- und Audiodaten in Echtzeit übertragen. Die normalerweise übliche Abfrage, ob die Webcam verwendet werden darf, unterdrückt der Trojaner.

Nicht völlig geklärt ist bisher, welchem Zweck die Übertragung des Videos dient. Für die eigentliche Schädigung wird die Webcam jedenfalls nicht benötigt, da die betroffenen Banken keinerlei biometrische Authentifizierung, z.B. per Gesichtserkennung, anbieten. In seinem Beitrag mutmaßt der Autor, dass die Aufzeichnung dazu diene, Telefongespräche mit der Bank aufzuzeichnen, wenn der Nutzer bei einer unerwarteten Abfrage eines Sicherheitscodes Verdacht schöpfe und daraufhin seine Bank kontaktiere. Die bei diesem Gespräch aufgezeichneten telefonischen Sicherheitsabfragen könne der Angreifer dazu nutzen, später selber bei der Bank anzurufen und so das Konto zu übernehmen. Für diese Einschätzung stützt sich der Kaspersky Mitarbeiter auch Erfahrungen eines Kollegen, der sich mit einer ähnlichen Schadsoftware beschäftigt hat, die Nutzer ecuadorianischer Banken ebenfalls per Video ausspionierte.

Nach Microsofts 12. Security Intelligence Report (PDF) ist SpyEye, welcher im Report als Win32/EyeStye bezeichnet wird, insbesondere in Deutschland stark verbreitet. Dem Report lässt sich entnehmen (Seite 66), dass mehr als die Hälfte aller durch Microsoft festgestellten Infektionen in Deutschland erfolgte.

Kategorien: Online-Datenschutz
Schlagwörter:

Facebook: Neue Richtlinie für den Umgang mit Nutzerdaten vorgestellt

22. Mai 2012

Das weltweit größte Social Network Facebook hat seine neue Richtlinie für den Umgang mit Nutzerdaten vorgestellt. Grund für die Änderungen waren die Empfehlungen der irischen Datenschutzbehörde, welche nach eingehender Prüfung Ende des vergangenen Jahres diverse Nachbesserungen empfohlen hatte. Die irische Datenschutzbehörde ist nach dem Verständnis des US-Amerikanischen Unternehmens als einzige Datenschutzbehörde in Europa für die Belange Facebooks zuständig, da dort das europäische Headquarter beheimatet ist.

In der Erklärung des Unternehmens zu den Neuerungen heißt es: “Wir werden Daten so lange einbehalten, wie dies erforderlich ist, um den Nutzern und anderen Dienstleistungen zur Verfügung zu stellen. Diese umfassendere Verpflichtung gilt für alle Daten, die wir über Dich sammeln und erhalten, einschließlich Informationen von Werbetreibenden”. Facebook kann somit Daten die das Unternehmen von Werbepartnern oder Spiele-Anbietern bekommt in manchen Fällen länger als die bisher gestatteten 180 Tage aufbewahren.

Zudem wird in der neuen Richtlinie ausführlich dargelegt, welche Informationen Facebook über seine Nutzer durch die Verwendung von, vor allem von Datenschützern vehement kritisierten, Cookies sammelt.

Kategorien: Social Media
Schlagwörter: ,

ULD: “Facebook nervt – Widerspruch ist weiterhin und erneut nötig”

16. Mai 2012

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat die am 11.05.2012 von Facebook veröffentlichten Vorschläge für die Änderung seiner Datenverwendungsregeln überprüft und teilte mit, dass mit Implementierung der Datenverwendungsrichtlinien erneut keine wesentlichen Verbesserungen, sondern aus Datenschutzsicht sogar weitere Verschlechterungen einhergehen würden, wie z. B. Ermächtigungen für eine noch längere Speicherung und Nutzung der Daten. Die vom irischen Datenschutzbeauftragten geäußerte Kritik werde zwar aufgegriffen, aber die dort geforderten tatsächlichen Änderungen nicht umgesetzt.

“Facebook nervt, indem es die Öffentlichkeit mit immer wieder neuen Scheinma- növern hinhält. Facebook muss nicht einfach sein Kleingedrucktes ändern, sondern seine Geschäftspolitik und seine Datenverarbeitung. Hierüber muss dann Transparenz hergestellt werden.”, kommentierte der Landesbeauftragte für den Datenschutz Schleswig-Holstein Weichert. Er könne Facebook-Nutzern nur ein weiteres Mal empfehlen, gegen die geplanten Datenverwendungsrichtlinien Einspruch einzulegen.

 

Tausende Zugangsdaten von Twitter-Nutzern im Internet veröffentlicht

11. Mai 2012

Medienberichten zufolge sind auf der Dokumentenveröffentlichungsplattform Pastebin 55000 Namen und Zugangsdaten von Twitter-Nutzern publik gemacht worden. Unklar sei, wer die Daten dort eingestellt hat. Nach Angaben von Twitter seien eine Vielzahl der veröffentlichten Daten falsch, doppelt oder seien mittlerweile gesperrten Spam-Zugängen oder möglicherweise auch Fake-Accounts zuzuordnen. Twitter selbst werde die Passwörter automatisch zurücksetzen und die Betroffenen via E-Mail informieren.

Google Analytics: Was Sie als Website-Betreiber beachten müssen!

9. Mai 2012

Obwohl es seit geraumer Zeit eine Möglichkeit gibt, Google Analytics datenschutzkonform zu betreiben, machen davon nur sehr wenige Website-Betreiber Gebrauch. Prüfungen des Bayerischen Landesamtes für Datenschutzaufsicht ergaben beispielsweise, dass lediglich 3 % der bayerischen Website-Betreiber Google Analytics in datenschutzkonformer Weise einsetzen. Beanstandungen durch die zuständige Datenschutzaufsichtsbehörde, Kundenunzufriedenheit und Komplikationen im Alltagsgeschäft sind bei rechtswidrigem Einsatz vorprogrammiert.

Erforderliche Schritte zum rechtskonformen Einsatz von Google Analytics

Vier Schritte sind erforderlich, um Google Analytics rechtskonform einsetzen zu können:

  • Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google
  • Erweiterung um die Funktion „anonymize IP“
  • Einräumung eines Widerspruchsrechtes der User (Browser Add-On)
  • Anpassung Ihrer Datenschutzerklärung: Information über Einsatz von Google Analytics und Widerspruchsrecht

Was tun bei derzeit rechtswidrigem Einsatz von Google Analytics?

Sollten Sie bis dato die oben genannten Maßnahmen nicht umgesetzt haben, ist der Einsatz von Google Analytics rechtswidrig. Ihre Website sollte daher dringend den derzeitigen rechtlichen Regelungen entsprechend angepasst werden und Sie sollten sicherstellen, dass mittels Google Analytics gewonnene Altdaten  gelöscht werden. Dies erfordert eine Schließung des bestehenden Google Analytics Profils und die Neueröffnung eines neuen Profils.

Benötigen Sie Unterstützung bei der datenschutzkonformen Ausgestaltung des Einsatzes von Goolge Analytics oder Unterstützung bei der Kommunikation mit Ihrer Aufsichtsbehörde?

Treten Sie mit uns in Kontakt!

Schatten-Profile durch Freunde-Finder: Uni Heidelberg veröffentlicht Studie über Möglichkeiten – LG Berlin urteilt “rechtswidrig”

Das Heidelberg Collaboratory for Image Processing (HCI) der Universität Heidelberg hat eine Studie zur automatischen Generierung von sogenannten Schattenprofilen veröffentlicht. Schattenprofile sind Datensätze, die soziale Netzwerke über Nicht-Mitglieder erstellen. Dabei bedienen sie sich der Auskunftsfreudigkeit ihrer Mitglieder. Bekanntestes Beispiel hierfür ist der “Freunde-Finder” des Social Networks Facebook. Über diesen lässt sich Facebook Zugang zu den Email-Adressbüchern ihrer Mitglieder verschaffen um darin enthaltende Nicht-Mitglieder ebenfalls erfassen und nach Möglichkeit für das Netzwerk gewinnen zu können. Dem Mitglied selber wird im Gegenzug in Aussicht gestellt, über veraltete Email-Adressen im Email-Account alte Freunde im Netzwerk wiederzufinden.

Die Studie der Heidelberger Wissenschaftler belegt jetzt, welche Möglichkeiten durch die gesammelten Schattenprofile noch bestehen. So ließen sich durch bestimmte Lern- und Vorhersagealgorithmen bis zu 40% der existierenden Freundschaften unter Nicht-Mitgliedern auf Basis der reinen Kontaktdaten zutreffend generieren. Zudem war nachweisbar, dass darüber hinaus auch die Möglichkeit besteht die sexuelle Orientierung sowie die politische Ausrichtung zu bestimmen.

Nicht erst bereits seit diesen Erkenntnissen bestehen erhebliche Zweifel an der datenschutzrechlichen Konformität des Freunde-Finders. Nach einer Klage der Verbraucherzentrale Bundesverband e.V. (vzbv) urteilte das Landgericht (LG) Berlin (Urteil v. 06.03.2012, Az. 16 O 551 /10) Anfang März und befand die Verwendung dessen durch Facebook als rechtswidrig. So würde der Nutzer nicht ausreichend über die Reichweite der Funktion und deren Hintergrund aufgeklärt. Zudem würden die potentiellen Neumitglieder kontaktiert, ohne dazu ihr Einverständnis gegeben zu haben. Das Urteil ist noch nicht rechtskräftig. (jr)

25.000 Dollar Strafe für Google

18. April 2012

Nach einem Bericht von heise.de wurde Google für mangelnde Kooperation bei der Aufarbeitung eines Datenskandals abgemahnt. Das Bußgeld in Höhe von 25.000 US-Dollar sei die höchstmögliche Strafe dafür, dass Google die Untersuchungen erschwert und verzögert habe. Dahinter steht die US-Aufsichtsbehörde FCC, die ihre Entscheidung nun in einem Zwischenbericht begründet.

Anlass gaben die Kamerafahrten von Google für Street View in den Jahren 2007 bis 2010. Dabei wurden nicht nur Fotos geschossen, sondern auch WLAN-Daten gesammelt. Sie sollten gespeichert werden, um spätere Lokalisierungen zu ermöglichen. Gespeichert wurden jedoch nicht nur Name und Ort des WLANs, sondern auch Inhalte der abgefangenen Kommunikation wie zum Beispiel E-Mails oder Passwörter.

Dem Bericht zufolge bestritt Google zunächst die Vorgänge, das Unternehmen hätte die Speicherung solcher Daten nicht in Auftrag gegeben. Später folgte ein Eingeständnis, es seien mehr Daten gespeichert worden, als geplant gewesen wäre.

Untersuchungen der US-Handelsbehörde FTC wurden eingestellt, nachdem Google versprochen hatte, die fälschlicherweise gesammelten Daten wieder zu löschen. Die Regulierungsbehörde FCC hat daraufhin ihre eigenen Untersuchungen begonnen, auf die Google aber kaum reagierte. Vor allem hielt Google die Namen der Verantwortlichen für die damalige Aktion zurück.

Später sei Google der Behörde zwar ein Stück weit entgegengekommen und habe einige Namen genannt. Belege, dass interne Untersuchungen vorangetrieben worden wären, hätten jedoch weiterhin gefehlt.

Ob Google sich von der Strafzahlung nachhaltig zu mehr Kooperation bei der Aufklärung motivieren lässt, sei dahingestellt.

1 82 83 84 85 86 90