8. Dezember 2011
Das Bundesministerium des Inneren (BMI) und das Bundesministerium der Justiz (BMJ) haben bekannt gegeben, sich auf eine enge Zusammenarbeit in den Bereichen E-Government und E-Justice verständigt zu haben. Ziel sei es, eine anwenderfreundliche Kommunikation mit der Justiz sowohl per De-Mail als auch über das elektronische Gerichts- und Verwaltungspostfach (EGVP) bundesweit zu ermöglichen und die bisher nahezu ausschließlich papiergebundene Kommunikation dauerhaft abzulösen. Dafür sei u.a. eine grundlegende Modernisierung des Zugangs zu Gerichten und der Justiz unerlässlich, der auch durch den sich derzeit im Entwicklungsstadium befindlichen Entwurf für ein E-Government-Gesetz des Bundes realisiert werden soll.
„Justiz und Verwaltung müssen sich an die moderne Lebenswirklichkeit anpassen. Der elektronische Rechtsverkehr und eine elektronische Aktenführung machen die Kommunikation zwischen Bürgern und Behörden einfacher, effektiver und langfristig kostengünstiger. Dies ist der richtige und wichtige Schritt in die Zukunft.“, so Bundesjustizministerin Leutheusser-Schnarrenberger. (sa)
7. Dezember 2011
Carrier IQ wird zur Zeit in den Medien heiß diskutiert, was sicherlich auch der Behauptung des Unternehmens geschuldet ist, dass Carrier IQ auf über 140 Millionen Geräten laufe.
Was aber hat es mit Carrier IQ auf sich?
Alles nahm seinen Anfang damit, dass der IT-Experte Trevor Eckhart eine Beschreibung der Analyse Software der Firma Carrier IQ veröffentlichte in der er die Software als Rootkit bezeichnete. Daraufhin war man bei Carrier IQ wenig amüsiert, mahnte Eckhart ab und forderte ihn zur Unterlassung auf. Dieser erhielt daraufhin Unterstützung von der US-Bürgerrechtsbewegung EFF (Electronic Frontier Foundation). Kurze Zeit später entschuldigte sich Carrier IQ(Link entfernt) bei Eckhart für das übereilte Säbelgerassel und zog die Androhung juristischer Maßnahmen zurück.
Im Kern der Anschuldigungen steht der Vorwurf, dass Carrier IQ die Möglichkeiten hat, Tastatureingaben, Standortinformationen, die installierten Apps (…) – kurzum – fast alle relevanten Daten aufzuzeichnen, die auf einem Smartphone anfallen. Zweifelsfrei nachgewiesen ist bisher, dass die auf einem HTC-Gerät für den US-Markt installierte Carrier IQ Software Suchanfragen und gewählte Telefonnummern schon während des Eintippens aufzeichnet. Carrier IQ sah sich daraufhin veranlasst, eine Pressemitteilung (Linke entfernt) herauszugeben, in der klargestellt wurde, dass Carrier IQ zwar einen weitreichenden Zugriff auf die Daten des Gerätes habe, aber keine Inhalte von SMS, E-Mails, Photos sowie Audio und Videoinhalten sammele. Beispielsweise könne die Software nachvollziehen, ob eine SMS korrekt gesendet wurde, aber nicht was in der SMS gestanden habe. [Update 12.12.11] Ineinem Update der Pressemelung vom 12.12.2011 gestand Carrier IQ dann ein, dass es auf Grund eines Bugs in einigen seltenen Fällen doch dazu gekommen sei, dass der Inhalt der SMS übermittelt worden sei. Dieser Inhalt wäre aber kodiert und damit nicht durch Menschen lesbar gewesen. [/Update] Weiterhin wisse man auch, welche Apps den Akku leersaugen, Screenshots würden jedoch nicht erstellt. Auch auf die Frage warum Carrier IQ auf den Geräten installiert ist, gibt die Pressemeldung Aufschluss: Carrier IQ werde im Interesse der Netzbetreiber installiert, um diesen eine Verbesserung der Servicequalität zu ermöglichen. Der Mitteilung kann man auch entnehmen, dass es nicht “eine” Carrier IQ Version, sondern jeweils auf den Kunden zugeschnittene Lösungen gibt.
Dies ließe vermuten, dass sich Carrier IQ Software nur auf Geräten befindet, die spezifisch auf den Netzbetreiber angepasst sind (sog. Branding). Ganz so einfach ist es jedoch nicht, da auch Apple’s populäres iPhone Carrier IQ Software nutzt(e). In einem Rundschreiben an die Medien gab die Firma aus Cupertino bekannt, dass die Unterstützung von Carrier IQ mit iOS 5 für die meisten Geräte eingstellt wurde. Gegenüber ars technica führte Apple aus, dass das iPhone 4 auch mit iOS 5 noch Carrier IQ Software verwendet. Mit einem zukünftigen Update soll die Software jedoch aus sämtlichen iOS Geräten entfernt werden. Fraglich ist allerdings, ob dies auch für “alte” Geräte gilt, die nicht auf iOS 5 geupdatet werden können. Die Apple-Implementierung bietet gegenüber den Androidversionen die Besonderheit, dass es sich um ein Opt-In Verfahren handelt. Standardmäßig ist die Option laut Angaben von Apple ausgeschaltet. iPhone-Nutzer können unter Einstellungen>Allgemein>Info>Diagnose & Nutzung überprüfen, ob das automatische Senden von Diagnose & Nutzungsdaten aktiviert ist. Ebenfalls kann dort eingesehen werden, welche Diagnose & Nutzungsdaten erhoben wurden. Die Daten werden im Falle der iOS-Implementierung nicht an Mobilfunknetzbetreiber gesendet, sondern an Apple selbst.
Dies wirft die Frage auf, wer (nach bisherigem Kenntnisstand) von Carrier IQ betroffen ist:
Zugegeben haben bisher die US Provider AT&T, Sprint und T-Mobile USA den Einsatz von Carrier IQ auf ihren Geräten. Wie eben erläutert, setzt(e) auch Apple die Software in gewissem Umfang ein. HTC und Motorola haben angegeben die Geräte auf Wunsch der Provider mit der Software auszustatten, wobei HTC explizit betonte, dass dies für den europäischen Markt nicht geschehe. Auch auf Smartphones von Samsung und Huawei wurde Carrier IQ Software nachgewiesen.
Die deutschen Provider Telekom, E-Plus und Vodafone haben angegeben, die Software nicht zu nutzen. Mehr Spielraum lässt die Aussage von O2 zu: O2 erhält nach eigenen Angaben keine Kundendaten durch Carrier IQ. Dies schließt jedoch nicht aus, dass die Software auf O2 Geräten installiert (und möglicherweise deaktiviert) ist.
Googles Nexus Geräte (One, S, S 4G und Galaxy) laufen mit einem weder durch Hersteller noch durch Provider angepassten Android-Betriebssystem und sind daher frei von Carrier IQ Software. Auch auf Geräten von HP, Palm, RIM und sämtlichen Windows Phone 7 Geräten ist bisher keine Spur von Carrier IQ nachzuweisen gewesen.
Für den Nutzer stellt sich die Situation also wie folgt dar: Mit Windows Phone, Web OS und Blackberry Geräten ist man nach bisherigen Erkenntnissen auf der sicheren Seite. Bei Apple kann man die Funktion, wie oben beschrieben, zumindest abschalten. Android Nutzer können mit einem Tool von Trevor Eckhart herausfinden, ob ihre Geräte von Carrier IQ (und sonstiger Loging-Software) betroffen sind. Eine Abschaltung der Software ist dabei nicht vorgesehen, kann aber im Einzelfall gerätespezifisch mit etwas Aufwand bewerkstelligt werden.
Juristische Reaktionen auf Carrier IQ
Auf Grund der Berichterstattung durch die Medien hat US-Senator Al Franken, seines Zeichens Vorsitzender des Unterausschusses für Datenschutz und Technologie, Carrier IQ, die Netzbetreiber und die Gerätehersteller aufgefordert, bis Mitte Dezember ausführliche Informationen vorzulegen. Insbesondere will er dabei wissen, ob gewählte Telefonnummern und der Inhalt von SMS aufgezeichnet werden. Gestützt auf den sogenannten Federal Wiretap Act sind nach Medienberichten in den USA mittlerweile auch Sammelklagen gegen Carrier IQ, Apple, HTC, Samsung, Sprint, AT&T und T-Mobile USA eingereicht wurden. Auch die deutschen Datenschützer sind nicht untätig geblieben: Einem Bericht von Bloomberg zufolge hat der Bayerische Landesdatenschutzbeauftragte, Thomas Kranig, Apple um Details bezüglich dem Einsatz von Carrier IQ gebeten. (se)
6. Dezember 2011
Medienberichten zufolge hat das Bundesministerium der Justiz (BMJ) anvisiert, den Schutz vor unerlaubten Werbeanrufen und zweifelhaften Gewinnspielen deutlich zu verbessern. Geplant sei zum einen, die Höhe für Bußgelder in diesem Bereich von derzeit 50.000 Euro auf 300.000 Euro zu erhöhen. Zum anderen sollen Verträge über Gewinnspieldienste künftig nur noch wirksam sein, wenn sie schriftlich, per Fax oder per E-Mail geschlossen wurden. Dieses Formerfordernis soll den Verbraucher zusätzlich vor Übereilung warnen und damit u.a. der Praxis entgegen- wirken, dass Callcenter im Auftrag von Firmen am Telefon anbieten, den Angeruf- enen kostenpflichtig bei diversen Gewinnspielen einzutragen, was zu erheblichen und für den Verbraucher intransparenten monatlichen Zahlungsverpflichtungen führen kann. (sa)
5. Dezember 2011
Die EU-Kommissarin Viviane Reding hat sich im Rahmen einer Rede vor der International Association of Privacy Professionals dafür eingesetzt, dass die Bestimmungen für rechtlich verbindliche Selbstverpflichtungen von Unternehmen zum Datenschutz (“Binding Corporate Rules”) in Europa verbessert werden. Das System solle dafür vereinfacht und insgesamt konsequent(er) umgesetzt werden. Dafür schlug sie – neben der Kürzung der Zeit und Kosten des Genehmigungs- verfahrens – u.a. vor, dass künftig nur noch eine Datenschutzbehörde als zentrale Anlaufstelle für die Selbstverpflichtungen zuständig sein soll, die dann EU-weit anerkannt würden. Das derzeitige Procedere führe dazu, dass auf Basis der EU-Datenschutzrichtlinie Selbstverpflichtungen von verschiedenen Behörden begutachtet werden, die wiederum unterschiedliche, z.T. auch widersprüchliche Methoden anwenden. Außerdem sei erforderlich, dass die rechtlichen Befugnisse der nationalen Behörden ausgebaut werden, da derzeit viele nicht in der Lage seien, Verstöße effektiv zu sanktionieren. Daneben forderte Reding eine Anpassung des Systems an Innovationen, z.B. neue Formen der Datenver- arbeitung wie etwa das Cloud Computing. (sa)
2. Dezember 2011
Das Bundesministerium des Inneren hat vom 30.11.2011 bis zum 01.12.2011 eine länderübergreifende Krisenmanagement-Übung LÜKEX (“Länderübergreifende Krisenmanagement-Übung/EXercise”) zu Cyber-Attacken durchgeführt. Trainiert wurde das Zusammenwirken von mehreren betroffenen Ressorts auf Bundesebene mit den Krisenstäben der Länder sowie ausgewählten Unternehmen. Der Übung, an der 2.500 Beteiligte aus 12 Bundesländern teilgenommen haben, lag eine fiktive Übungslage zugrunde, die die Krisenstäbe in Bund und Ländern mit einer ganzen Reihe von Schadensereignissen – u.a. massiven Spam-Angriffen, Schadpro- grammen sowie einer mutwillig herbeigeführten Überlastung von Systemen – in den Verwaltungen sowie beteiligten Wirtschaftsunternehmen konfrontiert hat.
Bundesinnenminister Friedrich hat am Ende des zweiten Übungstages eine positive Zwischenbilanz gezogen. Die LÜKEX-Übung habe “das Bewusstsein für IT-Abhängigkeiten und Bedrohungen sowie die Notwendigkeit kontinuierlicher Übungstätigkeit weiter geschärft”. “Mit der von der Bundesregierung im Februar dieses Jahres beschlossenen Cyber-Sicherheitsstrategie für Deutschland wollen wir eine nachhaltige Cyber-Sicherheit in Deutschland gewährleisten, ohne die Chancen und den Nutzen des Cyber-Raums zu beeinträchtigen.”, teilte er mit. Gemeinsam mit allen Beteiligten sollen die Ergebnisse der Übung in den kommenden Monaten detailliert ausgewertet werden. (sa)
Das
britische Verteidigungsministerium hat in einem
Blogeintrag bekannt gegeben, dass binnen der letzten 18 Monate über 150 Notebooks von Mitarbeitern verloren gegangen oder sonst abhanden gekommen sind, wobei lediglich 20 Geräte nachträglich lokalisiert und zurückerhalten wurden. Dies sei auf die Größe und organisatorische Komplexität des Verteidigungsministeriums zurückzuführen, die den Verlust von Geräten “unvermeidbar” machen würden. Das Ministerium beteuerte indes, dass wenn Verschlüsselungsmaßnahmen keine Option seien, stets alternative Sicherheitsvorkehrungen getroffen würden. “Prozesse, Regeln und technische Hilfsmittel unterliegen einer konstanten Überprüfung, um die Auswirkungen menschlicher Fehler abzuschwächen und das Bewusstsein des Einzelnen für seine Verantwortung zu erhöhen. Die Genauigkeit, mit der wir solche Fälle von Verlust und Diebstahl aufzeichnen, zeigt schon, wie wichtig wir sie nehmen.”, teilte es mit. Weiteren
Medienberichten zufolge kamen im gleichen Zeitraum zudem 18 Mobiltelefone, 10 Blackberry-Smartphones und 194 CDs oder DVDs abhanden. Welche Daten auf diesen Datenträgern gespeichert waren bzw. ob diese verschlüsselt wurden, sei nicht bekannt. Es soll lediglich kommuniziert worden sein, dann man solche Verluste ernst nehme und versuche, den Verlust an Informationen zu minimieren. (sa)
1. Dezember 2011
Der Düsseldorfer Kreis – eine Vereinigung der deutschen Aufsichtsbehörden, die die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen – hat einen jüngst veröffentlichten
Beschluss zum anonymen und pseudonymen elektronischen Bezahlen von Internetangeboten gefasst. Anbieter von Telemedien sind danach explizit aufgefordert, ihren gesetzlichen Verpflichtungen aus
§ 13 Abs. 6 Telemediengesetz bei der Einführung von kostenpflichtigen Inhalten nachzu- kommen. Es müsse stets ein Bezahlungsverfahren angeboten werden, das „auf der ganzen Linie“ anonym oder mindestens pseudonym ausgestaltet ist. Eine Zahlung über pseudonyme Guthabenkarten würde die datenschutzrechtlichen Anforder- ungen erfüllen. Es reiche dagegen nicht aus, wenn sich z. B. der Inhalteanbieter für die Abwicklung der Zahlverfahren eines Dritten bedient und dieser eine Identifizierung der Betroffnen verlangt.
30. November 2011
EU-Justizkommissarin Viviane Reding forderte in einer Rede am Montag in Brüssel deutlich mehr Befugnisse für Datenschutzbehörden in der Europäischen Union. Um den Datenschutz in allen 27 Mitgliedsstaaten wirksamer durchzusetzen, reichten aber nicht allein vermehrte Kompetenzen – auch verstärkte Ressourcen seien nötig für die Behörden, wird Reding in Medienberichten zitiert. Reding forderte Rechtssicherheit und Gleichbehandlung für alle Wirtschaftszweige, in denen personenbezogene Daten geschützt werden müssen.
Im vergangenen Jahr hatte Reding eine Neuauflage der inzwischen 16 Jahre alten EU-Datenschutzrichtlinien angekündigt. Online-Werbung und Social Networks stehen dabei im Fokus, es sollen strengere Sanktionen und eine Klagemöglichkeit für Verbraucherschützer eingeführt werden.
Die Neuregelung soll der Vereinheitlichung des Datenschutzrechts dienen. Durch die 27 unterschiedlichen Datenschutzregeln in der EU entstünden Unternehmen Kosten von bis zu geschätzten 2,3 Milliarden Euro pro Jahr. Verstärkte Koordination und Kooperation zwischen den nationalen Datenschutzbehörden würde eine flächendeckende Durchsetzung des Datenschutzes sicherstellen.
Wieder im Gespräch ist der Plan der EU-Kommissarin, eine grundsätzliche Meldepflicht für Datenschutzverstöße einzuführen. Aktuelle Skandale wie der Einbruch in das PlayStation Netzwerk bei Sony würden das Vertrauen der Verbraucher erschüttern, Gegenmaßnahmen zum Vertrauensaufbau durch Informationspflichten seien dringend notwendig. (ssc)
Weiteren Veröffentlichungen kann entnommen werden, dass in der Neufassung der Richtlinie auch das Recht, vergessen zu werden, verankert werden soll. Auch die Sanktionsmöglichkeiten der Datenschutzbehörden sollen stark aufgewertet werden. So soll es möglich sein, bei Verstößen gegen die EU-Datenschutzrichtlinie Geldstrafen in der Höhe von bis zu 5% des weltweiten Jahresumsatzes des Unternehmens zu verhängen. (se)
29. November 2011
Die 23. Konferenz der Informationsfreiheitsbeauftragten in Deutschland (IFK) verabschiedete unter dem Vorsitz des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Schaar am gestrigen Tage eine Entschließung zur Informationsfreiheit, die darauf abzielt, die Transparenz staatlichen Handelns auf Bundes- und Landesebene zu verstärken. Demokratie und Rechtsstaat könnten sich nur dort wirklich entfalten, wo auch die Entscheidungsgrundlagen staatlichen Handelns offen gelegt würden. Eine verfassungsrechtliche Verankerung der Informationsfreiheit sei insofern geboten. Daneben sei auch die Implementierung eines Anspruches auf freien Zugang zu amtlichen Informationen in das Grundgesetz und – sofern noch nicht erfolgt – in die Landesverfassungen von Nöten. Auf diese Weise würden öffentliche Stellen verpflichtet, vorliegende Informationen grundsätzlich öffentlich zugänglich zu machen. (sa)
