Schlagwort: Datenbank
3. November 2022
Wie nach Recherchen von Cybernews bekannt wurde, gab es bei Thomson Reuters kürzlich ein Datenleck, bei dem mindestestens drei seiner Datenbanken, darunter die drei Terrabyte große Datenbank ElasticSearch für jedermann zugänglich war.
Die betroffenen Daten
Thomson Reuters, der Nachfolger der Nachrichtenagentur Reuters, ist ein Medienkonzern mit Hauptsitzen in New York und Toronto. Der Konzern bietet seinen Kunden verschiedene Produkte wie das Medientool Reuters Connect, die Datenbank Westlaw oder auch andere Recherche-Suites an. Die von dem Datenleck betroffene Datenbank ElasticSearch enthält Informationen aus allen Plattformen des Konzerns und wird bevorzugt von Unternehmen eingesetzt, die mit umfangreichen, ständig aktualisierten Datenmengen arbeiten.
Laut Cybernews waren die Daten mehrere Tage lang verfügbar. Es waren sensible Daten betroffen, wie beispielsweise Informationen zu Lieferketten, Zugangsdaten zu Servern Dritter und Anmelde- und Kennwortrücksetzungsprotokolle, in denen die E-Mail-Adresse der Kontoinhaber und die genaue Zeit, zu der die Passwortänderung gesendet wurde, ersichtlich waren.
Die Reaktion des Konzerns
Thomson Reuters reagierte unverzüglich auf den Hinweis, schaltete die Server ab und leitete eine Untersuchung ein. Laut dem Unternehmen seien zwei der drei betroffenen Server so konzipiert gewesen, dass sie öffentlich zugänglich waren. Der dritte sei als sogenannter nicht-produktiver Server nur mit einer kleinen Untergruppe von Kunden verbunden gewesen und enthalte keine Anwendungsdaten. Zudem habe das Leck überwiegend Kunden in den USA betroffen, welche informiert worden seien.
Dagegen zweifeln die Forscher von Cybernews an, dass das Leck so harmlos war, wie es Thomson Reuters erscheinen lässt. Ihnen zufolge hat das Unternehmen Daten zugänglich gemacht, die in kriminellen Foren wegen des möglichen Zugriffs auf andere Systeme Millionen wert wären.
Fazit
Von außen lässt sich kaum beurteilen, wie schwer das Datenleck tatsächlich war. Es zeigt jedoch, wie wichtig es für Unternehmen ist, ihre digitale Infrastruktur kontinuierlich zu überprüfen, damit Sicherheitslücken nicht wie im vorliegenden Fall tagelang ungesehen bestehen bleiben und das Unternehmen angreifbar machen.
31. August 2021
Das Bayerische Landeskriminalamt hat im Geheimen eine Datenbank über Fußball-Fans geführt, wie eine Anfrage der Grünen-Fraktion im bayerischen Landtag ans Licht gebracht hat. Mit Stand vom 15.06.2021 wurden Daten über 1644 Personen gespeichert, begonnen hat das Projekt “EASy Gewalt und Sport” (Abkürzung für “Ermittlungs- und Analyseunterstützendes EDV-System”) am 24.01.2020.
Kritik gibt es vor allem dafür, wie leicht Betroffene in die Datei aufgenommen werden. So erfolgt die Aufnahme “nicht auf Basis eines einzelnen relevanten Sachverhalts, sondern auf Grundlage einer sogenannten Individualprognose”, wie die Antwort der Bayerischen Staatsregierung auf die Grünen-Anfrage beschreibt. Eine Interpretation legt nahe, dass die Aufnahme auch ohne Verdacht auf eine Straftat oder Ordnungswidrigkeit erfolgen könnte.
Kritiker befürchten, dass durch solche Datensammlungen eine Kartografie der ganzen Fan-Szene in Bayern erstellt werden könnte. Daraus könnte hervorgehen, wer mit wem Kontakt hat, welche Fanclubs besucht werden oder wer Bekannte in Ultra-Gruppierungen hat. Die Staatsregierung äußert dazu, dass die Daten zu Prognosen eingesetzt würden, die der “vorbeugenden Bekämpfung bzw. Verhütung von Straftaten und Ordnungswidrigkeiten” dienen sollen. Der sportpolitische Sprecher der Grünen-Landtagsfraktion, Max Deisenhofer, sieht diese Notwendigkeit nicht. Er hält den Besuch von Fußballspielen in Bayern für gefahrlos möglich, die Anzahl der Delikte gehe seit Jahren zurück.
Betroffene Personen werden nicht darüber informiert, dass sie in die Datenbank aufgenommen wurden. Daher haben auch nur sehr wenige Betroffene Gebrauch von ihrem Auskunftsrecht gemacht. Der zuständige Datenschutzbeauftragte Dr. Thomas Petri sieht die Speicherung szenetypischer Daten in vornehmlich präventiver Ausrichtung als “oftmals erforderlich” an. Allerdings ist er der Meinung, dass eine entsprechende Information an die Betroffenen aus Transparenzgründen “zu begrüßen” sei.
27. Februar 2020
Das US-Unternehmen Clearview machte zuletzt Schlagzeilen, weil es die bisher größte bekannte Gesichtsdatenbank aufgebaut hatte. Die Datenbank verkaufte Clearview insbesondere an Strafverfolgungsbehörden, wie Recherchen der New York Times aufdeckten. Wir berichteten darüber ausführlich in einem früheren Blogbeitrag.
Nun sind Clearview offenbar sensible Kundendaten abhanden gekommen. Das geht aus einem Bericht des US-Magazins The Daily Beast hervor. Das Unternehmen soll seine Kunden gewarnt haben, dass ein Unberechtigter Zugang zur Kundenliste, zur Anzahl der Benutzerkonten einzelner Kunden und der jeweiligen Suchvorgänge verschafft habe. Ein Rechtsanwalt des Unternehmens erklärte, es habe kein Zugriff auf Server Clearviews stattgefunden. Der Unberechtigte habe keinen Zugriff auf die Suchverläufe der Kundenkonten bekommen und die Schwachstelle sei mittlerweile geschlossen. Die genauen Umstände der Datenpanne sind unklar, jedenfalls spricht Clearview in der Meldung nicht von einem Hack.
Clearview geriet in die Öffentlichkeit, weil es mehrere Milliarden Fotos von Nutzern aus sozialen Netzwerken wie Facebook, YouTube und Instagram sammelte. Die Datenbank enthält darüber hinaus Namen von Personen und weitere persönliche Daten über den Wohnort, die Aktivitäten sowie Freunde und Bekannte. Clearview verkaufte die Datenbank in Form einer App an bisher mehr als 600 Behörden. Auch private Sicherheitsunternehmen sollen zu den Kunden von Clearview gehören.
Social-Media-Plafttformen wie Google wehrten sich zuletzt gegen das Vorgehen. So mahnte Google Clearview ab, weil es auf Videomaterial von YouTube zugriff. Twitter forderte Clearview auf, den Abruf von Fotos einzustellen und vorhandenes Material zu löschen.
6. Februar 2020
Wie bereits berichtet, hatte die Gesichtserkennungsfirma Clearview circa drei Milliarden Bilder in ihrer Datenbank gesammelt. Unter anderem griff Clearview dafür auch auf das Videomaterial von Youtube zurück.
Dieses Verhalten führte nun zu einer Abmahnung von
Google gegenüber der Firma Clearview. Im Abmahnschreiben fordert Google die
Löschung des Bild- und Videomaterials. Dem Startup wird vorgeworfen, dass es
mit der Speicherung der Videos, zum Zwecke der Identifizierung von Personen,
gegen die Youtube Richtlinien verstoßen hat.
Das Unternehmen hatte gestanden die Daten der Videoplattform zum Zwecke der Gesichtserkennung gespeichert zu haben. Laut der Pressesprecherin von Youtube war dieses Geständnis der Auslöser für die Abmahnung.
Neben Google haben bereits weitere Unternehmen wie z.B. Twitter und Facebook von Clearview die Löschung der Bilder gefordert. Es bleibt abzuwarten wie ein mögliches Gerichtsverfahren in diesem Fall ausgehen würde.
21. Januar 2020
Nach Recherchen der New York Times hat das US-Unternehmen Clearview mehrere Milliarden Fotos von Nutzern aus sozialen Netzwerken wie Facebook, YouTube und Instagram gesammelt. Damit hat das Unternehmen die bisher größte bekannte Gesichtsdatenbank aufgebaut.
Clearview verkauft die Datenbank in Form einer App an seine Kunde. Mit Hilfe der App sollen Millionen Menschen innerhalb von Sekunden erkannt werden können.
Die App wurde im letzten Jahr bereits von 600 Behörden genutzt. Dabei machen insbesondere Strafverfolgungsbehörden von der privaten Datenbank Gebrauch. Die Behörden seien, auch wenn sie nicht genau wüssten wie Clearview arbeite, von den Ergebnissen überzeugt. Unter den Kunden sollen sich auch private Sicherheitsunternehmen befinden.
Der Bericht zeigt zudem die Gefahren der massenhaften Datensammlung des Unternehmens im Hinblick auf den Schutz der Privatsphäre des Einzelnen auf.
So offenbart die App nicht nur den Namen einer Person, sondern liefert auch weitere persönliche Daten über den Wohnort, die Aktivitäten sowie Freunde und Bekannte.
Darüber hinaus ist die Fehleranfälligkeit der Gesichtserkennungssoftwares allgemein bekannt. Es besteht daher durchaus die Möglichkeit, dass eine falsche Person durch die Clearview Datenbank identifiziert wird und im Zweifel ins Visier der Strafverfolgungsbehörden gerät.
Weiterhin ist auch nicht bekannt, wie Clearview die Fotos, die US-Behörden zwecks Gesichtserkennung auf die Server des Unternehmens laden, im datenschutzrechtlichen Sinne schützt. Die Firma Clearview war vor den Recherchen der New York Times praktisch unbekannt und gibt sich Mühe im Hintergrund zu bleiben.
17. April 2019
Im Europäischen Parlament wurde am Dienstag der Weg für eine zentrale Suchmaschine eröffnet, mithilfe in Zukunft jeder Polizeibeamte und Fahnder feststellen kann, ob sich eine zu überprüfende Person legal oder illegal in der EU aufhält. Dieses Vorhaben ist datenschutzrechtlich nicht ganz unproblematisch.
Es soll keine neue Informationssammlung erstellt werden, sondern eine Art Suchmaschine, mit der die Sicherheitsbehörden alle vorhandenen Informationen schneller abrufen können. Bislang waren die Speicher strikt voneinander getrennt.
Es handelt sich vor allem um folgende Datenbanken: Visa-Informationssystem VIS, Schengen-Staaten Angaben über Kurzzeit-Visa, Eurodac (Datei, in der Fingerabdrücke und Daten von Asylsuchenden erfasst werden), Schengen-Informationssystem (SIS) und das Europäische Strafregisterinformationssystem ECRIS. 2021 kommt noch das Europäische Reiseinfomrationssystem- und -genehmigungssystem ETIAS und das Ausreisesystem EES hinzu.
Der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, sieht die Datenbank äußerst kritisch. Es entstehen erhebliche Risiken für die Betroffenen, denn nach der DSGVO müssen Betroffene im Zeitpunkt der Datenerhebung über die Verarbeitung informiert werden. Dies würde jedoch nicht geschehen. Auch Unbeteiligte werden erfasst, die beispielsweise auf Einladung eines EU-Bürgers ein Kurzzeit-Visum benötigen. Der frühere Bundesdatenschutzbeauftragte Peter Schaar spricht deshalb sogar von einer „umfassenden Massenüberwachung, die sich nicht auf diejenigen beschränkt, die über die EU-Außengrenze einreisen“.
