10. Juni 2011
Die Serie von Hacking-Angriffen setzt sich fort: Nun hat die US-Großbank Citigroup bekannt gegeben, dass unbekannte Hacker eine Sicherheitslücke bei dem Dienst “Citi Account Online” aufgespürt und sich so erfolgreich Zugriff auf deren Datenbank verschafft haben. Von etwa 200.000 US-Kunden konnten auf diese Weise Kreditkartendaten neben Kontaktdaten kopiert werden. Nach Angaben der Bank sollen nur Kreditkarten- und nicht die Bankarteninhaber Ziel des Angriffs gewesen sein. Die Strafverfolgungsbehörden seien umgehend eingeschaltet worden und derzeit informiere man die Betroffenen.
Update:
Reuters gegenüber räumte die Citigroup mittlerweile ein, dass der Vorfall 360.083 nordamerikanische Kreditkartenkunden betraf und 217.657 Kreditkarten neu ausgestellt werden mussten.
Ein Sicherheitsexperte gab gegenüber der New York Times an, dass der unberechtigte Zugriff durch die einfache Manipulation eines URL-Parameters gelang. Hierzu loggten sich die Angreif zunächst mit einem gültigen Account in den Kundenbereich für Kreditkartenkunden ein. Im Anschluss daran genügte es, einfach eine Nummer in der URL der Website zu verändern, um Zugriff auf die Daten anderer Kunden zu erhalten. Dieses Vorgehen konnten die Hacker mit Hilfe eines Skripts automatisieren, was die große Zahl der Betroffenen erklärt.
Update 2:
Nach einer Meldung des Wall Street Journals haben die Hacker mittlerweile damit begonnen, Profit aus ihrem Treiben zu schlagen und circa 2,7 Millionen US-Dollar von ungefähr 3.400 betroffenen Konten transferiert. Bereits zuvor hatte die Citigroup angekündigt, eventuell entstehende Schäden zu ersetzen. (se)
9. Juni 2011
Seit wenigen Tagen setzt das soziale Netzwerk Facebook nun auch außerhalb der USA eine Software zur automatischen Gesichtserkennung ein, die sich hinter der Funktion “Fotos: Markierungen vorschlagen” verbirgt. Werden Fotos hochgeladen, können bereits getaggte Personen erkannt und deren Name vorgeschlagen werden. Der User soll auf diese Weise einfacher und schneller Bekannte sowie sich selbst auf Fotos finden können. Möchte der User nicht, dass Fotos automatisch erkannt werden, ist diese standardmäßig aktivierte Funktion zu deaktivieren (sog. Opt-Out-Verfahren). Auf die Einholung einer expliziten Einwilligung wird mithin verzichtet, was aus datenschutzrechtlichen Aspekten heraus bedenklich ist. Ebenso kann bezweifelt werden, ob der User hinreichend transparent über den Einsatz der Software informiert wurde/wird. Bislang hat Facebook lediglich einen alten Blogeintrag zur automatischen Gesichtserkennung aktualisiert und dabei auf den nunmehr internationalen Einsatz der Software hingewiesen.
8. Juni 2011
Aus Sicht des Bayerischen Landesamtes für Datenschutzaufsicht ist das im April einer breiten Öffentlichkeit bekannt gewordene Datenschutzproblem bei Apples iOS, welches auf populären Geräten wie dem iPhone 4 oder dem iPad läuft, mittlerweile behoben.
Apples Betriebssystem iOS speicherte dabei in großem Umfang Standortinformationen zu nahegelgenen WLAN-Zugangspunkten und Mobilfunkmasten mit einem Zeitstempel auf den Geräten der Nutzer ab. Durch ein Auslesen der Daten, welche nicht durch den Nutzer gelöscht werden konnten, waren Rückschlüsse auf den Standort des Geräts zu einem bestimmten Zeitpunkt möglich. Somit ließ sich zumindest für das Gerät ein relativ genaues Bewegungsprofil erstellen.
Das von Apple als Programmierfehler bezeichnete Verhalten wurde durch ein Softwareupdate vom 03. Mai abgestellt. Nunmehr verbleiben keinerlei Geodaten im lokalen Zwischenspeicher (Cache) der Apple-Geräte, wenn die Funktion “standortbezogene Dienste” ausgeschaltet wird. Selbst bei eingeschalteter Funktion “standortbezogene Dienste” speichert das Gerät die Standortdaten nur noch bis zu sieben Tagen, während diese zuvor bis zu einem Jahr vorgehalten wurden. Mit einer zukünftigen Version seines iOS Betriebssytems möchte Apple die Daten noch zusätzlich auf dem Gerät verschlüsseln, was ein Auslesen der Daten unmöglich machen würde.
Die ergriffenen Maßnahmen sieht das Landesamt als ausreichend an. Da es für einen konkreten Missbrauch der Daten keine Anhaltspunkte gibt und datensicherheitsrechtliche Verstöße als solche nicht bußgeldbewehrt sind, gibt es aus Sicht des Landesamtes für die Einleitung eines Bußgeldverfahrens keinen Anlass. (se)
Der 8. Juni 2011 wurde von der Internet Society (ISOC) zum internationalen “World IPv6 Day” erklärt. Am heutigen Tag sollen bestimmte Internetseiten im Rahmen eines 24-stündigen Testlaufs auch über das neue Internetprotokoll IPv6 – anstelle lediglich des herkömmlichen, aus dem Jahre 1980 stammenden IPV4-Protokolls – erreichbar sein. Anbieter von Internetsoftware und -diensten sollen durch diese Aktion motiviert werden, Produkte und Dienstleistungen den neuen technischen Standards anzupassen. Außerdem sollen durch den Testlauf etwaige Kommunikationsengpässe identifiziert werden und aufgedeckt werden, welche Teilnetze um das neue Protokoll ergänzt werden müssen.
Bereits seit einiger Zeit wird zur Eile beim Umstieg auf eine neuere Internetprotokoll-Version gedrängt. Hintergrund dessen ist, dass bis voraussichtlich Ende 2011 keine Adressen des Internetprotokolls IPv4 mehr bei den Regionalorganisationen der Internet Assigned Numbers Authority (IANA) verfügbar sein werden. Unter IPv4 konnten etwa vier Milliarden IP-Adressen bereitgestellt werden, mit dem neuen Protokoll IPv6 werden hingegen 340 Sextillionen IP-Adressen zur Verfügung stehen.
7. Juni 2011
Die Philippinen sind auf den ersten Blick kein Land, das für die deutschen Wirtschaftsbeziehungen von besonderer Bedeutung ist. Im Hinblick auf die Globalisierung, insbesondere auch im Bereich der Auftragsdatenverarbeitung, lohnt sich jedoch auch ein Blick auf vermeintliche geografische Randgebiete. Nachdem die neuen strengen Datenschutzregelungen Indiens sowohl dort selbst als auch im Ausland bereits für einigen Diskussionsstoff gesorgt haben, erfährt der Bereich Datenschutz nun auch in anderen Gegenden Asiens wie den Philippinen verstärkt Aufmerksamkeit. Anknüpfungspunkt ist auch dort weniger der Persönlichkeitsschutz als vielmehr wirtschaftliche Gründe. Potentielle Investoren, speziell aus den USA und Europa werden von allzu mangelhaften Datenschutzvorkehrungen nämlich abgeschreckt und eine positive Entwicklung für den BPO Sektor (Business Process Outsourcing), der auf den Philippinen eine erhebliche Rolle auf dem Beschäftigungssektor spielt, wird dadurch verhindert. Insbesondere das Problem des „Datendiebstahls“ stellt dort einen Risikofaktor dar.
Um diese Besorgnisse aus dem Ausland zumindest mildern zu können, sollen daher nun verschiedene datenschutzbezogene Gesetze, das Datenschutzgesetz, das Gesetz zur Errichtung eines Ministeriums für Informations- und Kommunikationstechnologie (DICT) sowie das Gesetz zur Vorbeugung von Internet – Kriminalität, verabschiedet werden. Trotz bereits erfolgter Beratung steht die endgültige Verabschiedung momentan jedoch noch aus.
Auch wenn der Gesetzesentwurf zum Datenschutzgesetz primär die BPO – Industrie begünstigt, wird jedoch auch ein Schutz von Privatpersonen, deren personenbezogene Daten bei Behörden oder Firmen gespeichert sind, bezweckt. Sollte der Entwurf verabschiedet werden, dürfte künftig keine Stelle mehr, unabhängig davon ob staatliche Behörde oder privatwirtschaftliche Firma, persönliche Informationen von Kunden oder Bürgern ohne vorheriges Einverständnis der Betroffenen weitergeben.
Es bleibt abzuwarten, wie stark sich das Datenschutzlevel von Entwicklungs- und Schwellenländern in der nächsten Zeit erhöht. Festzustellen ist jedenfalls, dass die höheren, wenn auch noch nicht unbedingt ausreichenden, Datenschutzregelungen der Industrienationen spürbare Auswirkungen auf das Datenschutzbewusstsein in anderen Ländern haben. Nicht zu vergessen ist im Datenschutz letztlich jedoch auch die technische Komponente. Denn unabhängig von dem Schutzniveau der Gesetze zeigte sich schließlich erst kürzlich bei erfolgreichen Hacker – Angriffen auf Sony oder Nintendo, wie anfällig selbst die Systeme weltweit agierender Konzerne sind, bei denen man aufgrund der finanziellen Mittel eigentlich von einer besonderen Sicherheit sowohl im juristischen als auch technischen Bereich ausgehen können sollte.
6. Juni 2011
Im Auftrag der Microsoft Deutschland GmbH sind repräsentative Meinungen von insgesamt 1.137 deutschen Internetnutzern ab 14. Jahren zum Thema Datenschutz im Internet erhoben worden. Nach Ergebnissen der von TNS Infratest durchgeführten Studie sollen sich zwei Drittel der deutschen Internetnutzer klarere Datenschutzbestimmungen und damit bessere Transparenz und Information wünschen und generell skeptisch gegenüber der sich mehrenden grenzenlosen Sammlung personenbezogener Daten durch Unternehmen sein. Die Mehrheit der befragten Internetnutzer sehe außerdem den Gesetzgeber bei Datenschutzthemen zukünftig stärker in der Pflicht und wünsche sich präzisere Datenschutzgesetze. Jeder Zweite befürworte außerdem die Einführung eines einheitlichen Datenschutzsiegels einer unabhängigen Institution.
Die Studie ergab auch, dass die Nutzer trotz deutlich zunehmender Furcht vor Datenmissbräuchen nur wenige Datensicherheitsmaßnahmen selbst treffen. Beispielsweise soll nur jeder fünfte Nutzer regelmäßige Updates von Anti-Viren-Programmen durchführen oder nur jeder vierte Nutzer eine Firewall auf seinem PC installiert haben. Insgesamt sei ein stetiger Rückgang angewandter Sicherheitsmaßnahmen durch den Nutzer festzustellen.
4. Juni 2011
Der Betreiber einer Internetplattform muss einem Nutzer keine Auskunft über den Autor bestimmter Beiträge geben, wenn der Nutzer sich durch einen Beitrag angegriffen fühlt und deswegen Auskunft begehrt, um gegen den Verfasser des Beitrags vorzugehen.
Das AG München (Aktenzeichen: 161 C 24062/10) wies darauf hin, dass Privatpersonen nur ein eingeschränktes Informationsrecht hätten, selbst wenn sie sich durch einen Beitrag im Internet diskriminiert fühlten. Der Datenschutz des Verfassers wiegt insoweit höher. Ein Auskunftsanspruch aus § 14 II TMG scheide sowohl in direkter als auch analoger Anwendung aus. Da aber § 14 II TMG lex specialis zu einem allgemeinen Auskunftsanspruch sei, scheide auch ein Anspruch nach §§ 242, 259 BGB aus.
Sieht sich jemand durch einen Beitrag verletzt und will dagegen vorgehen, muss er dies daher auf dem „offiziellen“ Wege tun, d.h. Anzeige erstatten. Über die Staatsanwaltschaft kann der Betroffene nämlich im Wege der Akteneinsicht Kenntnis von den entsprechenden Daten erlangen und dann auch zivilrechtlich gegen den Verfasser des Beitrag vorgehen.
3. Juni 2011
Das neue Datenschutzgesetz in Indien bringt auch neue Herausforderungen für CIOs mit sich, deren Unternehmen Niederlassungen in Indien haben bzw. dort Outsourcing-Projekte betreiben, da die indischen Datenschutzregeln für alle Organisationen und Unternehmen gelten, die personenbezogene Daten und Informationen in Indien erheben oder verarbeiten lassen, einschließlich solcher personenbezogener Daten, die außerhalb Indiens erhoben worden sind.
Zwar sind viele der neuen gesetzlichen Regelungen mit denen der EU oder der USA vergleichbar. Allerdings enthält das neue Indische Datenschutzgesetz auch Anforderungen, die deutlich strenger sind, wie etwa die Verpflichtung, besondere personenbezogene Daten nur nach vorheriger schriftlicher Zustimmung des Betroffenen zu erheben und zu verarbeiten.
Obwohl die Indischen Datenschutzregeln die Entwicklung Indiens als Drehkreuz globaler Datenverarbeitung unterstützen und fördern sollen, werden CIOs dennoch vor der Aufgabe stehen, bislang etablierte Prozesse an die neuen gesetzlichen Anforderungen anzupassen.
Führende Datenschutzverbände, nämlich die deutsche Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), die französische Association Française des Correspondants à la Protection des Données à caractère personnel (AFCDP), die niederländische Genootschap van Functionarissen voor de gegevensbescherming (NGFG) und die spanische Organisation Asociación Profesional Española de Privacidad (APEP), haben die Europäische Kommission aufgefordert, die Stellung der Datenschutzbeauftragten bei der Überarbeitung der EU-Datenschutzrichtlinie zu berücksichtigen und ihre Rolle angemessen zu stärken.
In einer aktuellen Pressemitteilung betonen sie, dass den Datenschutzbeauftragten eine Schlüsselrolle beim Schutz der Privatsphäre von Kunden, Arbeitnehmern und Bürgern zukomme, und dass ihre Stellung, Aufgaben und Funktion daher europaweit definiert und vereinheitlicht werden solle.
Unbekannte sollen in Hunderte E-Mail-Accounts von chinesischen Dissidenten, US-amerikanischen Regierungsvertretern, asiatischen Amtsträgern und Journalisten des E-Mail-Dienstes von Google eingedrungen sein, teilte der Sicherheitsexperte des Unternehmens im Firmenblog am vorgestrigen Tage mit. Die Täter sollen sich mittels Phishing und Einsatzes von Malware die Passwörter der Opfer erschlichen und in Folge verwendet haben, um u.a. die Einstellungen zur Weiterleitung von E-Mails zu verändern und den E-Mail-Verkehr zu überwachen. Der Angriff sei nunmehr gestoppt und weitere Angriffe verhindert worden. Außerdem seien die Betroffenen und die Behörden informiert worden und die E-Mail-Accounts nunmehr gesichert. Alle Gmail-Nutzer wurden allerdings zur Wachsamkeit und zur Kontrolle (z.B. auf ungewöhnliche Einstellungen) aufgerufen.
Nach ersten Untersuchungen soll der Angriff von China aus initiiert worden sein. Das FBI hat entsprechende Ermittlungen aufgenommen, das Außenministerium Chinas weist in einer ersten Stellungnahme die Vorwürfe von sich.
Pages: 1 2 ... 269 270 271 272 273 274 275 276 
