Kreditkartendaten israelischer Internetnutzer veröffentlicht

4. Januar 2012

Medienberichten zufolge wurden die Kreditkartendaten einiger tausend israelischer Internetznutzer veröffentlicht. Für die Veröffentlichung verantwortlich zeichnet sich, nach eigener Aussage, der Hacker 0xOmar von der group-xp, einer saudi-arabischen Splittergruppe von Anonymous.

Die Veröffentlichung betrifft wohl bis zu 400.000 Datensätze von denen nach Angaben von Kreditkartenunternehmen jedoch nur rund 14.000 tatsächlich gültig sind. Die Kreditkartenunternehmen gaben weiterhin an, die betroffenen Karten zu sperren und in Folge des Datenlecks entstandene Schäden automatisch zu ersetzen. Quelle eines Großteils der Daten soll die israelische Sportwebsite One.co.il sein. (se)

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Unbefugter Zugriff auf die Datenbank des Onlinerollenspiels Rift

Nachdem bereits zuvor einige Größen der Videospielbranche Angriffe eingestehen mussten, hat nun auch der Betreiber des Onlinerollenspiels Rift, Trion Worlds Inc., bekannt gegeben, dass sich Unbekannte Zugriff auf die Nutzerdatenbank verschafft haben. Folgende Daten sind laut Trion Worlds in der Datenbank gespeichert:

  • Benutzername
  • Verschlüsseltes Passwort
  • Geburtsdatum
  • E-Mail-Adresse
  • Rechnungsanschrift
  • Die ersten und letzten vier Ziffern der verwendeten Kreditkarten und deren Ablaufdatum.

Es gäbe jedoch keinen Grund zur Annahme, dass auf die vollständigen Kreditkartendaten zugegriffen wurde.

Trio Worlds weist darauf hin, dass die betroffenen Nutzer beim nächsten Login ihr Passwort ändern müssen. Ferner werden die Nutzer darauf aufmerksam gemacht, dass die Accountsicherheit durch weitere Maßnahmen, wie eine Smartphone App, die nur kurze Zeit gültige Passwörter generiert, gesteigert werden könne.

Als Entschädigung für die Unannehmlichkeiten werden den Nutzern 3 Tage Spielzeit für Rift gutgeschrieben. (se)

Kategorien: Online-Datenschutz
Schlagwörter: ,

Deutsche vertrauen Krankenkassen und Banken in Bezug auf Datenschutz – Sozialen Netzwerken schlägt Misstrauen entgegen

Nach einer repräsentativen Forsa Umfrage unter mehr als 1.000 Personen ab 14 Jahren vertrauen die Deutschen den Krankenkassen und Banken, wenn es um den Umgang mit ihren personenbezogenen Daten geht. Bei der Umfrage, die für den BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.) durchgeführt wurde, gaben 77 % der Befragten an, Krankenkassen sehr starkes/starkes Vertrauen entgegenzubringen. Fast ebenso gut schnitten Banken mit 75 % und Ärzte bzw. Krankenhäuser mit 74 % ab.

Versicherungen (60 %), Staat und Behörden (59 %) und Energieversorger (50 %) liegen im Mittelfeld der abgefragten Branchen. Ihren Telekommunikationsanbietern bringen die Deutschen noch zu 48 % sehr starkes/starkes Vertrauen entgegen; 39 % der Befragten gaben dahingehend an, nur wenig ausgeprägtes Vertrauen in gut gelebten Datenschutz zu haben.

Deutlich abgeschlagen auf dem letzten Platz befinden sich sozialen Netzwerke. Während nur 4 % sehr starkes/starkes Vertrauen in den Datenschutz dort haben, brachten 46 % der Umfrageteilnehmer sozialen Netzwerken überhaupt kein Vertrauen im Hinblick auf Datenschutz entgegen. Es scheint, als hätten die Datenpannen von Facebook & Co. auch das Bewusstsein der durchschnittlichen Anwender erreicht. (se)

Kategorien: Allgemein
Schlagwörter: , ,

Bundesverband AOK: Mehr als 2,5 Millionen ausgegebene elektronische Gesundheitskarten

2. Januar 2012

Der Bundesverband der Allgemeinen Ortskrankenkassen (Bundesverband AOK) hat mitgeteilt, dass in den vergangenen vier Monaten an mehr als 2,5 Millionen AOK-Versicherte die elektronische Gesundheitskarte (eGK) ausgegeben wurde. Somit hätten alle zwölf AOKs die mit dem GKV-Finanzierungsgesetz festgelegte Ausstattungsquote erfüllt. Insgesamt verfüge bereits jeder zehnte AOK-Versicherte über die neue Chipkarte. Es werde damit gerechnet, dass bis zum Jahresende 2012 die Ausstattungsquote bereits bei 70 Prozent liegen wird. (sa)

Kategorien: Allgemein
Schlagwörter: ,

BSI: Erste ISO-27001-Zertifikatsvergabe an De-Mail-Anbieter

21. Dezember 2011

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bekannt gegeben, der Mentana-Claimsoft AG als erstem Dienstleistungsunternehmen, das einen De-Mail-Dienst anbieten möchte, das ISO-27001-Zertifikat auf der Basis von dem IT-Grundschutz sowie der Technischen Richtlinie TR 01201 De-Mail vergeben zu haben. Im Rahmen des Zertifizierungsprozesses seien die unternehmens- internen Abläufe und alle Applikationen, Dienste und Systeme im Rechenzentrum, die für Administration und Support des De-Mail-Diensts von Nöten sind, untersucht worden. Das Zertifikat bestätige, dass der Informationsverbund der Mentana-Claimsoft AG durch die Anwendung des IT-Grundschutzes abgesichert wird. Zudem verdeutliche es, dass die technischen und organisatorischen Anforderungen der IT-Grundschutz-Methodik erfolgreich umgesetzt wurden. Damit sei der Nachweis erbracht, dass durch das Unternehmen die für die Erbringung eines De-Mail-Dienstes erforderlichen Sicherheitsvorschriften eingehalten werden. Die Mentana-Claimsoft AG habe nun die Möglichkeit, in einem zweiten Schritt bei dem BSI das für die Akkreditierung als De-Mail-Diensteanbieter notwendige Testat im Bereich „Sicherheit“ nach dem De-Mail-Gesetz zu beantragen. (sa)

BMI: „Bundes-Cloud“

20. Dezember 2011

Medienberichten zufolge plant Bundesinnenminister Hans-Peter Friedrich den Aufbau eines besonders sicheren nationalen Cloud-Dienstes („Bundes-Cloud“). Dieser soll strengen Sicherheitsvorschriften unterliegen und zum Speichern vertraulicher Dokumente geeignet sein, also u.a. den potentiellen Zugriff von US-Behörden auf vorgehaltene Daten unterbinden. Anvisiert sei, dass für Regierung, Behörden und Unternehmen das Cloud-Computing insgesamt attraktiver wird. Für die technische Ausgestaltung soll dafür mit der Telekom-Tochter T-Systems und dem Bundesamt für Sicherheit in der Informationstechnik kooperiert werden. (sa)

Kategorien: Allgemein
Schlagwörter: , , ,

BMI: Versand von „Stillen SMS“

19. Dezember 2011
Nachdem jüngst die Landesregierung Nordrhein-Westfalen Auskunft über die Anzahl von versandten „stillen SMS“ – also über Mobilfunknetze versandte Ortungsimpulse zur Aufenthaltsbestimmung von Verdächtigen –  gegeben hat, legte nun auch das Bundesministerium des Inneren offizielle Zahlen vor. Danach hat das Bundeskriminalamt bis zum 04.November dieses Jahres 53.337, das Bundesamt für Verfassungsschutz bis zum 31. Oktober dieses Jahres 2011 37.862 und der Zoll bis zum 30. Juni dieses Jahres 227.587 stille SMS an Mobiltelefone Verdächtiger verschickt. Die Bundespolizei und der Militärische Abschirmdienst haben laut Innenressort keine dahingehenden Statistiken geführt bzw. diese bereits gelöscht. Jedenfalls beim Zoll hat sich den veröffentlichten Zahlen zufolge die Nutzung dieser Ermittlungsmethode erheblich ausgebreitet, es wurden im ersten Halbjahr 2011 fast so viele stille SMS zu Ortungszwecken versendet wie insgesamt im Jahr 2010. (sa)
Kategorien: Allgemein
Schlagwörter: ,

Düsseldorfer Kreis äußert sich zum Datenschutz in sozialen Netzwerken

14. Dezember 2011

Der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) hat am 08.12.2011 einen Beschluss zum Datenschutz in sozialen Netzwerken gefasst. Folgende Kernpunkte wurden dabei herausgearbeitet:

  • Das Telemediengesetz erfordert zumindest die pseudonyme Nutzungsmöglichkeit von sozialen Netzwerken. Nutzungsdaten dürfen nicht zur personenbeziehbaren Profilbildung verwendet werden, solange keine Einwilligung vorliegt. Nach der Beendigung der Mitgliedschaft sind jegliche Daten zu löschen.
  • Informationen darüber, welche Daten erhoben werden, und für welche Zwecke diese verarbeitet werden, müssen leicht zugänglich und verständlich sein.
  • Sämtliche Voreinstellungen müssen auf dem Einwilligungsprinzip beruhen, wenn nicht die Mitgliedschaft zwingend die Angabe solcher Daten voraussetzt. Insbesondere ist es nicht rechtmäßig zunächst mit der Datenverarbeitung zu beginnen und nur eine Widerspruchsmöglichkeit vorzusehen.
  • Ohne ausdrückliche und bestätigte Einwilligung des Abgebildeten ist es unzulässig, anhand von Fotos biometrische Gesichtserkennungsmerkmale zu erheben, zu speichern oder zu verwenden.
  • Die Betreiber der Netzwerke haben die sensiblen Daten durch geeignete technisch-organisatorische Maßnahmen zu schützen und einen Nachweis über diese Maßnahmen zu erbringen.
  • Um die besonders sensiblen Daten von Minderjährigen angemesen zu schützen sind datenschutzfreundliche Standardeinstellungen zu wählen. Weiterhin sind die Informationen über die Datenverarbeitung so zu formulieren, dass diese auch für Minderjährige verständlich sind.
  • Betroffenen muss eine einfache Möglichkeit gegeben werden, ihre Auskunfts-, Berichtigungs-, und Löschungsansprüche geltend zu machen. Dafür müssen zumindest die Kontaktdaten leicht auffindbar sein, damit Betroffene einen Ansprechpartner finden.
  • Es ist unzulässig Social-Plugins (z.B. den Like-Button von Facebook) auf Websites einzubinden, wenn dadurch eine Datenübertragung an den Anbieter des sozialen Netzwerkes erfolgt und die Nutzer nicht bereits vorher bezüglich der Datenübertragung informiert wurden und ihnen eine Möglichkeit zur Unterbindung der Datenübertragung eingeräumt wurde. Nur wenn die Nutzer verlässliche Informationen über die übermittelten Daten und deren Zweck erhalten, können sie rechtswirksam ihre Einwilligung erklären. In der Regel werden Anbieter deutscher Websites nicht über die nötigen Kenntnisse bezüglich der Datenverarbeitungsvorgänge verfügen, um  die Nutzer entsprechend zu informieren. Daher begehen die Anbieter der Websites selbst Rechtsverstöße, wenn sie Social-Plugins einbinden, die sie in Bezug auf die Datenverarbeitung nicht überblicken können.
  • Auch Betreiber, die außerhalb des Europäischen Wirtschaftsraumes (EWR) ansässig sind, müssen sich deutschem Datenschutzrecht unterwerfen, wenn sie ihre Datenerhebung durch einen Rückgriff auf Rechner von Nutzern in Deutschland verwirklichen (§ 1 Abs. 5 Satz 2 BDSG). Daher sei auch ein Inlandsvertreter als Ansprechperson für die Datenaufsicht zu bestellen (§ 1 Abs. 5 Satz 3 BDSG). Eine Anwendung des BDSG kann nich dadurch umgangen werden, dass eine rechtlich selbständige Niederlassung in einem anderen Staat des EWR gegründet wird. (Damit stellt sich der Düsseldorfer Kreis gegen Facebook, die bisher auf dem Standpunkt beharren, dass nur der irische Datenschutz auf Facebook Anwendung fände – Anmerkung der Redaktion)

(se)

Fluggastdatenabkommen EU-USA meistern weitere Hürde – Datenschützer protestieren weiterhin

Nachdem wir bereits vor Kurzem über den Streit bezüglich des „Drückens“ und „Ziehens“ beim geplanten Fluggastdatenabkammen (PNR-Abkommen) zwischen der EU und den USA berichtet haben, hat das umstrittene Abkommen eine weitere Hürde genommen: So haben die Innen- und Justizminister der jeweiligen Nationalstaaten im Rat der Europäischen Union am gestrigen Dienstag grünes Licht für das umstrittene Abkommen gegeben. Österreich, Deutschland und Frankreich haben sich dabei ihrer Stimme enthalten.

Auch wenn die Verabschiedung des Abkommens damit wieder einen Schritt näher gerückt ist, verstummt die Kritik der Datenschützer nicht. Ebenfalls am gestrigen Dienstag äußerte sich der europäische Datenschutzbeauftragte, Peter Hustinx, kritisch gegenüber dem Regelwerk. Die von ihm vorgetragenen Bedenken decken sich dabei im Wesentlichen mit den bereits zuvor geäußerten Einwänden:

  • Die 15-jährige Aufbewahrungsfrist sei übertrieben: Daten sollten sofort nach deren Analyse oder nach maximal 6 Monaten gelöscht werden.
  • Auch die Zweckbindung sei zu weit gefasst. Fluggastdatensätze sollten nur verwendet werden, um Terrorismus oder eine gut definierte Liste von schweren grenzüberschreitenden Verbrechen zu bekämpfen.
  • Die Liste der Daten, die übermittelt werden sollen, sei unverhältnismäßig und sollte daher begrenzt werden.
  • Es dürfe keine Ausnahmen zur „Push“-Methode geben.
  • Es müsste für jeden Bürger ein Recht auf effektiven gerichtlichen Rechtsschutz vereinbart werden.
  • Die Daten sollten nach Ansicht Hustinx‘ nur an andere US-Behörden oder an Drittländer übermittelt werden dürfen, wenn diese ein gleichwertiges Schutzniveau gewährleisten könnten.

(se)

Facebook Datenpanne ermöglichte Zugriff auf Zuckerbergs private Bilder

Facebook, welches ja bereits als Liebling aller Datenschützer hinlänglich bekannt ist, konnte mal wieder mit einer kleinen Datenpanne aufwarten. Wenn man das Foto eines Nutzers als anstößig melden wollte, bot Facebook an, weitere Bilder des Nutzer als anstößig zu markieren. In einigen Fällen erhielt man dadurch die Möglichkeit auch auf solche Fotos zuzugreifen, die eigentlich als privat markiert waren.

In diesem Fall wurde bedauerlicherweise auch Facebook Gründer Mark Zuckerberg Opfer der Softwarepanne. Ein Blogger veröffentlichte daraufhin 14 private Photos von Zuckerberg. Mittlerweile ist die Lücke, die auf einen Softwarefehler zurückzuführen ist, gestopft und das Problem sollte nicht mehr länger auftreten. (se)

Kategorien: Allgemein
1 167 168 169 170 171 187