7. November 2012
Obwohl die Versicherungsbranche mit besonders vielen und sensiblen personenbezogenen Daten in Berührung kommt, ergab eine Umfrage von Steria Mummert Consulting unter zwei Dutzend Versicherungsunternehmen im Rahmen der “BiMA for Insurance”-Studie, dass Datenschutz und Sicherheit in den Business Intelligence-(BI)-Lösungen der Assekuranzen noch kein ausreichender Stellenwert eingeräumt wird.
Über 90 % der befragten Unternehmen achten der Studie zufolge auf zwar auf Gesetzeskonformität; dabei wird allerdings in der Regel nur ein Zugriffsschutz von außen berücksichtigt, wohingegen ein solcher nach innen vernachlässigt wird. So gaben nur 5 % der Befragten an, Benutzerzugriffe auf besonders sensible Daten zu überwachen. Weiterhin ergab die Auswertung, dass bei 36 % der Unternehmen Echtdaten in Entwicklungssystemen genutzt werden. Synthetische Daten finden in 37 %, zumindest anonymisierte Daten in 26 %, aller Fälle Anwendung. In über 90 % der Fälle sollen die Entwickler zudem Zugriff auf die Produktivsysteme und die darin enthaltenen Daten haben.
Mark Hertting von Steria Mummert Consulting sieht daher die Datenschutzbeauftragten der Versicherer in der Pflicht, nicht nur den Status Quo zu wahren, sondern den Datenschutz aktiv voran zu treiben. Weiterhin plädiert er dafür, nicht nur personenbezogene Daten, sondern auch kritisches Know-How und Firmengeheimnisse angemessen zu schützen. Zu guter Letzt wies Hertting noch darauf hin, dass frühzeitig auch an den Schutz sensibler Daten zu denken sei, wenn zukünftig mobile BI-Lösungen (Smartphone, Tablet etc.) zum Einsatz kommen sollen.
Seit dem 06.11.2012 wird in Karlsruhe vor dem Bundesverfassungsgericht über eine Verfassungsbeschwerde gegen die sogenannte Antiterrordatei verhandelt. Verfassungsbeschwerde wurde von einem pensionierten Richter erhoben. Die Antiterrordatei beinhaltet die personenbezogenen Daten sowie weiterführende Informationen von potentiellen Terroristen. Sie soll den Datenaustausch zwischen den Polizeibehörden und den Nachrichtendiensten von Bund und Ländern erleichtern. Das Bundesverfassungsgericht prüft, ob ein ungerechtfertigter Eingriff in die Grundrechte der Unverletzlichkeit der Wohnung, des Fernmeldegeheimnisses und in das Recht auf informationelle Selbstbestimmung vorliegt. Ebenfalls werden die Verfassungsrichter darüber entscheiden, ob die Antiterrordatei gegen den Grundsatz der Trennung von Polizei und Nachrichtendiensten verstößt.
Am ersten Verhandlungstag wurden Datenschutzexperten sowie Vertreter von Behörden und Nachrichtendiensten angehört. Auf Seiten der Bundesregierung kamen neben Innenminister Hans-Peter Friedrich die Präsidenten des Bundesnachrichtendienstes, des Bundesamts für Verfassungsschutz und des Bundeskriminalamts zu Wort. Nach einem Bericht der ZEIT-ONLINE habe die Bundesregierung erklärt, dass es sich bei der Antiterrordatei um ein wichtiges Werkzeug zur Bekämpfung des “islamistischen Terrorismus” handele.
Die WAZ berichtete zu Verhandlungsbeginn, dass der Bundesdatenschutzbeauftragte Peter Schaar bezweifele, dass die Antiterrordatei mit dem Grundgesetz vereinbar sei. Ein Urteil wird erst im nächsten Jahr erwartet.
Wer sich kostenlose Apps herunterlädt, sollte dies nicht als wohltätige Zuwendung der Programmierer empfinden. Fast immer “bezahlt” der Nutzer mit Zugriffsrechten auf seine Daten. Nach einer Untersuchung des Netzdienstleisters Juniper Networks besteht bei kostenlosen Apps, die auf Basis der Android-Plattform operieren, ein erhöhtes Risiko für die Daten der Verbraucher. Diese greifen nach Erkenntnissen der Studie besonders häufig auf Standortdaten und Adressbücher der Nutzer zu, häufig ohne funktionelle Notwendigkeit und/oder vorherige Information des Verbrauchers. Juniper analysierte nach eigenen Angaben zwischen März 2011 und September 2012 circa 1,7 Millionen kostenlose und kostenpflichtige Apps unterschiedlicher Themenbereiche des Android-basierten Google Play Markets. Als besonders gefährliche Apps wurden dabei Renn- und Kartenspiele ausgemacht, die auffällig häufig nach SMS- und Anruf-Rechten griffen. Dabei war es jedoch unerheblich, ob diese kostenlos oder kostenpflichtig seien. Ganze 99% der kostenpflichtigen Rennspiele reklamierten unbegründet SMS-Rechts für sich. Dem gegenüber waren es noch ganze 92% bei den kostenlosen. Auch kostenlose Casino-Apps gerieten ins Visier der Untersuchung. 84% forderten unbegründet SMS-Rechte ein, 94% Anruf-Rechte und 84% Kamera-Rechte.
Juniper empfiehlt den Nutzern von Apps vor der Installation abzuwägen, ob die nicht abdingbare Zulassung der Zugriffsrechte durch die schlichte Installation der Apps tatsächlich hingenommen werden wolle oder ob es angesichts der undurchsichtigen Praktiken der Programme nicht von einer Installation Abstand genommen werden solle. Nutzer von iOS-Apps sollten sich angesichts der Ergebnisse der Studie jedoch nicht in Sicherheit wähnen. Eine Untersuchung der Apple-Apps war schlicht nicht möglich, da diese die untersuchten Informationen der Apps schon gar nicht zur Verfügung stellen.
6. November 2012
Am 7. und 8. November wird die 84. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) in Frankfurt (Oder) stattfinden. Thematisiert werden sollen unter anderem die Neuregelung des Datenschutzes in der EU, der neue Internet-Standard IPv6, die elektronischen Übermittlung von Meldedaten an öffentlich-rechtliche Religionsgemeinschaften und an die GEZ sowie der Datenschutz bei der gemeinsamen Verwendung einer zentralen IT-Infrastruktur durch mehrere Stellen. In einer für den 8. November angesetzten Pressekonferenz sollen die Konferenzergebnisse öffentlich vorgestellt werden.
2. November 2012
Das spanische Telekommunikationsunternehmen Telefónica, das in Deutschland mit der Marke o2 vertreten ist, wird nach eigenen Angaben auf die Analyse und Vermarktung von Standortdaten ihrer deutschen Kunden mittels des Programms “Smart Step” verzichten. Man sei zwar überzeugt davon, dass das von Telefónica Dynamic Insights vorgestellte Produkt alle Datenschutzansprüche erfüllt. Bei allen Produkteinführungen gelte jedoch, dass Datenschutz und Kundenzufriedenheit oberste Priorität hat. Nach dem Feedback der Kunden habe man sich entschieden, Smart Steps in Deutschland nicht einzuführen.
Die Webausgabe des amerikanischen Technologie-Magazins Wired berichtet über eine ebenso bemerkenswerte wie denkwürdige Sicherheitslücke in der E-Mail-Nutzung des US-Unternehmens Google, die unter kurios anmutenden Umständen entdeckt wurde.
Auslösendes Momentum war nach dem Bericht eine E-Mail, welche sich unerwartet im Post-Eingang des US-amerikanischen Mathematikers Zachary Harris befand und diesem völlig unerwartet eine Stelle beim Online-Big-Player Google offerierte. Dieser, ob des überraschenden Angebots skeptisch, soll die Authentizität des Absenders anhand der Informationen im Header der E-Mail geprüft, jedoch keine Fehler festgestellt haben. Dabei sei ihm jedoch aufgefallen, dass Google offenbar einen schwachen Signatur-Schlüssel für die tatsächlich aus ihrem Haus ausgehenden E-Mails verwendet. Das dazu von Google verwendete Verfahren DomainKeys Identified Mail (DKIM) sei dabei gängiger Standard und diene der Sicherstellung der Authentizität von E-Mail-Absendern. Entgegen der allgemein als Mindestmaß für eine sichere Verschlüsselung geltenden 1024-Bit-Schlüssel nutzt Google jedoch laut Harris nur einen 512-Bit-Schlüssel, der nicht hinreichend sicher gilt und die Möglichkeit ermöglicht, E-Mails zu fälschen und sich als der vermeintliche Absender auszugeben. Der Wissenschaftler habe jedoch nicht an ein Versehen geglaubt und die offenbarte Sicherheitslücke als ersten Bewerbungstest verstanden. Harris habe daher den Code geknackt und anschließend eine Mail an Google-Chef Larry Page gesendet. Als Absender habe er jedoch nicht sich selber eingesetzt, sondern den Google-Mitbegründer Sergey Brin. Schlussendlich habe er Vorkehrungen getroffen, dass eine mögliche Antwort ebenfalls in seinem Postfach landen würde. Diese sei jedoch ausgeblieben.
Eine Sprecherin von Google soll die Sicherheitslücke inzwischen gegenüber dem Online-Portal Wired eingestanden haben. Diese sei jedoch sehr ernst genommen worden und inzwischen durch die Einsetzung verlängerter Schlüssel behoben.
Der
rheinland-pfälzische Landesdatenschutzbeauftragte (LDI RlP) Edgar Wagner
äußerte anlässlich der
jüngst bekannt gewordenen “Vermarktungsstrategie” des spanischen Mobilfunkanbieters
Telefónica, zu dem auch das Unternehmen
o2 gehört, Kritik. Der Telekommunikationkonzern plane durch das Projekt “
Telefonica Dynamic Insight” Ortungsdaten von seinen Kunden, die Aufschluss geben, wann und wie lange sich ein Kunde – auch ohne zu telefonieren – aufhält, wirtschaftlich zu verwerten. Ermöglicht werde dies durch einen neuen unscheinbare anmutenden Passus im Vertragswerk des Mobilfunkanbieters, wonach o2 zukünftig nicht nur die Vertragsdaten (z.B. Anschrift, Bankverbindung und Ausweisnummer), sondern auch die bei der Mobilfunknutzung anfallenden Verkehrsdaten zu Vermarktungszwecken nutzen will. Zu diesen Daten würden neben den Nummern der Gesprächspartner auch die Standortdaten der Nutzer zählen. Schon jetzt werbe o2 seinen Werbekunden gegenüber mit dem Angebot: “Mit Telefónica Dynamic Insights können Sie ab jetzt sehen, wohin sich Kunden bewegen, während sie sich bewegen. Sie erfahren, wo Ihre potenziellen Kunden wirklich sind, wann sie da sind – und wie oft.”
Es müsse ausgeschlossen werden, dass höchstpersönliche Informationen meistbietend veräußert werden – dem Supermarkt von nebenan, dem PR-Konzern, vielleicht aber auch dem eigenen Arbeitgeber oder dem misstrauischen Ehegatten, kommentiert Wagner dieses Angebot. Da die Einführung des Vermarktungssystems in Deutschland bereits angekündigt wurde, rät Wagner den Kunden von o2 schnell zu handeln. Es solle gegenüber o2 protestiert werden und man solle der Nutzung ihrer Daten zu Werbezwecken ausdrücklich widersprechen. “Der Kampf um die wirtschaftliche Vermarktung der Kundendaten ist in vollem Gange. Jetzt heißt es für die Verbraucherinnen und Verbraucher, aufmerksam zu sein und dem Handel mit den eigenen Daten einen Riegel vorzuschieben. Solange der Gesetzgeber nicht wirksam einschreitet, muss jeder selbst für den Schutz seiner Daten eintreten.”, so Wagner.
31. Oktober 2012
“Wir waren uns einig, dass Cloud-Computing nicht zu Lasten des Datenschutzes gehen darf. Die Internationale Datenschutzkonferenz fordert Anbieter und alle anderen Beteiligten auf, ein hohes Datenschutzniveau für Cloud Computing-Dienste zu gewährleisten. Die Nutzer derartiger Dienste, insbesondere Unternehmen und öffentliche Stellen müssen sich vergewissern, dass die Cloud-Dienste ein ausreichendes Datenschutzniveau garantieren, sofern personenbezogene Daten verarbeitet werden sollen. Anbieter müssen für mehr Transparenz sorgen. Zudem müssen datenschutzrechtliche und -technische Anforderungen frühzeitig berücksichtigt werden (privacy by design). Eine grenzüberschreitende Datenverarbeitung setzt internationale Datenschutzstandards voraus. Die Datenschutzbehörden haben bereits entsprechende Entwürfe vorgelegt. Wir sind bereit, an deren Erarbeitung weiterhin mitzuwirken.”, so Schaar.
Die Datenschutzbeauftragte von Kanada (Privacy Commissioner of Canada) Stoddart und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in Deutschland (BfDI) Schaar haben eine gemeinsame Vereinbarung unterzeichnet, um ihre gegenseitige Zusammenarbeit in der grenzüberschreitenden Datenschutzaufsicht zu stärken.
Die Vereinbarung sieht nach einer Mitteilung des BfDI vor, dass beide Datenschutzbehörden im Rahmen ihrer Aufsichtstätigkeit Informationen austauschen und sich über wichtige Ereignisse oder Beschwerden gegenseitig unterrichten. In konkreten Fällen soll es damit künftig ermöglicht werden, auch koordinierte datenschutzrechtliche Aufsichtsverfahren beider Behörden durchzuführen, um den Schutz der Betroffenen unabhängig vom Ort der Datenverarbeitung zu gewährleisten. Die kanadischen und deutschen Datenschützer haben sich nach eigenen Angaben außerdem zum Ziel gesetzt, die Kooperation mit weiteren Datenschutzbehörden in aller Welt auszubauen.
“Deutschland hat den beneidenswerten Ruf, eine Führungsrolle beim Schutz der Privatsphäre und der personenbezogenen Daten einzunehmen. Ich freue mich sehr, in Berlin zu sein, um diese wichtige Vereinbarung für die Erleichterung der Zusammenarbeit zwischen unseren Behörden zu unterzeichnen. In einer Welt, in der Fragen des Datenschutzes keine Landesgrenzen kennen, müssen wir zur Sicherstellung unserer gemeinsamen Interessen zusammenarbeiten.”, so Stoddart.
30. Oktober 2012
Wie Heise-Online berichtet besteht bei diversen Apps des Betriebssystems und der Software-Plattform Android ein erhebliches Problem mit der SSL-/TLS-Verschlüsselung. Das Online-Portal bezieht sich dabei auf eine Studie von Forschern der Leibniz-Universität in Hannover in Kooperation mit der Philipps-Universität Marburg. Diese hatten Android-Apps untersucht und dabei festgestellt, dass über 1.000 der 13.500 beliebtesten Anwendungen des im zweiten Quartal 2012 mit 68,1 % weltweiten Marktanteil stärksten Marktteilnehmers eine fehlerhafte oder unsichere Verschlüsselung aufwiesen. Die Ergebnisse veröffentlichten die Wissenschaftler in dem Paper „Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security“.
Konkret wurden 100 Android-Apps eingehender von den Forschern unter die Lupe genommen, wobei zunächst die Codes der Apps statistisch nach typischen Anzeichen für unzureichende Überprüfung der Zertifikate, die die Identität des Kommunikationspartners zertifizieren müssen, untersucht wurden. Da sich dabei noch nicht feststellen lässt, ob tatsächlich der gefundene Code zum Einsatz kommt, wurden im Anschluss sogenannte Man-In-The-Middle-Attacken durchgeführt, um die verschlüsselte Verbindung aufzubrechen. Dabei wurde festgestellt, dass 41 der untersuchten Apps anfällig für Angriffe waren. Den Forschern gelang es über diese Apps Zugriff auf Bank- und Kreditkartenkonten sowie an Zugangs-Tokens für Email-Konten, Facebook-Konten und Messaging-Services zu erlangen. 20 Apps akzeptierten dabei schlicht jedes Zertifikat, die restlichen 21 kontrollierten zwar die Gültigkeit der Unterschrift des Zertifikats, nicht jedoch ob dieses auch auf den richtigen Namen ausgestellt war.
Besondere Beachtung war nach dem Bericht von Heise dabei dem plakativen Umstand zu schenken, dass es den Forschern gelang, Zoner AntiVir für Android eine gefälschte Signatur unterzuschieben, durch welche sich das Programm anschließend selbst als Bedrohung einstufte und die eigene Löschung anbot.
Pages: 1 2 ... 232 233 234 235 236 ... 275 276 
