Schlagwort: Skype

Streit um Videokonferenzsysteme – Microsoft mahnt Berliner Datenschutzbehörde ab

20. Mai 2020

Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, „unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen“. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.

Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.

Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .

Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung „keine ernsthafte Befassung mit der DSGVO erkennen“ ließe.

Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich „Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie„. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments „Best-Practice zum Homeoffice“ der Bayerischen Datenschutzbehörde.

Mozilla Stiftung prüft Videokonferenz-Apps

29. April 2020

Die amerikanische, gemeinnützige Stiftung Mozilla hat 15 der wichtigsten Videokonferenz-Apps einer Sicherheitsanalyse unterzogen und Ihre Ergebnisse in einem Leitfaden mit Datenschutz- und Sicherheitsmerkmalen sowie Datenschutz- und Sicherheitsmängeln zusammengestellt. Der Leitfaden soll Nutzern dabei helfen, die für sie richtige App auswählen zu können.

Um zu bestehen, mussten die Apps folgende fünf Mindestanforderungen erfüllen:

  • Verschlüsselung von Anrufen
  • Regelmäßige Sicherheitsupdates
  • Forderung nach sicheren Passwörtern
  • Umgang mit Schwachstellen
  • Vorliegen einer Datenschutzrichtlinie

12 Apps erfüllen Mindestanforderungen

12 der 15 geprüften Apps konnten diese Mindestsicherheitsstandards erfüllen. Dazu zählen WhatsApp, Apple FaceTime, Skype, Google Duo/HangoutsMeet, Facebook Messenger, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting, Cisco WebEx und Zoom.

Insbesondere Zoom wurde in der Analyse dafür gelobt, dass es auf die vielfache Kritik (wir berichteten) schnell reagiert habe, um Sicherheitsmängel zu beseitigen, auch wenn der Grund dieses Handelns, laut Mozilla, wohl vor allem der großen Konkurrenz unter den verschiedenen Videokonferenz-App-Anbietern zu verdanken sei.

Dennoch erhebliche Unterschiede unter den Apps

Die Ausgestaltung der einzelnen Sicherheitsstandards unterscheidet sich zwischen den Anbietern jedoch deutlich.  

So werden Anrufe zwar verschlüsselt, allerdings seien es nur Google Duo, FaceTime, WhatsApp, Signal, Goto-Meeting und Doxy.me, die die sicherste Variante, die Ende-zu Ende Verschlüsselung, verwendeten. Nur diese Art der Verschlüsselung gewährleistet, dass der Inhalt eines Anrufs nur für die jeweiligen Teilnehmer einsehbar ist.

Bei der Skype-App, dem Facebook-Messenger und Webex habe der Nutzer aber zumindest die Option eine Ende-zu Ende Verschlüsselung zu wählen.

Andere Apps würden hingegen eine Client-zu-Server-Verschlüsselung verwenden, welche die Daten, sobald sie auf den Servern eines Unternehmens landen, lesbar macht.

Außerdem weist Mozilla auf eine Reihe weiterer Risken hin. Unter anderem sammle Facebook über seine Apps eine Menge persönlicher Informationen wie Name, E-Mail, Standort, Geolokationen auf Fotos, die hochgeladen werden sowie Informationen über Kontakte und den Nutzer selbst, die andere Personen (möglicherweise) freigeben und sogar alle Informationen, die die App über einen sammeln kann, wenn die Kamerafunktion verwendet wird. Außerdem teile Facebook die Informationen auch mit einer großen Anzahl von Drittparteien wie Werbeagenturen, Anbietern, akademischen Forschern und Analysediensten.

WhatsApp hingegen sei sehr anfällig für Fehlinformationen. Gerade während der Pandemie werde die App zur Verbreitung von Verschwörungstheorien und gefälschten Nachrichten gebraucht.

Drei Apps fielen durch

Die Apps Houseparty, Discord und Doxy.me fielen bei der Sicherheitsanalyse hingegen durch. Sie erfüllten bereits nicht die fünf Mindest-Sicherheitsanforderungen. Laut Mozilla verlangen die genannten Dienste keine sicheren Passwörter und Houseparty und Discord sammeln zu viele persönliche Daten.

Youngdata.de – Datenschutz der Jugend näher bringen

19. Februar 2015

Am 10.02.2015 wurde anlässlich des Safer Internet Day in Erfurt das Portal Youngdata freigeschaltet. Youngdata ist ein Gemeinschaftsprojekt der Datenschutzbeauftragten des Bundes und er Länder. Das Jugendportal ist eine Informationsplattform sowohl für junge Leute als auch für Eltern und Lehrer rund um das Thema Datenschutz und Informationsfreiheit.

Die Bundesbeauftragte für Datenschutz und Informationsfreiheit, Andrea Voßhoff, betont, wie wichtig es ist, in einer zunehmend digital vernetzten Welt, Jugendliche schon möglichst früh für bestehende Sicherheitsrisiken zu sensibilisieren. Auf youngdata.de werden Kindern und Jugendlichen deshalb altersgerechte Werkzeuge an die Hand gegeben. So wird nicht nur abstrakt erklärt, was Datenschutz und Informationsfreiheit eigentlich ist und wen es in welcher Form betrifft. Ganz konkret werden vor allem die Medien vorgestellt, mit denen Kinder und Jugendliche heute wie selbstverständlich aufwachsen: Facebook, Google, WhatsApp, Skype werden den Interessierten auf einfache Weise nahegebracht. Es wird ihnen erklärt, welche persönlichen Daten die Services verwenden und wie man als Nutzer seine Datenschutzeinstellungen richtig vornimmt. Auch über Konsolen und Smartphones wird aufgeklärt, ganz nach dem Motto „sensibilisieren statt verbieten“.

Besonders lobenswert erscheint, dass das Gemeinschaftsprojekt von Bund und Ländern nicht nur über zivile Internetfirmen aufklären und Schutz bieten will. Auch werden unter dem Begriff „Staat und Bürgerdaten“ Themen wie Geheimdienste, Staatstrojaner und die Vorratsdatenspeicherung erklärt.

Überdies werden konkrete Hilfestellungen und Anlaufstellen für Opfer von Cybermobbing angeboten. Ein digitales Quiz, Videos, einen Blogg und viele weitere Information finden sich zusammengetragen, gebündelt und auf das für junge Menschen Wesentliche reduziert auf Youngdata: Ein Projekt, das in die Zukunft investiert, das Eltern und Lehrkräften Hilfestellungen bietet und sie im digitalen Dschungel der Erziehung nicht alleine lässt, ein Projekt, das hoffentlich Schule machen wird.

Skype: Änderung der Nutzungsbedingungen

8. Dezember 2014

Wer Kunde des Kommunikationsdienstes Skype ist, wurde vergangene Woche per E-Mail darüber informiert, dass der Anbieter seine Nutzungsbedingungen zum 01. Januar 2015 ändern wird.

Wichtig für den Kunden ist eine unscheinbar wirkende Änderung im Abschnitt 5.7, wie heise online berichtet. Der Abschnitt erklärt, wie Skype mit den Kommunikationsinhalten, also dem Videochat und versendeten Dateien, der Nutzer künftig verfahren wird:
„Durch die Nutzung der Software gewähren Sie Skype eine Lizenz für geistiges Eigentum, mit der Skype die Inhalte Ihrer Kommunikation verwenden kann, um die Produkte bereitstellen zu können, z.B. die Übermittlung Ihrer Kommunikation an den vorgesehenen Empfänger.“
Sehr konkret ist der Passus nicht formuliert, was zu einer weiten Auslegung zu Gunsten von Skype führen kann. So behält sich der Anbieter durch diesen Passus insbesondere auch vor, die Zweckbindung der Speicherung von Inhalten aufzuheben und die Daten für andere – möglicherweise künftige – „Produkte“ zu verwenden. Heise online spricht in diesem Zusammenhang sogar von einem „Freifahrtschein“, den der Kunde Skype ausstellt. Denn in welchem Umfang und zu welchem konkreten Zweck das Unternehmen die Daten speichert und eventuell verwendet, ist nicht bekannt.

Laut Professor Nikolaus Forgó vom Institut für Rechtsinformatik an der Universität Hannover ist der neue Abschnitt in den Nutzungsbedingungen jedoch fragwürdig, zitiert heise den Rechtsexperten. Insbesondere „weil die Klausel überraschend ist und daher ohnehin nicht Vertragsbestandteil […]“ werden kann. Als Kunde müsse man wohl kaum damit rechnen, durch Nutzungsbedingungen dem Anbieter solche umfangreichen und mehrdeutigen Rechte einzuräumen. Denn wer mit den neuen Nutzungsbedingungen nicht einverstanden ist, muss noch vor dem 01. Januar 2015 den Service kündigen. Wer auch im kommenden Jahr den Service nutzt, erklärt sich automatisch mit den Neuregelungen einverstanden.

Skype als möglicher NSA-Lieferant unter Verdacht

15. Oktober 2013

Medienberichten zu folge, wird gegen den Internet-Telefondienstanbieter Skype wegen potentieller Datenweitergabe an den US-Geheimdienst NSA ermittelt. Geprüft werde, ob das zu Microsoft gehörende Unternehmen Daten an die NSA weitergegeben und damit gegen Luxemburger Gesetze verstoßen habe, wie die britische Tageszeitung  The Guardian berichtet. Es werde bereits seit Juni 2013 ermittelt. Bis Ende Oktober soll geklärt werden, ob ein Verstoße gegen Luxemburger Gesetze durch Weitergabe von Daten durch Skype vorliegt, um sodann zu entscheiden, ob ein Verfahren gegen Skype angestrengt wird.

 

Skype, Datenschutz und eine Alternative

27. Juni 2013

Seit Skype 2003 den Markt der IP-Telefonie bereicherte, übernahm es ebenso schnell eine führende Marktpräsenz, wie es sich datenschutzrechtlicher Kritik ausgesetzt sah. Laut Angaben von Skype wurde die Software rund 3,3 Milliarden mal heruntergeladen (Stand 1.12.2012). Doch proprietäre Netzwerkprotokolle und eine schon in den geltenden Datenschutzrichtlinien öffentlich gemachte Politik, die eine umfangreiche Sammlung von Nutzerdaten zulässt, lassen erhebliche Nutzereinschränkungen erkennen. Dies führt faktisch etwa zu unkontrollierbaren Lücken in der jeweiligen Firewall oder auch, wie jüngst bekannt wurde, kompletten Protokollierungen (bzw. Mitlesen) durch Microsoft, welche Skype vor zwei Jahren für 8,5 Milliarden Dollar aufkauften, von Nutzerkommunikation.  Jedoch, längst nicht alle Nutzer sind sich dessen gewahr. Das mag nicht verwundern, zieht man in Betracht, dass Skype seit Jahren stets die vordersten Ränge der Download-Statistiken von chip.de und Co. anführt.

Doch sind Alternativen vorhanden, wenn auch nicht so weit verbreitet und insofern bis dato weniger praktisch nutzbar, zieht man die Verbreitung und den Marktanteil von Skype im Bereich der IP-Telefonie in Betracht. So existieren etwa auf dem Extensible Messaging and Presence Protocol (XMPP) basierende Kommunikationssysteme wie Jitsi, die einen offenen Standard nutzen und jedenfalls hinsichtlich des Datenschutzes als verbraucherschutzfreundlicher einzustufen sind als etwa Skype.

Kategorien: Online-Datenschutz
Schlagwörter: , , ,

Datenschützer fordern Transparenz von Skype und Microsoft

4. Februar 2013

Für viele Internetnutzer bedeutete die Einführung der kostenlosen und flächendeckend verfügbaren Voice-Over-IP-Videotelefonie einen spürbaren Fortschritt in der technischen Entwicklung. Als Vorreiter und Marktführer des Metiers positionierte sich von Anfang an der Anbieter Skype, der erstmals im Jahr 2003 (damals noch als Skyper 1.0) auf dem Markt erschien und mittlerweile über 650 Millionen Nutzer zählt. 2011 übernahm der Software-Gigant Microsoft das Unternehmen. Mittlerweile lassen sich nahezu alle internetfähigen Endgeräte mit Skype ausstatten.

Mit der immensen Nutzerzahl geht auch ein enormer Datentransfer einher. Auch hoch sensible Daten sind dabei betroffen. Doch Skype lässt sich beim Thema Datenschutz scheinbar nur ungern in die Karten gucken. Wie das Online-Portal der Zeit berichtet, haben sich nun Aktivisten zusammen getan, um von dem Unternehmen klare Aussagen bezüglich der Weitergabe von Daten zu erhalten. Bislang seien entsprechende Anfragen immer mit der Antwort quittiert worden, eine Verschlüsselung der Daten werde gewährleistet, man halte sich an die öffentlich einsehbaren Datenschutzrichtlinien. Unter der Führung des Kanadiers Nadim Kobeissi, Gründer des Chat-Programms Cryptocat, formulierten nun Aktivisten und Datenschützer einen offenen Brief an Skype, in dem Klarheit bezüglich der aufgetretenen Ungereimtheiten gefordert wird. Es wird eine differenzierte Erklärung dazu gefordert, welche Daten Skype genau und wie speichert, und ob, beziehungsweise inwieweit, diese staatlichen Einrichtungen zur Verfügung gestellt werden. Der Brief findet dabei Unterstützung durch eine breite und teilweise prominente Masse. So beteiligen sich etwa die sich für digitale Bürgerrechte einsetzenden Organisationen Electronic Frontier Foundation und Reporter ohne Grenzen an der Aktion.

 

Skype: Herausgabe von Nutzerdaten ohne Beschluss

28. November 2012

Nach einem Bericht des Online-Portals Heise hat der Messenger-Dienst Skype ohne behördliche Aufforderung und ohne gerichtlichen Beschluss Daten eines Nutzers an das private Sicherheitsunternehmen iSight Partners herausgegeben. Betroffener sei ein 16-Jähriger, der im Jahr 2010 an einer DDoS-Attacke mitgewirkt haben soll, die unter dem Namen „Operation Paypal“ gegen Paypal lief. Paypal habe sich im Zuge der Aufklärung des Angriffs an das Sicherheitsunternehmen iSight Partners gewendet, welches auch Skype zu seinen Kunden zählt. Der Chef von iSight Partners habe im Laufe der Recherchen den Nutzer bei Skype gefunden und das Unternehmen mit der Bitte um Mitteilung der Nutzerdaten kontaktiert. Dieser Bitte sei Skype nachgekommen und habe die Nutzerdaten ausgehändigt, welche im Anschluss durch iSight Partners an die zuständigen Behörden weitergeleitet wurden. Skype habe eine freiwillige Weitergabe der Daten bestritten und erklärt, dass nur auf behördliche Anordnungen hin Daten herausgegeben werden. Es werde derzeit geprüft, wie die Daten im vorliegend geschilderten Fall trotzdem in die Hände der Geschäftspartner von iSight Partners gelangen konnten.

Kategorien: Online-Datenschutz
Schlagwörter: ,

Skype: Kritisches Sicherheitsleck im Datenschutz

16. November 2012

Medienberichten zu folge, wurde eine große Sicherheitsgefahr in Skype entdeckt:

Beim Zurücksetzen  eines Kennwortes wird gewöhnlich bei anderen Anbietern eine E-mail zu der hinterlegten E-mailadresse geschickt. Mittels Abrufen und Anklicken eines Links aus dieser Mail, muss sich der Zurücksetzende somit identifizieren.

Nicht so bei Skype, denn hier konnten auch Unbefugte das Kennwort für beliebige andere Skype-Konten zurücksetzen, wenn sie Kenntnis einer mit dem jeweiligen Konto verknüpften E-Mail-Adresse hatten, wie vor zwei Monaten in einem russischen Forum berichtet wurde. Mit Hilfe der Beschreibung des Forums war es möglich, nur mittels der Email-Adresse einer Person ihren Skype-Account zu übernehmen

Wie Skype in seinem Blog mitteilt, konnte die Sicherheitslücke zwischenzeitlich geschlossen werden und es sei nicht mehr möglich, über die Passwort-zurücksetzen-Funktion das Skype-Konto eines anderen Nutzers zu übernehmen.

Folgende Beiträge könnten Sie auch interessieren
http://www.datenschutzticker.de/index.php/2012/11/google-sicherheitsluecken-in-eigenen-e-mail-signaturen/
http://www.datenschutzticker.de/index.php/2012/09/sicherheitsluecke-im-messenger-dienst-whatsapp/
http://www.datenschutzticker.de/index.php/2012/07/sicherheitsluecke-bei-der-singleboerse-meetone/