Kategorie: Tracking

Was beim Abhören von Telefonaten wirklich gespeichert wird

1. April 2014

Im Rahmen des von Edward Snowden ausgelösten NSA-Skandals wird oft der Begriff der „Metadaten“, insbesondere in Verbindung mit dem Abhören von Telefonaten, gebraucht. Speziell aus Richtung der USA wird der Begriff benutzt, um Kritiker und Bürger in ihren Sorgen zu beschwichtigen. Telefon-Metadaten seien lediglich Informationen darüber, wer mit wem, wie lange und von welchem Ort aus telefoniert. Inhalte, also die Gespräche selber, würden nicht mitgehört, weshalb auch keine Verletzung der Privatsphäre vorliege, so gibt die FAZ Obamas Aussage wieder.

Wie viel Metadaten tatsächlich über den Menschen, von dem sie stammen verraten, hat der IT-Sicherheitsforscher Jonathan Mayer mit seinem Team des Center for Internet and Society der Stanford University (CIS) in einer Studie herausgefunden. Dabei ging Mayer sehr ähnlich vor wie die NSA selbst. Er programmierte eine App, die ähnlich funktioniert wie das System des Geheimdienstes, das bei den umstrittenen Telefonüberwachungen eingesetzt wird, wie die Süddeutsche beschreibt. Dank des selbst geschriebenen Programms in Form einer App konnten die Metadaten der Testpersonen, also wer mit wem, wann, von wo aus und wie lange telefoniert, zunächst gespeichert werden. Daraufhin hat das Forscherteam sich einfachster und öffentlich zugänglicher Quellen bedient, wie Internet-Suchmaschinen, Branchenverzeichnisse, soziale Netzwerke wie Facebook, Google Places und den kostenpflichtigen aber frei zugänglichen Personensuch-Dienst Intelius, dort jeweils recherchiert und mit den gespeicherten Metadaten und ein wenig logischem Denken und Sozialverständnis Rückschlüsse gezogen. Das Ergebnis, so schreibt die Süddeutsche weiter, lag danach bei über 90 % richtig identifizierter Anschlüsse.

Das allein ist schon sehr verblüffend. Bedenkt man, dass eine Organisation wie die NSA über weit aus größere Datensätze und Möglichkeiten verfügt, als Mayer und seinem Team zur Verfügung standen. Wirklich erschreckend aber ist, dass in der gut fünf Monate andauernden Studie mit lediglich 500 Testpersonen, Rückschlüsse auf noch weit sensiblere Informationen ans Tageslicht kamen, als die Forscher zu Beginn der Studie erwartet hatten. Wenn ein Telefonanschluss erst einmal zugeordnet war, ließ sich mittels der Metadaten herausfinden, dass beispielsweise ein Telefongespräch mit einem Fachgeschäft für Schusswaffen, ein anderes mit einem Scheidungsanwalt und wieder andere mit einer Parteizentrale, einer Arztpraxis oder einem Bordell geführt wurden. So konnten den Anschlussinhabern Waffenaffinität, Geschlechtskrankheiten, Affären, Religionszugehörigkeit oder gar Drogenhandel zugeordnet werden.

Wie die FAZ schreibt, geht es bei den Metadaten und ihren Verknüpfungen mit anderen Daten aber auch um den Unterschied zwischen Wahrheit und Lüge. Es sei entscheidend, in welche Richtung man die Informationen auswertet und insbesondere wie man sie soziologisch interpretiert. Daten und Informationen können nicht nur absichtlich falsch in Umlauf gebracht oder gar manipuliert werden. Sie können auch in ihrem Inhalt unterschiedlich gedeutet werden, was zu völlig falschen Rückschlüssen der einzelnen Personen, deren Lebensumstände oder Sozialstrukturen führen kann.

Nach noch unbestätigten Medienberichten der Washington Post setzt die NSA seit 2011 auch ein Programm zur Telefonüberwachung namens „Mystic“ ein, das in der Lage ist die gesamte Kommunikation eines Landes abzuhören. Telefonate würden für 30 Tage gespeichert und könnten in dieser Zeit vom Geheimdienst angehört werden. Bei Bedarf werden die Inhalte auch länger gespeichert.
Doch auch ohne die Speicherung des Inhalts der Gespräche, erhält die NSA über die reinen Verbindungsdaten mehr Informationen, als auf den ersten Blick ersichtlich.

Datenschutz im Kfz

4. Februar 2014

Vor kurzem berichteten wir an dieser Stelle über das Thema „Was mein Auto über mich weiß – Datenschutz im Automobil” . Nun wurde die Problematik auch beim 52. Deutschen Verkehrsgerichtstag 2014 (52. VGT)  in der vergangenen Woche in Goslar diskutiert.

In der Empfehlung des Arbeitskreises VII fordern Experten, dass sowohl Fahrzeughersteller als auch bestimmte weitere Dienstleister den Käufer umfassen und verständlich in dokumentierter Form informieren müssen, welche Daten in welcher Form, an welcher Stelle und zu welchem Zweck verarbeitet und übermittelt werden. Fahrzeughalter und Fahrer sollen technisch und rechtlich in der Lage sein, die Datenübermittlung zu kontrollieren und bei Bedarf auch ausschalten zu können. Auch sollen die Zugriffsrechte der Strafverfolgungsbehörden und Gerichte so geregelt werden, dass grundrechtliche und strafprozessrechtliche Schutzziele nicht unterlaufen werden.

Kategorien: Allgemein · Online-Datenschutz · Tracking
Schlagwörter: ,

Stellungnahme des Bundesrates zu eCall: Datenschutzrechtliche Bedenken

25. September 2013

Medienberichten zufolge hat der Bundesrat am vergangenen Freitag eine Stellungnahme zum Auto-Notrufsystem eCall verabschiedet.

eCall steht für Emergency Call und ist ein für Kraftfahrzeuge von der EU geplantes Notrufsystem. Es soll ab 2015 in allen neuen Autos vom Hersteller eingebaut werden. Das System löst im Falle eines Unfalls automatisch einen Notruf an eine europäisch einheitliche Notrufnummer aus und übermittelt einen Minimaldatensatz (u.a. Koordinaten des Unfallortes, Zeit, Fahrzeug-ID) an eine Unfallzentrale. Dadurch soll Hilfe schneller eintreffen und die Zahl der Unfalltoten und Verletzten deutlich minimiert werden. eCall wird auch vom ADAC unterstützt.  ADAC-Experte Thomas Strobl betont, dass bei eCall nicht nur die technische Umsetzung wichtig sei, sondern – da es sich hierbei um eine Datenübermittlung handelt – auch der Datenschutz gewahrt werden müsse.

Über den Minimaldatensatz hinaus können auch weitere umfangreiche Informationen übermittelt werden. Diese können insbesondere für Versicherer und Fahrzeughersteller wertvoll sein. Der Bundesrat verlangt, dass insbesondere für solche zusätzlichen Daten eine konkrete Regelung getroffen werden müsse.

Als Starttermin für eCall ist Oktober 2015 gesetzt. Heise.de zufolge beklagt der Bundesrat die Einführungsfrist und glaubt nicht, dass diese realistisch eingehalten werden könne, da wichtige technische Rahmenbedingungen noch gar nicht vorlägen und ohne diese keine Ausschreibungen für entsprechende Leitstellentechnik getätigt werden könne. Der Bundesrat erwarte ebenfalls eine Regelung darüber, wie die Kosten der durch eCall zusätzlich eingehenden und zu verarbeitenden Notrufe getragen werden.

Kategorien: Allgemein · Internationaler Datenschutz · Tracking
Schlagwörter: ,

Tauziehen um Do Not Track Ansatz geht weiter

22. Juli 2013

Mit einem im Juni eingereichten Änderungsvorschlag versuchte die DAA (Digital Advertising Alliance) einmal mehr die Entwicklung des Do Not Track Standards durch dasW3C (Standardisierungsgremium für das Worl Wide Web) im Sinne der Online-Werbewirtschaft zu beeinflussen. Dabei wurde unter anderem eine enge Definition des Tracking Begriffs sowie ein Ampelsystem zu internen Behandlung von Daten, die durch Tracking gesammelt wurden, vorgeschlagen.

Die Tracking Protection Working Group des W3C hat dem Angebot der Werbewirtschaft jedoch eine Absage erteilt und führt aus, dass der DAA Vorschlag

  • das DNT Signal nicht nutze, um einen Do Not Target oder Do Not Collect Ansatz zu verwirklichen.
  • keine deutliche Verbesserung des Status Quo darstelle.
  • das Retargeting und die Profilbildung wie bisher fortführe und sich einzig Auswirkungen auf die Handhabung der Daten durch die Werbewirtschaft habe.

Damit bleibt abzuwarten, ob und wie der Standardisierungsprozess fortschreitet.

Kategorien: Tracking
Schlagwörter: , ,

Amazons 1Button App übermittelt gesamtes Surfverhalten der Nutzer

15. Juli 2013

Amazons 1Button App, welche es als Erweiterung für Firefox und Chrome gibt, bietet direkten Zugriff auf die Amazon-Suche und zeigt Angebote und Topseller übersichtlich an.

Doch das ist nicht alles, was das Programm kann! Wie wahrscheinlich kaum ein Nutzer weiß, übermittelt die Erweiterung sämtliche aufgerufenen Websites nicht nur an Amazon selber, sondern teilweise auch an den Webstatistik Dienst Alexa, welcher zum Amazon Konzern gehört. Wie der der polnische Sicherheitsfachmann Krzysztof Kotowicz herausgefunden hat, werden dabei sogar die URLs von verschlüsselten HTTPS-Verbindungen an die Amazon-Server übertragen.

In den Datenschutzbestimmungen zur App findet sich zu diesem Verhalten folgender Passus: “The Amazon Browser Apps may also collect information about the websites you view, but that information is not associated with your Amazon account or identified with you.Dem Wortlaut nach ist also nur von Sammeln, nicht aber von Übermitteln die Rede. Auch die Angabe, dass die übermittelten Daten nicht mit dem Amazon-Account verbunden werden oder zur Identifizierung genutzt werden, scheint fragwürdig, weil Amazon bei der Übermittlung das gleiche Cookie verwendet, wie auch zur Identifikation der Nutzer im Onlineshop.

Doch damit nicht genug: Amazon überträgt von bestimmten Seiten sogar die Inhalte an die eigenen Server. So werden beispielsweise die über eine verschlüsselte HTTPS-Verbindung aufgerufenen Ergebnisse einer Google-Suche an Alexa übertragen. In Bezug auf diese Übermittlung an Alexa finden sich folgende Angaben in den Datenschutzbedingungen: “In some cases, that information may be personally identifiable, but Alexa does not attempt to analyze web usage data to determine the identity of any user.” Damit gibt Amazon recht unverhohlen zu, dass durch die Übermittlung einzelne Nutzer identifizierbar sind. Die übermittelten Daten enthalten dabei nicht nur identifizierende Merkmale, sondern auch sämtliche URL-Parameter wie Session-IDs, die zumindest theoretisch dazu genutzt werden können, die Identität des Nutzers gegenüber den besuchten Webdiensten zu übernehmen.

Der ”Prism”-Überwachung entgehen

11. Juni 2013

Medienberichten zufolge, spioniert der US-Geheimdienst NSA Internet-Firmen wie Google, Facebook, Microsoft, Apple, Yahoo und Co. im Rahmen eines Programms mit dem Namen „PRISM“ aus. Dabei gehe es um eine Fülle an Informationen wie etwa E-Mails, Fotos, Videos, Chats und andere gespeicherte Daten. Hierdurch könnten Aktivitäten von Personen über längere Zeiträume hinweg verfolgt werden.
Um einer “Totalüberwachung”, wie der Bundesdatenschutzbeauftragte Peter Schaar sie nannte, zu entgehen, sollten Internetnutzer alternative Dienste nutzen, die – nach aktuellem Wissensstand – nicht überwacht werden. Berichten zufolge sei das Angebot bei den E-Mail-Diensten groß, da deutsche Unternehmen wie die Telekom, web.de oder GMX, dem strengen deutschen Datenschutzrecht unterlägen. Zur Auswahl stünden zudem Twitter für den Bereich der sozialen Netzwerke, ixquick.com (bzw. www.startpage.com) als Suchmaschinen,  openstreetmap.de als Kartendienst, zum Speichern und Teilen seien das Angebot der Telekom oder jenes von wuala.com zu beachten.

Firefox wird in Zukunft Tracking-Cookies ablehnen

25. Februar 2013

Wie Jonathan Mayer, einer der Entwickler des populären Firefox Browsers, in einem Blogeintrag mitteilte, wird Firefox ab Version 22 in der Standardeinstellung nur noch sogenannte First-Party Cookies akzeptieren. Dabei handelt es sich um Cookies, welche von der explizit aufgerufenen Website gesetzt werden. Im Gegensatz dazu spricht man von Third-Party Cookies, wenn ein externer Dienstleister beim Aufruf einer anderen Website Cookies beim Nutzer hinterlegt. Solche Third-Party Cookies sollen in Zukunft nicht mehr durch den Firefox akzeptiert werden.

Für die Werbebranche stellt ein solches Vorgehen eine durchaus relevante Einschränkung dar, da einige der gängigen Trackingverfahren unter diesen Umständen nicht mehr funktionieren. Mike Zanei, seines Zeichens Leiter der Rechtsabteilung bei dem Internet Advertising Bureau (einer Lobbyvereinigung der Werbewirtschaft), bezeichnete das Vorhaben der Firefox Entwickler daher auch recht drastisch als “ersten Nuklearschlag gegen die Werbewirtschaft”.

Mayer weist hingegen in dem angesprochen Blogbeitrag darauf hin, dass die neue Firefox Haltung nichts weiter sei, als eine “entspannte Version” dessen, was Apples Safari bereits seit mehr als einer Dekade so umsetze. Für die Zukunft kann Mayer sich jedoch vorstellen, den strikten Umgang mit Cookies auf andere Speichertechniken, wie HTML5 Web Storage, auszuweiten.

Zwischen den Zeilen lässt sich herauslesen, dass die Verwässerung und Missachtung des von Mozilla initiierten Do Not Track Ansatzes Anlass für den strengeren Umgang mit Cookies sein könnte. So zieht Mayer Ausnahmen von der generellen Ablehnung von Third-Party Cookies für solche Seiten in Betracht, die den Do Not Track Ansatz honorieren.

Google: Ankündigung von Sanktionen

19. Februar 2013

Medienberichten zufolge sollen die EU-Behörden ihre Ermittlungen betreffend die aktuelle Datenschutzrichtlinie von Google fortsetzen wollen.
Diese gilt seit März 2012 und ersetzt die rund 60 Einzelregelungen. Hauptsächlich sei kritisiert worden, dass Google persönliche Daten über seine Nutzer sammele, kombiniere und speichere. Google behalte sich ausdrücklich vor, persönliche Informationen über seine Dienste hinweg zusammenzuführen.

Die französische Datenschutzaufsicht Commission Nationale de l’Informatique (CNIL) soll noch vor dem Sommer repressive Maßnahmen gegen Google angekündigt haben. Grund hierfür sei, dass Google eine vor vier Monaten gesetzte Frist zur Reaktion auf die Kritik der EU-Datenschützer verstreichen lassen haben soll. Im Oktober 2012 seien von den nationalen Regulierungsbehörden der EU “Empfehlungen” zu Googles neuer Datenschutzrichtlinie verabschiedet worden, auf welche der Konzern ebenfalls nicht reagiert habe.

Google selbst bestreitet einen Verstoß seiner Datenschutzrichtlinie gegen EU-Recht sowie den Vorwurf der mangelnden Zusammenarbeit mit der CNIL.

 

Stauverhalten im Kölner Rosenmontagszug: Tracking durch GPS-Messgeräte

12. Februar 2013

Medienberichten zufolge soll der 56-jährige Wissenschaftler der Uni Duisburg-Essen Prof. Dr. Michael Schreckenberg dieses Jahr folgendes Phänomen erforschen: Warum sind die Gruppen am Anfang des Kölner Rosenmontagszugs nach 3,5 Stunden, die am Ende nach nur 2,5 Stunden, also einer Stunde weniger, am Ziel? Daher soll der Rhythmus des “Zochs” unter die Lupe genommen werden, unter anderem durch Einsatz von 20 GPS-Messgeräte bei Fußgruppen, Reitern und Festwagen, um so die Bewegungen tracken zu können. Nach ein, zwei Wochen sollen die GPS-Daten ausgewertet worden sein, um Bewegungsmodelle erstellen zu können.

Kategorien: Allgemein · Tracking
Schlagwörter: ,

FTC veröffentlicht Forderungen zum Datenschutz bei mobilen Systemen

4. Februar 2013

Unter dem Titel “Mobile Privacy Disclosures – Building Trust Through Transparency” hat die US-Handelsaufsicht FTC eine Broschüre veröffentlicht, in welcher sie zentrale Forderungen zum Umgang mit Nutzerdaten im mobilen Umfeld formuliert.

An die Betriebssystem Hersteller (z.B. Blackberry mit Blackberry 10, Google mit Android, Apple mit iOS etc.) richten sich folgende Forderungen:

  • Nutzer sollten explizit benachrichtigt und um Zustimmung gefragt werden, bevor auf sensible  Daten wie Standortinformationen zugegriffen wird.
  • Fotos, Kontaktdaten, Kalenderdaten und die Aufzeichnungsfunktionen der Geräte hält die FTC für etwas weniger schützenswert: In diesem Kontext sollten Betriebssystemhersteller nur überlegen, die soeben genannten Benachrichtigungen und Abfragen einzuführen.
  • Es sollte eine einheitliche Übersicht geschaffen werden, die es den Nutzern ermöglicht, schnell zu überblicken, auf welche Inhalte Apps zugreifen können.
  • Die Schaffung eines einheitlichen Symbols, welches auf die Übertragung persönlicher Daten hinzuweist, sei anzudenken.
  • Die Betriebssystem-Hersteller sollten Best-Practise Ansätze fördern und gegenüber den Nutzern öffentlich machen, welche Prüfkriterien die Apps vor der Aufnahme in die jeweiligen Stores durchlaufen.
  • Der Do Not Track Ansatz sollte auf Betriebssystemebene verankert werden [Anmerkung: Bisher bieten ausschließlich vereinzelte Browser wie der Firefox für Android diese Funktion]

Mit einem zweiten Forderungskatalog wendet sich die FTC an Hersteller von Apps:

  • Diese sollten eine einfach abrufbare Datenschutzrichtlinie bereitstellen, welche im besten Fall über die Stores der Betriebssystem-Hersteller abrufbar sein sollte.
  • Solange keine explizite Benachrichtigungs- und Zustimmungsroutinen durch das Betriebssystem bereitstehen, solle dies durch die Hersteller für die jeweiligen Apps gewährleistet werden.
  • Es sei zu überlegen, Selbstregulierungsgremien, Industrieorganisationen etc. beizutreten, die Unterstützung bei der Entwicklung einheitlicher, kurzer Datenschutzerklärungen böten.
  • Die Kommunikation mit Werbenetzwerken sollte verbessert werden, damit die App-Hersteller die Third-Party-Tools, die sie in ihre Apps einbauen, besser verstehen und die Nutzer entsprechend informieren könnten.

Auch an die Werbeindustrie richtet sich die FTC und fordert, spiegelbildlich zum letztgenannten Punkt, die Kommunikation mit den App-Herstellern zu verbessern. Weiterhin sollte auch die Werbebranche dazu beitragen, die effektive Durchsetzung von Do-Not-Track auf mobilen Geräten zu ermöglichen.

Letzten Endes adressiert die FTC auch Zusammenschlüsse von App-Herstellern, die Lehre, Datenschutzexperten und Usability-Experten mit folgenden Anregungen:

  • Es sollten kurze Datenschutzerklärungen entwickelt werden.
  • Es müssten standardisierte Wege vorangetrieben werden, die es Nutzern ermöglichten, über App Grenzen hinweg den Umgang mit Daten zu vergleichen.
  • App-Hersteller müssten für Datenschutzbelange sensibilisiert werden.

Ausgangspunkt sämtlicher vorgenannten Punkte sind drei Grundforderungen:

  1. Privacy by Design: Unternehmen sollten in jedem Entwicklungsstadium den Datenschutzbelange berücksichtigen.
  2. Eine einfache Wahl für Nutzer: Zum relevanten Zeitpunkt und im relevanten Kontext sollten die Nutzer um eine Einwilligung gebeten werden.
  3. Größere Transparenz:  Die Unternehmen sollten Details über die Erhebung und Verwendung von Nutzerdaten offenlegen.

Insgesamt lässt sich festhalten, dass die gesammelten Vorschläge allesamt gut und vernünftig klingen; einzig krankt es daran, dass es sich nur um nichtverbindliche Ausführungen handelt, zu deren Umsetzung keine der angesprochenen Gruppen verpflichtet ist. Nichtsdestotrotz ist zu hoffen, dass einige der Vorschläge in Zukunft umgesetzt werden. Teilweise wird dies bereits heute schon getan: Android informiert vor Installation einer App über die von der App angeforderten Berechtigungen, wohingegen iOS beim Zugriff auf bestimmte Daten (Kontakte, Ortsinformationen etc.) eine explizite Einwilligung verlangt. Beide Systeme bieten heute schon die Möglichkeit, zumindest das herstellereigene Werbetracking zu deaktivieren. [Android: Einstellungen > Konten > Google > Anzeigen – iOS: Einstellungen > Allgemein > Info > Werbung oder oo.apple.com per Browser aufrufen)

 

1 9 10 11 12