7. Mai 2020
Nun scheint auch das Fahrrad im Zeitalter der Digitalisierung Fuß zu fassen. Erste Hersteller bauen Minichips in die Rahmen, welche den Fahrrädern viele neue Funktionen zukommen lassen. Wie der Spiegel berichtet werden diese Neuerungen für das Rad einen ähnlichen Effekt haben wie damals der Umschwung von Mobiltelefon auf das Smartphone. Dies könnte gleichzeitig jedoch auch eine Gefahr für die personenbezogenen Daten der Fahrradnutzer darstellen.
Neue Funktionen
Tatsächlich verfügen E-Bikes bereits über interne Kommunikationsschnittstellen. Funktionsbereiche wie Displays, Motoren, Akkus etc. sammeln dabei technische Daten und tauschen sie untereinander zur Funktionsoptimierung aus. Informationen werden dazu nicht mehr wie üblich über einen Kabelbaum versendet, sondern über sogenannte CAN-Bus Signale oder über speziell entwickelte Funkmechanismen.
Insbesondere besteht nun jedoch die Möglichkeit ein entsprechendes, mit Minichip, ausgestattetes Fahrrad mit dem Telefon zu vernetzten. Nun lassen sich über Apps zum Beispiel gefahrene Kilometer oder Geschwindigkeiten ablesen. Zudem lässt sich über das Handy auch auf technische Funktionen des Fahrrads zugreifen. Die kroatische Marke Greyp baut sogar Kameras zur Überwachung an. Die Fahrräder lassen sich entweder über Mobilfunk oder über das WLAN mit dem Netz verbinden.
Andere Hersteller werben außerdem mit der Möglichkeit die Fahrräder nun orten zu können. Damit lassen sich auch gestohlene Fahrräder auffinden. Es wäre aber auch möglich Bewegungs- und Fahrprofile zu erstellen.
Datensicherheit
Offen bleibt also die Frage, wie sicher die gesammelten Daten sind. Fest steht: Ein Interesse Dritter an diesen Daten besteht allemal. Versicherungen bieten bereits bei Kraftfahrzeugen Vergünstigungen an, wenn das Fahrerprofil einen sicheren Fahrstil erkennen lässt. Der Allgemeine Deutschen Fahrrad-Club (ADFC) sieht für Deutschland zwar keine Gefahr, dass Datenverarbeitungen für „ominöse“ Zwecke verwendet werden. Ein Blick in die Datenschutzerklärungen von e-Bike-Herstellern ist bei Nutzung und beim Kauf der modernen Fahrgefährten jedoch unbedingt zu empfehlen.
IT-Sicherheitsforscher werfen dem chinesischen Smartphone-Hersteller Xiaomi vor, das Verhalten ihrer Nutzer in großem Umfang aufzuzeichnen. Dabei geht es insbesodere um Browserdaten. Auch wenn der Inkognito-Modus eingeschaltet ist, soll Xiaomi besuchte Websites und Eingaben in eine Suchmaschine aufzeichnen.
Bei der Verwendung des Standardbrowsers sollen Daten über jede besuchte Website an einen Server von Xiaomi übermittelt werden. Davon sollen auch Daten umfasst sein, die der Nutzer in Suchmaschinen eingibt. Und das unabhängig davon, ob Google verwendet wird oder DuckDuckGo, eine Suchmaschine die keine personenbezogenen Daten sammeln soll. Daran ändere auch die Nutzung des Inkognito-Modus nichts. Dies hatte der IT-Sicherheitsforscher Gabriel Cîrlig herausgefunden und dem US-Magain Forbes berichtet.
Es werden offenbar auch Angaben zum Smartphone, der Android-Version und eine Nutzerkennung übermittelt. Zudem soll das Smartphone bestimmte Nutzungsdaten an Server übermitteln, etwa welche Ordner geöffnet werden oder welche Apps verwendet werden. Cîrlig fürchtet, dass damit Nutzer einndeutig identifiziert werden können. Der Forscher stellte die Datenverarbeitungen auf einem Redmi Note 8-Smartphone fest. Er befürchtet aber, dass auch andere Modelle des Herstellers betroffen sind. Denn die Firmware für Mi10, Redmi K20 und Mi MIX 30 sollen den gleichen Browsercode haben. Die Daten wurden offenbar an Server in Singapur und Russland übermittelt, die beim Internetkonzern Alibaba gehostet wurden.
Auf Nachfrage von Forbes untersuchte der Cyber-Sicherheitsforscher Andrew Tierney weitere Browser, die Xiaomi im Google Play-Store bereitstellt. Sie kommen auf etwa 15 Mio. Downloads. Tierney fand heraus, dass diese Browser dieselben Daten sammelten – unabhängig vom Modus, in dem er surfte.
Xiaomi widersprach den Ergebnissen zunächst in einer Stellungnahme an Forbes. Dem Unternehmen sei die Privatsphäre ihrer Nutzer wichtig. Die Daten seien zwar gesammelt, jedoch anonymisiert worden und der Nutzer habe der Datenerhebung zugestimmt. Xiaomi widersprach insbesondere der Behauptung, dass die Daten auch bei der Verwendung des Inognito-Modus gespeichert werden. Die Datenverarbeitungen seien gängige Praxis. Die Experten Cîrlig und Tierney meinen dagegen, dass die Datenübermittlung deutlich umfangreicher als bei Google Chrome oder Apple Safari sei.
Xiaomi kündigte mittlerweile in einem Blogbeitrag an, eine Opt-out-Möglichkeit im Inkognito-Modus einzubauen. Damit wolle man die Kontrolle des Nutzers über sein Daten weiter stärken.
6. Mai 2020
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HamBfDI) Johannes Caspar äußerte sich kritisch bezüglich der Einführung eines Immunitätsausweises. Gegenüber dem Handelsblatt betonte er, dass „der Einsatz eines solchen Ausweises der gefährliche Weg in eine Diskriminierungs- und Entsolidarisierungsfalle“ wäre. „Gesundheitsdaten könnten über den Zugang zu Leistungen entscheiden und in der Konsequenz die Gruppe der Personen, die eine Immunität nicht nachweisen, vom öffentlichen Leben ausschließen.“
Die Pläne für die Einführung eines solchen Immunitätsausweis hat das Kabinett im „Entwurf eines Zweiten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ beschlossen. Demnach soll es einen Nachweis analog zum Impfpass geben, der auch als Grundlage bei der Entscheidung über zielgenauere Schutzmaßnahmen dienen soll.
Die Einführung eines solchen Dokuments birgt insgesamt die Gefahr einer sozialen Stigmatisierung. Der HamBfDI warnt davor, dass dadurch Personen, die zur Risikogruppe gehören am stärksten diskriminiert würden. Einen Nachweis der Immunität ohne besonderes Ausweisdokument für Personen in relevanten Berufsgruppen hält der HamBfDI hingegen für „durchaus sinnvoll“.
Inzwischen hat Gesundheitsminister Spahn den Deutschen Ethikrat um eine Stellungnahme darüber gebeten, inwiefern ein solches Ausweisdokument genutzt werden kann. Über den Gesetzesentwurf soll bereits am Donnerstag (7. Mai 2020) im Bundestag beraten werden.
4. Mai 2020
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Stellungnahme vom 24.04.2020 dazu geraten die iOS Applikation „Mail“ von Apple zu löschen oder zumindest die Synchronisation mit den eigenen Postfächern abzuschalten. Die Schwachstelle wird als „besonders kritisch“ eingestuft und ist bislang nicht geschlossen.
Das US-amerikanische Unternehmen ZecOps hatte während einer Untersuchung eine Sicherheitslücke entdeckt, welche es Hackern ermöglichen könnte auf Mail-Inhalte zuzugreifen, diese zu ändern oder zu löschen. Hierzu genüge es bereits, wenn der Nutzer eine Mail mit dem Schadcode der Hacker öffne. Unter der neuesten Betriebssystemversion iOS 13 müsse der Nutzer die Mail garnicht erst öffnen. Hier genüge es sogar die Mail zu empfangen.
Laut ZecOps lassen erste Hinweise darauf schließen, dass entsprechende Angriffe bereits stattgefunden haben. Nach Angaben des BSI betrifft die Sicherheitslücke tausende Verbraucher, Behörden und Unternehmen. Nicht betroffen ist hingegen die Mail-App in macOS.
Laut Apple besteht keine Gefahr
Apple hat die Sicherheitslücke untersucht und gibt an, es bestehe keine Gefahr für die Nutzer des Programms. Es treffe zwar zu, dass die Mail App entsprechende Probleme aufweise, die in iPhones und iPads integrierten Sicherheitsvorkehrungen reichen aber vollkommen aus um diese Sicherheitslücke zu schließen. Zudem konnte Apple keinen Beweis für das Ausnutzen der Sicherheitslücke feststellen.
Sicherheitslücke noch nicht geschlossen
Für App-Nutzer ist es daher nicht ganz klar, auf welche Informationen sie sich nun stützen sollten. Ratsam ist es den Empfehlungen des BSI zu folgen, bis Apple ein neues Patch zur Behebung der Fehler zur Verfügung gestellt hat.
30. April 2020
Das amerikanische Pharma-Unternehmen ExecuPharm teilt in einem Brief seinen Angestellten und der Generalstaatsanwaltschaft in Vermont mit, dass es am 13. März von einem Hackerangriff getroffen worden sei. Die Hacker forderten Lösegeld und warnten davor, dass auf Sozialversicherungsnummern, Steuer-IDs, IBAN-Nummern, Kreditkartennummern und weitere Daten zugegriffen worden sein könnte.
Die Mitarbeiter von ExecuPharm erhielten Phishing-E-Mails
von unbekannten Personen. Nach einer Untersuchung stellte ExecuPharm fest, dass
die Personen, die hinter der Verschlüsselung und dem Versand dieser E-Mails
standen, möglicherweise auf ausgewählte personenbezogene Daten des
ExecuPharm-Personals sowie auf personenbezogene Daten ausgewählter Mitarbeiter
von Parexel, deren Informationen im Datennetzwerk von ExecuPharm gespeichert
waren, zugegriffen und/oder diese weitergegeben haben.
Das amerikanische Pharma-Unternehmen hat die Behörde in den
Vereinigten Staaten darüber informiert und eine Cybersecurity-Firma beauftragt,
den Vorfall vollständig aufzuklären.
29. April 2020
Mit der Zunahme an Homeoffice-Tätigkeiten im Rahmen der Corona-Pandemie geht auch die Frage nach dem Datenschutz am Arbeitsplatz einher. Vor allem datensensible Unternehmen (z.B. Kanzleien, Wirtschaftsprüfungsgesellschaften etc.) müssen den Datenschutz auch im Homeoffice gewährleisten. Eine Möglichkeit dazu bietet die Zwei-Faktor-Authentifizierung.
Um einen hohen Sicherheitsstandard zu gewährleisten, sollte dafür gesorgt werden, dass der Mitarbeiter sich eindeutig identifizieren muss, um sich im Unternehmensnetzwerk anzumelden. Dies geschieht meist über einen VPN-Zugang, so dass sich der Mitarbeiter mit Loginnamen und Passwort (Ein-Faktor-Authentifizierung) anmelden muss.
Wenn jedoch diese Anmeldeinformationen in falsche Hände
geraten – zum Beispiel, weil der PC im Homeoffice kompromittiert wurde – oder Mitbewohner
oder Familienangehörige die Zugangsdaten erlangt haben, können erhebliche
rechtliche Konsequenzen drohen.
Um dieses Risiko zu minimieren, kann die Zwei-Faktor-Authentifizierung genutzt werden. Dabei ist ein zusätzliches Gerät (das ist der zweite Faktor) für den Log-In notwendig. Sie ist kein Synonym für die Zwei-Faktor-Authentisierung. Ein Benutzer authentisiert sich an einem System mittels eindeutiger Anmeldeinformationen (z.B. Passwort, Chipkarte oder Smartphone). Das System überprüft daraufhin die Gültigkeit der verwendeten Daten, was den Nutzer erst authentifiziert.
Da das Smartphone nicht ausschließlich dem Zweck der Authentifizierung dient, spricht man in dem Fall von einer mittelbaren Zwei-Faktor-Authentisierung. Dafür muss eine spezielle App auf das Smartphone geladen werden. Bekannte Apps sind zum Beispiel Google Authenticator oder Entrust IdentityGuard Mobile. Diese Apps generieren entweder einen Code, der manuell am PC eingegeben werden muss oder erfordern eine Bestätigung des Log-In-Vorgangs durch den Benutzer.
Ein potentieller Täter kann somit allein mit den Zugangsdaten oder mit dem Smartphone als Zugangsgerät nichts anfangen. Die Zwei-Faktor-Authentifizierung verringert das Risiko des Auftretens von Identitätsdiebstahl, Phishing-Angriffen und anderen Online-Betrugsversuchen massiv.
Weitere Tipps zum Thema Datenschutz im Homeoffice können Sie in diesem Beitrag nachlesen.
Die amerikanische, gemeinnützige Stiftung Mozilla hat 15 der wichtigsten Videokonferenz-Apps einer Sicherheitsanalyse unterzogen und Ihre Ergebnisse in einem Leitfaden mit Datenschutz- und Sicherheitsmerkmalen sowie Datenschutz- und Sicherheitsmängeln zusammengestellt. Der Leitfaden soll Nutzern dabei helfen, die für sie richtige App auswählen zu können.
Um zu bestehen, mussten die Apps folgende fünf Mindestanforderungen erfüllen:
- Verschlüsselung von Anrufen
- Regelmäßige Sicherheitsupdates
- Forderung nach sicheren Passwörtern
- Umgang mit Schwachstellen
- Vorliegen einer Datenschutzrichtlinie
12 Apps erfüllen Mindestanforderungen
12 der 15 geprüften Apps konnten diese Mindestsicherheitsstandards erfüllen. Dazu zählen WhatsApp, Apple FaceTime, Skype, Google Duo/HangoutsMeet, Facebook Messenger, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting, Cisco WebEx und Zoom.
Insbesondere Zoom wurde in der Analyse dafür gelobt, dass es auf die vielfache Kritik (wir berichteten) schnell reagiert habe, um Sicherheitsmängel zu beseitigen, auch wenn der Grund dieses Handelns, laut Mozilla, wohl vor allem der großen Konkurrenz unter den verschiedenen Videokonferenz-App-Anbietern zu verdanken sei.
Dennoch erhebliche Unterschiede unter den Apps
Die Ausgestaltung der einzelnen Sicherheitsstandards unterscheidet sich zwischen den Anbietern jedoch deutlich.
So werden Anrufe zwar verschlüsselt, allerdings seien es nur Google Duo, FaceTime, WhatsApp, Signal, Goto-Meeting und Doxy.me, die die sicherste Variante, die Ende-zu Ende Verschlüsselung, verwendeten. Nur diese Art der Verschlüsselung gewährleistet, dass der Inhalt eines Anrufs nur für die jeweiligen Teilnehmer einsehbar ist.
Bei der Skype-App, dem Facebook-Messenger und Webex habe der Nutzer aber zumindest die Option eine Ende-zu Ende Verschlüsselung zu wählen.
Andere Apps würden hingegen eine Client-zu-Server-Verschlüsselung verwenden, welche die Daten, sobald sie auf den Servern eines Unternehmens landen, lesbar macht.
Außerdem weist Mozilla auf eine Reihe weiterer Risken hin. Unter anderem sammle Facebook über seine Apps eine Menge persönlicher Informationen wie Name, E-Mail, Standort, Geolokationen auf Fotos, die hochgeladen werden sowie Informationen über Kontakte und den Nutzer selbst, die andere Personen (möglicherweise) freigeben und sogar alle Informationen, die die App über einen sammeln kann, wenn die Kamerafunktion verwendet wird. Außerdem teile Facebook die Informationen auch mit einer großen Anzahl von Drittparteien wie Werbeagenturen, Anbietern, akademischen Forschern und Analysediensten.
WhatsApp hingegen sei sehr anfällig für Fehlinformationen. Gerade während der Pandemie werde die App zur Verbreitung von Verschwörungstheorien und gefälschten Nachrichten gebraucht.
Drei Apps fielen durch
Die Apps Houseparty, Discord und Doxy.me fielen bei der Sicherheitsanalyse hingegen durch. Sie erfüllten bereits nicht die fünf Mindest-Sicherheitsanforderungen. Laut Mozilla verlangen die genannten Dienste keine sicheren Passwörter und Houseparty und Discord sammeln zu viele persönliche Daten.
Aufgrund einer Initiative der kroatischen EU-Ratspräsidentschaft wurde ein Treffen mit den Vertretern der Mitgliedstaaten vereinbart, um über die „Live-Gesichtserkennung“ bei Sport-Events zu diskutieren.
Mithilfe der „Live-Gesichtserkennungsmethode“ können Gesichter aus den Aufnahmen der Überwachungskameras mit der Datenbank abgeglichen werden. Dadurch können die Personen identifiziert und gegebenenfalls mit Beobachtungslisten abgeglichen werden.
Laut eines, heise online vorliegenden, vertraulichen Schreibens an die Fachgruppen, beleuchtete die EU-Ratspräsidentschaft die Gesichtserkennung von beiden Seiten. Einerseits würde die biometrische Technik neue Möglichkeiten für die Verfolgung von Straftätern schaffen. Sie könnte dabei ein wichtiger Schritt für die Terrorismusbekämpfung und die Auflösung von Verbrechen sein.
Andererseits stünden der Überwachungstechnik datenschutzrechtliche Bedenken entgegen. Durch die Anwendung dieser Methode könnten Grundrechte berührt werden und es bestünde eine relativ hohe Fehlerrate. Zudem könnte sich bei den Bürgern das Gefühl einstellen, dass sie durch die Überwachungssysteme dem Staat ausgeliefert sind.
Bei dem Treffen der Regierungsvertreter sollen die Mitgliedsstaaten
Erfahrungen aus ihren Ländern auszutauschen und über die Chancen und Risiken debattieren.
28. April 2020
Die durch die Bundesregierung in Zusammenarbeit mit dem Robert-Koch-Insitut (RKI) geplante Tracing-App zur Nachverfolgung potentieller Corona-Kontakte ist seit Wochen Gegenstand reger Diskussionen und mit umfangreicher Kritik in Sachen Datenschutz verbunden. Diese Kritik scheint nun Gehör gefunden zu haben, jedenfalls rücken die Entwickler vom Vorhaben einer zentralen Speicherung ab.
Nachdem zunächst ein „zentraler Ansatz“ in der Form geplant war, dass durch die App erhobene Daten – in anonymisierter Form – zentral auf einem Server gespeichert werden sollten, soll nun ein „dezentraler Ansatz“ verfolgt werden. Bei dieser Variante werden die erzeugten Nutzer-IDs sowie die durch die Bluetooth-Funktion erfassten Geräte bzw. deren IDs nicht an einen zentralen Server gesendet, sondern zunächst lokal auf den Geräten gespeichert werden. Erst im Falle eines positiven Befundes wendet sich die positiv geteste Person mit einem geheimen Schlüssel an den Betreiber der App, sodass eine Übermittlung der Information, dass ein möglicher Kontakt bestand, an potentielle Kontaktpersonen übermittelt werden kann.
Dieser Kehrtwende ist umfangreiche Kritik am „zentralen Ansatz“ vorangegangen. Zuletzt kamen kritische Stimmen nicht nur von verschiedenen Digital-Vereinen, sondern vermehrt auch aus der Wissenschaft. Auch der Europarat hat in Bezug auf mögliche Tracing-Apps (nicht nur) datenschutzrechtliche Bedenken geäußert. Dabei wurde insbesondere hervorgehoben, dass der zentralen Speicherung besonders sensibler Gesundheits- oder Bewegungsdaten erhebliche Bedenken in der Bevölkerung bezüglicher einer potentiellen Totalübberwachung entgegenstehend könnten und der Nutzen einer solchen App eingeschränkt sei, wenn Bürger die App wegen dieser Bedenken nicht verwenden.
Oppositionspolitiker und Netzaktivisten lobten die Entscheidung, nunmehr einen dezentralen Ansatz zu verfolgen, wie dies etwa auch durch Apple und Google favorisiert wurde. Auch der Bundesdatenschutzbeauftragte, Ulrich Kelber, sprach sich ausdrücklich für diese Variante aus.
Diese Strategieänderung lässt jedoch befürchten, dass der Einsatz einer funktionierenden, und vor allem datenschutz-sensiblen Tracing-App weiter auf sich warten lassen wird. Nachdem diese eigentlich schon Mitte April bei der Bekämpung des Corona-Virus unterstützen sollte, wird nun über eine Veröffentlichung Mitte Mai spekuliert.
Nintendo hat bestätigt, dass Hacker sich Anfang April unbefugten Zugriff auf 160.000 Nintendo-Accounts verschafft haben und zahlreiche Daten abgegriffen haben könnten. Laut Nintendo: „Die Untersuchungen sind noch im Gange. Derzeit gibt es jedoch keine Hinweise auf einen unerlaubten Zugriff auf die Datenbanken, Server oder Services von Nintendo.“ Aus Sicherheitsgründen sei es ab sofort nicht mehr möglich, sich über eine Nintendo-Network-ID bei einem Nintendo-Account anzumelden.
Unter den erbeuteten Informationen sind neben der Nintendo-ID, der Nickname, das Geburtsdatum, die Region und die E-Mail-Adresse des Nutzers. Im Laufe der Tage meldeten auch immer mehr User aus Deutschland, dass Geld von verknüpften PayPal-Konten abgebucht wurde. Kreditkarten-Daten sollen sich laut Nintendo jedoch nicht unter den gestohlenen Daten befinden.
Nintendo Deutschland hat sich gemeldet und rät dazu, den Account mit einer Zweistufen-Bestätigung zu schützen, um einen unerlaubten Zugriff zu vermeiden. Zur weiteren Sicherheit wird Nintendo alle Nutzer informieren, die von der Datenpanne betroffen sind. Außerdem empfiehlt Nintendo Kreditkarteninformationen und verknüpfte PayPal-Konten aus dem Account zu entfernen. In der Stellungnahme hat sich Nintendo für die Vorkommnisse entschuldigt.
