Schlagwort-Archive: Datenschutz

Hamburger Datenschutzbeauftragter untersagt Facebook WhatsApp-Datennutzung

Alle, die sich schon seinerzeit gefragt hatten, wie Facebook denn den nicht ganz billigen Einkauf von WhatsApp letztlich “monetarisieren” wollte, wissen ja seit Ende August Bescheid: “Was kümmert mich mein Geschwätz von gestern?“; „Versprochen, Gebrochen“. Ach so.

Johannes Caspar, als Hamburger Datenschutzbeauftragter für die deutsche Facebook-Niederlassung zuständig, sieht das nicht so gelassen. Das nicht eingehaltene Versprechen, die Kundendaten beider Unternehmen nicht auszutauschen, sei eine Irreführung der Verbraucher – die Annahme dürfte wohl plausibel sein, dass viele WhatsApp-User (bei allen eigenen Privacy-Problemen dieses Unternehmens bzw. des Konzepts…) nicht begeistert davon sind, dass ihre Telefonnummern und Kommunikationsgepflogenheiten an Big Brother und dessen Werbekunden gehen. Und sich – korrekt informiert – einem Konkurrenz-Messenger zugewendet hätten.

Dann hätten sie ja bis 25. September widersprechen können, sagt Facebook. Nein, so herum läuft das hier bei uns nicht, sie hätten aktiv zustimmen müssen, sagt Caspar. Es gehört keine allzu große Prophetengabe dazu, um hier wieder einmal eine sehr, sehr langwierige juristische Auseinandersetzung vorherzusagen.

WhatsApp: Datenschützer Johannes Caspar gegen Facebook · DRadio Wissen

DRadio Wissen – Hielscher oder Haase vom 28.09.2016 (Moderation: Till Haase)

Wissenschafts-Plattform Eurekalert gehackt

Mal richtig schön gehackt zu werden – davor ist ja eigentlich keine Website ernsthaft gefeit. Obwohl da jetzt vielleicht Admins Protest einlegen und argumentieren, dass sie auf ihrem System immer brav alle Sicherheitsprobleme und Sicherheitsupdates mitverfolgen und diese sofort einspielen, dass sie bekannte Maßnahmen wie die Wahl eines zeitgemäßen Verschlüsselungs- und Hash- und Salt-Algorithmus für ihre Userdaten und Passwörter implementiert haben. Was jetzt genau bei Eurekalert schief gelaufen ist, das wissen die Betreiber am besten.

Auf jeden Fall wurde die Website gehackt.

screenshot-eurekalert

Screenshot Eurekalert

 

Und die Brisanz liegt in diesem Fall darin, dass Eurekalert halt die Plattform ist, über die sich Journalisten vorab über die Veröffentlichungen informieren können, die in den führenden wissenschaftlichen Magazinen anstehen. Da gibt es jeweils eine Sperrfrist – nämlich das offizielle Erscheinungsdatum der Zeitschriften wie “Science” oder “Nature”. Der Sinn dieser Sperrfrist ist, dass man in Ruhe seine Interviews mit den Studienautoren führen kann, dass nicht ein einzelner vorprescht, der Zeitung den Neuigkeitseffekt versemmelt und der übrigen Berichterstattung vorzeitig und egoistisch die Luft rauslässt. Was letztlich dazu führen würde, dass weniger über die wissenschaftlichen Studien berichtet werden würde.

Ein bewährtes System also; Zuwiderhandlungen gegen die Sperrfrist werden übrigens ziemlich humorlos geahndet. Kürzlich hatte z.B. mal motherboard.vice.com eine Sperrfrist von “Science” gebrochen und musste dann recht peinlich Kotau machen. Im jetzigen Hacking-Fall hat allerdings der Hacker seine Beute per Twitter “angeboten” und wohl auch mindestens eine der gesperrten (“embargoed”) News geleakt. Als Reaktion blieb Eurekalert nichts anderes übrig, als die Notbremse zu ziehen und die Seite komplett vom Netz zu nehmen – offenbar sind News mit und ohne Sperrfrist nicht konzeptuell so getrennt, als dass man sich nur auf die “heiklen” Informationen hätte beschränken können.

Man darf also vermuten, dass in dieser Woche die Berichterstattung von Wissenschaftsjournalist(inn)en über aktuelle Studien etwas schwierig wird 😉 – und die vom Hack betroffenen Kollegen und Kolleginnen (ich auch…) müssen sich halt ein neues Passwort ausdenken. Und wenn sie auf der Eurekalert-Seite ein “Master-Passwort” verwendet haben, dann sollten sie dieses bei anderen Webdiensten auch schleunigst ändern. Ich bekenne mich ja übrigens auch schuldig: Mein Eurekalert-Passwort war so alt und so einfach, dass ich eigentlich schon lange mal gedacht hatte, das sollte ich mal ändern. Sonst wäre ich plötzlich auf der “schwarzen Liste” der Embargo-Brecher gelandet… Gottlob war das ja jetzt kein individueller, sondern ein globaler Hack 🙂 .

Datensparsamkeit: Was ist besser, Web oder App?

Dass man bei bestimmten Webdiensten bestimmte persönliche Daten angeben muss, um die Dienste sinnvoll nutzen zu können, ist banal. Bei einer Dating-Plattform etwa das eigene Geschlecht – außer man ist völlig flexibel oder changiert neumodisch zwischen allen Ufern und Zwischenstadien. Der Wohnort bei Lieferdiensten – völlig banal, die Emailadresse für die Kontaktaufnahme, völlig banal. Nicht mehr so ganz banal ist die Erkenntnis (auch wenn man die in den AGBs oder TOSs ungelesen abgenickt hat…), dass diese persönlichen Daten anschließend auch an Dritte gehen – etwa, wenn sich der Dienst mit Werbung finanziert oder Material zu Big-Data-Analysen beisteuert.

Immerhin hat man da als User noch eine kleine Steuerungsmöglichkeit, die Datenweitergabe wenigstens so sparsam wie möglich zu halten – weil die allermeisten Dienste ja eine Nutzung sowohl per direktem Webzugang anbieten als auch per App. Und das macht einen teilweise erheblichen Unterschied. Weil die Frage “Web oder App” sich nicht pauschal beantworten lässt, sondern vom jeweiligen Anbieter, vom benutzten Gerät und von den eigenen Datenschutz-Präferenzen abhängt, haben Informatiker von der Northeastern University eine Entscheidungshilfe programmiert und ins Netz gestellt. (Sie haben nebenbei auch noch registriert, dass manche Websites auch das User-Passwort “leaken”. Zum Teil aus nachvollziehbaren Gründen, zum Teil aber auch “versehentlich”… 🙂

Screenshot der Empfehlungs-Website

Screenshot der Empfehlungs-Website

Eine interessante Analyse und ein praktischer Service, momentan allerdings mit eindeutigem Fokus auf die USA – vielleicht könnte man das ja einmal auch auf die in anderen Ländern populären Dienste ausweiten.

Datenschutz: Web- und App-Dienste leaken unsere Daten · DRadio Wissen

DRadio Wissen – Hielscher oder Haase vom 14.09.2016 (Moderation: Till Haase)

Messengerdienst Telegram in Iran gehackt – über abgefangene SMS

An sich ist Zwei-Wege-Authentifizierung ja eine gute Idee und ein Sicherheitsfeature – und alle möglichen Netz-Dienste schicken also Bestätigungscodes per SMS an ein vorher registriertes Gerät, um irgendetwas zu beglaubigen – einen Passwortwechsel oder einen Kauf wie bei Apple oder Google, oder halt die erstmalige Verwendung eines neuen Gerätes. Die gute Idee wird allerdings zu einer ganz schlechten, wenn auch der vermeintlich sichere Alternativ-Kommunikationskanal in der Hand eines Angreifers ist. Dass das zum Beispiel im Iran so ist, davon hätte eigentlich auch Telegram ausgehen dürfen – und seine rund 20 Millionen User in dem von religiösen Eiferern gelenkten Staat vielleicht auch schon etwas klarer vor dem jetzt eingetretenen Szenario warnen können.

Telegram empfiehlt als Reaktion auf den Hack, sich eben nicht auf die Geräte-Authentifizierung per SMS zu verlassen, sondern stattdessen ein starkes Passwort einzurichten. Das allerdings kann man vergessen – und deswegen verschickt der Betreiber dann auf Anforderung eine Recovery-Mail. Wenn der Account, an den diese Mail geht, allerdings in der Hand eines Angreifers ist – dann haben wir den gleichen Salat wie bei der SMS. Da gibt es also offensichtlich mehr Fallstricke in heiklen Kommunikations-Situationen, als man sich zunächst klarmacht – auch mit End-zu-End-Verschlüsselung. Für die Masse der Telegram-User im Iran ist es vielleicht ein kleiner Trost, dass das Regime nicht die Kapazitäten haben dürfte, alle Accounts zu überwachen oder zu hacken.

Offenbar schafft es ja auch die NSA nicht, die Telegram-User beim IS mit genau der gleichen Methode komplett abzuschnorcheln. Müsste aber eigentlich gehen.

DRadio Wissen · Verschlüsselung: Messengerdienst Telegram in Iran gehackt

DRadio Wissen – Hielscher oder Haase vom 03.08.2016 (Moderation: Diane Hielscher)

Privacy? Pustekuchen: Tracking per Batteriestand und Audio-Fingerprint

Man kann ja noch darüber streiten, ob die Grundidee der Werbeindustrie im Netz eigentlich super-schlau oder super-beknackt ist – nämlich uns “maßgeschneiderte” Angebote machen zu wollen. Nur wollen wir ja vielleicht auf einer Seite, die wir während der Arbeit ansteuern, während gerade der Chef neben einem steht, gar keine Werbung zu unserem pikanten, exotischen Hobby eingeblendet bekommen, auch wenn wir beim Spezialversender da vorgestern privat etwas angeguckt haben. Die eigentlich völlig geläufige Tatsache, dass wir in ganz unterschiedlichen Rollen online unterwegs sein können, die haben die Werbeheinis irgendwie nicht so ganz gecheckt.

Und deswegen versuchen sie uns überall zu verfolgen, zu identifizieren und aus dem möglichst kompletten Abgreifen unserer Surf- Kauf- und Suchhistory ein “komplettes” Persönlichkeitsbild zu erstellen. Irgendwie scheint die Strategie ja auch einen gewissen Erfolg zu haben, vielleicht eine Steigerung der “Conversion Rate” um ein paar Prozent – dass man dafür die Privatsphäre aller Internetnutzer verletzt; auch derer, die halt nicht auf die Werbung klicken oder mit Adblocker unterwegs sind – Kollateralschaden. Forscher der Princeton University haben einmal zusammengetragen, welches Ausmaß das Tracking mittlerweile hat und welche Methoden zum Einsatz kommen – ganz ausdrücklich appellieren sie auch an Medien und Aufsichtsbehörden, der Branche gegebenfalls auf die Finger zu klopfen.

Entdeckt haben sie “in freier Wildbahn” zwei neue Varianten des “Canvas Printing“, eine davon überträgt das Prinzip auf Audio-Dateien. Auch der Batteriestand von Mobilgeräten wird abgefragt, um User identifizieren – manche Seiten spekulieren offenbar sogar auf eine höhere Zahlungsbereitschaft von Surfern, denen in Kürze der Saft ausgeht. 🙂

Tracking: Sie wissen, wo du surfst · DRadio Wissen

DRadio Wissen – Hielscher oder Haase vom 03.08.2016 (Moderation: Diane Hielscher)

Smartphone hacken mit Sprachkommandos

Wer allen Ernstes zuhause im Wohnzimmer eine Dauerlausch-Einrichtung a la Amazon Echo, Google Home oder Apple Siri installiert (die ja möglicherweise demnächst auch noch dauerglotzt, wer gerade da ist und welchen Gesichtsausdruck der oder die macht…), ist ohnehin fest in der Post-Privacy-Sphäre verankert. Wobei die Sprachassistenzsysteme ja in gewissen Situationen durchaus ihre Berechtigung haben – etwa im Auto, wenn man beide Hände am Lenkrad braucht; oder wenn man gerade ein Baby wiederbelebt

Aber ganz ohne Zweifel wird das Geplauder und Assistieren nicht mehr aufzuhalten sein – da ist es doch schon wieder im Sinne eines kurzen Realitätschecks didaktisch wertvoll, wenn auch Hacker sich den neuen Kommunikationskanal zunutze machen und mit verzerrten Borg-Kommandos unterhalb der menschlichen Verständnisschwelle, aber sehr wohl oberhalb der des Gerätes akustisch Sand ins Getriebe streuen. Die ganze Sache klingt momentan noch etwas skurril – aber dass es wie üblich genügend Spaßvögel, Trolle und Ganoven geben wird, die das Voice-Hacken mal ausprobieren, das ist klar.

Vielleicht wird man (bzw. eben nicht man selbst, sondern der Personal Assistent in der Jackentasche…) ja demnächst im Gedränge von Werbeheinis angesprochen oder in der Fußgängerzone mit Megaphonen überfallen. Oder für das Radio wär das natürlich auch etwas, um schlagartig die Klickzahlen für die Homepage oder den Social-Media-Channel nach oben zu boosten.

Voicehack: Smartphone hacken mit Sprachkommandos · DRadio Wissen

DRadio Wissen – Hielscher oder Haase vom 13.07.2016 (Moderation: Till Haase)

Hartnäckige Werbe-Verfolger: Sound Beacons und Cross Device Tracking

Das Internet nutzen und trotzdem noch ein bisschen Privatsphäre bewahren – irgendwie scheint das ja völlig inkompatibel zu sein. Am PC haben wir uns quasi daran gewöhnt, dass Google, Facebook und halt die ganze Werbeindustrie uns um jeden Preis identifizieren und bei jedem Besuch wiedererkennen möchten – ob das immer so ganz legal und mit geltenden Datenschutzvorschriften kompatibel ist, das ist noch die andere Frage.

Nur surfen wir mittlerweile fast häufiger mit dem Smartphone und dem Tablet; und dass eine Person mehrere Geräte benutzen kann, ist ja zunächst einmal ein grauenvoller Albtraum für unsere fürsorglichen Werbe-Verfolger. Es wäre ja entsetzlich, wenn wir vielleicht auf unserem Dritt-iPhone nicht darüber informiert werden, dass die Autorin des Kinderbuches, das wir vor zwei Jahren der Tochter unserer besten Freundin geschenkt haben, ein neues Epos aus der lukrativen Welt der Pferdehof-Abenteuer veröffentlicht hat.

Zum Glück gibt es auch für das grässliche Problem mit den multiplen Werbeziel-Persönlichkeiten eine aparte technische Lösung – das Ganze nennt sich “Cross Device Tracking”; und die vielleicht ausgebuffteste Einzeltechnologie sind die “Sound Beacons”, die offenbar von den Anwendern unbemerkt schon in einer ganzen Reihe von Apps stecken

Anfang der Woche hat sich die FTC, die Federal Trade Commission mit dem “Cross Device Tracking” beschäftigt – man kann nur hoffen, dass die Behörde die Bedenken der Datenschützer ernst nimmt und zumindest eine Hinweispflicht (mit der Option, das geräteübergreifende Herumlauschen nicht zuzulassen…) vorschreibt…

DRadio Wissen – Schaum oder Haase vom 18.11.2015 (Moderation: Marlis Schaum)

Google hat Ärger in Frankreich, Facebook hat Ärger in Belgien

Die US-amerikanischen Unternehmen Google und Facebook auf der einen Seite, die europäischen Datenschützer und Wettbewerbshüter auf der anderen – ein nahezu epischer Kampf; mit österreichischen Galliern wie Max Schrems als treibenden Akteuren.

In Frankreich ist die Datenschutzbehörde CNIL nicht sonderlich angetan von Googles Praxis, Suchtrefferlöschungen nach Beschwerden jeweils nur in der nationalen Suchmaschinen-Version durchzuführen, nicht aber in der US-amerikanischen bzw. globalen Ausgabe.

In Belgien hat die BPC Ernst gemacht und Facebook wegen dessen Tracking-Cookies verklagt. In der ersten Anhörung vor Gericht sparten beide Kontrahenten nicht mit einer gewissen Theatralik: Facebook verhalte sich wie die NSA, so der Anwalt der Datenschutzbehörde. Bei einem Untersagen der Tracking-Cookies werde Belgien zur Wiege des Cyber-Terrorismus, so der Facebook-Anwalt.

Google und Facebook argumentieren ähnlich: Wieso meint eine nationale Datenschutzbehörde vorschreiben zu können, was dann auch für Nutzer in anderen Ländern der Welt gelten würde? Das ist einerseits nachvollziehbar; schließlich würde sich hierzulande auch keiner seine Internet-Nutzungsmodalitäten von “Gerichten” in Iran, Saudi-Arabien, Pakistan, China oder Nordkorea vorschreiben lassen wollen. Andererseits unterwerfen sich die betroffenen Unternehmen ja genau dort meist dann doch den dort geltenden Vorschriften, um im Geschäft zu bleiben.

Und so bietet sich das naheliegendste Kompromissmodell natürlich genau wie in diesen Konfliktfällen an – eine lokale Umleitung auf die landesspezifisch angepasste Version auf Basis der User-IP-Adresse. Dass ein paar technisch versierte Nutzer das dann mit Proxies umgehen könnten, das wiederum müssen die Datenschützer akzeptieren.

DRadio Wissen – Schaum oder Haase vom 22.09.2015 (Moderation: Till Haase)

Image-Kratzer bei Apple: Verseuchte Software im offiziellen App-Store

Sündenfall oder die erwartbare Landung auf dem Boden der Tatsachen? Zum ersten Mal hat es den offiziellen “App Store” von Apple so richtig erwischt: Dutzende, vielleicht sogar hunderte Progrämmchen dort sind mit Schadsoftware verseucht – obwohl das Unternehmen doch jede App und jedes Update prüft und dann erst freigibt.

Das ist diesmal wohl schiefgegangen – und ausgerechnet in Apps, die extrem populär sind, steckt Malware – wie etwa in der chinesischen WhatsApp-Alternative WeChat. Das Stichwort “China” liefert aber auch schon die Erklärung: Offenbar haben eine ganze Reihe von chinesischen Herstellern bzw. Programmierern ihre Apps nicht mit der offiziellen dafür vorgesehenen Software Xcode von Apple erstellt – sondern mit einer Xcode-Version von einem obskuren chinesischen Server – die “leider” mit der Schadsoftware XcodeGhost verseucht war.

Angesichts der Tatsache, dass das Original-Apple-Xcode für Entwickler gratis ist, klingt das absurd – aber es gibt eine plausible Erklärung: Die “Great Firewall”, die die chinesischen Zensoren um das Land gezogen haben, macht Netzverbindungen ins Ausland extrem langsam – da greift man halt gern auf schnellere Inlands-Quellen zurück. Keine gute Idee.

Apple hat das Problem inzwischen eingestanden und – jedenfalls “nach bestem Wissen und Gewissen” alle verseuchten Apps aus dem Store geschmissen. Anwender sollten die betroffenen Applikationen ebenfalls löschen bzw. die “sauberen” Updates einspielen – und “eigentlich” sollte man auch sicherheitshalber alle eventuell abgegriffenen Passwörter (iCloud? iTunes?) ändern, obwohl ja inzwischen der angebliche XcodeGhost-Programmierer die ganze Sache als Experiment bezeichnet hat und die erbeuteten Daten gelöscht haben will.

Auf jeden Fall ist das “Experiment” gründlich “geglückt”: Apples Nimbus ist lädiert und XcodeGhost liefert möglicherweise die Blaupause für kommende Angriffe auf iOS-Apps. Auch wenn Android mit seinen noch weniger kontrollierten Download-Quellen nach wie vor noch unsicherer ist 🙂 …

DRadio Wissen · Apple: Verseuchte Apps im offiziellen App-Store

DRadio Wissen – Schaum oder Haase vom 21.9.2015 (Moderation: Till Haase)

Deutschlandfunk: Apple – Verseuchte Software gelangt in den App Store

Deutschlandfunk – Forschung aktuell vom 21.9.2015 (Moderation: Monika Seynsche)

Google und Android-Hersteller wollen künftig schneller auf Sicherheitslücken reagieren

Im Moment hat Joshua Drake, der Entdecker der Stagefright-Sicherheitslücke seinen großen Auftritt auf der BlackHat-Konferenz. Vor Ort ist auch Adrian Ludwig, bei Google zuständig für die Android-Sicherheit. Und seine Ankündigung lässt aufhorchen – ab jetzt soll Schluss sein mit den schleppend eintrudelnden Android-Updates und den monatelang oder gar ewig offen stehenden Malware-Einfallstoren. Da musste eben erst etwas richtig fieses wie Stagefright kommen – darauf nicht zu reagieren würde Betriebssystem- wie Gerätehersteller tatsächlich ziemlich unseriös dastehen lassen. Für die Top-Geräte werden jetzt die Updates allmählich in Umlauf gebracht, in Deutschland hat die Telekom erst einmal die Notbremse gezogen und den MMS-Versand eingestellt.