Schlagwort: Sicherheitslücke

Landgericht Zwickau: Schadensersatz gegen “Meta”

3. November 2022

Das Landgericht (LG) Zwickau erließ am 14. September 2022 ein Versäumnisurteil (Az. 7 O 334/22) gegen den U.S.-Konzern „Meta“ und sprach dem Kläger dabei einen Anspruch auf immateriellen Schadensersatz gegen den Konzern zu. Grund für den Schadensersatz nach Art. 82 DSGVO in Höhe von 1000 Euro waren mehrere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO).

Unzureichende Informationen

Zunächst stellte das Gericht fest, dass Meta seinen nach Art. 13 und 14 DSGVO bestehenden Informationspflichten nicht ausreichend nachgekommen sei. Demnach liege keine nach Art. 5 Abs. 1 lit. a DSGVO erforderliche faire und transparente Verarbeitung vor.

Insbesondere, so das Gericht, fehlten Informationen darüber, auf welche Weise und zu welchen Zwecken „Facebook“ die Telefonnummern seiner Nutzer verarbeite. Diese könnten auf der von Meta bereitgestellten Social-Media-Plattform Facebook ihre Telefonnummern freiwillig angeben.

Konkret sei es problematisch, dass Facebook nicht darüber informiere, dass Dritte die angegebenen Telefonnummern einsehen könnten. Dies sei möglich, obwohl der Nutzer sein Profil auf die Funktion „privat“ einstelle. Zusätzlich könnten Dritte die Telefonnummern abgreifen und diese für unlautere Zwecke weiterverwenden. Darüber informiere Facebook den Nutzer allerdings nicht.

Ferner sei der Informationsumfang über die sog. „Zwei-Faktor-Authentifizierung“ als problematisch zu bewerten. Dabei informiere Facebook lediglich darüber, dass er die Telefonnummern der Nutzer neben der Zwei-Faktor-Authentifizierung auch für „weitere Zwecke“ verwende. Eine genaue Erläuterung, welche weiteren Zwecke gemeint seien, erfolge nicht.

Außerdem bewertete das Gericht die Such-Option mittels Telefonnummer als kritisch. Dieser ermögliche es Nutzern andere Nutzer mit Hilfe der hinterlegten Telefonnummer zu suchen. Darüber informiere Facebook die Nutzer grundsätzlich. Doch diese Information sei nur über eine Unterverlinkung einzusehen.

Unzureichende Sicherheitsmaßnahmen

Darüber hinaus stellte das Gericht fest, dass Facebook gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO verstoßen habe. Demzufolge habe der Konzern keine angemessene Sicherheit für die verarbeiteten personenbezogenen Daten gewährleistet. Insbesondere habe Facebook es versäumt, hinreichende technische und organisatorische Maßnahmen zum Schutz der Nutzerdaten zu ergreifen.

Hintergrund dieser Sicherheitslücke war ein Vorfall aus dem Jahr 2019. Mit Hilfe eines automatisierten Verfahrens konnten unbekannte Dritte eine große Anzahl an Nutzerdaten abgreifen. Aus der Sicht des Gerichts hätte Facebook mehr Sicherheitsmaßnahmen ergreifen müssen, um den Datendiebstahl zu verhindern. Insbesondere habe das Unternehmen sog. „Sicherheitscapachas“ verwenden können. Diese Methode stelle sicher, dass ein Mensch und kein automatisiertes System die Daten abfrage.

Außerdem stellte das Gericht einen Verstoß gegen Art. 33 und 34 DSGVO fest. Demnach sei Facebook dazu verpflichtet gewesen, die zuständige Aufsichtsbehörde über den 2019 geschehenen Vorfall zu informieren. Dem sei das Unternehmen nicht nachgekommen.

Fazit

Abschließend stellte das Gericht fest, dass aufgrund der dargelegten Verstöße der Kläger einen erheblichen Kontrollverlust über seine personenbezogenen Daten erlitten habe. Mithin bestehe für die betroffene Person ein ersatzfähiger Schaden.

Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft ‘Warnstufe Rot’ für Software-Modul Log4j aus

14. Dezember 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rief am 11.12.2021 die ‘Warnstufe Rot’ für das Java-Software-Modul Log4j aus. Dort wurde eine Sicherheitslücke entdeckt, die den Namen “Log4Shell” trägt.

Das Software-Modul Log4j ist auf vielen Computern in der Java-Software zu finden. Es handelt sich um eine Protokollierungs-Bibliothek, sie protokolliert Ereignisse im Serverbetrieb. Dies dient beispielsweise einer Fehlersuche.

Die Sicherheitslücke hat zur Folge, dass es Angreifern möglich wird, ihren Softwarecode auf fremde Server zu spielen. Dies kann bereits durch das Eingeben spezieller Befehle in einen Chat mit dem Opfer möglich sein. Sodann können die Angreifer auf deren Servern Schadsoftware installieren und sogar das gesamte System übernehmen. So erhält der Angreifer Kontrolle über das System des Opfers und damit auch Zugriff auf die dort gespeicherten Daten. Besonders gefährdet sind laut BSI momentan Betreiber von Servern und Rechenzentren, aber auch Privatleute können dieses Software-Modul auf ihren Computern haben. Global könnten eventuell mehrere Milliarden Computer betroffen sein.

Welche Systeme und Produkte genau betroffen sind, ist zum jetzigen Zeitpunkt noch unklar. Momentan werden Massenscans durchgeführt, um angreifbare Systeme und bereits erfolgte Angriffe aufzuspüren. Aktuell wird davon ausgegangen, dass die Sicherheitslücke die Log4j- Versionen von 2.0 bis 2.14.1. betrifft.

Das BSI veröffentlicht auf seiner Homepage regelmäßig Updates zu der Entwicklung der Sicherheitslücke bei Log4j sowie Handlungsempfehlungen und Antworten auf die geläufigsten Fragen. Betroffene, die mithilfe dieser Sicherheitslücke angegriffen wurden, sind angehalten sich beim BSI zu melden. Teilweise bieten System-Hersteller erste Updates auf die aktuelle Version 2.15.0 von Log4j an, diese sollten umgehend installiert werden.

Daten von 400.000 Schülerinnen und Schülern im Netz abrufbar

28. Oktober 2021

Die Schul-App Scoolio hat die personenbezogenen Daten ihrer Nutzerinnen und Nutzer, also minderjähriger Schüler, nicht ausreichend geschützt. Das hat die IT-Sicherheitsaktivistin Lillith Wittmann mit ihren Kollegen des IT-Sicherheitskollektiv “Zerforschung” herausgefunden. Laut dem App-Anbieter wurden die Sicherheitslücken inzwischen geschlossen.

Die Sicherheitsforscher konnten über einen sogenannten Person-in-the-Middle-Proxy nachvollziehen, dass die Schnittstellen in der Kommunikation zwischen der App und den Nutzern nicht ausreichend gesichert waren. Dadurch konnten sie auf alle Daten von allen Nutzern zugreifen, also Nicknames, Geburtsdaten, E-Mail-Adresse und auch den Standort.

Die Missbrauchs-Potentiale sind groß, in der App können Chaträume wie “Christen” oder “LGBTQ” erstellt werden, sodass über die Mitgliedschaften auch Informationen über besondere Kategorien personenbezogener Daten erlangt werden können. Außerdem kann die App für Cybergrooming von Erwachsenen missbraucht werden. Es sei möglich gewesen, ein Profil für eine 33 Jahre alte Person anzulegen und damit Zutritt zur Chatgruppe “Suche Freund zwischen 12 und 13” zu bekommen.

Die in Dresden ansässige Scoolio GmbH hat die Sicherheitslücken nach mehr als 30 Tagen geschlossen, wichtige Schutzmaßnahmen aber kurzfristig umgesetzt. Aus diesem Grund hat der Datenschutzbeauftragte Sachsens keine weiteren Maßnahmen oder Bescheid erlassen. Der Verantwortliche habe sich kooperativ gezeigt und dankte auch den Sicherheitsforschern. Zusätzlich interessant ist, dass der Technologiegründerfonds Sachsen mit öffentlichem Geld aus Sachsen und der EU in Scoolio investiert hat.

Digitaler Führerschein wegen Sicherheitslücken gestoppt

1. Oktober 2021

Die erst kürzlich vorgestellte App „ID Wallet“ muss noch einmal auf den Prüfstand und ist nicht mehr verfügbar. Eine Woche nach dem Startschuss für den digitalen Führerschein in Deutschland ist die dazugehörige Smartphone-App ID Wallet wieder zurückgezogen worden.

Der von der Bundesregierung beauftragte Dienstleister Digital Enabling GmbH erklärte, der Start der App habe viel Aufmerksamkeit von Nutzerinnen und Nutzern erhalten, die sich intensiv mit Sicherheits- und Vertrauensfragen befassen. Das Unternehmen räumte jedoch nicht direkt ein, dass Sicherheitslücken tatsächlich vorhanden seien, sondern verwies auf Probleme durch die Überlastung der Server. „Um das System auf höhere Nutzlasten auszulegen und den Sicherheitshinweisen nachzugehen, werden wir in den nächsten Wochen umfangreiche weitere Tests durchführen. In dieser Zeit werden wir die App aus den Stores nehmen.“

Der digitale Führerschein, der in der ID-Wallet aufbewahrt wird, soll beispielsweise die Nutzung von Mietwagen oder Carsharing-Angeboten erleichtern. Langfristig sollte das digitale Abbild des Führerscheins auf dem Smartphone das analoge Papier vollständig ersetzen können, etwa bei einer Ausweiskontrolle. Laut Digital Enabling werden dabei die personenbezogenen Daten auf dem Smartphone gespeichert. Aussteller und Anfragende verarbeiten die personenbezogenen Daten in ihren internen Systemen unter eigenverantwortlicher Erfüllung der Anforderungen der Datenschutzgrundverordnung. Das Projekt wurde vor einer Woche von Bundesverkehrsminister Andreas Scheuer vorgestellt.

Nach der Vorstellung des Projekts „Digitaler Führerschein“ traten zunächst technische Schwierigkeiten auf, weil die Server überlastet waren. Außerdem kritisierten Sicherheitsexperten aus dem Umfeld des Chaos Computer Clubs (CCC) die Anwendung. Man habe „Grund zur Annahme“, dass die Infrastruktur hinter der App und die zugrundeliegende Blockchain-Technik angreifbar sein könnten.

Datenschutz im Wahlkampf

20. Mai 2021

Dass der Wahlkampf der Parteien nicht mehr ausschließlich auf Wahlplakaten stattfindet, ist kein Geheimnis. Auch die Politik geht mit der Zeit und bemüht sich zunehmend um den Einsatz „neuer“ Medien. So setzt die CDU zur Unterstützung des eigenen Wahlkampfs seit der Bundestagswahl im Jahr 2017 auf eine eigene App, die CDU-Connect-App.

Mit Hilfe der Connect-App soll es den Wahlkampfhelfern der CDU möglichst einfach gemacht werden, einen effizienten Haustürwahlkampf zu organisieren. So kann in der App beispielsweise eingetragen werden, in welcher Straße man es bereits versucht, bei welchem Haus man geklingelt, ob und wer geöffnet hat und letztlich natürlich auch, wie die Person zur CDU steht. Über die Jahre sollen sich dabei riesige Datensätze angesammelt haben. Auf die Sicherheitslücke aufmerksam geworden ist die Softwareentwicklerin Lilith Wittmann, die nach eigenen Angaben über Twitter auf die App hingewiesen wurde. Ihre Herangehensweise und Ergebnisse veröffentlichte sie dann in einem eigenen Blogpost.

Das Besondere an ihrem Fund sind dabei allerdings nicht die oben genannten Rohdaten, sondern vielmehr die erfassten Zusatzinformationen, die bei einem Besuch notiert wurden. So wurde etwa der Inhalt einzelner Gespräche paraphrasiert oder politische Meinungen in Kurzform festgehalten. Auf Anfrage des Spiegels hin versicherte die CDU jedoch, die Daten nur anonymisiert gespeichert zu haben, sodass Aussagen nicht auf einzelne Personen rückführbar seien.

Anders sieht es allerdings bezüglich der Daten von eigenen Wahlkampfhelfern und Unterstützern aus. Nach Angaben von Wittmann waren die Informationen von knapp 20.000 Menschen einsehbar. Davon umfasst sein sollen Daten, wie etwa E-Mail-Adressen, Fotos und teilweise auch Facebook-Tokens. Weitreichendere Angaben wurden von etwa 1350 Unterstützern entdeckt. Bei ihnen ließen sich Adressen, Geburtsdaten und Interessen finden.

Ihren Fund hat Wittmann dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der CDU mitgeteilt. Die Partei reagierte schnell und entfernte die App vorsorglich aus dem Play und App Store. Zusätzlich meldete man sich bei Twitter und verspricht die Sicherheitslücke schnellstmöglich zu schließen. Außerdem sollen laut Angaben der CDU alle Betroffenen informiert werden.

Kategorien: Allgemein · DSGVO · Online-Datenschutz
Schlagwörter: , , ,

Schul-Cloud des Hasso-Plattner-Instituts gehackt

20. Mai 2020

Die Cloud-Software des Hasso-Plattner-Instituts (HPI) wird in mehreren Bundesländern eingesetzt. Nach Angaben vom HPI konnten sich Unberechtigte über einen allgemeinen Einladungs-Link bei dem System anmelden und dabei Nutzerdaten von Anwendern einsehen. So wurde im Saarland eine Liste von ca. 100 Namen von Schülern und Lehrern bekannt. Insgesamt sollen bundesweit 13 Schulen betroffen sein, bei denen sich auffällige Nutzer registriert hatten. 

Das HPI wurde vom saarländischen Datenschutzbeauftragten auf eine potentielle Lücke hingewiesen, über die es Hackern möglich war, sich illegal einen Account in der HPI Schul-Cloud anzulegen. Verdächtigte Nutzer sollen dabei in dem Schul-System eine Gruppe erstellt und versucht haben, Schüler und Lehrkräfte in dieses Team einzuladen.

Die Sicherheitslücke der Schul-Cloud wurde nun geschlossen. Die Funktion eines schulweiten Registrierungslinks wurde nach dem Vorfall aus der Software entfernt. Es sollen stattdessen andere Formen der Nutzerregistrierung verwenden werden – wie z.B. ein persönlicher Einladungs-Link. 

Zudem wurde bei der Überprüfung des Vorfalls eine weitere Datenschutzlücke ersichtlich. In einem Ticketsystem zur Entwicklung der Software, waren zum Teil Tickets öffentlich einsehbar, in denen Fehlermeldungen oder Verbesserungsvorschläge von Nutzern erfasst wurden.

Angriff durch Hacker bei Conrad Electronic

19. November 2019

Hackern war es möglich, sich durch eine Sicherheitslücke des Servers des Versandunternehmens Conrad Electronics Zugang auf ca. 14 Millionen Kundendatensätze in einer Elasticsearch-Datenbank zu verschaffen.

Kreditkarteninformationen oder Kundenpasswörter seien zwar nicht davon betroffen, jedoch Postadressen, E-Mail Adressen, Telefonnummern sowie bei einem Fünftel der Datensätze Bankverbindungen (IBANs). Die Conrad Electronics-Gruppe habe bereits Strafanzeige beim Landeskriminalamt erstattet sowie das Bayerische Landesamt für Datenschutzaufsicht informiert.

Einen Hinweis, dass die Daten zu einem Missbrauch führten gäbe es bislang nicht, teilte die Conrad Electronic SE mit, jedoch bittet das Unternehmen um Vorsicht, falls Kunden E-Mails mit unsauberen Anhängen erhalten sollten. Um den Kunden entgegen kommen zu können wurde eine Seite eingerichtet auf der Informationen zum Vorfall bereitstehen und Fragen gestellt werden können.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter: ,

Gefährdung von Milliarden WhatsApp-Nutzern durch kritische Sicherheitslücke

10. Oktober 2018

Ein Team von Elite-Hackern (Googles Project Zero) hat eine Sicherheitslücke in WhatsApp entdeckt, welche es ermöglicht, ein Smartphone mit einem einzigen Video-Call zu kapern.

Der Fehler findet sich in der Speicherverwaltung des Video-Conferencings. Durch ein speziell präpariertes RTP-Paket kann die Speicherung derart durcheinander gebracht werden, dass der Absender einen eigenen Code einschleusen und damit das Smartphone kapern kann.

Das fällige Update, welches diese Sicherheitslücke aufheben soll, gibt es für die iOS-Version erst seit einer Woche. Das Android-Update gibt es bereits seit dem 28.September 2018. Damit böswillige Hacker keine Spionage-Software auf dem Gerät installieren können, sollten alle WhatsApp-Nutzer jetzt überprüfen, ob sie die jeweils aktuelle Version installiert haben und die aus den offiziellen Quellen verfügbaren Updates installieren. Für das iPhone ist dies aktuell WhatsApp 2.18.93 und bei der Android-Version 2.18.302 (beziehungsweise 2.18.306 im Google PlayStore).

Telegram-Passport

3. August 2018

Seit kurzem bietet die Messenger-App die neue Ausweisfunktion Telegram-Passport an. Es handelt sich um eine Methode seine Identität in anderen Apps oder Diensten zu verifizieren. Hierfür werden Ausweisdokumente wie z.B. eine Kopie oder ein Foto des Personalausweises bei Telegram hochgeladen. Diese können auf Nachfrage bei anderen Apps oder Onlinediensten z.B. im Rahmen von Bankgeschäften „vorgelegt“ werden, um sich zu authentifizieren.  Telegram speichert die Dokumente in einer Cloud mit einer Ende-zu-Ende-Verschlüsselung. Beim Hochladen muss der Nutzer ein Passwort erstellen. Nach eigenen Angaben hat Telegram keinen Zugriff auf die Dokumente, sondern nur der Nutzer und mit seiner Einwilligung andere Apps oder Onlinedienstanbieter.

Doch die Idee Ausweisdokumente bei einem privaten Dienst zu speichern erscheint heikel und viele Nutzer könnten Bedenken gegen die Nutzung dieser Funktion haben, insbesondere da Zweifel an der Sicherheit der persönlichen Dokumente bestehen. Der Schutzstandard hängt vom eigens vom Nutzer gesetzten Passworts ab. Gerade dieser soll Schwachstellen haben, die von Hackern ausgenutzt werden könnten. Es geht um einen ungeeigneten Hashing-Algorithmus, der für die Speicherung der Passwörter genutzt wird. Der Vorgänger des von Telegram genutzten SHA-512-Algorithmus, hatte bereits 2016 für eine Sicherheitslücke bei der Plattform LinkedIn gesorgt. Nach dem diese Schwachstelle diese Woche bekannt geworden ist, bleibt abzuwarten, ob der Messengerdienst reagiert und dadurch die Bedenken der Nutzer beseitigt werden.

Datenpanne bei Fahrradverleiher oBike

1. Dezember 2017

Eine Radtour mit einem Leihfahrrad des Anbieters oBike mag gesund, umweltfreundlich und praktisch sein. Doch leider wurden bis vor kurzem bei einer Fahrt mit einem der gelben Fahrräder, die in Berlin, Frankfurt, Hannover und München zum Verleih stehen, auch viele Daten preisgegeben.

Journalisten vom Bayerischen Rundfunk (BR) Data und BR Recherche konnten eine Vielzahl von Nutzerdaten im Internet einsehen. Nicht nur der Abstellort wurde übermittelt, sondern ein umfangreiches Bewegungsprofil. Ohne Verschlüsselung oder anderem Schutz lag der genaue Streckenverlauf online offen. Die Smartphone-App von oBike ermöglichte zudem, den Streckenverlauf in sozialen Netzwerken zu teilen. Damit gab der Fahrradfahrer auch persönliche Daten oder Profilbilder preis. Doch auch ohne Nutzung von Social-Media-Kanälen konnten Kriminelle Nutzerdaten kopieren, darunter Namen und E-Mail-Adressen.

Nachdem sich der BR an oBike gewandt hat, wurde die Sicherheitslücke geschlossen. Das Bayerische Landesamt für Datenschutzaufsicht (LDA) wertete dieses Datenleck als Verstoß gegen das Bundesdatenschutzgesetz (BDSG). Der deutsche Firmensitz von oBike liegt in Berlin. Derzeit prüft die Berliner Beauftragte für Datenschutz und Informationsfreiheit ihre Zuständigkeit für diesen Fall.

Pages:  1 2
1 2