3. August 2012
Das Bundesministerium des Inneren (BMI) hat bekannt gegeben, eine Studie “Open Government Data Deutschland”, die rechtliche, technische und organisatorische Fragen rund um die Offenlegung von Datenbeständen der öffentlichen Verwaltung thematisiert, veröffentlicht zu haben. Die Studie beschreibe den Status Quo in Deutschland und gebe zugleich Empfehlungen für das weitere Vorgehen. Ergebnis der Studie sei, dass viele Verwaltungsdaten bereits auf der Basis des geltenden Rechts ohne oder nur mit geringfügigen Änderungen offengelegt werden können. Man plane nun, die Kernempfehlung der Studie aufzugreifen und den Prototypen eines ebenenübergreifenden Online-Portals zu entwickeln und zu testen. Der Prototyp, der frei zugängliche Daten von Behörden aller Verwaltungsebenen verlinken wird, soll bis Anfang 2013 realisiert werden.
“Die Bundesregierung hat sich ein offeneres Regierungs- und Verwaltungshandeln zum Ziel gesetzt. Grundlage hierfür sind frei zugängliche Daten und Informationen, die für Dritte einfach und in standardisierten Formaten verfügbar sein müssen.”, so Bundesinnenminister Friedrich.
Aus einer Veröffentlichung in dem firmeneigenen Blog des Cloud-Anbieters Dropbox geht hervor, dass aus dem Account eines Mitarbeiters Kundendaten durch unbekannte Angreifer entwendet werden konnten. Bekannt wurde der “Diebstahl”, als im Anschluss an diesen Mitte Juli die aus dem Dokument mit den Kundendaten entnommenen E-Mail Adressen vermehrt mit Spam-Mails belästigt wurden. Noch unklar ist, an wie viele E-Mail Adressen die Angreifer auf diese Weise gelangen konnten. Nach Angaben des Unternehmens erfolgte der unberechtigte Zugriff mittels eines gestohlenen Zugangspassworts eines Mitarbeiters, der anscheinend sein Passwort für den Zugriff auf die Cloud auch bei anderen Web-Dienstleistern verwendet hat. Auf die gleiche Weise haben die Angreifer auch auf „eine kleine Anzahl“ weiterer Dropbox-Accounts Zugriff erhalten.
Dropbox hat auf den Zwischenfall mit zweierlei Maßnahmen reagiert. Zum einen können sich Nutzer des Dienstes mit dem neu eingerichteten Zugriffsverlauf darüber informieren, wer zu welchem Zeitpunkt auf den Account zugegriffen hat. Zum anderen wird in den nächsten Wochen optional eine Zwei-Faktor-Authentifizierung angeboten, bei der neben der Online-Anmeldung auch eine Bestätigung per Mobiltelefon notwendig ist.
Ob bei Dropbox intern Maßnahmen ergriffen wurden, um solche Zwischenfälle in Zukunft zu vermeiden, lässt sich hingegen nicht in Erfahrung bringen. Der Vorfall zeigt nichts desto weniger wieder einmal schmerzlich auf, dass das Thema Datensicherheit, insbesondere für sensible Bereiche wie das Cloud-Computing, nicht ernst genug genommen werden kann.
2. August 2012
Nach Angaben des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM), die auf einer Auswertung der europäischen Statistikbehörde Eurostat basieren, ist Deutschland im europäischen Vergleich im Hinblick auf das Vorhandensein von Computer-Kenntnissen in der Bevölkerung zurückgefallen. Noch im Jahr 2008 habe Deutschland auf Platz vier gelegen und rund 60 Prozent der Bundesbürger sollen über mittlere bis gute Computerkenntnisse verfügt haben. Aktuell seien es nur noch 58 Prozent, was einen Abfall auf den zehnten Platz bedeute. An der Spitze sollen Island mit 77 Prozent und Luxemburg mit 75 Prozent liegen.
1. August 2012
Der zu Jahresbeginn von der Europäischen Kommission vorgelegte Entwurf zu einem neuen europäischen Datenschutzrecht ist Medienangaben zufolge vergangene Woche im Rat der Europäischen Union während einer Konferenz in der zypriotischen Hauptstadt Nikosia diskutiert worden.
Die Konferenz habe ergeben, dass kein Mitgliedsstaat prinzipiell gegen die Novellierung, sich der Ministerrat allerdings bezüglich einiger Punkte sehr uneinig ist. Zum einen betreffe dies die umfassende Nutzung sogenannter delegierter Rechtsakte, mit denen die Kommission „nicht wesentliche“ Aspekte einer Gesetzgebung alleine regeln kann, ohne dass die Mitgliedstaaten und das Europäische Parlament mitentscheiden können. Ein weiterer Streitpunkt seien die Ausnahmeregelungen für kleine und mittlere Unternehmen. Einige Mitgliedsstaaten sollen hierbei eine Ausrichtung an der Datengeneigtheit der Tätigkeit und weniger an der Größe der Unternehmen präferieren. Diskutiert worden sei ferner, ob der Staat nach den gleichen Datenschutzregeln arbeiten soll wie die Privatwirtschaft, wie es von der Kommission vorgeschlagen wurde. Übereinstimmend soll eine entsprechende Gleichbehandlung befürwortet worden sein, allerdings habe die Bundesrepublik betont, auch in Zukunft Spielräume im nationalen Bereich nutzen und insbesondere im öffentlichen Sektor über das hinausgehen zu wollen, was die europäischen Regelungen als Standard festschreiben.
Die irische Regierung, die im ersten Halbjahr 2013 die Ratspräsidentschaft von Zypern übernimmt hat sich als Ziel gesetzt eine Einigung im Ministerrat zu erzielen so dass mit Inkrafttreten der neuen Regelungen bis zu 2014 zu rechnen ist.
31. Juli 2012
Die von Google im Rahmen der StreetView-Fahrten erhobenen Mitschnitte aus ungesicherten WLANs sind bisher immer noch nicht vollständig gelöscht worden. Dies geht aus einem Brief hervor, den das britische Information Commissioner’s Office (ICO) veröffentlicht hat. In diesem Schreiben räumt Googles Datenschutzbeauftragter Peter Fleischer ein, dass man noch einen kleinen Teil der bei StreetView-Fahrten aufgezeichneten Daten auf Festplatten des Unternehmens gefunden habe. Dies betreffe sowohl Daten aus dem Vereinigten Königreich, als auch Daten aus anderen Ländern. Bezüglich dieser sonstigen Länder nehme Google Kontakt mit den zuständigen Behörden auf.
In einer Stellungnahme weisen die britischen Datenschützer darauf hin, dass Google sich Ihnen gegenüber verpflichtet hatte, die Daten bereits im Dezember 2010 zu löschen. Die ICO-Verantwortlichen bezeichnen es dabei als Grund zur Sorge, dass dies nicht geschehen ist.
Deutlichere Worte fand der für die Untersuchung von Datenschutzverletzungen zuständige irische Deputy Data Protection Commissioner Gary Davis: Er verlieh seiner tiefen Unzufriedenheit dadurch Ausdruck, dass er Googles Verhalten als schlichtweg unakzeptabel bezeichnete und dem Internetkonzern eine Frist bis zum morgigen Mittwoch einräumte, um zu den Vorfällen Stellung zu nehmen.
Die Schadsoftware, die bereits seit 2011 bekannt sei, jedoch in immer neueren Varianten auftrete, werde bundesweit über Spam-Mails verbreitet. In den Spam-Mails würden die angeschriebenen Personen beispielsweise im Namen einer Staatsanwaltschaft im Bundesgebiet oder im Namen von weiteren Behörden oder bekannten Unternehmen dazu verleitet, die beigefügten Anhänge zu öffnen. Beim Öffnen des Anhangs werde allerdings der PC verschlüsselt und Geld gefordert. Auch nach Bezahlen der Forderung – in der Regel handele es sich um Beträge von 50-100 Euro per Paysefecard oder Ukash – werde die Sperrung jedoch nicht aufgehoben, sondern sämtliche Dateien auf dem PC blieben so verschlüsselt, dass auch die Wiederherstellung mit einer Rettungs-CD (“Rescue Disk”) nur teilweise erfolgreich sei.
Das BSI und die ProPK raten allen Betroffenen, die geforderte Gebühr nicht zu bezahlen, sondern umgehend Anzeige bei der nächstgelegenen Polizeidienststelle zu erstatten.
30. Juli 2012
Medienangaben zufolge konnten chinesische Behörden erfolgreich einen Cybercrime-Ring enttarnen. Insgesamt 165 Personen sollen Mitte Juli in diesem Zuge – u.a. wegen Hacking und Urkundenfälschung – verhaftet worden sein. Man werfe den Festgenommenen Angriffe auf 185 Regierungssites vor, die mit dem Ziel erfolgt sein sollen, falsche behördliche Urkunden und Bescheinigungen auszustellen und zu verkaufen, wobei eine falsche Urkunde zwischen 500 und 1250 Euro eingebracht habe. Zudem seien auch offizielle Datenbanken manipuliert worden. 7100 falsche Zertifikate und mehr als 10.000 falsche Stempel sollen mittlerweile sichergestellt worden sein. Die Ermittlungen der Polizei sind nach lokalen Angaben noch nicht abgeschlossen, man rechne mit weiteren Festnahmen. 27. Juli 2012
Durch eine Sicherheitslücke bei dem Singleportal meetOne konnte auf alle von etwa 900.000 Nutzern hinterlegten Daten – wie etwa E-Mail Adressen, Echtnamen, private Nachrichten und Fotografien aber auch das Passwort – im Klartext zugegriffen werden. Um an die Daten zu gelangen war ein Login bei der Plattform nicht notwendig, vielmehr konnte jede Person durch das Hochzählen eines URL-Parameters die Daten einsehen. Nach Informationen von heise online wurde die Lücke inzwischen geschlossen. Nutzern werde dennoch empfohlen ihr Zugangspasswort bei meetOne sowie bei anderen Diensten, bei denen das gleiche Passwort genutzt wurde, umgehend zu ändern.
26. Juli 2012
Ausgerechnet die renommierte Ulmer Akademie für Datenschutz und IT-Sicherheit (UDIS) ist am vergangenen Dienstag Verursacherin einer Datenschutz-Panne gewesen. In einer Rund-Mail zu einem Veranstaltungshinweis wurden hunderte externe Empfänger mit ihren E-Mail-Adressen offen sichtbar im AN-Feld der Nachricht aufgeführt. Fälle wie dieser stellen einen klaren Datenschutzverstoß dar, wie der Datenschutz-Experte Dr. Eugen Ehmann in diesem Artikel ausführlich begründet.
Die UDIS ist insbesondere bekannt für ihre nachhaltige Ausbildung von Datenschutzbeauftragten und feiert in diesem Jahr ihr 25-jähriges Bestehen mit einem Jubiläumskongress in Ulm, zu welchem Vorträge namhafter Persönlichkeiten aus dem Datenschutzbereich angekündigt sind.
Anlässlich dieser Veranstaltung wurden in oben genannter Rund-Mail Einladungen an Absolventen der bisherigen Ausbildungsjahrgänge verschickt, ohne dass dabei die Namen und E-Mail-Adressen in BCC gesetzt wurden wie ein betroffener Empfänger berichtet. Wieso UDIS hier nicht entsprechende technische und organisatorische Maßnahmen etwa durch den Einsatz eines Mailing-Tools zur Verhinderung einer solchen Panne ergriffen hat, ist unklar.
In einer am Folgetag erneut an alle Empfänger versandten Nachricht spricht der geschäftsführende Gesellschafter und wissenschaftlicher Leiter der Akademie von einer „mehr als peinlichen Datenschutzpanne“ und bittet die Absolventen um Entschuldigung.
Irritiert mussten die Absolventen dabei zur Kenntnis nehmen, dass die für das Missgeschick verantwortliche Mitarbeiterin durch den Geschäftsführer nun namentlich benannt wurde, obwohl die eigentliche Pannen-Mail keine entsprechenden Rückschlüsse auf den Verfasser der Nachricht zuließ. Hierin dürfte ein weiterer Verstoß gegen datenschutzrechtliche Vorschriften vorliegen.
Der Geschäftsführer kündigte zudem mit der Aussage „eines ist sicher: Sie wird udis demnächst verlassen“ offensichtliche arbeitsrechtliche Konsequenzen aus dem Vorfall für die Mitarbeiterin an. Insbesondere dieses Verhalten wurde daraufhin – in einer weiteren Rund-Mail an alle ursprünglichen Empfänger – von einem der Absolventen heftig kritisiert. Er sprach von einem „maßlos überzogenem“ Verhalten des Geschäftsführers und forderte die übrigen Empfänger dazu auf, sich gegenüber diesem für das Überdenken seiner Personalentscheidung auszusprechen.
Update 26.07.2012 (16.15 Uhr):
Inzwischen hat der Geschäftsführer der UDIS in einer weiteren Rund-Mail darüber informieren lassen, ihm sei beim Verfassen seiner Entschuldigungs-Nachricht nicht bekannt gewesen, dass die Pannen-Mail keinen namentlichen Hinweis auf die durch ihn im Entschuldigungsschreiben benannte Mitarbeiterin enthielt. Er hätte bei Kenntnis der Sachlage von einer namentlichen Erwähnung selbstverständlich abgesehen, denn er wisse ja auch, wie Datenschutz funktioniere. Im Übrigen teilt er mit, die Mitarbeiterin habe schon vor einiger Zeit selbst ihre Kündigung eingereicht. Seine Aussage „eines ist sicher: Sie wird udis demnächst verlassen“ sei insoweit mißverständlich formuliert gewesen und stehe in keinem Zusammenhang mit ihrem Verhalten in Bezug auf die Versendung der fehlerbehafteten Rund-Mail.
Nach einer im Auftrag des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) durchgeführten Verbraucherumfrage verzichtet jeder fünfte Smartphone-Besitzer in Gänze auf Sicherheitsfunktionen und jeder zweite auf das Aktivieren eines Virenschutzes. Zudem soll lediglich jeder sechste Smartphone-Besitzer ein Programm verwenden, mit dem ein Mobiltelefon bei Verlust oder Diebstahl geortet werden kann, lediglich jeder neunte Smartphone-Besitzer habe eine Software installiert, die nach einem Verlust per Fernzugriff die Löschung von Daten ermöglicht.
„Bei der Nutzung von internetfähigen Smartphones sind der Schutz des Endgeräts und die Sicherheit der gespeicherten Daten genauso wichtig wie bei jedem PC auch. Smartphones sind keine Handys, Smartphones sind Hochleistungs-Computer, mit denen man auch telefonieren kann.“ so der Präsident der BITKOM Kempf. Daher werde Smartphone-Besitzern geraten, den Zugriff auf Smartphone schützen (z.B. durch Eingabe einer PIN), Sicherheitsfunktionen zu nutzen und Antivirenprogramme zu installieren. Daneben sollten Apps nur aus vertrauenswürdigen Quellen installiert werden, wobei Updates von Apps und Betriebssystem möglichst umgehend installiert werden sollten. Zudem sei ein “gesundes Misstrauen” von Vorteil. Es sollte nicht jeder Anhang geöffnet und nicht jedem Link gefolgt werden.
Pages: 1 2 ... 278 279 280 281 282 ... 312 313 
