Hacking-Angriff auf Deutsche Telekom

28. September 2012

Nach einem Bericht des Nachrichtenportals Spiegel-Online kam es in der Zeit zwischen dem 3. und 6. September 2012 zu einem massiven Hacking-Angriff auf die Deutsche Telekom AG. Ziel des Angriffs durch eine bislang noch unbekannte Hacker-Gruppe, war die Lahmlegung der DNS-Server der Telekom. Diese sind dafür zuständig, einer URL, also der durch den Nutzer in die Adresszeile eingegebe Web-Adresse (z.B.: www.datenschutzricker.de ) die IP (eine Ziffernfolge) der gewünschten Website zuzuweisen. Ein Ausfall der DNS-Server hätte zur Folge gehabt, dass Internetseiten nur noch über ihre jeweilige IP-Adresse erreichbar und somit für alle von einem DNS-Server der Telekom abhängigen Nutzer faktisch nicht mehr auffindbar  gewesen wären. Der Sicherheitszentrale der Telekom gelang es jedoch den Angriff abzuwehren. Auch wenn dieser “massiv und ungewöhnlich” gewesen sei, habe man die Situation zu jeder Zeit unter Kontrolle gehabt.

Die Deutsche Telekom erstatte anschließend umgehend Anzeige bei der zuständigen Staatsanwaltschaft in Bonn wegen eines “Angriffs auf kritische Infrastruktur”. Dabei gelang des den Sicherheitsexperten der Telekom bereits den Angriff zu einem deutschen Rechenzentrum zurück zu verfolgen. Der Betreiber des Rechenzentrums reagierte jedoch bislang nicht auf Kontaktversuche. Zusätzlich hat sich das Bundeskriminalamt in die Ermittlungen gegen die bislang noch unbekannten Täter und den Betreiber des Rechenzentrums eingeschaltet.

Melderegister: Lukratives Geschäft mit den Bürgerdaten

Medienangaben zufolge war das Jahr 2011 ein für die großen deutschen Städte sehr erfolgreiches Jahr, soweit man die Zahl der Auskünfte und Einnahmen von Einwohnermeldedaten heranzieht. Insgesamt soll im vergangenen Jahr etwa 4,5 Millionen Auskunftsersuchen nachgekommen sein und damit über 12 Millionen Euro Umsatz gemacht worden sein, der kausal auf das Melderechtsrahmengesetz (MRRG) zurückzuführen sei.

Jeder Bürger ist nach dem MRRG verpflichtet, einen Wohnortwechsel der Meldebehörde mitzuteilen (§ 11 Abs. 1 MRRG). Die von der Meldebehörde erhobenen und gespeicherten personenbezogenen Daten sind dabei umfangreicher, als es sich auf den ersten Blick vermuten lässt. Gemäß § 2 Abs. 1 MRRG sind neben dem Namen und der Anschrift etwa auch Daten zu Geburtstag und –ort, dem ggf. vorhandenen gesetzlicher Vertreter, Staatsangehörigkeiten, der Zugehörigkeit zu einer Religionsgemeinschaft, dem Familienstand und der Familienverhältnisse gespeichert. Einen bestimmten Teil dieser Daten, namentlich den Vor- und Familiennamen, einen ggf. vorhandenen Titel sowie die Anschrift dürfen die Melderegister gemäß § 21 Abs. 1 MRRG an Unternehmen und Private herausgeben.

Davon werde rege Gebrauch gemacht. Allein Berlin soll 2011 fast 1,1 Millionen einfachen Melderegisterauskünften nachgekommen sein ,was zu Einnahmen in Höhe von  1,3 Millionen Euro geführt habe. Hamburg könne mit knapp 230.000 Auskünften sogar 1,9 Millionen Euro an Einnahmen verbuchen. Ein großer Teil der Auskunftsersuchen komme i.d.R. von Unternehmen. Genauere Angaben über das Ausmaß und die Art der übermittelten Daten sowie an welche Stellen die Daten übermittelt werden, sollen die meisten Städte jedoch nicht liefern.

Die Übermittlung der Daten durch die Meldebehörden unterliegt nicht den im Datenschutz sonst vorherrschenden Grundsätzen, nach denen eine Datenübermittlung nur dann zulässig ist, wenn der Betroffene eingewilligt hat oder enge gesetzliche Ausnahmetatbestände greifen. Möglich macht dies das MRRG. Der Betroffene kann die Übermittlung lediglich durch die in den in § 21 Abs. 5 und 7 MRRG bestimmten Fällen verhindern. Mit der Schaffung des neuen Bundesmeldegesetzes besteht nach dem aktuellen Stand der Entwurfsfassung sogar die Gefahr, dass die bisher bestehenden gering ausgeprägten Widerspruchsmöglichkeiten des Bürgers noch weiter eingeschränkt werden. Es besteht jedoch Grund zur Hoffnung, dass der Bundesrat, der dem Gesetzesentwurf zustimmen muss, das Gesetz in dieser Form nicht passieren lassen wird. In seiner Sitzung vom 21. September 2012 hat der Bundesrat dann auch die Anrufung des Vermittlungsausschusses beschlossen, so dass mit weiteren Änderungen gerechnet werden kann.

Kategorien: Allgemein
Schlagwörter: , , ,

Bundeskabinett: E-Government-Gesetz beschlossen

27. September 2012

Vergangene Woche hat die Bundesregierung nach Angaben des Bundesministerium des Inneren (BMI) den Gesetzentwurf zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften im Kabinett beschlossen. Mit Hilfe des Gesetzes sollen Bürger und Unternehmen künftig einfacher und schneller mit der Verwaltung kommunizieren können. Der Gesetzentwurf schafft nach Angaben des BMI die rechtlichen Voraussetzungen dafür, dass die Verwaltung den Auf – bzw. weiteren Ausbau von E-Government-Angeboten voranbringen kann. So regele er beispielsweise, wie die persönliche Unterschrift auf einem Blatt Papier ersetzt werden kann, etwa durch die Einbindung der Onlineausweisfunktion des neuen Personalausweises oder die Verwendung von De-Mail. Elektronische Nachweise müssen danach nicht mehr von den  Bürgern erbracht werden, sondern können von den Behörden abgerufen werden. Durch elektronische Bezahlverfahren werde die Einzahlung vor Ort hinfällig. Zeitaufwendige Behördenbesuche könnten so vermieden werden.

Die elektronischen Dienste ermöglichen es in Zukunft jedem, seine Verwaltungsangelegenheiten im privaten, ehrenamtlichen und beruflichen Alltag rund um die Uhr im Internet zu erledigen. Damit leistet die Bundesregierung einen wichtigen Beitrag zur Bewältigung des demografischen Wandels, zum Bürokratieabbau sowie zur Modernisierung der Verwaltung”, betonte Bundesinnenminister Friedrich. Mit Hilfe von elektronischen Verwaltungsdiensten werde in ländlichen Räumen schon bald eine für alle leicht zugängliche Verwaltungsinfrastruktur angeboten. Überflüssige Bürokratie werde entfallen

Den Bürgen sollen zeitnah von Bund, Länder und Kommunen nutzerfreundliche und kundenorientierte Verwaltungsdienste angeboten werden. Wert werde dabei auf serviceorientierte, transparente Verfahren gelegt. Es bestehe aber keine gesetzliche Verpflichtung zur Nutzung der elektronischen Kommunikation – jeder soll seine Verwaltungsangelegenheiten weiterhin persönlich oder am Telefon abwickeln können.

Kategorien: Allgemein
Schlagwörter: ,

Inbetriebnahme von Rechtsextremismusdatei (RED)

26. September 2012

Am vergangenen Mittwoch ist Medienberichten zufolge die Rechtsextremismusdatei (RED, Neonazidatei) in Betrieb genommen worden. In dieser Datei werden zentral Daten zusammengeführt, die in anderen Dateien und Informationssystemen von Behörden, u.a. der Verfassungsschutzämter oder des Militärischen Abschirmdienstes, gespeichert sind. Werden der besonderen Geheimhaltung unterliegende Daten abgefragt, wird die verwaltende Behörde per E-Mail alarmiert und muss dann Kontakt mit der abfragenden Behörde zwecks Abstimmung und Freigabe aufnehmen. Es soll mittels dieser Datei ermöglicht werden, schneller Verbindungslinien aufzudecken und regionale Bezugspunkte offenzulegen. Insgesamt 36 Behörden sollen RED benutzen und mit Daten versehen.

Kategorien: Allgemein
Schlagwörter:

Meldegesetz: Weitere Kritik an der Position des Bundesrates

25. September 2012

Medienberichten zufolge mehren sich die kritischen Stimmen von Daten- und Verbraucherschützern gegenüber der Position des Bundesrates zum neuen Meldegesetz („Gesetz zur Fortentwicklung des Meldewesens“). Nach der neuesten Ausschussempfehlung des Bundesrats wird  zwar wieder eine Opt-in-Lösung favorisiert, allerdings sollen nicht die Meldeämter die Einwilligung in die Datenweitergabe einholen, sondern die Unternehmen, die Werbung und Adresshandel betreiben. Diese wären nur verpflichtet, auf Verlangen der Meldebehörde dieser entsprechende Nachweise vorzulegen. U. a. das Aktionsbündnis „Meine Daten sind keine Ware“ fordert  hingegen, dass der Betroffene direkt bei der Meldebehörde einwilligen können muss, wenn er mit der Weitergabe seiner Daten für Werbung und Adresshandel einverstanden ist. Auch sei der Widerruf einer Einwilligung an die Meldebehörde, als datenschutzrechtlich verantwortliche Stelle, zu richten. Alles andere sei eine Förderung des Datenhandels und schlichtweg eine Benachteiligung der Bürger. Die Deutsche Vereinigung für Datenschutz e.V. sieht in dem Vorstoß des Bundesrates einen „entschiedenen Rückschritt beim Datenschutz“, der aller Voraussicht nach zudem nicht mit dem EU-Recht zu vereinbaren ist.

Facebook schaltet Gesichtserkennung in Europa ab

Unmittelbar nach dem Erlass einer Verwaltungsanordnung durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Johannes Caspar hat das Social Network Facebook nun hinsichtlich der umstrittenen Gesichtserkennung einlenkt und sich bereit erklärt, bis zum 15. Oktober alle bisher erstellten Nutzerprofile zu löschen. Dies teilte die, wegen des dort ansässigen Hauptquartiers, für Facebook Europa zuständige irische Datenschutzbehörde am Freitag mit. Facebook-Europa-Chef Richard Allen äußerte sich der dpa gegenüber jedoch optimistisch: “Wir glauben weiter, dass man Gesichtserkennung in Europa legal anbieten kann”. Zunächst sei das Verfahren jedoch bereits jetzt für alle Nutzer in Europa gestoppt worden. Nach einer datenschutzrechtlichen Überarbeitung ist Facebook jedoch bestrebt die Gesichtserkennung wieder zu integrieren.

Es erscheint jedoch fragwürdig, dass das Einlenken von Facebook in einem direkten Zusammenhang mit der erlassenen Verwaltungsanordnung steht. Vielmehr ist dies auf das Bestreben der irischen Datenschutzbehörde zurückzuführen sein. Diese hat nach langer und intensiver Auseinandersetzung mit Facebook und der Thematik, unter Hinzuziehung anderer europäischer Datenschutzbehörden, als zuständige Behörde gegenüber dem US-Unternehmen Stellung bezogen, und die Gesichtserkennung als nicht datenschutzkonform deklariert. Allan erklärte zwar, die Gesichtserkennung sei ausdrücklich als “nicht illegal” erkannt worden, es erfolgte jedoch die nachdrückliche Empfehlung seitens der Behörde, das Verfahren dahingehend umzustellen, den Nutzer durch eine vorherige Zustimmung zu der Funktion in das Verfahren einzubinden.

Gary Davis, Vize-Chef der irischen Datenschutzbehörde, zeigte sich zufrieden. Mit der Entscheidung “die Uhr neu zu starten”, seien nun alle Probleme mit der Funktion ausgeräumt. Kritik kam seitens der Wiener Studenten-Initiative “Europe-v-Facebook“. Diese bemängelte in einer Stellungnahme, dass der Bruch bestehender Datenschutz-Gesetze für Facebook nun letztlich doch ohne wirkliche Konsequenzen bleiben würde. Der Effekt der Abschaltung der Gesichtserkennung sei jedoch begrüßenswert.

 

Kategorien: Social Media
Schlagwörter: ,

HmbBfDI: Verwaltungsanordnung gegenüber Facebook wegen Gesichtserkennung

24. September 2012

Die vom Social Network Facebook integrierte Gesichtserkennung steht seit langem als rechtswidrig in der Kritik. Das Verfahren schlägt Nutzern mögliche Verlinkungen von Personen auf Fotos vor, welche durch einen biometrischen Abgleich ermittelt wurden. Nun hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar (HmbBfDI), wie durch einen Pressemitteilung bekannt geben wurde, gegenüber Facebook eine Verwaltungsanordnung erlassen, welche das Unternehmen dazu verpflichtet, die Gesichtserkennung auch rückwirkend datenschutzkonform zu gestalten und sicherzustellen, dass nur mit der aktiven Zustimmung der bereits registrierten Nutzer biometrische Profile erzeugt und dauerhaft gespeichert werden. Zudem müssen diese zuvor umfassend über die Risiken des Verfahrens aufgeklärt werden. Facebook hat nun einen Monat lang Zeit gegen den Bescheid Widerspruch einzulegen, bevor dieser rechtskräftig wird. Anschließend sind die Anforderungen umzusetzen. Geschieht dies nicht fristgerecht, müssen die erhobenen Daten gelöscht werden.

Die Anordnung war nötig geworden, da Facebook auch nach langwierigen und intensiven Verhandlungen nicht bereit war, aus freien Stücken das Verfahren europäischen Datenschutzanforderungen anzupassen. Caspar dazu: „Ich bedaure, dass Facebook nicht willens ist, den europäischen Standard bei der Nutzung digitaler Bilder zur Erstellung biometrischer Profile umzusetzen. Die erlassene Anordnung basiert auf den von den europäischen Datenschutzbeauftragten gemeinsam erarbeiten Anforderungen. Ziel der Anordnung ist es im Übrigen nicht, den Einsatz dieser Technologie zu verhindern, sondern den Nutzerinnen und Nutzern Instrumente an die Hand zu geben, die ihnen eine bewusste und aktive Entscheidung für oder gegen eine Teilnahme an dieser nicht unproblematischen Technologie ermöglicht.“

Wegen der örtlichen Zuständigkeit gilt die Anordnung zunächst nur bezüglich Nutzern aus Hamburg. Andere deutsche Aufsichtsbehörden planen indes gleichlautende Anordnungen zu erlassen.

ULD: Persönlichkeitsschutz bei Suchmaschinen ist möglich

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat sich – anlässlich der Thematisierung des Persönlichkeits- und Datenschutzes im Internet im Rahmen des  69. Deutschen Juristentages und anlässlich eklatanter Verletzungen des Persönlichkeitsrechts im Internet, wie bei der Nutzung von Suchmaschinen in den Fällen Bettina Wulff oder Max Mosley – für die Neuregelung des Datenschutzes im Internet nebst Anpassung an die technischen Gegebenheiten ausgesprochen. Dennoch weise man darauf hin, dass Betroffene auch heute nicht schutzlos sind. Erkläre eine betroffene Person gegenüber einer für die Datenverarbeitung verantwortlichen Stelle gemäß § 35 Abs. 5 Bundesdatenschutzgesetz bzw. nach entsprechendem europäischen Recht seinen Widerspruch gegen eine Datenverarbeitung bzw. speziell gegen eine Veröffentlichung im Internet, müsse von dieser Stelle eine Überprüfung erfolgen und im Fall des Überwiegens schutzwürdiger Interessen wegen der “besonderen persönlichen Situation” eine Beendigung der Beeinträchtigung erfolgen, so der Leiter des ULD Weichert. Dies gelte auch für Google beim Betreiben ihrer Suchmaschine und dem Einsatz der Funktion “Autocomplete” (Bettina Wulff) oder dem Anzeigen von intimen Bildern durch Suchanfragen zu einem Namen (Max Mosley). Neben der Verantwortlichkeit von Stellen, die Daten ins Netz einstellen, begründe außerdem die Kenntniserlangung von einem Datenschutzverstoß durch einen Suchmaschinenbetreiber eine eigene Verantwortlichkeit. Dieser könne sich nicht auf die Meinungsäußerungsfreiheit von sich oder anonymen Dritten berufen, wenn der Datenschutzverstoß offensichtlich ist – so wie es bei den Fällen „Wulff“ und „Mosley“ gewesen sei. Voraussetzung dafür wäre, dass der Betreiber der Schutzanforderung des Betroffenen technisch nachkommen kann. Dies treffe bezüglich der Autocomplete-Funktion und dem Sperren bestimmter Bilddarstellungen durch Google zu. Diese Rechte bestünden nicht nur zugunsten von Promis, sondern für alle Menschen in Europa, deren Persönlichkeitsrechte im Internet verletzt werden. Googles Weigerung, den Datenschutzanforderungen von Betroffenen zu folgen, habe nicht die Verhinderung von Zensur zum Ziel, sondern die Beibehaltung eines Geschäftsmodells, das “Datenschutzverstöße in Kauf nehme“.

Einsatz großer Lauschangriffe im Jahr 2011

21. September 2012

Nach einer nun veröffentlichten Unterrichtung der Bundesregierung, die auf Basis einer Statistik des Bundesamts für Justiz erstellt wurde, haben im Jahr 2011 Gerichte in zehn Verfahren die Überwachung von Wohnungen mittels technischer Mittel (sog. große Lauschangriffe) angeordnet, wie heise online nun berichtete. Das Bundeskriminalamt soll zur Gefahrenabwehr drei solcher Lauschangriffe  in zwei Verfahren durchgeführt haben. Die Anzahl der Wanzeneinsätze sei zwar weiter auf niedrigem Niveau geblieben, im Vergleich zum Jahr 2010 aber deutlich angestiegen. Die Strafverfolgungsmaßnahmen seien zur Aufklärung schwerer Straftaten ergriffen worden, wobei es sich um den Vorwurf der Bildung krimineller oder terroristischer Vereinigungen (§§ 129, 129a Strafgesetzbuch) sowie den Vorwurf des Begehens von Kapitaldelikten (§§ 211, 212 Strafgesetzbuch) gehandelt habe. Die Wohnraumüberwachungen zur Gefahrenabwehr seien mit länderübergreifenden Gefahren des internationalen Terrorismus begründet worden. Sie sollen im Schnitt zwischen einem und 130 Kalendertagen angedauert haben.

BKA: Stärker werdende Bedrohung durch Cybercrime

20. September 2012

Nach dem jüngst veröffentlichten Lagebericht Cybercrime 2011 des Bundeskriminalamts (BKA) wächst die Bedrohung durch Cyberkriminalitiät (Cybercrime) trotz stagnierender Fallzahlen konstant an. In 2011 seien rund 60.000 Fälle von Internet-Kriminalität registriert worden, der verursachte Schaden sei allerdings um 16 Prozent auf schätzungsweise 71,2 Millionen Euro gestiegen, so der Präsident des BKA Zierke. Die größte Straftatengruppe sei dabei der Computerbetrug gewesen: Mit Phishing-Mails und dem missbräuchlichen Einsatz von Kreditkartendaten sei ein Schaden von rund 50 Millionen Euro entstanden. Problematisch sei außerdem, dass die Dunkelziffer bei der Verfolgung von Cybercrime besonders hoch sei, was unter anderem an dem gering ausgeprägten Anzeigeverhalten von betroffenen Unternehmen – u.a. aus Angst vor Imageschäden – liege. Um das unbefriedigende Anzeigeverhalten zu verbessern, haben die Polizeibehörden der Länder und das BKA „Handlungsempfehlungen für die Wirtschaft in Fällen von Cybercrime“ erarbeitet, die den betroffenen Unternehmen konkrete Hinweise zum Verhalten bei Cyberangriffen geben und zudem Unsicherheiten im Zusammenhang mit der Anzeige solcher strafrechtlich relevanten Vorfälle nehmen sollen.

Kategorien: Allgemein
Schlagwörter: ,
1 242 243 244 245 246 281