29. Juli 2013
Die Bezahlfunktion des Messenger-Dienstes WhatsApp ist Medienberichten zufolge unzureichend geschützt. Wer sein WhatsApp-Abo über die Messenger-App verlängere, werde auf eine Website geleitet, auf der man die gewünschte Zahlungsart auswählen könne. Der Bezahlprozess setze jedoch nicht auf verschlüsseltes HTTPS, sondern führe einen HTTP-Request aus. Dieses könne durch einen Cyberkriminellen manipuliert werden, indem er eine Man-in-the-Middle-Position einnimmt und den User damit auf eine beliebige andere Website – beispielsweise eine Spoofing-Site – schickt. So könnten Kreditkartendaten oder andere sensible Zugangsdaten abgegriffen und in Folge unbefugt verwendet werden. Da der potentielle Cyberkriminelle die Manipulation des HTTP-Requests lediglich in dem gleichen Netzwerk wie sein Opfer ausführen könne, sei derzeit der einzige Schutz, dass man die Verlängerung des WhattsApp-Abos in einem vertrauenswürdigen Netz oder über das Mobilfunknetz abwickelt.
25. Juli 2013
Im Rahmen einer Handreichung hat das Ministerium für Kultus, Jugend und Sport Baden-Württemberg Stellung zu dem Einsatz sozialer Netzwerke an Schulen bezogen. Danach soll die dienstliche Verarbeitung personenbezogener Daten mittels sozialer Netzwerke generell verboten sein. Hierunter falle jegliche dienstlichen Zwecken dienende Kommunikation zwischen Schülern und Lehrkräften sowie zwischen Lehrkräften untereinander, ferner das (Zwischen-)Speichern von personenbezogenen Daten jeder Art auf sozialen Netzwerken. Allerdings dürfe man im Rahmen des Unterrichts soziale Netzwerke dazu nutzen, um Funktionsweise, Vorteile, Nachteile, Risiken usw. pädagogisch aufzuarbeiten.
Man gestatte – trotz rechtlicher Umstrittenheit – die Nutzung von Fanpages zur Selbstdarstellung von Schulen. Jedoch sei eine Selbstdarstellung mittels konventioneller Homepage vorzugswürdig. Social Plugins, wie etwa der Like-Button von Facebook, dürfen nach der Handreichung nicht verwendet werden.
23. Juli 2013
Bring Your Own Device erfreut sich immer größerer Beliebtheit – nicht mehr nur bei jüngeren Arbeitnehmern und Jung-Unternehmen. Praktischerweise wird es Mitarbeitern gestattet, dienstliche Arbeiten an ihren privaten Endgeräten wie Notebook, Tablet oder Smartphone durchzuführen. Hierzu haben die Anwender in der Regel diverse Zugriffe u.A. auf das Netzwerk ihrer Firma. Während die Unternehmen selbst viel Geld und Aufwand in den Schutz ihrer Firmen-Daten investieren, wird es Privatanwendern immer leichter gemacht, die Fülle ihrer Passwörter und Log-in-Daten zentral zu speichern. Allen voran auf Geräten von Apple und Google (Android) sind dergleichen Features sehr beliebt, liegt doch der rein praktische Nutzen aufgrund der Unüberschaubarkeit von Anmeldedaten und deren außerordentliche Präsenz auf dem IT-Markt auf der Hand.
Doch genau hier wird es problematisch: Speichert ein privater Anwender im Rahmen von BYOD Firmen-Passwörter oder Log-in-Daten bei Apple, Google & Co., ist nicht mehr unbedingt sichergestellt, was mit diesen Daten geschieht. Legt man nun die jüngsten Fälle von Datenweitergabe an die NSA zugrunde, woran auch Google beteiligt war, und hält man sich vor Augen, dass die NSA nicht nur im Rahmen von Terrorabwehr tätig ist, sondern auch schon mit Fällen der Wirtschaftsspionage in Verbindung gebracht wurde, erscheint das praktische zentrale Passwort-Speichern in einem völlig neuen Licht, so Heise.
Anwender wie auch Arbeitgeber, die ihren Mitarbeitern BYOD gestatten, sollten hier besonders achtsam sein. Das Rechenzentrum der Universität Passau beispielsweise erklärt in seinen Benutzerbedingungen ihren Anwendern ausdrücklich, dass die Weitergabe von Passwörtern an Dritte verboten sei. Das gelte laut Heise auch dann, wenn dies durch automatisches Speichern geschieht. Somit liegt die Hauptverantwortung beim Benutzer. Schließlich liegt es in seinem Verantwortungsbereich, entsprechende Einstellungen an seinem Endgerät vorzunehmen, und zwar bevor er bestimmte Anwendungen damit durchführt.
Doch wichtig ist nicht nur, Anwender auf etwaige Gefahren hinzuweisen und durch Policys mögliche Haftungsfragen im Vorfeld zwischen Arbeitgeber und Arbeitnehmer hin und her zu schieben, sondern ganz explizit Anwendungshilfen mit auf den Weg zu geben. Hier hilft es oft nicht, dass es ja der Anwender ist, der die Möglichkeit hat, die Einstellungen seines Gerätes selber anzupassen. Ein ausgewogenes Datensicherheitskonzept, BYOD-Programme, Seminare und Schulungen, aber auch spezielle Software kann hier bereits im Vorfeld dafür sorgen, dass es gar nicht erst zu Konflikten kommt.
Lange muss man nicht zurück denken, da waren Handys eine Revolution und die SMS eine völlig neuartige Kommunikationsmethode. Anfänglich lief dabei jegliche Datenverbindung über den Mobilfunkanbieter. Doch seitdem Smartphones den Schulterschluss zwischen Personal Computer und Mobilfunkgerät herzustellen vermögen, ist ob des nahezu überall verfügbaren Zugriffs auf ein WLAN-Netzwerk vieles der Kommunikation “ausgelagert”. Kaum ein Haushalt, der nicht per WLAN den Zutritt in die digitale Welt zulässt. Dank der fortschreitenden Sensibilisierung für das Thema Datenschutz und die zahlreichen, auch medial diskutierten, Vorkommnisse zum Thema “Betreiberhaftung” bei offenen WLAN-Netzwerken, ist inzwischen nahezu jedes WLAN per Passwort geschützt. Wie nun jedoch die Onlineausgabe der Süddeutschen berichtet, macht der Online-Gigant Google keinen Halt vor diesen an und für sich geheimen Informationen. Google greift über sein Betriebssystem Android nahezu alle WLAN-Passwörter ab, die auf entsprechenden Geräten gespeichert werden. Und das durch eine schlichte Werkseinstellung, die jedoch den wenigsten Benutzern auffallen würde. In den Einstellungen der Geräte befindet sich unter dem Reiter “Speichern und Zurücksetzen” ein von Werk aus aktivierter Button mit der Beschreibung “App-Daten, Wlan-Passwörter und andere Einstellungen auf Google-Servern sichern”. Ändert man die Einstellung auf “Off” bekommt man jedoch auch umgehend mitgeteilt, dass alle Daten auf dem Server damit auch gelöscht werden. Besonders problematisch an der Speicherung ist zudem, dass Google die Passwörter unverschlüsselt speichert.
22. Juli 2013
Bei der Zusammenkunft der europäischen Innen- und Justizminister in Vilnius hat Bundesinnenminister Hans-Peter Friedrich sich dafür ausgesprochen, dass eine Meldepflicht eingeführt werden müsse, wenn Unternehmen Daten von EU-Bürgern an Drittstaaten weitergegeben. Eine Meldepflicht müsse bestehen, da anderenfalls die “Datensouveränität der Bürger” gefährdet sei.
Anlass der Zusammenkunft war die Beratung der anstehenden europäischen Grundverordnung zum Datenschutz. Zudem wurde über die Lage der syrischen Flüchtlinge gesprochen.
Im Zuge der Zusammenkunft teilte Friedrich seinen europäischen Kollegen mit, dass die USA zugesichert habe, keine Industriespionage betrieben zu haben. Zudem sprach er sich zur Verbesserung des europäischen Datenschutzniveaus für eine regulierte Selbstregulierung der Wirtschaft aus.
Mit einem im Juni eingereichten Änderungsvorschlag versuchte die DAA (Digital Advertising Alliance) einmal mehr die Entwicklung des Do Not Track Standards durch dasW3C (Standardisierungsgremium für das Worl Wide Web) im Sinne der Online-Werbewirtschaft zu beeinflussen. Dabei wurde unter anderem eine enge Definition des Tracking Begriffs sowie ein Ampelsystem zu internen Behandlung von Daten, die durch Tracking gesammelt wurden, vorgeschlagen.
Die Tracking Protection Working Group des W3C hat dem Angebot der Werbewirtschaft jedoch eine Absage erteilt und führt aus, dass der DAA Vorschlag
- das DNT Signal nicht nutze, um einen Do Not Target oder Do Not Collect Ansatz zu verwirklichen.
- keine deutliche Verbesserung des Status Quo darstelle.
- das Retargeting und die Profilbildung wie bisher fortführe und sich einzig Auswirkungen auf die Handhabung der Daten durch die Werbewirtschaft habe.
Damit bleibt abzuwarten, ob und wie der Standardisierungsprozess fortschreitet.
Am vergangenen Donnerstag gelang es einem oder mehreren Angreifern die Entwickler-Website von Apple erfolgreich zu attackieren. Apple nahm die Website daraufhin vom Netz und schaltete eine Wartungsseite. Mittlerweile wurde der Text dieser Seite aktualisiert und bestätigt den Angriff.
Laut Apple sollen jedoch keine sensiblen Daten von dem Angriff betroffen sein. Sensible Daten setzt Apple dabei jedoch augenscheinlich nicht mit personenbezogenen Daten gleicht, weil sich in der Stellungnahme der Hinweis findet, dass die Möglichkeit bestehe, dass bei einigen Entwicklern auf deren Namen, Adressen und E-Mail-Adressen zugegriffen wurde.
In einer Stellungnahme gegenüber Macworld stellte Apple jedoch klar, dass weder Endkundendaten, Programmcode noch der Bereich, auf dem sich App-Daten befinden, von dem Angriff betroffen sei.
Auf YouTube findet sich derweil ein “Bekennervideo” von dem mutmaßlichen Angreifer, der behauptet kein Hacker sondern Sicherheitsforscher zu sein. Wenig Gespür für Datensicherheit legt der Urheber dieses Videos jedoch an den Tag, wenn er von einzelnen Datensätzen – so sie denn echt sind – die persönlichen Daten für die gesamte YouTube-Öffentlichkeit präsentiert.
17. Juli 2013
Das Oberlandesgericht Hamburg (OLG Hamburg) hat entschieden, dass ein abmahnfähiger Wettbewerbsverstoß vorliegt, wenn auf einer Website die nach § 13 Telemediengesetz erforderliche Datenschutzerklärung fehlt. Eine fehlende Datenschutzrerklärung ist somit auch wettbewerbsrechtlich angreifbar. Nach Ansicht des Gerichts sind die in der EU-Datenschutzrichtlinie verankerten Verpflichtungen, wozu auch § 13 Telemediengesetz zählt, nicht nur dazu bestimmt, den Einzelnen zu schützen, sondern auch dazu, einheitliche Verhaltensgrundsätze im Wettbewerb zu schaffen.
15. Juli 2013
Die Bundeskanzlerin, Angela Merkel (CDU), hat im ARD-Sommerinterview angekündigt, dass sie die internationalen Regelungen durch ein Zusatzprotokoll zum Datenschutz zum UN-Abkommen über bürgerliche und politische Rechte von 1966 stärken möchte. Sie forderte die anderen europäische Regierungen zur Zusammenarbeit auf, um einheitlich auftreten zu können.
Sie befürwortete es, dass die geplante europäische Datenschutzgrundverordnung europäische Internet-Unternehmen zur Auskunftserteilung verpflichten werde, an wen sie Daten weitergeben. Dies müsse unabhängig davon gelten, wo ein Internet-Unternehmen seinen Sitz habe.
Die Bundeskanzlerin nahm auch Stellung zu der Spionage-Affäre der USA und begrüßte, dass die amerikanische Regierung ankündigte, die Geheimhaltungsstufe von Akten herabzusetzen. Überdies hinaus kündigte sie weitere Gespräche mit den USA und Großbritannien an und zeigte Verständnis mit den Bürgerinnen und Bürger, die sich um die Integrität ihrer Daten sorgen.
Amazons 1Button App, welche es als Erweiterung für Firefox und Chrome gibt, bietet direkten Zugriff auf die Amazon-Suche und zeigt Angebote und Topseller übersichtlich an.
Doch das ist nicht alles, was das Programm kann! Wie wahrscheinlich kaum ein Nutzer weiß, übermittelt die Erweiterung sämtliche aufgerufenen Websites nicht nur an Amazon selber, sondern teilweise auch an den Webstatistik Dienst Alexa, welcher zum Amazon Konzern gehört. Wie der der polnische Sicherheitsfachmann Krzysztof Kotowicz herausgefunden hat, werden dabei sogar die URLs von verschlüsselten HTTPS-Verbindungen an die Amazon-Server übertragen.
In den Datenschutzbestimmungen zur App findet sich zu diesem Verhalten folgender Passus: “The Amazon Browser Apps may also collect information about the websites you view, but that information is not associated with your Amazon account or identified with you.” Dem Wortlaut nach ist also nur von Sammeln, nicht aber von Übermitteln die Rede. Auch die Angabe, dass die übermittelten Daten nicht mit dem Amazon-Account verbunden werden oder zur Identifizierung genutzt werden, scheint fragwürdig, weil Amazon bei der Übermittlung das gleiche Cookie verwendet, wie auch zur Identifikation der Nutzer im Onlineshop.
Doch damit nicht genug: Amazon überträgt von bestimmten Seiten sogar die Inhalte an die eigenen Server. So werden beispielsweise die über eine verschlüsselte HTTPS-Verbindung aufgerufenen Ergebnisse einer Google-Suche an Alexa übertragen. In Bezug auf diese Übermittlung an Alexa finden sich folgende Angaben in den Datenschutzbedingungen: “In some cases, that information may be personally identifiable, but Alexa does not attempt to analyze web usage data to determine the identity of any user.” Damit gibt Amazon recht unverhohlen zu, dass durch die Übermittlung einzelne Nutzer identifizierbar sind. Die übermittelten Daten enthalten dabei nicht nur identifizierende Merkmale, sondern auch sämtliche URL-Parameter wie Session-IDs, die zumindest theoretisch dazu genutzt werden können, die Identität des Nutzers gegenüber den besuchten Webdiensten zu übernehmen.
Pages: 1 2 ... 210 211 212 213 214 ... 275 276 
