Schlagwort-Archiv: Datenschutz

Digitale Identitäten verhindern Kennwort-Klau

In der technisierten Lebens- und Arbeitswelt von heute sind sichere digitale Identitäten unverzichtbar: Nicht nur beim Onlinebanking möchten Nutzer zuverlässig erkannt werden. Für immer mehr Anwendungen in der Cloud oder für das Smartphone ist die sichere und zweifelsfreie Identität des Nutzers Grundvoraussetzung.

Doch wie lässt sich verhindern, dass sich eine Person digital als jemand anders ausgibt? „Ein Passwort zur eindeutigen Authentifizierung der Person hinter einem Benutzernamen reicht nicht mehr aus“, sagt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V.

Hunderte Millionen gestohlener Passwörter kursieren im Netz

Das betont auch die Bundesregierung in ihrer am 9. November 2016 beschlossenen Cyber-Sicherheitsstrategie für Deutschland 2016: „Das derzeit verbreitete, aber nicht sichere Benutzername/Passwort-Verfahren ist als Standard zu ergänzen und nach Möglichkeit abzulösen“, fordert sie. Denn bei einer Authentisierung mittels Nutzername und Passwort sind Diebstahl, Manipulation oder Fälschung einer Identität nicht hinreichend ausgeschlossen.

Hunderte Millionen gestohlener Passwörter inklusive Nutzernamen und E-Mail-Adressen kursieren im Internet. Diese stammen aus Hacks großer Seiten. Millionenfacher Passwort-Diebstahl wurde nicht nur von den Online-Diensten Dropbox, Yahoo und LinkedIn eingeräumt. „Es gibt ein großes Bedürfnis nach besseren digitalen Verfahren zum Nachweis der eigenen digitalen Identität“, betont Oliver Dehning.

Großer Bedarf an starken und nutzerfreundlichen Authentisierungs-Methoden

„Eine starke Authentisierung setzt die Nutzung zweier unterschiedlicher Faktoren voraus“, sagt Jens Bender vom Bundesamt für Sicherheit in der Informationstechnik. Dabei gilt es, Authentisierungsfaktoren geschickt zu kombinieren, um verschiedene Angriffskategorien abzuwehren und um die Stärken verschiedener Faktoren zu kombinieren. Es sollten asymmetrische Verfahren bevorzugt werden, bei denen keine zentrale Datenbank notwendig ist.

Mit Ausweisdokumente mit Online-Ausweisfunktion stellt die Bundesregierung bereits eine hochsichere und datensparsame Identifikationsmöglichkeit im Netz bereit, stellt die Cyber-Sicherheitsstrategie für Deutschland 2016 fest. Der neue deutsche Personalausweis (eID) beispielsweise bietet eine sichere Möglichkeit, sich auch für Cloud-Infrastrukturen zu identifizieren. Das zeigte Dr. Detlef Hühnlein von ecsec im Rahmen der Internet Security Days 2016 in Brühl bei Köln.

Mit der Lösung SkIDentity auf der Basis der Online-Funktion des Personalausweises lassen sich sichere virtuelle Identitäten erstellen und auch transferieren, beispielsweise auf ein Smartphone. Mit dieser vom BSI nach ISO 27001 auf Basis von IT-Grundschutz und von der TÜV Informationstechnik GmbH gemäß dem Trusted Cloud Datenschutz-Profil zertifizierten Lösung können sich Nutzer anschließend bis zu 14 Tage lang auch ohne Nutzung des physikalischen Ausweises für digitale Services authentisieren.

Staat und Wirtschaft schaffen eigene Lösungen für unterschiedliche Anwendungen

Im Internet der Dinge (IoT) benötigen nicht nur Personen, sondern auch Objekte zweifelsfreie Identitäten. „Wenn beispielsweise Fahrzeuge untereinander kommunizieren, um sich gegenseitig vor Gefahren zu warnen oder über die Verkehrslage zu informieren, dann muss die Kommunikation zugleich vertrauenswürdig sein und extrem schnell ablaufen“, sagt Christian Welzel vom Fraunhofer Institut FOKUS. Auch Organisationen und Dienste brauchen digitale Identitäten, denen Nutzer vertrauen können.

„Dem Staat kommt dabei die Rolle zu, den Rahmen festzulegen. Er definiert rechtliche und technische Anforderungen und gewährleistet über Zertifikate Sicherheit.“ Zugleich steht der Staat in Konkurrenz zur Wirtschaft, die eigene Möglichkeiten zur Authentisierung geschaffen hat. Beispiele dafür sind etwa die Facebook ID für Personen oder Gütesiegel für Online-Shops. Generell gilt: „Lösungen für digitale Identitäten müssen global gedacht werden und internationalen Standards und Kriterien genügen“, betont Welzel. Das gelingt mit einheitlichen Standards und Rahmenbedingungen und abgestimmten Vergleichskriterien für Authentisierungsverfahren.

Die Ripper-Polizei: Wenn Betrüger gegen Betrüger vorgehen

Die Homepage von Ripper.cc

Die Homepage von Ripper.cc

Falsche Social-Media-Datenleaks, Handel ungültige Kreditkarten oder bezahlte und nicht ausgeführte Hackerdienste – auch Cyberkriminelle werden hinters Licht geführt. Laut Digital Shadows, einem Anbieter im Bereich Threat-Intelligence, gibt es nun eine Bibliothek in dem sich Cyberkriminelle zu den schwarzen Schafen unter ihnen informieren und so dem Betrug aus den eigenen Reihen vorbeugen können. Auf der Website Ripper.cc finden sich bereits über 1.000 Einträge zu diesen sogenannten „Rippern“ und ihren Maschen.

Ripper sind ein gewaltiges Problem für das florierende Geschäft mit der Cyberkriminalität

Ihre Aktivitäten beeinträchtigen den Markt und schmälern den Gewinn sowohl für Anbieter illegaler Dienste und gestohlener Daten als auch für deren Käufer. Die Mehrheit der kriminellen Plattformen beschäftigt sich daher intensiv mit dem Problem und bietet singuläre Lösungen an.

Mit Ripper.cc soll nun eine übergreifende Bibliothek aufgebaut werden, die sich über unterschiedliche Foren, Webseiten und Plattformen nutzen lässt. Dort können auf der Website Profile vermeintlicher Ripper anlegen und Informationen zu Kontakt, Identifikation und eingesetzter Betrugsmasche online stellen. Neuerdings gibt es sogar ein Plug-In für Jabber – den von Cyberkriminellen bevorzugten Instant-Messaging-Dienst. Damit werden Akteure sofort gewarnt, wenn sie mit einem in der Ripper Datenbank geführten Anbieter in Kontakt treten.

„Es ist erstaunlich, wie schnell sich dieser Bereich der kriminellen Unterwelt reguliert und weiterentwickelt“, erklärt Rick Holland, VP Strategy, Digital Shadows. „Bereits jetzt werden Extensions für Firefox und Chrome von Ripper.cc angeboten, um die Funktionalitäten der Website auszuweiten. Zudem sucht Ripper.cc nach Möglichkeiten, ihren Dienst zu Geld zu machen, z. B. durch Anzeigenschaltung und Abonnements. Die Parallelen zu Geschäftsmodellen von Start-ups und IT-Unternehmen sind ein deutliches Zeichen für die zunehmende Industrialisierung und Professionalisierung der Hacker-Szene.“

 

Kommentar von SecCon: „Videoüberwachung allein verhindert keine Straftaten“

Weidenauer_MarkusMarkus Weidenauer, geschäftsführender Gesellschafter der SecCon Group in München, zur Ausweitung der Videoüberwachung in Deutschland:

Zur Stärkung der inneren Sicherheit hat das Bundeskabinett beschlossen, die Videoüberwachung in Deutschland auszuweiten. Das verabschiedete Gesetzespaket von Bundesinnenminister Thomas de Maizière sieht vor, besonders an öffentlichen Orten eine verstärkte Videoüberwachung zu erlauben. Doch welchen Nutzen hat ein derartiges Vorgehen und welche weiteren Weichen müssen gestellt werden, damit ein derartiges Vorgehen nicht ausschließlich einen repressiven Charakter vorweist?

„Bei der Erstellung von Sicherheitskonzepten und in der öffentlichen Wahrnehmung spielt Videoüberwachung eine immer größere Rolle. Wichtig ist es jedoch, die dahinterstehenden Prozesse klar zu definieren. Denn einfach nur eine Kamera aufzuhängen, die die Umgebung aufzeichnet, hat zunächst keinen, beziehungsweise nur einen repressiven Wert. Sie dient dann lediglich dazu, im Nachgang dazu beizutragen, eventuelle Straftaten aufzuklären.

Bei der Videoüberwachung, wie es sich die Bevölkerung anhand des Beispiels der polizeilichen Videoüberwachung vorstellt, muss hingegen auch laufend jemand vor der Kamera sitzen und die Bilder auswerten. Das muss aus personeller Sicht erst einmal gestemmt werden, ganz zu schweigen von der Qualifikation, die jemand mitbringen muss, um Situationen richtig beurteilen und bewerten zu können und um anschließend die richtigen Maßnahmen einzuleiten. Für die Maßnahmenumsetzung muss wiederum eine angemessene Anzahl an gut ausgebildeten Interventionskräften zur Verfügung stehen. Darin liegt in meinen Augen die eigentliche Herausforderung.“

 

 

Wie Facebook seine Nutzer trackt

Die „Datenschutz Notizen“ haben in einem früheren Beitrag bereits darüber berichtet, welche Daten Facebook unter anderem für die Zielgruppendefinition verwendet. Die Washington Post berichtete nun, dass 98 Daten zur Kategorisierung genutzt werden. Bereits in dem damaligen Bericht wurde auf auf die verschiedenen genutzten Datenquellen (vor allem Drittanbieter) verwiesen. Zu diesen Drittanbietern schreibt Facebook:… mehr

 

Kommentar: …und immer wieder Yahoo….

David Lin von Varonis

David Lin von Varonis

„Yahoo sah sich gestern genötigt einen weiteren Datenschutzvorfall einzugestehen. Den zweiten mit erheblicher Tragweite innerhalb von nur drei Monaten. 2013 erbeuteten Hacker geschätzt mehr als eine Milliarde Nutzerdaten räumte das Unternehmen ein. 2016 ist für Yahoo also offensichtlich ein ziemlich fatales Jahr. Und das Beispiel zeigt wie tief derartige Angriffe in das Netzwerk eines Unternehmens eingreifen und wie wenig Firmen selbst darüber wissen.

Bob Lord, CISO bei Yahoo, bestätigte, dass man dabei sei geeignete Schritte zu unternehmen um die betreffenden Konten zu schützen. Eine natürliche Skepsis bei solchen Aussagen ist aber durchaus angebracht. Woher nimmt ein Unternehmen dieses Wissen? Und wie kann es so sicher sein, welche Konten betroffen sind? Man kann getrost davon ausgehen, dass Yahoo nicht das einzige Unternehmen ist, das solch schwerwiegenden Angriffen ausgesetzt ist und war. Nur: die meisten Firmen wissen nichts davon, weil sie nicht aktiv danach suchen. Der Yahoo-Vorfall hat aber noch eine spezielle „unerwünschte Nebenwirkung“. Nach Aussagen eines ehemaligen Security Engineer, hatte Yahoo Hintertüren installiert, die es der NSA erlaubt haben sämtliche E-Mails mitzulesen. Und zwar hinter dem Rücken der eigenen Yahoo-IT-Sicherheits-Teams. Und natürlich sind Hacker genauso in der Lage solche Backdoors zu finden und auszunutzen.

Und wieder Passwörter

Wer übrigens heute Nacht versucht hat sein Passwort via 1Password auf eine zufällige Folge von 32 Zeichen zu ändern, der erhielt eine vage Fehlermeldung. „Thisismypassword“ ließ sich allerdings verwenden. Und wer sein Passwort nach dem letzten bekannt gewordenen Hack geändert hat, der sollte einigermaßen auf der sicheren Seite sein. Theoretisch.

Zwar hat Yahoo die Passwörter nicht klarschriftlich gespeichert. Aber bei dem verwendeten Hash-MD5 handelt es sich um einen sehr schwachen Algorithmus, der bereits seit einer knappen Dekade unter dem Verdacht steht nicht gerade die sicherste Alternative zu sein.

Mehr zum Thema Passwort-Sicherheit gibt es übrigens aktuell in einem neuen Online-Kurs des Sicherheitsesxperten Troy Hunt https://info.varonis.com/security-basics.

Was können Unternehmen tun, um das Risiko solcher Vorfälle zu senken und den potenziellen Schaden zu begrenzen?

Der erste Präventionsschritt innerhalb des Sicherheitsstrategie eines Unternehmens sollte es sein, zu wissen, wer wann wie und wo auf welche Daten zugreift. Danach sollte man Profile mit einem als normal definierten Benutzerverhalten erstellen. Sollten Abweichungen davon auftreten, müssen die Verantwortlichen unmittelbar benachrichtigt werden. Der zweite Schritt sollte sein, vertrauliche Daten zu identifizieren und gleichzeitig sicherzustellen, dass nur die richtigen Personen auf diese Daten zugreifen. Das Prinzip der minimalen Rechtevergabe ist eine gute Richtschnur. Drittens und letztens sollte man dafür sorgen, dass diese Prozesse weitestgehend automatisiert ablaufen. Entsprechend autorisierte Mitarbeiter sollten in regelmässigen Abständen überprüfen, ob der Sicherheitslevel tatsächlich noch dem gewünschten Stand entspricht.

Es ist nicht ganz unwichtig, dass Yahoo in der eigenen Umgebung solche Prozesse offensichtlich nicht eingezogen hatte. So dass die beiden spektakulären Datenschutzvorfälle unter Umständen niemals „offiziell“ ans Licht der Öffentlichkeit gelangt wären. Der Schaden auf allen Ebenen ist allerdings immens, nicht nur für den Ruf des ohnehin angeschlagenen Konzerns. Die Vorfälle hätten ohne weiteres die geplante Übernahme durch Verizon in Frage stellen können. Betrachtet man das Ganze aus der Perspektive der in Kürze in Kraft tretenden EU-Datenschutzgrundverordnung stellt sich die Frage inwieweit Yahoo hätte belangt werden können. Wäre die DSGVO bereits anwendbar – was erst ab dem 25. Mai 2018 der Fall sein wird – und Yahoo hätte den Diebstahl persönlicher Daten nicht innerhalb von 72 Stunden an eine Datenschutzbehörde gemeldet, würden dem Unternehmen massive Strafen drohen. Das haben wir bei Bekanntwerden des ersten Datenschutzvorfalls schon ein mal durchgerechnet

Die Vorfälle werfen erneut ein Schlaglicht darauf, dass Firmen für die sensiblen Daten ihrer Partner, Kunden und Angestellten verantwortlich sind, dass sie diese Daten schützen und eventuelle Datenschutzvorfälle so schnell wie möglich melden sollten. Viel zu oft erfahren die betroffenen Organisationen nämlich nicht vom eigenen IT-Sicherheits-Team von einem Hackerangriff, sondern erlangen erst dann Kenntnis von einer erfolgreichen Attacke, wenn die betroffenen Daten schon im Darkweb zum Verkauf angeboten werden.“

Autor: David Lin von Varonis. 

Lieber Autoklau als Datendiebstahl

(Bildquelle: Thinkstock_iStock_Hiscox Studie_Digital Economy in Cyber-Gefahr)

(Bildquelle: Thinkstock_iStock_Hiscox Studie_Digital Economy in Cyber-Gefahr)

Die Angst vor finanziellen Verlusten durch gestohlene Daten ist größer als die Angst vor Einbruch und Diebstahl in den eigenen vier Wänden. Dies ist eine der wichtigen Erkenntnisse aus einer Befragung, die Sophos im September 2016 unter 1.250 Verbrauchern in den USA, Großbritannien und der DACH-Region (Deutschland, Österreich, Schweiz) durchführen ließ. Die Studie sollte unter anderem Aufschluss über die empfundene Bedrohungslage, die Wahrnehmung und Einschätzung der persönlichen Sicherheit sowie Kenntnis über Schadsoftware und mögliche und Schutzmaßnahmen geben.

Bemerkenswert ist die Tatsache, dass die Angst vor Hackern zwar groß, das Wissen über die unterschiedlichen Betrugsmaschen in der Cyberkriminalität aber immer noch gering ist. Die Ergebnisse der Studie liegen im internationalen Vergleich bei den gestellten Fragen nah beieinander.

Dennoch zeigen sich regionale Unterschiede: so erweist sich der deutschsprachige Raum als ängstlicher und fühlt sich schlechter geschützt als die englischsprachigen Regionen. Dies wird besonders deutlich bei der empfundenen Bedrohung durch Terror in der realen Welt. Während dieser Punkt in den USA und Großbritannien im Ranking der Befürchtungen auf Platz sechs rangiert, bezeichneten die Befragten in der DACH-Region diesen als ihre zweitgrößte Sorge. Im Gesamtergebnis der Studie landet die Angst vor Terror auf Platz vier.

 Regionen übergreifend digitale Gefahren klar vorn

Was die Gefahren- und Bedrohungslage in der Wahrnehmung der Verbraucher angeht, hat die digitale- der offline-Welt im internationalen Vergleich den Rang abgelaufen. An der Spitze rangieren drei digitale Bedrohungsszenarien: 63 Prozent aller Befragten fürchten sich am meisten vor finanziellen Verlusten durch Datendiebstahl.

61 Prozent ängstigt die Vorstellung, dass Hacker ihren Computer kapern und beispielsweise für die Versendung von Spam und Schadsoftware an persönliche Kontakte und Fremde missbrauchen könnten. Für 58 Prozent wäre es das schlimmste Szenario, wenn ihr Computer durch Cyberkriminelle lahmgelegt und nutzlos würde. Im Vergleich dazu sorgen sich 46 Prozent der Befragten, dass ihr Auto gestohlen werden könnte, 52 Prozent bezeichnen Einbruch und Diebstahl als ihre größte Befürchtung und für 56 Prozent ist die Terrorgefahr die gefühlt größte Bedrohung. Die geringsten Sorgen machen sich übrigens alle darüber, ob ihre Kinder über das Internet Zugang zu pornografischen Inhalten haben.

 DACH mit eigener Gefühlslage – weniger Sorge um Geldverlust

Während in den USA und Großbritannien die Sorge vor finanziellem Verlust durch gestohlene Daten klar oberste Priorität hat, ist es für Menschen in Deutschland, Österreich und der Schweiz hingegen die schlimmste Vorstellung, dass nach einer feindlichen Übernahme durch Cyberkriminelle von ihrem Rechner aus Spam und Schadsoftware an Freunde, Bekannte und auch Fremde versendet werden könnte. An zweiter Stelle steht, wie bereits beschrieben, die Angst vor Terror.

Die drittgrößte Bedrohung in der DACH-Region ist ein möglicher Hackerangriff, der den persönlichen Computer ein für allemal lahmlegt und zerstört. Auf Platz vier landet schließlich der Spitzenreiter der anderen Regionen, nämlich der mögliche finanzielle Schaden durch gestohlene Daten. Auch bei einem anderen Punkt erweisen sich die Befragten in DACH vergleichsweise entspannt: 31 Prozent äußerten besondere Besorgnis, dass ihr Nachwuchs im Internet pornografische Inhalte zu sehen bekommen könnte. In den USA und Großbritannien taten dies immerhin 43 beziehungsweise 42 Prozent der Befragten.

 Ransomware? Was ist Ransomware? DACH schwach.

Bei der Frage, welche der digitalen Bedrohungen als besonders gefährlich erachtet wird, erwiesen sich die Befragten in allen Regionen trotz der geäußerten Ängste zur Cyberkriminalität überraschend schlecht informiert. So gab mit insgesamt 47 Prozent immerhin fast die Hälfte aller befragten Verbraucher an, Phishing nicht zu kennen oder es als eine geringfügige Gefahr zu erachten – in völliger Unkenntnis der Tatsache also, dass Phishing die Angriffsmethode Nummer Eins ist, um persönliche Daten zu stehlen.

Auch hier zeigen sich wieder Abweichungen zur DACH-Region, wo immerhin 70 Prozent der Befragten Phishing kennen und es für eine Gefahr oder sogar große Gefahr halten. Das leider entgegengesetzte Bild zeigt sich beim Thema Ransomware: 31 Prozent der Befragten aller Regionen bezeichneten sich als unerfahren was die Erpressungssoftware betrifft oder hielten es für eine eher kleine Bedrohung. Für die DACH-Region behaupten dies sogar erschreckende 54 Prozent. Gut bekannt sind in allen Regionen dagegen Schadsoftwarearten wie Spam oder Spionagesoftware.

Was den Schutz gegen die einzelnen digitalen Bedrohungen angeht halten sich alle Regionen für durchschnittlich gut geschützt – in der DACH-Region sind hier die Werte um wenige Prozentpunkte geringer, die Unsicherheit scheint also etwas größer.

 Bedarf an Wissen

„Verbraucher sind durch Ransomware, Malware und Spyware besonders bedroht und die Lage wird immer ernster,” weiß Michael Veit, Sicherheitsexperte bei Sophos. „Anders als in einer Firma gibt es zuhause keine IT-Abteilung, die sich professionell um die Sicherheit der Daten kümmert und User aufklärt. Gleichzeitig entwickelt sich der Markt der Cyberkriminalität schnell wobei der Endverbraucher zunehmend in den Fokus rückt. Auch Privatanwender sollten noch mehr über Hacker-Maschen lernen und vor allem wissen, wie man sich effektiv schützt. Eine Möglichkeit hierfür ist beispielsweise das kostenlose Produkt Sophos Home, das Endverbrauchern Sicherheit auf dem Niveau unserer Firmenlösungen bietet.“

Die Studie

Sophos ließ im September 2016 insgesamt 1.250 Endverbraucher ab 18 Jahren befragen, davon jeweils 500 in den USA und Großbritannien sowie insgesamt 250 in Deutschland, Österreich und der Schweiz (DACH). Durchgeführt wurde die Studie von ReRez Research, einem unabhängigen Marktforschungsunternehmen aus Dallas, Texas.

Datenschutzaufsichtsbehörden: Wearables und die Illusion vom Datenschutz

Bildquelle: fitbit.

Bildquelle: fitbit.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) beteiligte sich an einer deutschlandweiten Prüfaktion und prüfte gemeinsam mit sechs weiteren Aufsichtsbehörden Wearables. Auf dem Prüfstand standen sowohl Fitness-Armbänder als auch Smart Watches mit Gesundheitsfunktionen. Außerdem wurden die Apps der Hersteller einer technischen Analyse unterzogen. Das Ergebnis war eindeutig: kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Daten interessieren Versicherer und Unternehmen der Gesundheitsbranche

Wearables, auch bekannt unter dem Begriff Fitness-Armbänder oder Activity-Tracker, sollen den Nutzer zu einer gesunden Lebensweise motivieren und die Bewegung im Alltag fördern. Schon lange können die Geräte Schritte zählen, zurückgelegte Kilometer messen und verbrauchte Kalorien erfassen. Doch die aktuellsten Wearables bieten noch viel mehr. Die geprüften Geräte überwachen die Herzfrequenz, bestimmen die Körpertemperatur über Sensoren auf der Haut und geben Rückmeldung über den Schlafrhythmus. Diese Angaben interessieren immer mehr Versicherer und Unternehmen der Gesundheitsbranche, sodass es sich lohnt, die Geräte genauer unter die Lupe zu nehmen.

Das BayLDA überprüfte zusammen mit den Datenschutzaufsichtsbehörden aus Schleswig-Holstein, Brandenburg, Niedersachsen, Nordrhein-Westfalen und Hessen sowie der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit insgesamt 16 Wearables von Herstellern, die ca. 70Prozent des Marktanteils in Deutschland abdecken.

Geprüft wurden zum einen rechtliche Fragestellungen, wie z. B. die ausreichende Aufklärung über den Datenumgang oder die Frage, ob tatsächlich Gesundheitsdaten verarbeitet werden. Auch die Technik stand im Fokus. In drei deutschen Prüfzentren wurden die Geräte sowie deren Hersteller-Apps für die Betriebssysteme iOS und Android im Labor getestet.

Es wurden die Datenflüsse analysiert, um festzustellen, wer auf welche Daten Zugriff bekommen kann. Außerdem war ein Blick auf die Apps notwendig. Ohne die dazugehörigen A pps sind die meisten Wearables in ihrer Funktion erheblich eingeschränkt oder sogar unbrauchbar. Diese getesteten Apps wurden durch die Nutzer zusammen mehr als 30 Mio. Mal heruntergeladen.

Die Ergebnisse der Prüfung zeigen zahlreiche Mängel auf

  • Transparenz? Nachvollziehbarkeit? Fehlanzeige! Wer Wearables nutzt, muss zur Kenntnis nehmen, dass oftmals zahlreichen Firmen die Daten erhalten. Hersteller und Betreiber geben sich keine Mühe, Licht in das Dickicht aus Hardware-Hersteller, App-Betreiber, App-Shop-Anbieter und zahlreichen Dienstleistern zu bringen. Für den Nutzer bedeutet das, dass er sich oftmals nur pauschalen Datenschutzerklärungen gegenüber sieht und keine Chance hat, zu erkennen, wer für was zuständig ist und was mit den eigenen Daten bei wem passiert. Tests, bei den Anbietern Auskunft über die gespeicherten Daten zu erhalten, wurden entweder mit pauschalen Verweisen auf Datenschutzerklärungen beantwortet oder wegen vermeintlicher Nicht-Zuständigkeit abgewiesen. Hinzu kommt, dass die Anbieter teilweise im Ausland sitzen und nur eine internationale E-Mail-Adresse als Kontaktmöglichkeit anbieten.
  • Besonders schützenswerte Daten: Die Aufgabe der Fitness-Tracker und Apps ist es, Gesundheitsdaten und damit besonders schützenswerte Daten der Nutzer zu verarbeiten. Zwar sind die Einzelinformationen wie z. B. Körpergewicht, zurückgelegte Schritte, Dauer des Schlafes oder Herzfrequenz für sich betrachtet oftmals wenig aussagekräftig. In der Regel werden diese Daten jedoch mit eindeutig zugewiesenen Personenkennungen verbunden. Bei einer dauerhaften Nutzung fallen derart viele Informationen an, dass sich daraus ein erstaunlich präzises Bild des Tagesablaufs und Gesundheitszustands des Nutzers ergibt (was der Nutzer des Gerätes auch bezweckt). Insbesondere bei Verknüpfung der Einzelinformationen mit Standortdaten ergibt das sehr persönliche Informationen:
  • Wann bin ich morgens aufgestanden?
  • Habe ich unruhig geschlafen, (da ich am Vorabend Alkohol konsumiert habe)?
  • Wo beginnt und endet mein Weg zur Arbeit?
  • Warum bin ich aufgeregt und wieso schlägt mein Herz höher, obwohl ich seit 30 min auf dem Bürostuhl sitze?

All diese Fragen lassen sich beantworten, wenn die Daten der Wearables ausgewertet werden. Kritisch wird dieses insbesondere dadurch, dass viele der Geräte die Daten extern durch Dritte verarbeiten lassen und durch die unklaren Regelungen der Nutzer keine Kontrolle mehr darüber hat, wer die Daten von ihm sonst noch hat.

  • Datenschutzbestimmungen: Datenschutzbestimmungen sollen den Nutzer in die Lage versetzen, zu erkennen, wer welche Daten von ihm zu welchen Zwecken erhebt, was er damit macht und insbesondere auch, an wen er welche Daten weitergibt bzw. wer sonst noch Zugriff darauf hat. Die meisten Datenschutzerklärungen erfüllten diese gesetzlichen Anforderungen nicht. Sie waren in der Regel viele Seiten lang, schwer verständlich, enthielten zu essentiellen Datenschutzfragen nur pauschale Hinweise und waren teilweise nicht einmal in deutscher Sprache vorhanden. So erfährt der Nutzer oftmals nicht im ausreichenden Maße, wer konkret Zugriff auf die Daten hat und wie lange sie gespeichert werden. Dabei wäre es ein Leichtes, dies in wenigen kurzen Sätzen zu beschreiben. Oftmals wurde auch nur auf die generelle Datenschutzerklärung des Unternehmens verwiesen, die kaum konkreten Bezug zu dem Wearable hat.

Erstaunlich ist auch, dass fast kein Gerätehersteller über die besonders schützenswerten Gesundheits- und Standortdaten aufklärt – ganz im Gegenteil: einige Hersteller waren sogar der Auffassung, dass es sich dabei um anonyme Daten handle.

  • Daten mit Freunden teilen: Viele Geräte und Apps bieten die Möglichkeit, die aufgezeichneten Fitness-Daten mit Freunden z. B. über soziale Netzwerke zu teilen. Die Funktion soll den Nutzer zu häufigem Training und Bestleistungen anspornen und das gemeinsame Training fördern. Da hierbei auch sehr sensible Informationen preisgegeben werden können, darf das jedoch nur dann geschehen, wenn der Nutzer es ausdrücklich wünscht.
  • Datenweitergabe an Dritte: Beunruhigend sind auch die Aussagen vieler Hersteller zur Datenweitergabe. Einige Hersteller stellen klar, dass sie die Fitness-Daten der Nutzer für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Der Nutzer erfährt weder, um wen es sich dabei handelt, noch kann er widersprechen. Ein klarer Verstoß gegen deutsches Datenschutzrecht.
  • Reichweitenmessung: Die technische Analyse brachte mehr Licht ins Dunkel. Fast alle Hersteller setzen Tracking-Tools US-amerikanischer Unternehmen ein. Mithilfe dieser Tools können Hersteller erfassen, wie die Geräte oder Apps genutzt werden, um die Benutzerfreundlichkeit zu verbessern. Die Daten können aber auch für Werbezwecke und zur Profilbildung verwendet werden. Zwar wird oft angegeben, dass hierzu nur anonyme Daten verwendet werden würden. Den Nachweis bleiben die Hersteller jedoch schuldig. Die Erfahrung zeigt, dass in der Regel in solchen Fällen weiterhin bei vielen Daten ein Personenbezug hergestellt werden kann.
  • Datenlöschung: Die Geräte sind schnell verloren oder technisch überholt, sodass zahlreiche Nutzer ihre gebrauchten Geräte weiterverkaufen wollen. Das birgt ein enormes Risiko. Nutzer glauben, dass mit dem Löschen der App alle Daten vernichtet sind. Das ist falsch! Bei vielen Geräten hat der Nutzer keine Möglichkeit, seine Daten selbstständig vollständig zu löschen. Weder im Gerät selbst noch im Nutzerkonto gibt es eine Löschfunktion. Einige Hersteller weisen sogar darauf hin, dass eine Löschung nicht möglich ist. Wie lange die Hersteller die Daten speichern, bleibt verborgen. Fakt ist, dass es sich hierbei um einen gravierenden Verstoß handelt.
 Thomas Kranig, der Präsident des BayLDA.

Thomas Kranig, der Präsident des BayLDA.

„Aufgrund unserer zahlreichen Prüfungen der letzten Jahre im Bereich Internet und smarte Geräte haben wir viel Erfahrung gesammelt. Auch diese Prüfung offenbarte Mängel im Datenschutz, die wir bereits bei anderen Testgeräten feststellten. Dass die Unternehmen ihren Aufklärungspflichten nicht immer vollständig nachkommen, ist bekannt. Mit Erschrecken mussten wir feststellen, dass gerade in sensiblen Bereichen wie Gesundheit und Bewegungsprofile die Daten häufig an Dritte übermittelt werden. Der Nutzer ist aufgrund der mangelnden Transparenz nicht mehr Herr seiner Daten und hat keine Chance zu verfolgen, in wessen Hände seine Gesundheitsdaten gelangen“, erklärte Thomas Kranig, der Präsident des BayLDA.

Einige Mängel ließen sich problemlos dadurch beheben, dass die Fitnessdaten der Wearables lediglich auf das Smartphone weitergeleitet und lokal verarbeitet werden. Eine permanente Übermittlung aller Daten vom Smartphone an Server diverser Firmen ist aus Sicht der Datenschützer in der Regel mit Risiken verbunden, denen sich die Nutzer bewusst sein sollten.

„Würden die Hersteller dieser Empfehlung nachkommen, würden in den wenigsten Fällen Gesundheitsdaten in die Hände Dritter gelangen. Die heutigen Smartphones sind so leistungsstark, dass sich dies ohne Funktionseinschränkung technisch ganz einfach umsetzen ließe. Indem die Hersteller jedoch alle Daten von der App weiterleiten, signalisieren sie ein eigenes Interesse an den

 

 

 

Staatliche Überwachung schadet Digitalisierung

eco_ueberwachung-220x311Das Vertrauen in digitale Dienste ist insbesondere durch die Enthüllungen des NSA-Whistleblowers Edward Snowden nachhaltig erschüttert worden. 61 Prozent der Deutschen halten ihre persönlichen Daten im Internet vor dem Zugriff durch Geheimdienste für nicht ausreichend geschützt, so das Ergebnis einer repräsentativen Umfrage, die das Meinungsforschungsinstitut YouGov im Auftrag von eco -¬ Verband der Internetwirtschaft e. V. im November 2016 durchgeführt hat.

Staatliche Überwachung im Internet durch Geheimdienste beurteilen die Befragten somit mit großer Skepsis. Fast die Hälfte der Befragten (47 Prozent) ist der Ansicht, dem Bundesnachrichtendienst (BND) sollte der Zugriff auf Daten nur in begründeten Fällen gestattet sein. 12 Prozent lehnen die Zugriffsmöglichkeiten des BND auf personenbezogene Daten generell ab. „Ein gesteigertes Bedürfnis zur Ausweitung von polizeilichen und geheimdienstlichen Ermittlungskompetenzen ist in Zeiten terroristischer Bedrohung zwar nachvollziehbar“, sagt eco Vorstand Infrastruktur und Netze Klaus Landefeld. „Die präventive und systematische Überwachung und Kontrolle der elektronischen Kommunikation von Privatpersonen und Unternehmen durch staatliche Stellen ist jedoch abzulehnen.“

 eco fordert: Befugnisse der Geheimdienste einschränken, Vorratsdatenspeicherung wieder abschaffen

eco kritisiert in diesem Zusammenhang besonders die jüngste Gesetzgebung rund um die Wiedereinführung der Vorratsdatenspeicherung und das geänderte BND-Gesetz.

Das Gesetz zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten, das Ende des Jahres 2015 in Kraft getreten ist, verstößt aus Sicht des Verbands gegen nationale und europäische Grundrechte, ohne erkennbaren Mehrwert bei der Bekämpfung schwererer Kriminalität. Stattdessen bedeutet das Gesetz für Unternehmen unverhältnismäßig hohe Kosten, die besonders für kleine und mittlere Unternehmen existenzbedrohend sein könnten.

Im Zusammenhang mit dem im Oktober verabschiedeten neuen BND-Gesetz fordert eco eine erneute Gesetzesänderung, die der sogenannten G-10-Kommission wieder weitgehende Kontrollrechte gibt und die Erfassung durch den Dienst im Inland in geeigneter Weise beschränkt.

 Wahlkampfthema Digitalisierung: eco startet neue Themenreihe und Website www.eco-digitalpolitik.Berlin

eco begleitet die kommenden Monate bis zur Bundestagswahl 2017 mit einer digitalpolitischen Themenkampagne unter dem Motto Wahl/Digital 2017. Ziel ist es im Rahmen von Veranstaltungen, Publikationen und Onlineangeboten die wichtigen politischen Fokusthemen rund um Internet und Digitalisierung zu diskutieren sowie auf relevante digitalpolitische Fragestellungen und Herausforderungen aufmerksam zu machen. Schwerpunktthema des Monats November ist „Staatliche Überwachung“.

Weitere Informationen dazu erhalten Sie online auf der neuen eco Website zur Digitalpolitik www.eco-digitalpolitik.berlin

Hilfe, Cyberkriminelle unter dem Weihnachtsbaum!

Weihnachtsmann8Wenn die Temperaturen fallen und hoffentlich der erste Schnee die Straßen überzieht, beginnt die Zeit der hektischen Betriebsamkeit in den Einkaufsmeilen dieser Welt und den glühenden Servern bei Online-Händlern. Auch dieses Jahr sind vernetztes Spielzeug- und Technikgeschenke auf der Liste der beliebtesten Geschenke.

Vielen Verbrauchern ist aber nicht bekannt, dass diese Geräte Sicherheitsrisiken in sich bergen, sobald sie mit dem Internet oder anderen Devices verbunden sind. Viele der beliebtesten Technikprodukte – darunter Smartphones oder Wearables wie Fitness Tracker und Smartwatches – sind deshalb nicht nur besonders ansprechend, sondern potenziell gefährlich. Eine von Intel Security beauftragte Studie hat die gefährlichsten Geschenke identifiziert, die sich am leichtesten hacken lassen.

„Es ist wenig überraschend, dass vernetzte Geräte auf den Einkaufslisten für Weihnachten ganz weit oben stehen. Alarmierend jedoch ist die Tatsache, dass Verbraucher nicht bewusst ist, welche Sicherheitsrisiken sich hinter den modernen Geräten verbergen können,“ sagt Alexander Salvador, Online-Sicherheitsexperte bei Intel Security.

Ahnungslosigkeit bei vielen Verbrauchern

Der Studie zufolge planen knapp 60 Prozent der in Deutschland Befragten, ein internetfähiges Geschenk zu erwerben. Neben den Klassikern wie Smartphones oder Tablets stehen dieses Jahr auch Fitness Tracker, Smart TVs oder Streaming Sticks ganz oben auf der Liste. Dass damit Hackern Tür und Tor geöffnet wird, ist zwar manchen Verbrauchern bewusst, dennoch verpasst es die Mehrheit angemessene Sicherheitsvorkehrungen zu treffen. 45 Prozent der Befragten geben zu, nicht sicher zu sein, welche Schutzmaßnahmen eigentlich die richtigen sind.

„Verbraucher sind oft so begierig darauf, ihre neuen Geräte sofort in Betrieb zu nehmen und verpassen daher, sicherzustellen, dass ihr Gerät richtig abgesichert ist,“ erklärt Alexander Salvador weiter. „Cyberkriminelle können dadurch leichter Einfallstore finden, um an persönliche Nutzerdaten zu kommen, Malware zu installieren oder sogar Identitäten zu stehlen.“

Die „Most Hackable Gifts“ in diesem Jahr

  • Laptops und PCs: sind nach wie vor sehr beliebte Geschenke. Aber bösartige Applikationen nehmen Computer bevorzugt ins Visier und lassen so das Traumgeschenk schnell zum Alptraum werden. Durch E-Mail Anhänge, mit Malware verseuchte Seiten oder unsichere W-LAN-Verbindungen bieten sich Hackern viele Möglichkeiten, Zugang zu Computern zu erlangen.
  • Smartphones und Tablets stehen bei 62 Prozent der Befragten dieses Jahr ganz hoch im Kurs. Aber wie bei den Laptops und PCs eignen sich auch diese Geräte als hervorragende Türöffner für Cyberkriminelle, die auf persönliche oder finanzielle Daten aus sind.
  • Media Player und Streaming Sticks sind gerade der letzte Schrei unter Verbrauchern, wenn es um Film- und Fernsehgenuss geht. Da diese aber ebenfalls internetfähig sind, wirken mangelnde Updates wie eine virtuelle Einladung und können Einlass ins W-LAN Netz gewährleisten und persönliche Daten auslesen.
  • Smartwatches und Fitness Tracker könnten als sogenannte „Gateway“-Geräte missbraucht werden, um Zugriff auf Mobilgeräte der Nutzer zu erhalten, da diese oft per Bluetooth mit Smartphones oder Laptops verbunden sind. Hacker können diese Verbindung missbrauchen, persönliche Daten oder Identitäten stehlen, gezielte Spear-Phishing-Angriffe starten und Schadsoftware installieren.
  • Drohnen sind in Sachen Beliebtheit zwar noch weit hinter den oben genannten, aber dennoch auf dem Vormarsch und dürften in den nächsten Jahren deutlich zulegen. Doch auch hier besteht Potenzial für IT-Sicherheitsangriffe. Das Risiko liegt darin, wie Daten mit dem Internet geteilt werden und Geräte interagieren. Ohne ausreichenden Schutz können Drohnen in fremde Kontrolle geraten und Schäden anrichten.

Aber was kann man als Verbraucher tun, um sich zu schützen? Hier hat Sicherheitsexperte Salvador einige Tipps bereit: „Der Großteil aller Online-Gefahren lässt sich mit der Durchführung regelmäßiger Updates abwehren. Außerdem sollten Sie Geräte nicht mit Standard-Passwörtern absichern und zusätzlich, wenn möglich, auf Multi-Faktor-Authentifizierung zurückgreifen, da diese mehr Sicherheit bietet als das Passwort alleine. Wenn Sie dann noch mit einem gesunden Misstrauen an E-Mails und Links herangehen, die Sie geschickt bekommen, ist der Großteil aller Gefahren abgewendet.“

Über die Umfrage

Im Auftrag von Intel Security befragte OnePoll im September 2016 insgesamt über 9.800 Erwachsene, davon 1.000 in Deutschland, die täglich vernetzte Geräte verwenden.

Google & Co schicken Lobby-Brief an Trump: Gegen Datenschutz, für Verschlüsselung

Autor Markus Reuter schreibt in „Netzpolitik.org“: Die Internet Association, zu deren Mitgliedern große Internetkonzerne wie Google, Facebook, Twitter und Amazon gehören, hat Trump einen offenen Brief geschrieben. Der Lobby-Brief vom vergangenen Montag umreißt in Grundzügen einige politische Positionen der großen Internetfirmen der USA. Unter anderem fordern die Unternehmen vom designierten Präsidenten, starke Verschlüsselung zu schützen. … mehr

 

Privatsphäre in sozialen Medien: Gefahrenbewusstsein bei Nutzern steigt

Der europäische Security-Software-Hersteller ESET hat in einer aktuellen Studie zum Thema Online-Datenschutz herausgefunden, dass Nutzer sozialer Medien dem Schutz ihrer persönlichen Daten im Internet mehr Aufmerksamkeit schenken. Zwei Drittel der Briten schützen ihre Daten sogar aktiv. An der Studie nahmen im Oktober 2016 insgesamt 1.000 Nutzer sozialer Medien in Großbritannien teil.

Die Ergebnisse verdeutlichen den hohen Stellenwert von Datensicherheit bei den Nutzern: 68 Prozent der Studienteilnehmer haben ihren Datenschutz bereits selbst in die Hand genommen und sich aktiv darum gekümmert, berichtet „Pressetext“. … mehr

 

Plötzlich nackt im Netz: Digitalisierung Datenhandel

Im Rahmen einer Recherche gelangten Reporter des NDR an Datensätze von drei Millionen Deutschen, die gewerbsmäßig verkauft werden. Mit dabei auch der Internet-Fußabdruck eines Autors der „Süddeutschen“, der sich auf einmal #nacktimnetz wiederfand – so der Titel der NDR-Recherche. Die „Süddeutsche“ schreibt dazu: Es geht in diesem Text nicht um mich. Dass es ausgerechnet meine gesamte Internet-Historie aus dem August 2016 war, die verkauft wurde, ist Zufall. In diesen verkauften Daten kann ich nun nachlesen, welche Webseiten ich ansurfte, welche Begriffe ich suchte und sogar minutengenau, welche Reiseverbindungen mich interessierten (dank einer Nachlässigkeit der Deutschen Bahn…. mehr

 

Umfrage: Jeder Dritte nachlässig bei Passwortwahl

Mehr als ein Drittel der Internetnutzer in Deutschland (37 Prozent) verwendet ein- und dasselbe Passwort für mehrere Online-Zugänge, zum Beispiel zu E-Mail-Diensten, sozialen Netzwerken oder Online-Shops. Zu diesem Ergebnis kommt eine repräsentative Befragung im Auftrag des Digitalverbands Bitkom.

Immerhin: Mehr als die Hälfte (58 Prozent) der Befragten gibt an, für jedes Online-Konto ein gesondertes Passwort zu nutzen. „Die Versuchung ist groß, ein Passwort für mehrere Dienste zu benutzen. Kaum jemand kann und will sich unzählige Passwörter merken“, sagt Marc Fliehe, Bereichsleiter für Information Security beim Bitkom. „Nachlässigkeiten bei der Passwortwahl sind aber gefährlich, denn damit macht man kriminellen Hackern die Arbeit sehr einfach.“

Laut Umfrage nutzt knapp die Hälfte der Befragten (47 Prozent) für private Zwecke zwischen einem und zehn verschiedenen Online-Diensten, die einen Login mit Benutzernamen und Passwort erfordern. Ein gutes Drittel (37 Prozent) verwendet 11 bis 20 Dienste. 5 Prozent sind Vielnutzer mit mehr als 20 privaten Online-Diensten. 5 Prozent der Internetnutzer sagen, dass sie keinen Online-Dienst verwenden, bei dem man sich anmelden muss.

Um bei der Vielzahl an Zugängen der Passwort-Flut Herr zu werden, können Passwort-Manager helfen. Diese speichern alle Kennwörter in einer verschlüsselten Datei. Nutzer müssen sich nur noch ein Master-Passwort merken. Einmal eingegeben, erlangt man Zugang zu allen gespeicherten Kennwörtern.

Einige Programme bieten sogar die Möglichkeit, nicht nur Passwörter, sondern auch die dazugehörigen Benutzernamen zu speichern. Beim Erstellen neuer Passwörter gilt: Je komplexer das Passwort, desto größer der Schutz. „Clevere Eselsbrücken können dabei helfen, komplexe Passwörter mit Buchstaben, Zahlen und Sonderzeichen zu generieren. Ich kann zum Beispiel die Anfangsbuchstaben ausgedachter Sätze aneinanderreihen“, so Fliehe.

Weitere Tipps und Informationen rund um das Thema Vertrauen und Sicherheit im Internet finden Sie hier.