Sicherheitsbericht von Microsoft: 45 Prozent der Nutzer infizieren ihre Rechner selbst

17. Oktober 2011

Microsoft hat seinen für die erste Hälfte des Jahres 2011 erstellten Sicherheits- bericht veröffentlicht. Nach diesem erfolgt die Infektion mit Schadsoftware in 45 Prozent der Fälle durch die Windows-Nutzer selbst, indem Schadsoftware eigenhändig gestartet wird. Rund 25 Prozent aller Angriffe sollen dabei durch USB-Speichermedien und deren Autorun-Funktion ausgelöst werden. Verseuchte Netzwerkfreigaben seien in insgesamt 17,2 Prozent der Fälle kausal für Angriffe, Sicherheitslücken in nur 5,6 Prozent der Fälle.

Die Anzahl infizierter Rechner ist nach Angaben von Microsoft zurückgegangen: im dritten Quartal 2010 sollen in Deutschland durchschnittlich 5,3 von 1000 untersuchten Rechnern mit Schadsoftware infiziert gewesen sein, im zweiten Quartal 2011 lediglich 3,2 von 1000 Rechnern. Damit läge Deutschland deutlich unter dem internationalen Durchschnitt von 9,8 von 1000 infizierten Rechnern. (sa)

Kategorien: Allgemein
Schlagwörter:

Studie: IT-Sicherheitsdienstleistungen aus einer Cloud

14. Oktober 2011

Laut einer aktuellen Online-Umfrage der Universität Regensburg und des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) bezieht jedes sechste Unternehmen Sicherheitsservices – beispielsweise zur Virenbekämpfung oder Benutzerauthentifizierung – aus einer Cloud („Security-as-a-Service“). Mittelfristig soll dies jedes vierte Unternehmen tun. Die Umfrage ergab des Weiteren, dass  Finanz- und IT-Dienstleister Vorreiter bei dem Einsatz von Security-as-a-Service sind. Fast jedes dritte Unternehmen aus diesen Branchen nutzt solche Sicherheitsservices. Nur jedes fünfte befragte Unternehmen schließt den Bezug von Sicherheitsdienstleistungen aus einer Cloud wegen befürchteter Abhängigkeit von einem Dienstleister langfristig aus.

Die verhältnismäßig hohe Akzeptanz von Security-as-a-Service ist nach Angaben des BITKOM besonders bemerkenswert, da deutsche Unternehmen im internationalen Bereich eher zurückhaltend von Cloud Computing Gebrauch machen. (sa)



Luftbilder für gesplittete Abwassergebühr datenschutzrechtlich umstritten

13. Oktober 2011

Der baden-württembergische Beauftrage für Datenschutz, Jörg Klingbeil, äußerte sich laut einem Bericht der Stuttgarter Zeitung Ende August kritisch zur geplanten Erhebung von Daten über Luftbildaufnahmen. Auf deren Basis soll die gesplittete Abwassergebühr eingeführt werden. Aus seiner Sicht fehle es derzeit noch an einer Rechtsgrundlage, die Erhebung durch Erwerb der Luftbildaufnahmen sei datenschutzrechtlich unzulässig.

Die gesplittete Abwassergebühr fördert die Gebührengerechtigkeit und geht auf eine umfangreiche Rechtsprechung zurück, in der die Berechnung nach dem „einheitlichen Frischwassermaßstab“ für unzulässig erklärt wurde. Niederschlags- und Abwassergebühr sollen künftig voneinander getrennt berechnet werden.

Um versiegelte Flächen zu vermessen, griffen fast 90 Prozent der Kommunen in Baden-Württemberg auf Luftbilder des Landesamtes für Geoinformationen und Landesentwicklungen oder von privaten Firmen zurück. Der Datenschutzbeauftrage gab zu bedenken, dass die Luftbildaufnahmen gestochen scharf seien und eine Bodenauflösung von zehn oder sogar nur fünf Zentimetern haben. Diese Bilder stellten „personenbezogene oder zumindest personenbeziehbare Daten“ dar. Das Landesdatenschutzgesetz oder eine andere Norm müsse die Verarbeitung erlauben oder der Betroffene eingewilligt haben – sonst sei sie unzulässig.

Betroffene Bürger planen bereits, vor das Verwaltungsgericht zu ziehen. Der Verweis eines Gemeindevorstehers auf Google Earth konnte die Gemüter nicht beruhigen, sei es doch ein Unterschied, ob ein privater Dienst Bilder anbiete oder eine Kommune damit hoheitliche Aufgaben erledige. Die Forderung war deutlich: Kommunen sollten in das informelle Selbstbestimmungsrecht nicht ohne Rechtsgrundlage eingreifen dürfen. (ssc)

Forderung nach Gesetz für Quellen-Telekommunikationsüberwachung

Die Überwachung und Aufzeichnung verschlüsselter Internetkommunikations-vorgänge (z.B. Internettelefonie, E-Mail-Verkehr) durch Strafverfolgungsbehörden erfordert regelmäßig das Anbringen einer Software auf dem Endgerät des Betroffenen, die die Daten aus dem laufenden Kommunikationsvorgang vor ihrer Verschlüsselung erfasst und an die Behörde weiterleitet (sog. Quellen-Telekommunikationsüberwachung). Wegen des damit verbundenen unbemerkten Eindringens in Computer der Bürger und dem Eingreifen des Fernmelde-geheimnisses sowie des „Computer-Grundrechts“ begrüßte der Landesbeauftragte für den Datenschutz Rheinland-Pfalz (RLP) erneut explizit das derzeit bestehende Moratorium, wonach Sicherheitsbehörden bis auf weiteres auf den Einsatz von Abhörsoftware zur Quellen-Telekommunikationsüberwachung verzichten. Selbstverständlich bestehe zwar die Notwendigkeit auch die über das Internet geführte Telekommunikation zur Strafverfolgung abzuhören, erforderlich sei allerdings ein Gesetz, dass gewisse Mindestvoraussetzungen verbindlich regelt. Dieses solle u.a. den Einsatz von Quellen-Telekommunikationsüberwachung auf Fälle schwerster Kriminalität begrenzen und technisch-organisatorische Vorkehrungen vorschreiben, damit sich die Datenerhebung auf Kommunikations-daten beschränkt und eine revisionssichere Nachvollziehbarkeit der Datenverarbeitungsvorgänge besteht. Daneben sei ein wirksames Verfahren zur Sicherung des Kernbereichs der privaten Lebensgestaltung vorzusehen und ein besonderer Fokus auf den technischen Datenschutz zu legen, damit ein Missbrauch der sicherheitsbehördlichen Instrumente durch Dritte ausgeschlossen werden kann.

Derzeit fehle ein solches Gesetz für den Bereich der Strafverfolgung. § 100a Strafprozessordnung (StPO) und § 100b StPO reichen nach Ansicht des Landesbeauftragten für den Datenschutz RLP dafür – selbst mit richterlicher Anordnung – nicht aus. Im Übrigen seien die Regelungen des BKA-Gesetzes zur Quellen-Telekommunikationsüberwachung unter diesen Aspekten kritisch zu prüfen. Die Datenschutzbeauftragten des Bundes und der Länder haben bereits im März 2011 die Entschließung „Ohne gesetzliche Grundlage keine Telekommunikationsüberwachung auf Endgeräten“ verabschiedet, in der entsprechende Forderungen erhoben werden. Diese seien bislang allerdings unberücksichtigt geblieben. (sa)

2-Klick-Lösung für besseren Datenschutz bei Social-Plugins

11. Oktober 2011

Der Heise-Verlag stellt seit einiger Zeit allen interessierten Webmastern ein Skript zur Verfügung, welches dafür sorgt, dass die Social-Plugins von Facebook, Twitter und Google+ keine Daten übermitteln, bevor die Nutzer die Funktionalität der Schaltflächen nicht freischalten.

Ein solches Vorgehen ist notwendig, da insbesondere Facebooks Like-Button völlig ohne Zutun der Nutzer Daten an Facebook sendet. Dafür reicht bereits der Aufruf der Seite, auf der der Like-Button eingebunden ist; einer aktiven Nutzung des Buttons bedarf es nicht.

Bei der 2-Klick-Lösung laufen, im Gegensatz zu den normal eingebunden Social-Plugins, die Skripte der Social-Media-Anbieter nicht schon beim Laden der Seite im Hintergrund. Der Nutzer muss die Schaltflachen erst über einen Klick „scharf schalten“. Dies aktiviert die Skripte und die Funktionalität der Schaltflächen. Bereits wenn man den Mauszeiger über den deaktivierten Button bewegt (Mouseover), erhält der Nutzer ein Infofenster, das darauf hinweist, dass schon das reine Aktivieren der Schaltflächen zu einer Datenübermittlung an Dritte führt. Weiterhin wird in der kurzen Mitteilung auf eine „i“ Schaltfläche verwiesen, die ihrerseits beim Mouseover erläutert, dass beim Aktivieren der Buttons Daten in die USA übertragen und dort auch möglicherweise gespeichert werden. Ein Klick auf „i“ leitet auf die Projektseite weiter. Dort finden sich weitere Angaben zu den technischen Hintergründen und der Notwendigkeit des gewählten Verfahrens.

Heise verweist selber darauf, dass ein solches Verfahren bereits zuvor bei SWR3 und RP-Online eingesetzt wurde. Nichtsdestotrotz hat die Freigabe des Quellcodes durch Heise, sowie der große mediale Aufwand seitens des Verlags, eine gewisse Katalysatorwirkung für deutsche Onlinemedien gehabt. Heise selbst spricht von über 500 Anfragen allein in der ersten Woche. Auch große deutsche Portale wie zeit.de und computerbase.de sind mittlerweile dazu übergegangen, Social-Plugins standardmäßig zu deaktivieren.

Facebook selbst zeigte sich von dieser Lösung wenig begeistert und beschwerte sich sowohl bei Heise als auch bei SWR3 über einen Verstoß gegen die Platform Policies, da die Betreiber eine Facebook Funktion nachahmten. Dies wurde damit begründet, dass eine Schaltfläche, die wie ein Like-Button aussehe, auch die Funktionalität des Like-Buttons haben müsse. Um einer Sperrung der betroffenen Domains bei Facebook zu verhindern, haben die Verwantwortlichen das Design der deaktivierten Facebook-Buttons mittlerweile so angepasst, dass diese nicht mehr dem Like-Button von Facebook ähneln.

Während die 2-Klick-Lösung für den durchschnittlichen Internetnutzer ausschließlich positiv ist, da eine Datenübermittlung zu den Social-Media-Anbietern ohne sein Zutun nicht mehr stattfindet, reicht einigen Datenschützern diese Initiative nicht aus. Thilo Weichert vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) sieht darin zwar einen Schritt in die richtige Richtung, die aber nicht ausreiche. Nach seiner Einschätzung ist die Information beim Aktivieren des Button nicht ausreichend, da eine wirksame Einwilligung voraussetze, dass die Nutzer wüssten, worein sie einwilligten. Facebook lege aber bisher nicht dar, was mit den Nutzerdaten geschehe. Folgt man dieser Argumentation, ist eine datenschutzkonforme Nutzung von Facebook, und den entsprechenden Plugins, überhaupt nicht möglich, weil es immer an der erforderlichen informierten Einwilligung fehlt.

Unbeachtet dieser Kritik steht es völlig außer Frage, dass eine Einbindung der Social-Plugins im Wege der 2-Klick-Lösung deutlich datenschutzfreundlicher ist, als die Plugins ohne jegliche Restriktionen einzubauen. Wer also (überhaupt) plant Social-Media-Plugins zu verwenden, sollte im Interesse der Besucher seiner Website eine solche Lösung implementieren. (se)

 

Können deutsche Unternehmen Cloud-Anbieter mit Sitz in den USA noch nutzen?

10. Oktober 2011

Nachdem bekannt wurde, dass US-Behörden selbst dann Zugriff auf bei US-Cloud-Anbietern gespeicherte Daten erhalten, wenn sich diese auf Servern innerhalb der EU befinden, stellt sich für viele deutsche Unternehmen die Frage, ob es generell noch möglich ist, in datenschutzkonformer Weise mit US-Anbietern zusammenzuarbeiten.

Aus der Orientierungshilfe – Cloud Computing, welche die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder veröffentlicht haben, ergibt sich, dass die deutschen Datenschutzbehörden eine Zusammenarbeit mit US-Cloud-Anbietern nicht generell für unmöglich halten.

Bei der Übermittlung von Daten außerhalb der EU und des EWR kann durch den Cloud-Anwender als verantwortliche Stelle ein ausreichendes Schutzniveau sichergestellt werden, indem Standardvertragsklauseln oder Binding Corporate Rules verwendet werden. Nach Einschätzung der Datenschützer wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung nicht vollständig abgebildet. Daher fordern sie, dass Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus, die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend eine Auftragsdatenverarbeitung vertraglich vereinbaren. Zusammengenommen können diese Maßnahmen dazu führen, dass die Übermittlung durch den Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG gedeckt ist. Dies alles gilt für die USA ebenso, wie für andere Drittstaat ohne angemessenes Datenschutzniveau.

Wenn eine Verarbeitung personenbezogener Daten durch einen Cloud-Anbieter in den USA erfolgt,  können die Standardvertragsklauseln ebenso wie Binding Corporate Rules entbehrlich sein, falls der Cloud-Anbieter gemäß der Safe-Habor-Grundsätze zertifiziert ist. In Ermangelung einer flächendeckenden Kontrolle der Selbstzertifizierungen durch Kontrollbehörden in Europa und den USA sehen die Datenschützer die Cloud-Anwender in der Pflicht gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe-Harbor-Liste geführtes US-Unternehmen übermitteln. Von den Cloud-Anwendern fordern sie dabei:

  • Sich zu überzeugen, ob das Zertifikat des Cloud-Anbieters noch gültig ist und sich auf die betreffenden Daten bezieht.
  • Zu prüfen, ob der Cloud-Anbieter sich gemäß FAQ 9 Frage 4 des Safe-Harbor-Abkommens zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichtet hat, falls Beschäftigtendaten verarbeitet werden sollen.
  • Sicherzustellen, dass der Cloud-Anwender vom Cloud-Anbieter alle nötigen Informationen erhält, wenn ein Betroffener eine Anfrag an ihn richtet.
  • Eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung entsprechend § 11 Abs. 2 BDSG zu treffen.

Abschließend halten die Arbeitskreise fest, dass eine Safe-Harbor-Zertifizierung den Cloud-Anwender nicht von der Erfordernis einer Rechtsgrundlage für die Übermittlung (z.B. § 28 Abs. 1 Satz 1 Nr. 2 BDSG) oder seiner Kontrollpflicht analog § 11 Abs. 2 Satz 3 BDSG entbindet.

Diese Anforderungen verdeutlichen einmal mehr, dass datenschutzkonformes Cloud Computing immer noch mit vielen Fallstricken versehen ist. (se)

Facebook – Zwischen Tracking-Cookies und Timeline

In letzter Zeit wurde über den mangelnden Datenschutz bei Facebook auch in den renommierten „allgemeinen“ Medien vielfach berichtet. So konnte man unter anderem  lesen, dass Facebook Daten nicht zuverlässig löscht. Auch die Verfolgung (Tracking) von Nutzern durch Cookies nach deren Ausloggen wurde vielfach thematisiert. Beinahe in Vergessenheit geraten ist dabei, dass Facebook eine Zeit lang selbst die Internetnutzer besser kennelernen wollte, die nicht Nutzer des Dienstes waren, wie der Niederländer Arnold Roosendaal herausgefunden hatte.

Dass es sich dabei um Versehen handelt, scheint die Mehrheit der Deutschen nicht glauben zu wollen. Nach einer aktuellen Umfrage von TNS Emind unter 1.000 Bürgern ab 14 Jahren gaben 9 von 10 der Befragten an, dass sie den Umgang von Facebook mit persönlichen Daten für bedenklich halten. Dennoch konnte Facebook bereits Mitte des Jahres die stolze Zahl von 20 Millionen deutschen Nutzern vermelden.

Spannend wird sein, wie die Nutzer Facebooks neueste Errungenschaften, die Timeline (Chronik) und das sogenannte frictionless sharing, annehmen werden, welche auf der Facebook Entwicklerkonferenz f8 vorgestellt wurden: Die Timeline stellt dabei nicht weniger als den Versuch dar, das Leben des Nutzers ähnlich einem sehr genauen (Online)Tagebuch möglichst minutiös nachzuzeichnen. Demzufolge wirbt Facebook auch mit dem Slogan „Erzähle deine Lebensgeschichte“. Um dies dem Nutzer ohne Weiteres möglich zu machen, führt Facebook mit seiner neuen Schnittstelle Open Graph die Funktion des frictionless sharing (reibungsloses Teilen) ein. Dem Nutzer soll es so möglich sein, seine Aktivitäten nach einmaliger Zustimmung automatisch an Facebook übertragen zu lassen. Dies könnte beispielsweise darin resultieren, dass jedes vom Nutzer angehörte Musikstück von einem Online-Dienst zu Facebook übertragen wird, oder jede auf einem Newsportal gelesene Meldung an Facebook übermittelt wird. Bezieht man dann noch Check-Ins mit Hilfe von Smartphones etc. ein, ergibt die Timeline ein bemerkenswertes genaues Persönlichkeitsprofil des Nutzers.

Beinahe überflüssig zu sagen ist es, dass die neu angekündigten Funktionen zu einem Aufschrei der Datenschützer führten. Dies betrifft nicht nur die deutschen Datenschützer, sondern auch ein breites US-amerikanisches Bürgerrechtsbündins unter der Führung des EPIC (Electronic Privacy Information Center), welches mit Hilfe eines offenen Briefes ein Verfahren vor der höchsten Verbraucherschutzinstanz der USA, der FTC (Federal Trade Commission), gegen Facebook anstrengt.

Natürlich muss kein Facebooknutzer die Einwilligung zum frictionless sharing erteilen. Auch kann man durch die Privatsphäreneinstellungen Einfluss darauf nehmen, wer die jeweiligen Einträge sehen soll. Jedoch sollte man Folgendes bedenken: Selbst wenn man es schafft, die unübersichtlichen Privatsphäreneinstellungen den eigenen Vorlieben anzupassen, so hat doch Facebook ein (unsichtbares) komplettes Profil. Es bleibt jedem Facebooknutzer selbst überlassen, zu entscheiden, ob er einem Konzern, der systematisch unübersichtliche Privatsphärenoptionen anbietet und Funktionen, welche die Privatsphäre erheblich beeinträchtigen können, ohne Zustimmung des Nutzers freischaltet, einen so großen Teil seines Lebens anvertrauen möchte.

Nicht überlassen bleibt es jedoch vielen Nutzern, sich dem Datenbegehren Facebooks vollkommen zu entziehen, da die auf Websiten eingebundenen Funktionen unter Umständen auch ohne Zutun der Nutzer Daten an Facebook übertragen. Daher ist auch den verantwortlichen Seitenbetreibern anzuraten, darüber nachzudenken, ob und in welcher Form sie Funktionen von Facebook auf ihrer Seite einbinden möchten. (se)

Bundesdatenschutzbeauftragter fordert datenschutzfreundlichen ELENA-Nachfolger

Gerade erst wurde der elektronischen Entgeltnachweis (ELENA) zu Grabe getragen, schon wird über den Nachfolger diskutiert. Der Bundesdatenschutzbeauftragte, Peter Schaar, forderte den Gesetzgeber dazu auf, bei dem von der Bundesregierung angestrebten einfacheren und unbürokratischen Meldeverfahren in der Sozialversicherung den Datenschutz zu gewährleisten. Dabei dürfe es keine Abstriche geben, der Umfang der personenbezogenen Daten müsse so gering wie möglich gehalten werden und es müsste den Betroffenen möglich sein, von Anfang an Auskunfts- und Berichtigungsansprüche geltend zu machen. Bereits die Vereinheitlichung der vielen im Sozialrecht verwendeten Einkommensbegriffe könne auf dem Gebiet des Datenschutzes zu Fortschritten führen. (se)

 

Zwang zu Klarnamen bei Google+ unter deutschen Politikern umstritten

29. September 2011

Google sorgte jüngst mit seinem Facebook-Konkurrenten Google+ für ein starkes mediales Echo, als einige Profile gelöscht wurden, deren Ersteller Pseudonyme anstelle der von Google geforderten Klarnamen verwendet hatten. Die Löschung wurde mit Punkt 13 der Inhalts- und Verhaltensrichtlinien für Nutzer begründet. Dort gibt Google Folgendes vor: „Verwenden Sie den Namen, mit dem Sie normalerweise von Freunden, Familie und Kollegen angesprochen werden. Dies dient der Bekämpfung von Spam und beugt gefälschten Profilen vor. Wenn Ihr voller Name beispielsweise Sebastian Michael Müller ist, Sie normalerweise aber Bastian Müller oder Michi Müller verwenden, sind diese Namen auch in Ordnung.

Mit einem offenen Brief an Google reagierte ein Bündnis aus Bloggern, Internetaktivisten, Journalisten und einigen Bundestagsabgeordneten aller Fraktionen (außer der Linken) auf diese Praxis und fordert Google auf, Pseudonyme zu gestatten.

Der stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion, Günter Krings, und deren innenpolitische Sprecher Hans-Peter Uhl sehen in einer Stellungnahme für einen derartigen „politischen Aufschrei mehrerer Abgeordneter… dagegen keinen Grund„. Ihre Erwägungen leiten sie dabei mit mit folgender Aussage ein: „Es kann im Internet ebenso wie in der realen Welt kein grundsätzliches Recht auf Anonymität geben.“ Auffällig ist, dass auch im weiteren Text immer wieder von Anonymität gesprochen wird. Uhl und Krings scheinen insofern dem Fehler aufgesessen zu sein, nicht zwischen einem Pseudonym und dem Konzept der Anonymität zu unterscheiden.

Diese indifferente Verwendung der beiden Begriffe ist derart verbreitet, dass sich in der Wikipedia ein eigener Artikel zur Unterscheidung zwischen Anonymisierung und Pseudonymisierung findet. Der maßgebliche Unterschied besteht darin, dass nach einer Anonymisierung keine Rückschlüsse auf die Person mehr möglich sind. Bei einer Pseudonymisierung wird die „wirkliche“ Identität zwar zunächst durch die Wahl eines fingierten Namens auch verschleiert, der Bezug zwischen den pseudonymisierten Daten und der dahinterstehenden Person kann jedoch wieder hergestellt werden, wenn das verbindende Element – der Schlüssel – bekannt ist. Wer also weiß, dass Kurt Tucholsky auch Texte als Theobald Tiger und Peter Panter veröffentlicht hat, kann jederzeit die so veröffentlichten Beiträge der Person Tucholskys zuordnen. Im Internet ist die Pseudonymisierung recht häufig anzutreffen: Fast jeder selbst gewählte Benutzer- oder Forenname stellt ein Pseudonym dar.

Schlußendlich kommen Krings und Uhl, der in der Diskussion um Street View noch an vorderster Front gegen Googles Begehrlichkeiten kämpfte, zu der Einschätzung, dass die Entscheidung, ob eine Pflicht zur Offenlegung des Klarnamens bestehe, letztlich auf Seiten der Betreiber läge. Schließlich gäbe es auch keine allgemeine Rechtspflicht für Nutzer, sich zu identifizieren. Dabei verkennen Sie jedoch den § 13 Abs. 6 TMG, der vorschreibt, dass ein Diensteanbieter die Nutzung von Telemedien anonym oder unter Pseudonym zu ermöglichen hat, soweit dies technisch möglich und zumutbar ist. Auch der BGH führt im Spickmich-Urteil explizit aus, dass die anonyme Nutzung dem Internet immanent sei. Dies muss dann erst recht für eine zumindest pseudonyme Nutzung gelten. (se)

Stromzähler verrät Fernsehgewohnheiten

26. September 2011

Wie der Online-Dienst H-Security berichtet, haben Forscher der Fachhochschule Münster einen technischen Report zum Thema Smart-Meter und Datenschutz vorgelegt. Überraschendes Ergebnis: Schon eine Messung des Stromverbrauchs im Zwei-Sekunden-Takt lässt auf das gelaufene Fernsehprogramm schließen. Aktuelle LCD-TVs schwanken in der Stromaufnahme, Grund sind unterschiedlich helle oder dunkle Bilder bzw. variierende Lautstärken. Verglichen mit einer Referenz ist dann ein Rückschluss auf das eingeschaltete Programm möglich.

Zwar sinke die Wahrscheinlichkeit, einen Spielfilm oder das Programm zu erkennen, wenn mehrere Verbraucher aktiv seien. Ein Spielfilm von 90 Minuten Länge biete aber genug Sequenzen zur Feststellung, auch wenn zwischendurch andere Geräte liefen.

In dem Report erwähnen die Forscher auch die grundsätzlich mögliche, aber als missbräuchlich anzusehende Nutzung der Stromverbrauchsdaten, um Konsumenten von urheberrechtlich geschütztem Material aufzuspüren. Diese Nutzung sei denkbar, weil nachträglich festgestellt werden könnte, welche Haushalte beispielsweise einen Film abgespielt hätten, der zu diesem Zeitpunkt noch nicht auf DVD erschienen war.

Als Gegenmaßnahme schlägt das Team der FH Münster vor, Ablese-Intervalle zu vergrößern oder nur statistische Zusammenfassungen der Verbrauchsdaten zu übertragen. (ssc)

1 169 170 171 172 173 182