Skandal – datensicherheit.de Informationen zu Datensicherheit und Datenschutz

Vorratsdatenspeicherung: Gefahr für persönliche Sicherheit

dp — Wed, 24 Jul 2019 15:22:00 +0000

EU-Kommission sollte „endlich“ gegen grundrechtswidrige Vorratsdatenspeicherung klagen

[datensicherheit.de, 24.07.2019] Die am 23. Juli 2019 veröffentlichte Kritik von über 30 zivilgesellschaftlichen Organisationen an EU-Überlegungen zur Wiedereinführung einer Vorratsdatenspeicherung der Verbindungs- und Standortdaten aller Bürger kommentiert der Europaabgeordnete Dr. Patrick Breyer (Piratenpartei): Man müsse unnötige, wahllose Aufzeichnungen eigener Verbindungen und Bewegungen verhindern, sonst sei die eigene Sicherheit in Gefahr.

Dänischen Vorratsdaten-Skandal im EP zum Thema machen

Dr. Breyer wird deutlich: „Der dänische Skandal um mögliche Fehlurteile wegen falscher Vorratsdaten, der Hacker-Angriff auf Telefongesellschaften weltweit – all das beweist erneut: Wir müssen unnötige, wahllose Aufzeichnungen unserer Verbindungen und Bewegungen verhindern, sonst ist unsere Sicherheit in Gefahr.“ Seine Fraktion will demnach den „dänischen Vorratsdaten-Skandal“ zum Thema im Europäischen Parlament machen.

Endlich gegen grundrechtswidrige nationale Gesetze zur Vorratsdatenspeicherung klagen!

Die EU-Kommission müsse „endlich gegen die grundrechtswidrigen nationalen Gesetze zur Vorratsdatenspeicherung klagen“. Studien zu diesem Massenüberwachungsinstrument müssten unabhängig durchgeführt werden und seine Nutzlosigkeit gemessen an der Aufklärungsquote einbeziehen.

Weitere Informationen zum Thema:

EDRi, 23.07.2019
Civil society calls for a proper assessment of data retention

FrankfurterRundschau, Thomas Borchert, 09.07.2019
VORRATSDATENSPEICHERUNG / Wurden in Dänemark Unschuldige wegen falscher Telefondaten verurteilt?

TC, Zack Whittaker
Hackers are stealing years of call records from hacked cell networks / At least 10 cell networks have been hacked over the past seven years

datensicherheit.de, 06.06.2019]
Vorratsdatenspeicherung: eco kritisiert Justizministerpläne

datensicherheit.de, 07.02.2019
Vorratsdatenspeicherung: Bayern und Bundesregierung im Dissens

datensicherheit.de, 14.01.2019
Verfassungswidrig: Datenschutzbeauftragte kritisieren Vorratsdatenspeicherung

datensicherheit.de, 01.09.2018
Vorratsdatenspeicherung: Bundesverfassungsgericht soll Einfluss auf EuGH nehmen

datensicherheit.de, 22.04.2018
Vorratsdatenspeicherung: Verstoß gegen EU-Recht

datensicherheiit.de, 29.06.2017
Vorratsdatenspeicherung: Nicht nur Aussetzen, sondern aufheben

datensicherheit.de, 22.06.2016
Europäischer Gerichtshof: Urteil gegen anlasslose Vorratsdatenspeicherung

facebook: Erneut erhebliche Datenschutzdefizite

dp — Thu, 21 Mar 2019 22:16:44 +0000

Ulrich Kelber spricht von „Skandal“

[datensicherheit.de, 21.03.2019] Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat zu dem jüngsten Datenschutz-Vorfall bei facebook Stellung genommen: Der „aktuelle Skandal“ belege, dass facebook das Thema Datenschutz immer noch „stiefmütterlich“ behandele. Gerade weil die facebook-Zugangsdaten auch für viele andere Dienste als Authentifizierungsmöglichkeit genutzt werden könnten, sollten Nutzer dieses Sozialen Netzwerks unbedingt ihre Passwörter ändern.

Kunden unnötigem Risiko ausgesetzt

Bei dem BfDI hat der erneute Skandal nach eigenen Angaben „vor allem Kopfschütteln“ ausgelöst: „Es ist zwar traurig, aber ein Datenschutzvorfall bei facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen.“
Damit setze facebook seine Kunden einem „unnötigen Risiko“ aus. Kelber: „Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“

Stand der Technik: Passwörter regelmäßig nur in verschlüsselter Form speichern

Da Unternehmen beim Anmeldeprozess lediglich überprüfen müssten, ob Zugangskennung und Passwort zueinander passen, sei es Stand der Technik, Passwörter regelmäßig nur in verschlüsselter Form zu speichern, beispielsweise als Hashwert.
Bei einem ähnlich gelagerten Fall habe der Landesdatenschutzbeauftragte in Baden-Württemberg vor einigen Monaten aus diesem Grund ein deutsches Unternehmen mit einer Geldbuße belegt.

Problem bereits seit Januar 2019 bekannt

Der BfDI sei sich daher sicher, „dass auch der vorliegende Fall penibel von den Datenschutzaufsichtsbehörden untersucht werden wird“: Zum einen müsse geklärt werden, „ob facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat“.
Das Problem scheine ja bereits seit Januar 2019 bekannt gewesen zu sein. Unabhängig davon werde die in Europa zuständige Irische Datenschutzbeauftragte „sicherlich die Einleitung eines Bußgeldverfahrens prüfen“. Kelber kündigt zudem an: „Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“

Zugriff auf weitere gegebenenfalls sehr sensible Daten möglich

facebook habe am 21. März 2019 bekanntgegeben, dass über Jahre hinweg die Passwörter von hunderten Millionen Kunden unverschlüsselt auf internen Servern gelegen hätten und so für mehr als 20.000 Mitarbeiter zugänglich gewesen seien.
Besonders kritisch sei der Fall, weil diese Daten nicht nur für den Zugang zum Sozialen Netzwerk selbst, sondern auch als „Single Sign-On“ genutzt werden könnten – viele weitere Apps oder Online-Dienste ermöglichten es, sich mit den facebook-Zugangsdaten bei ihnen anzumelden. So gewährten die Daten potenziell auch den Zugriff auf weitere gegebenenfalls sehr sensible Daten, etwa aus Gesundheits-Apps. „facebook-Nutzer sollten daher dringend ihr Passwort ändern“, rät der BfDI abschließend.

Aktualisierung vom 22.03.2019, 13.15 Uhr:

Im Nachgang der Veröffentlichung seiner Pressemitteilung vom 21. März 2019 hat der BfDI nach eigenen Angaben erfahren, dass facebook die Kundenpasswörter in seiner Passwort-Datenbank doch verschlüsselt speichert – „stattdessen waren die in Rede stehenden Passwörter offenbar in Log-Files im Klartext gespeichert“.
Ulrich Kelber unterstreicht: „An der grundsätzlichen Bewertung des Vorfalls ändern die neuen Erkenntnisse nichts. Wenn überhaupt macht es die ganze Sache noch schlimmer, da Passwörter – egal ob verschlüsselt oder im Klartext – generell nichts in Log-Files zu suchen haben.“

Weitere Informationen zum Thema:

datensicherheit.de, 07.02.2019
Bundeskartellamt geht gegen facebook vor

datensicherheit.de, 01.10.2018
Facebook-Angriff erfolgt über typische Sicherheitslücke

datensicherheit.de, 25.07.2018
Nutzer klagen über nachlässigen Datenumgang von Facebook

Datenverarbeitung durch Cambridge Analytica: Facebook in der Verantwortung

cp — Thu, 22 Mar 2018 11:03:58 +0000

Stellungnahme des Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz

[datensicherheit.de, 22.03.2018] Im Fall der Verarbeitung von Daten bei Facebook durch Cambridge Analytica nimmt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, wie folgt Stellung:

„Der Skandal um die unzulässige Verarbeitung von Daten, die von Facebook stammen, durch die Firma Cambridge Analytica zeigt zweierlei: Facebook ist nicht nur eine harmlose Plattform für die Vermittlung von Nachrichten, sondern eine Datenkrake, die mit den Daten ihrer Nutzerinnen und Nutzer Geschäfte macht. Die bei Facebook vorhandenen Daten können von anderen in einer Art und Weise gebraucht werden, die unkontrollierbar und evtl. sogar rechtswidrig ist. Der jetzige Skandal um Facebook ist eine absehbare Folge der „digitalen Enteignung“, der die Nutzer des Sozialen Netzwerks unterzogen werden.

Facebook trägt Verantwortung. Dieser Verantwortung hat sich das Unternehmen bisher nicht angemessen gestellt. Der Zugang zu den personenbezogenen Daten, die Facebook zur Verfügung stehen, muss strukturiert und geregelt sein. Vernachlässigt wird zudem, dass Facebook Meldepflichten betreffend Datenschutzverstöße obliegen. Nach der Datenschutz-Grundverordnung der Europäischen Union, die ab dem 25. Mai 2018 gilt, sind diese Meldeverpflichtungen wesentlich verstärkt und mit hohen Geldbußen belegt. Sollte es stimmen, dass Facebook bereits seit 2015 von den Vorgängen um Cambridge Analytica wusste, wären hier empfindliche Sanktionen angezeigt.

Cambridge Analytica hat sich mit simplen Mechanismen Zugang zu den bei Facebook vorhandenen Daten verschafft. Ein Glücksspiel reichte aus. Denn über diesen Weg kann man nicht nur zu den Daten der Teilnehmerinnen und Teilnehmer des Spiels gelangen, sondern auch zu den Daten der Freunde und Anhänger dieser Nutzer. Daran zeigt sich die Sorglosigkeit von Facebook im Umgang mit zum Teil höchst privaten Daten. Es belegt erneut das erhebliche Risiko, weil Facebook nicht nur mit Instagram und WhatsApp ein Unternehmensverbund bildet, sondern auch die Adressbücher aller Nutzer komplett ausliest, ohne die Einwilligung der Betroffenen einzuholen. Daher ist es zu begrüßen, dass die spanische Datenschutzaufsicht eine Geldbuße von 300.000 Euro verhängt hat, weil dort Daten von WhatsApp und Facebook weitergegeben wurden. Gleichermaßen zu begrüßen ist, dass die Hamburgische Datenschutzbehörde nachdrücklich mit einem Verbot darauf hingewirkt hat, dass eine derartige Übermittlung in Deutschland zunächst nicht passiert. Allerdings liegen die Daten vor, die wirtschaftlichen Verflechtungen bestehen und die Intransparenz für die Nutzerinnen und Nutzer ebenso.
Was kann der Einzelne tun? Die kurzfristige Herangehensweise ist, wenn man denn Facebook nutzen möchte, zumindest die Einstellungen zu überprüfen. In den Privacy-Einstellungen von Facebook gibt es eine Reihe von Möglichkeiten, etwa Werbung auszuschalten oder aber andere Datenübermittlungen soweit wie möglich zu verhindern. Dabei muss man jedoch immer darauf vertrauen, dass sich Facebook insoweit auch rechtmäßig verhält. Dieses Vertrauen hat gelitten.

Ab dem 25. Mai 2018 wird sich die Rechtslage in der Europäischen Union durch die Datenschutz-Grundverordnung deutlich verbessern. Die Anforderungen an Information und Transparenz bei Facebook und anderen monopolartigen Unternehmen aus den Vereinigten Staaten von Amerika werden erheblich erhöht. Die Wahrscheinlichkeit, dass diese Unternehmen ihre Pflichten zumindest auf dem europäischen Markt erfüllen, steigt. Denn Geldbußen bis zu 20 Millionen oder 4 % des weltweiten Jahresumsatzes drohen. Im Falle von Facebook könnte das maximal zu einem Betrag von 1,3 Milliarden Euro Geldbuße führen.

Die Notwendigkeit, Verantwortliche wie Facebook zu regulieren, wird immer deutlicher. Das Netzwerkdurchsetzungsgesetz in der Bundesrepublik Deutschland ist hier ein erster verbesserungsbedürftiger, aber auch ausbaufähiger Ansatz. Andere Staaten in Europa spielen ebenfalls mit dem Gedanken, ähnliche Regulierungsmechanismen zu erlassen. Man kann die Ausübung der Kommunikationsfreiheit nicht allein einem ungeregelten freien Markt überlassen. Es steht zu viel auf dem Spiel: Die Kommunikationsfreiheit des Einzelnen und, wenn rechtmäßig in sie eingegriffen wird, letztlich die Demokratie.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

Mainzer Augenklinik: Patientenunterlagen im Müllcontainer eines Lebensmittelmarktes

cp — Sat, 21 Nov 2009 12:27:07 +0000

Landesbeauftragter für den Datenschutz Rheinland-Pfalz ermittelt

[datensicherheit.de, 21.11.2009] Am 19. November 2009 wurde das Büro des „Landesbeauftragten für den Datenschutz Rheinland-Pfalz“ nach eigenen Angaben über den Fund zahlreicher Patientenunterlagen im Müllcontainer eines Lebensmittelmarktes in Mainz-Laubenheim unterrichtet:
Es soll es sich u.a. um OP-Berichte und Bilder von Patienten aus der Augenklinik des Universitätsklinikums Mainz handeln, die von einem früheren Arzt der Augenklinik weggeworfen worden seien, was dieser bestreite. Er habe die Unterlagen zwischenzeitlich wieder an sich genommen.
Der Landesbeauftragte für den Datenschutz ermittelt derzeit den Umfang und den Inhalt der betroffenen Unterlagen. Erst danach wird eine endgültige Bewertung möglich sein. Schon jetzt stehe allerdings fest, dass das Verhalten des Arztes zumindest in berufsrechtlicher, dienstrechtlicher, datenschutzrechtlicher und straf- bzw. bußgeldrechtlicher Sicht zu klären sei.
Dieser Fall beweist einmal mehr, dass das Datenschutzbewusstsein im Umgang mit persönlichen Daten deutlich gestärkt werden muss. Gerade die Häufung solcher Fälle in der jüngsten Vergangenheit zeigt, dass bei der Umsetzung der bestehenden datenschutzrechtlichen Vorgaben teilweise immer noch beachtliche Defizite bestehen.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz, 20.11.2009
Erneut beachtliche Datenschutzverletzung: Arzt wirft Patientenunterlagen in Müllcontainer

datensicherheit.de, 22.09.2009
Aktenordner voller Zeugnisse, Fotos, Lebensläufe und Anschreiben in Papiercontainern / Mainzer Polizei und rheinland-pfälzische Datenschützer reagieren umgehend

Das ds Interview: „Skandal-Prävention durch sichere Daten-Löschung“

cp — Tue, 28 Jul 2009 12:29:53 +0000

Foto: Hanno Fischer

Carsten Pinnow im Gespräch mit Hanno Fischer

Carsten Pinnow für datensicherheit.de im Gespräch mit Hanno Fischer, Leiter des Büros Berlin sowie des Bereiches Public Services der Blancco Central Europe, zum Thema „Skandal-Prävention durch sichere Daten-Löschung“ in Berlin am 22. Juli 2009.

[datensicherheit.de, 27.07.2009]

ds: Herr Fischer, die Redaktion von datensicherheit.de vertritt die Überzeugung, dass betriebliche wie private Daten Vermögenscharakter haben und eigentlich mindestens so stark vor dem Zugriff Fremder zu schützen sind wie materielle Werte.
Unser täglicher Blick in die Medien zeigt uns aber, dass das Bewusstsein dafür noch weitgehend fehlt und Fahrlässigkeit an der Tagesordnung ist – welche Erfahrungen haben Sie auf diesem Gebiet gesammelt?

Fischer: Also, wir können bestätigen, dass der kriminelle Bedarf an persönlichen Daten weltweit wächst…

ds: … Stichworte „Phishing“ und „Skimming“…

Fischer: … genau – aber während die aktuelle Berichterstattung über derartige Vorfälle etwa des Ausspähens von Kontodaten vielleicht ein wenig die Sensibilität der Anwender schärfen wird, gibt es eine offene Flanke der Datenabschöpfung, die niemand bisher so richtig ernst nimmt.

ds: Sie sprechen im Grunde von Daten-Abfällen?

Fischer: Wenn Sie so wollen! In der Tat mag diese Assoziation mit „Müll“ zu einer weitverbreiteten Ignoranz im Zusammenhang mit dem sicheren Löschen von nicht mehr benötigten Alt-Daten führen.

ds: Sicheres Löschen von Daten – gerade dieser Aufgabe hat sich Ihr Unternehmen ja verschrieben…

Fischer: Ich möchte diese Aussage noch präzisieren: Wir haben uns auf sichere Datenlöschung sogar spezialisiert – es ist unser Geschäftsfeld, auf dem wir tagtäglich arbeiten.

ds: Unserer Recherche nach betreiben Sie dazu eine eigene Forschung und Entwicklung…

Fischer: Das ist richtig – sowohl am finnischen Hauptsitz des Unternehmens als auch in der eigenständigen Niederlassung in Deutschland.

ds: Verraten Sie uns doch bitte in wenigen Worten, worin das Kernproblem des Löschens von Daten besteht!

Fischer: Ich gebe mal zwei Stichpunkte vor: Vollständigkeit wie auch Nachweisbarkeit der jeweiligen Datenlöschung sind von zentraler Bedeutung – und eben leider nur selten gegeben. Viele Software-Angebote versagen auf diesem Gebiet. Wer aber seine alte Hardware weiterveräußern möchte, ist zwingend darauf angewiesen, vorab sämtliche Daten unwiderruflich zu löschen und diese Löschung auch über ein vertrauenswürdiges Protokoll zu dokumentieren.

ds: Ich entsinne mich, dass uns vor einigen Monaten eine Nachricht unterkam, nach der beim Kauf gebrauchter Festplatten über eBay plötzlich ein unerwarteter Zugriff auf Informationen über ein US-Raketenabwehrsystem möglich gewesen sein soll…

Fischer: Bedenken Sie bitte, dass nicht jeder dieser Vorfälle in die Medien gelangt – allenfalls die „Spitze des Eisbergs“!

ds: Wie sicher ist denn Ihr Löschverfahren?

Fischer: Nun, es hat die Zulassung bis zum Geheimhaltungsgrad „Nato secret“. In sechs EU-Staaten ist unsere Löschsoftware schon zertifiziert und wird dort von den Ministerien, sogar von den Verteidigungsministerien eingesetzt.
Ferner arbeiten bereits Interpool und die EU-Kommission seit Jahren mit unserer Lösung.

ds: Worin besteht prinzipiell das Manko anderer Softwareangebote?

Fischer: Es gibt schon Programme, mit denen Daten sogar 99-mal überschrieben werden – aber, und das ist die Schwachstelle, eben nicht alle Bereiche der Festplatte!

ds: Das bedeutet, dass nur Teile der Festplatten ordentlich gelöscht, aber einige auch unverändert bleiben?

Fischer: Nehmen Sie die ATA-geschützten Bereiche, die etliche Löschprogramme gar nicht erst erkennen, geschweige denn darauf zugreifen können. Doch auch dort können sich sensible Anwenderdaten im Umfang mehrerer Gigabyte befinden!

ds: Herr Fischer, wir fassen also zusammen: „Datenmüll“ ist für Kriminelle wertvoll – er muss somit vollständig und nachweisbar entsorgt werden, um die Integrität des Dateneigners zu bewahren und Skandalen vorzubeugen…

Fischer: … und um eben nicht irgendwann auf Ihrer Website benannt zu werden!

Weitere Informationen zum Thema:

Blancco CE
Zertifizierte Software zur Datenlöschung
http://www.blancco.com

sidave GmbH
Datenvernichtung sicher – vollständig – nachweisbar!
http://www.sidave.de/

Die sidave GmbH wird vom „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) als Dienstleister zur Datenvernichtung auf Festplatten empfohlen. Es kommen Blancco-Produkte zum Einsatz.