[datensicherheit.de, 15.01.2024] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nach eigenen Angaben ein Jahr nachdem die irische Datenschutzaufsichtsbehörde DPC einen Beschluss in Sachen „WhatsApp“ erlassen hat gefordert, „dass die offenen Fragen des Verfahrens endlich abschließend geklärt werden“.

BfDI hatte Beschwerde in der Sache WhatsApp an die zuständige irische Aufsichtsbehörde DPC weitergeleitet

In einer Beschwerde – mit Geltung der DSGVO am 25. Mai 2018 gegen den Messengerdienst eingereicht – hatte sich die Beschwerdeführerin demnach dagegen gewandt, dass Nutzer die im Zuge der DSGVO-Einführung geänderten Nutzungsbedingungen und die damit verbundene Datenschutzrichtlinie akzeptieren müssen, um diesen Messengerdienst nutzen zu können: Dies sei eine erzwungene Einwilligung und es sei nicht klar, auf welche Rechtsgrundlage „WhatsApp“ einzelne Verarbeitungsvorgänge stütze.

Als innerdeutsch für Telekommunikationsdienste (zu denen auch „WhatsApp“ zählt) zuständige Datenschutzaufsichtsbehörde hatte der BfDI diese Beschwerde an die für das Unternehmen mit Sitz in Dublin federführend zuständige irische Aufsichtsbehörde DPC weitergeleitet.

EDSA: WhatsApp hatte in unzulässiger Weise personenbezogene Daten verarbeitet

Nach fast vier Jahren Verfahrensgang habe die DPC am 1. April 2022 den europäischen Datenschutzaufsichtsbehörden einen Beschlussentwurf übermittelt. Gegen diesen Beschlussentwurf hätten die deutschen sowie die finnische, französische, italienische, niederländische und die norwegische Danteschutzaufsichtsbehörden Einsprüche eingelegt. Da über wesentliche Punkte dieser Einsprüche keine Einigung mit der DPC habe hergestellt werden können, sei ein sogenanntes Streitbeilegungsverfahren vor dem Europäischen Datenschutzausschuss (EDSA) eingeleitet worden.

Auf dieses Streitbeilegungsverfahren hin habe der EDSA am 5. Dezember 2022 den verbindlichen Beschluss 5/2022 verabschiedet und darin die DPC angewiesen, ihren Beschluss zu ändern und festzustellen, dass „WhatsApp“ in unzulässiger Weise personenbezogene Daten seiner Nutzer zu Zwecken der Serviceverbesserungen und der Sicherheit verarbeite. Dem sei die DPC dann mit ihrem am 12. Januar 2023 erlassenen Beschluss nachgekommen.

Abschließende Bewertung der von WhatsApp getroffenen Maßnahmen noch offen

„Eine abschließende Bewertung, ob die auf den Beschluss seitens ,WhatsApp’ getroffenen Maßnahmen hinreichend sind, um den DPC-Beschluss umzusetzen und den Dienst datenschutzkonform nutzen zu können, steht derzeit aus“, so der BfDI.

Zudem habe der EDSA der DPC aufgegeben, zu untersuchen, ob „WhatsApp“ (sensible) personenbezogene Daten für Zwecke der verhaltensbezogenen Werbung, für Marketingzwecke sowie für die Bereitstellung von Statistiken an Dritte und den Austausch von Daten mit verbundenen Unternehmen verarbeitet und ob dies im Einklang mit der DSGVO geschieht. Auch diese Untersuchungen stehen laut BfDI derzeit noch aus. Er setze sich gegenüber der DPC und im EDSA für eine vollständige Klärung der offenen Fragestellungen und einen zügigen Abschluss dieses Verfahrens ein.

Weitere Informationen zum Thema:

DPC Data Protection Commission, 12.01.2023
In the matter of the General Data Protection Regulation DPC Inquiry Reference: IN-18-5-6 / In the matter of JG, a complainant, concerning a complaint directed against WhatsApp Ireland Limited in respect of the WhatsApp Service / Decision of the Data Protection Commission made pursuant to Section 113 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation / Further to a complaint-based inquiry commenced pursuant to Section 110 of the Data Protection Act 2018

edpb European Data Protection Board, 05.12.2022
Binding Decision 5/2022 on the dispute submitted by the Irish SA regarding WhatsApp Ireland Limited (Art. 65 GDPR)

datensicherheit.de, 14.05.2021
Kein Grund zur Beruhigung: Neue WhatsApp-Datenschutzrichtlinien treten in Kraft / Angebot von WhatsApp wird zu einem unlösbaren Widerspruch

datensicherheit.de, 13.04.2021
Neue WhatsApp-Nutzungsbedingungen: Dringlichkeitsverfahren gegen Facebook / Facebook erhält im Rahmen einer Anhörung Gelegenheit zur Stellungnahme

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Messengerdienste

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Zusammenarbeit der Aufsichtsbehörden in Deutschland und Europa nach der DSGVO

[datensicherheit.de, 05.10.2021] Die Web-Plattformen „facebook“ und „Instagram“ sowie der Messenger-Dienst „WhatsApp“ waren laut einer aktuellen Meldung des Branchenverbands Bitkom weltweit stundenlang ausgefallen. Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder geht in seiner Stellungnahme vom 5. Oktober 2021 auf diesen Vorfall ein:

Laut Bitkom waren Unternehmen durch Ausfall zum Teil an ihrer Arbeit gehindert

„Der Ausfall der Plattformen und die Reaktionen der Nutzerinnen und Nutzer zeigen, welche zentrale Rolle Soziale Medien mittlerweile einnehmen. Während viele Menschen für ihre private Kommunikation und den Austausch mit Freundeskreis oder Familie auf andere Kanäle ausgewichen sind, waren Unternehmen zum Teil an ihrer Arbeit gehindert“, so Dr. Rohleder.

Bitkom rät Unternehmen, eigene Kommunikation zu verteilen und Alternativen zu haben

Auch in Deutschland setze ein großer Teil der Wirtschaft auf diese Plattformen: „So nutzt jedes dritte Unternehmen (30%) ,Social Media‘ für die interne und externe Kommunikation. Zwei Drittel (66%) nutzen dafür Messenger-Dienste, wie eine repräsentative Bitkom-Studie im Mai 2021 ergeben hat.“ Insbesondere für Unternehmen sei es daher wichtig, die eigene Kommunikation auf mehrere Kanäle zu verteilen und Alternativen zu haben, welche bei einem Ausfall der primär genutzten Dienste eingesetzt werden könnten, rät Rohleder.

Weitere Informationen zum Thema:

datensicherheit.de, 11.05.2021
Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten für Facebook

[datensicherheit.de, 14.05.2021] Malwarebytes geht in einer aktuellen Stellungnahme auf die am 15. Mai 2021 in Kraft tretenden neuen Datenschutzrichtlinien von „WhatsApp“ ein: „In letzter Zeit ist es um diese neuen Regeln sehr ruhig geworden. Allerdings gibt es keinen Grund dafür, sich entspannt zurückzulehnen.“

Einschränkung wichtiger WhatsApp-Funktionen verblüffende Zäsur

Privacy-Experte David Ruiz urteilt demnach in seinem neuesten Beitrag auf dem Malwarebytes-Blog, „dass die Einschränkung wichtiger Funktionen eine verblüffende Zäsur für ein Unternehmen darstellt, das vor einiger Zeit noch den Datenschutz zur Priorität erklärte“. Das Angebot von „WhatsApp“ werde durch diesen Schritt zu einem unlösbaren Widerspruch: „Private Messaging nur für diejenigen, die ein Stück ihrer Privatsphäre aufgeben.“

David Ruiz benennt drei Kritikpunkte an neuen WhatsApp-Datenschutzrichtlinien

1. Im Falle von Benutzern, welche den Änderungen der Datenschutzrichtlinien bis zum 15. Mai 2021 nicht zustimmen, werde der Betreiber WhatsApp laut eigenem Bekunden „nach einem Zeitraum von mehreren Wochen Sanktionen unternehmen“.
2. Für „WhatsApp“-Nutzer, welche die Weitergabe ihrer Daten an Facebook ablehnen, werde WhatsApp nach und nach wichtige Funktionen entfernen. In einem ersten Schritt würden die betreffenden Nutzer auf die Möglichkeit verzichten müssen, Chat-Listen einzusehen. Letztendlich würden die Maßnahmen dazu führen, dass es unmöglich werde, überhaupt Anrufe oder Nachrichten via „WhatsApp“ zu empfangen.
3. Dies sei eine Entscheidung gegen den Schutz der Privatsphäre. „Es ist auch eine nutzerfeindliche Entscheidung, da die Nutzer für ihre Weigerung, Daten zu teilen, bestraft werden.“ Ferner sei es eine traurige, aber erwartete Wendung für WhatsApp, „einem ehemaligen Datenschutz-Liebling, der von zwei Mitbegründern – Jan Koum und Brian Acton – ins Leben gerufen wurde“. Beide bereuten es heute offenbar, ihr Unternehmen für Milliarden von Dollar an Facebook verkauft zu haben.

Weitere Informationen zum Thema:

Malwarebytes LABS, David Ruiz, 14.05.2021
Privacy / WhatsApp calls and messages will break unless you share data with Facebook

datensicherheit.de, 11.05.2021
Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten für Facebook / Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit verbietet Facebook Verarbeitung personenbezogene Daten von WhatsApp zu eigenen Zwecken

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit verbietet Facebook Verarbeitung personenbezogene Daten von WhatsApp zu eigenen Zwecken

[datensicherheit.de, 11.05.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat nach eigenen Angaben eine Anordnung erlassen, welche es der Facebook Ireland Ltd. als Betreiberin von „Facebook“ verbietet, personenbezogene Daten von „WhatsApp“ zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. „Der sofortige Vollzug wurde angeordnet.“ Dies erfolge im Rahmen des Dringlichkeitsverfahrens der Datenschutzgrundverordnung (DSGVO), welches den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer im jeweiligen Hoheitsgebiet vorsehe.

HmbBfDI

Prof. Dr. Johannes Caspar: Der sofortige Vollzug wurde angeordnet!

Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen angestrebt

Hintergrund dieses Verfahrens sei die Aufforderung an alle Nutzer von „WhatsApp“, den neuen Nutzungs- und Privatsphäre-Bestimmungen bis zum 15. Mai 2021 zuzustimmen. Damit lasse sich WhatsApp weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen.
Mit den neuen Bedingungen würden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Dies betreffe u.a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf „WhatsApp“ an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf „angemessene Weise“ zu nutzen.
Ferner werde die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein sogenanntes berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten werde künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Ferner falle der bislang vorhandene Hinweis weg, „dass ,WhatsApp‘-Nachrichten nicht für andere sichtbar auf ,Facebook‘ geteilt werden“.

Laut HmbBfDI fehlt Facebook die rechtliche Grundlage

Nach Auswertung des gegenwärtigen Sachstands und Anhörung der Facebook Ireland Ltd. fehle für eine Verarbeitung durch Facebook zu eigenen Zwecken ungeachtet der von WhatsApp derzeit eingeholten Zustimmung zu den Nutzungsbedingungen eine ausreichende rechtliche Grundlage. Die Bestimmungen zur Datenweitergabe fänden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung – „sie sind unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten“.
Zudem seien sie inhaltlich missverständlich und wiesen erhebliche Widersprüche auf. Auch nach genauer Analyse lasse sich nicht erkennen, welche Konsequenzen die Zustimmung für die Nutzer hat. Ferner erfolge die Zustimmung nicht aus freien Stücken, da WhatsApp die Einwilligung in die neuen Bestimmungen als Bedingung für die Weiternutzung der Funktionalitäten des Dienstes einfordere. Datenschutzrechtliche Grundlagen, welche eine eigenständige Verarbeitungsbefugnis durch Facebook begründen könnten, „liegen vor diesem Hintergrund nicht vor“.
Insbesondere könne Facebook kein überwiegendes berechtigtes Interesse an der Verarbeitung der Daten von „WhatsApp“-Nutzern geltend machen, da deren Rechte und Freiheiten entgegenstünden. Die Zustimmung erfolge weder transparent noch freiwillig: „Das gilt in besonderer Weise für Kinder.“ Aus diesen Gründen komme eine datenschutzrechtliche Einwilligung als Rechtsgrund nicht in Betracht. Die Verarbeitung der Daten der Nutzer von „WhatsApp“ sei für Facebook auch nicht zur Durchführung eines Vertrages erforderlich.

WhatsApp konfrontiert Nutzer mit intransparenten Bedingungen für weitreichende Datenweitergabe an Facebook

Die Untersuchung der neuen Bestimmungen habe gezeigt, dass die enge Verbindung zwischen den beiden Unternehmen weiter ausgebaut werden solle, damit Facebook die Daten der „WhatsApp“-Nutzer jederzeit zu eigenen Zwecken verwenden könne. Für die Bereiche Produktverbesserung und Werbung behalte sich WhatsApp die Weitergabe an Facebook-Unternehmen vor, ohne dass es hierzu noch einer Einwilligung der Betroffenen bedürfe.
In anderen Bereichen sei von einer Nutzung für eigene Zwecke nach Maßgabe der Datenschutzrichtlinie bereits derzeit auszugehen. Darin bzw. in den „FAQ“ werde etwa beschrieben, dass für die Netzwerksicherheit und zur Verhinderung des Sendens von Spam bereits aktuell Daten der „WhatsApp“-Nutzer wie etwa Telefonnummern und Gerätekennungen zwischen den Unternehmen für gemeinsame Zwecke ausgetauscht würden. „Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung hat es bislang trotz unserer Aufforderung nicht gegeben.“
WhatsApp konfrontiere die Nutzer mit intransparenten Bedingungen für eine weitreichende Datenweitergabe. Gleichzeitig werde behauptet, die beschriebenen Verarbeitungen würden tatsächlich gar nicht ausgeführt, um sie dann zu einem späteren Zeitpunkt schrittweise auf Grundlage des auf Zustimmung der Nutzer gegründeten Rechtsrahmens umzusetzen. Diese Strategie erfolge gegenwärtig insbesondere bei der neu eingeführten Funktion des Business-Marketings, welche es unter Einschluss von „Facebook“ ermögliche, zum Versenden von Direktwerbung und der Marketingkommunikation unternehmensübergreifend Daten zu verarbeiten. Insgesamt entspreche dieses Vorgehen sowohl mit Blick auf Datenverarbeitungen, welche laut Datenschutzrichtlinie bereits derzeit ausgeführt würden, als auch solchen, welche durch Facebook jederzeit umgesetzt werden könnten, nicht den Vorgaben der DSGVO.

Datenleck mit mehr als 500 Millionen Facebook-Nutzer zeigte Gefahren massenhafter Profilbildung auf

„Die Anordnung soll die Rechte und Freiheiten der vielen Millionen Nutzerinnen und Nutzer sichern, die deutschlandweit ihre Zustimmung zu den Nutzungsbedingungen geben. Es gilt, Nachteile und Schäden, die mit einem derartigen Black-Box-Verfahren verbunden sind, zu verhindern“, erläutert Prof. Dr. Johannes Caspar, der Hamburgische Beauftragter für Datenschutz und Informationsfreiheit. Die Datenschutz-Skandale der letzten Jahre von „Cambridge Analytica“ bis hin zu dem kürzlich bekanntgeworden Datenleck, von dem mehr als 500 Millionen „Facebook“-Nutzer betroffen gewesen seien, zeigten das Ausmaß und die Gefahren, welche von einer massenhaften Profilbildung ausgingen.
Dies betreffe nicht allein die Privatsphäre, sondern auch die Möglichkeit, Profile zur Beeinflussung von Wählerentscheidungen einzusetzen, um demokratische Entscheidungen zu manipulieren. Die Gefahr sei angesichts von fast 60 Millionen Nutzern von „WhatsApp“ mit Blick auf die in Deutschland im September 2021 anstehenden Bundestagswahlen umso konkreter, da diese Begehrlichkeiten nach Beeinflussung der Meinungsbildung seitens der Anzeigekunden von Facebook wecken würden.
Die nun erlassene Anordnung beziehe sich auf die Weiterverarbeitung von „WhatsApp“-Nutzerdaten und richte sich an die Adresse von Facebook. Die weltweite Kritik gegen die neuen Nutzungsbedingungen sollte Anlass geben, den Zustimmungsmechanismus noch einmal grundlegend zu überdenken: „Ohne Vertrauen der Nutzerinnen und Nutzer kann auf Dauer kein auf Daten gegründetes Geschäftsmodell erfolgreich sein.“ Aufgrund des beschränkten Zeitrahmens der Anordnung im Dringlichkeitsverfahren von lediglich drei Monaten wird der HmbBfDI demnach eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen, um eine Entscheidung auf europäischer Ebene herbeizuführen.

Weitere Informationen zum Thema:

datensicherheit.de, 13.04.2021
Neue WhatsApp-Nutzungsbedingungen: Dringlichkeitsverfahren gegen Facebook / Facebook erhält im Rahmen einer Anhörung Gelegenheit zur Stellungnahme

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt

datensicherheit.de, 06.04.2021
Vorsicht vor Smishing: Datendienbstahl bei Facebook sollte Warnung sein / Jacinta Tobin erläutert Smishing – Cyber-Angriffe via SMS – und gibt Sicherheitstipps

Facebook erhält im Rahmen einer Anhörung Gelegenheit zur Stellungnahme

[datensicherheit.de, 13.04.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, hat nach eigenen Angaben ein Dringlichkeitsverfahren gegen Facebook im Zusammenhang mit den neuen „WhatsApp“-Nutzungsbedingungen eröffnet. Das gegen die Facebook Ireland Ltd. eröffnete Verfahren zielt demnach darauf ab, eine sofort vollziehbare Anordnung mit dem Inhalt auszusprechen, keine Daten von „WhatsApp“-Nutzern zu erheben und zu eigenen Zwecken zu verarbeiten. Facebook werde zunächst im Rahmen einer Anhörung Gelegenheit zur Stellungnahme gegeben.

HmbBfDI

Prof. Dr. Johannes Caspar: Förmliches Verwaltungsverfahren zum Schutz Betroffener eingeleitet…

WhatsApp-Bestimmungen enthalten Recht, Nutzer-Daten mit anderen Facebook-Unternehmen zu teilen

Hintergrund sind laut HmbBfDI die aktualisierten Nutzungsbedingungen und die Datenschutzrichtlinie von „WhatsApp“, mit denen die Nutzer seit Anfang des Jahres 2021 konfrontiert würden. „Diese werden aufgefordert, den neuen Bestimmungen bis spätestens Mitte Mai zuzustimmen. Andernfalls können sie ,WhatsApp‘ nicht mehr nutzen.“
Die „WhatsApp“-Bestimmungen enthalten indes umfangreiche Passagen, mit denen sich der Dienst das Recht einräume, Daten der Nutzer mit anderen Facebook-Unternehmen zu teilen. Auch Facebooks Datenschutzrichtlinie selbst sehe eine allgemeine unternehmensübergreifende Nutzung und Auswertung von Daten verbundener Unternehmen vor.

HmbBfDI Prof. Dr. Johannes Caspar in Deutschland für Facebook zuständig

Der HmbBfDI befürchtet, „dass ,WhatsApp‘ mit den neuen Bestimmungen neben den bereits bestehenden Austauschmöglichkeiten mit Facebook für die Bereiche Produktverbesserung, Analyse, Network/Security künftig weitere für Marketingzwecke und Direktwerbung schafft“.
Er sei in Deutschland für Facebook zuständig, da die deutsche Niederlassung von Facebook ihren Sitz in Hamburg habe. Daher könne er unter außergewöhnlichen Umständen, „die er hier gegeben sieht“, auf Grundlage von Art. 66 Datenschutzgrundverordnung (DSGVO) ein Verfahren auch gegen Facebook in Irland eröffnen, um die Rechte und Freiheiten deutscher Nutzer zu schützen. Entsprechende Maßnahmen seien auf drei Monate begrenzt, könnten aber durch einen Beschluss des Europäischen Datenschutzausschusses (EDSA) verlängert oder ergänzt werden.

Bereits vor viereinhalb Jahren hatte der HmbBfDI eine Anordnung gegen Facebook erlassen

Die Thematik der Weitergabe von „WhatsApp“-Nutzerdaten an Facebook stelle sich erneut. Bereits vor viereinhalb Jahren habe der HmbBfDI eine Anordnung gegen Facebook erlassen, welche einen solchen Massendatenabgleich untersagt habe. „Nachdem Facebook dagegen gerichtlich vorging, wurde die Anordnung durch zwei Instanzen bestätigt.“
„WhatsApp“ werde in Deutschland mittlerweile von fast 60 Millionen Menschen genutzt und sei die mit Abstand meistgenutzte Social-Media-Anwendung noch vor Facebook. Professor Caspar betont: „Umso wichtiger ist es, darauf zu achten, dass die hohe Zahl der Nutzer, die den Dienst für viele Menschen attraktiv macht, nicht zu einer missbräuchlichen Ausnutzung der Datenmacht führt. Leider ist es bislang zu keiner uns bekannten aufsichtsbehördlichen Überprüfung der tatsächlichen Verarbeitungsvorgänge zwischen ,WhatsApp‘ und Facebook gekommen.“

Bestimmungen zum Teilen der Daten zwischen WhatsApp und Facebook lassen Freiwilligkeit und Informiertheit vermissen

Derzeit bestehe Grund zu der Annahme, dass die Bestimmungen zum Teilen der Daten zwischen „WhatsApp“ und Facebook mangels Freiwilligkeit und Informiertheit der Einwilligung unzulässig durchgesetzt werden sollten.
Um gegebenenfalls einen rechtswidrigen massenhaften Datenaustausch zu verhindern und einen unzulässigen Einwilligungsdruck auf Millionen von Menschen zu beenden, sei nun „ein förmliches Verwaltungsverfahren zum Schutz Betroffener“ eingeleitet worden. Ziel sei es, vor dem 15. Mai 2021 zu einer Entscheidung im Dringlichkeitsverfahren zu kommen. „Über den Fortgang des Verfahrens wird zeitnah unterrichtet“, verspricht Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl

Von unserem Gastautor Sascha Wellershoff, Vorstand der Virtual Solution AG in München

[datensicherheit.de, 25.03.2020] Ich kenne DAX-Konzerne mit riesigen IT- und Rechtsabteilungen, in denen Manager jeden Tag Informationen via WhatsApp austauschen. Ich kenne sogar internationale IT-Sicherheitsanbieter, die die Nutzung von WhatsApp für ihre Mitarbeiter genehmigt haben – natürlich nur „für den sporadischen Gebrauch und unkritische Daten“. Wer die Realität kennt, weiß, dass es anders aussieht. WhatsApp gehört Facebook, und damit einem der größten Datensammler auf diesem Planeten. Der Messenger-Dienst hat sich weitreichende Rechte eingeräumt, darunter den Zugriff auf alle in einem Smartphone gespeicherten Telefonnummern und Kontaktdetails. Die Übermittlung dieser personenbezogenen Daten – und darunter fallen bei einem dienstlich genutzten Gerät auch alle Geschäftskontakte – ist laut DSGVO ein schwerwiegender Verstoß gegen die Datenschutzrichtlinien, wenn nicht von jedem einzelnen gespeicherten Kontakt zuvor eine Einwilligung eingeholt wird. Und das dürfte eigentlich so gut wie nie der Fall sein.

Verbreitung von Malware über beliebte Apps

DAX-Konzerne, IT-Sicherheitsanbieter und alle anderen Unternehmen verstoßen also gegen geltendes Recht, wenn sie die geschäftliche Nutzung von WhatsApp und anderer „neugieriger“ Apps tolerieren. Das Absaugen von Daten ist dabei nur die eine Kehrseite der Medaille, die große Beliebtheit von WhatsApp & Co. ist längst auch ein gefundenes Fressen für Malware-Verbreiter. Immer wieder fangen sich Millionen von Anwendern einen Virus ein, über den Cyber-Kriminelle schlimmstenfalls die Tür ins Unternehmensnetzwerk öffnen. Steht diese erst einmal sperrangelweit offen, ergeben sich grenzenlose Möglichkeiten, Schaden anzurichten. Prominentestes Beispiel im Januar 2020: Jeff Bezos, CEO von Amazon, dessen private Daten vermutlich durch ein verschicktes Video abgesaugt wurden. Gerade veraltete Anwendungen oder „App-Leichen“, die schon seit längerer Zeit kein Update mehr erhalten haben, werden zum potenziellen Einfallstor für Hacker. Die Gefahren dürften den meisten Firmen inzwischen hinreichend bekannt sein, trotzdem tolerieren sie die Vermischung von privaten und geschäftlichen Daten und Anwendungen. Betriebliche Internas sind damit hochgefährdet, da sie ganz einfach per Copy-and-Paste weitergegeben werden können. Und dies wird vom Unternehmen weder bemerkt noch kann es verhindert werden.

Striktes Verbot von Apps ist nicht die richtige Lösun

Ein App-Verbot, um die Risiken einzudämmen und datenschutzkonform zu agieren, ist allerdings nur eine halbherzige Lösung. Schnell fühlen sich die Mitarbeiter kontrolliert – zudem findet sich immer ein Weg, die Regeln zu umgehen. Viel Kreativität ist dabei nicht gefordert. Zudem sind die User es gewohnt, mal eben eine neue App auszuprobieren. Ob diese tatsächlich sicher ist beziehungsweise die Grundsätze des Datenschutzes einhält, ist fraglich. Wer liest sich schon wirklich die Datenschutzerklärung durch, bevor er eine App installiert? Ein striktes Verbot ist deshalb nicht die richtige Lösung. Smartphone und Tablets gehören heute zum Alltag und richtig genutzt erhöhen sie den Spaß an der Arbeit und die Produktivität. Sicheres mobiles Arbeiten muss auch nicht kompliziert sein. Nur müssen mobile Endgeräte von Anfang an geschützt werden: Mit einer technischen Lösung, die den privaten und geschäftlichen Bereich auf dem Gerät strikt voneinander abschottet, beispielsweise mit Hilfe der bewährten Container-Technologie. So bleiben Unternehmensdaten, E-Mails, Kontakte, Kalender, Notizen, Dokumente und Chat-Verläufe sicher verwahrt. Und das Dienst-Handy – ob nun gestellt vom Arbeitgeber oder das geschäftlich genutzte Privatgerät – wird nicht zum Tatort.

Weitere Informationen zum Thema:

datensicherheit.de, 21.12.2019
Schwachstelle im Gruppenchat von WhatsApp entdeckt

datensicherheit.de, 10.07.2019
Von WhatsApp bis Threema: Überwachung gängiger Messenger möglich

datensicherheit.de, 14.05.2019
Schwachstelle in Whatsapp-Anrufen ermöglicht Übernahme von iPhones

datensicherheit.de, 13.05.2019
ESET Sicherheitswarnung: Sicherheitslücke in WhatsApp zwingt Nutzer zum Eingreifen

Check Points Sicherheitsforscher warnen vor potenziell bösartiger Gruppennachricht

[datensicherheit.de, 21.12.2019] Laut einer Meldung von Check Point haben eigene Sicherheitsforscher einen Fehler identifiziert, „der es einem Angreifer erlauben würde, eine bösartige Gruppennachricht zu erstellen, um ,WhatsApp‘ auf den Geräten der Benutzer zum Absturz zu bringen“. Diese Schwachstelle sei in der neuesten „WhatsApp“-Version behoben worden. „WhatsApp“ habe derzeit 1,5 Milliarden Benutzer und mehr als eine Milliarde Gruppen, somit sei es die beliebteste Instant-Messaging-App weltweit. Über 65 Milliarden Nachrichten würden täglich über „WhatsApp“ versendet.

Foto: Check Point

Oded Vanunu: WhatsApp hat schnell und verantwortungsbewusst reagiert

Neue Schwachstelle in WhatsApp entschärft

Check Point Research, die „Threat Intelligence-Abteilung“ der Check Point® Software Technologies Ltd., hat demnach kürzlich dabei geholfen, eine neue Schwachstelle in „WhatsApp“ zu entschärfen.
Diese Lücke hätte es einem bösartigen Akteur ermöglichen können, eine Gruppen-Chatnachricht zu senden, welche „die App für alle Mitglieder der Gruppe zum Absturz bringen würde“. Um „WhatsApp“ wieder zu nutzen, müssten Benutzer es deinstallieren und neuinstallieren und dann die Gruppe löschen, welche die Nachricht enthält.

Absturzschleife für WhatsApp-Gruppenmitglieder droht

Um diese Nachricht zu erstellen, müsse der Angreifer ein Mitglied der Zielgruppe sein („WhatsApp“ erlaubt bis zu 256 Benutzer pro Gruppe). Von dort aus könnte er „WhatsApp Web“ und das Debugging-Tool seines Webbrowsers verwenden, um bestimmte Nachrichtenparameter zu bearbeiten und den bearbeiteten Text an die Gruppe zu senden.
Diese bearbeitete Nachricht würde zu einer Absturzschleife für Gruppenmitglieder führen und den Benutzern den Zugriff auf alle „WhatsApp“-Funktionen verwehren, bis sie „WhatsApp“ neu installieren und die Gruppe mit der Nachricht löschen.

WhatsApp-Anwender sollten auf neueste Version der App aktualisieren

„,WhatsApp‘ ist eine der weltweit führenden Kommunikationskanäle für Verbraucher, Unternehmen und Behörden. Die Möglichkeit, die Nutzung von ,WhatsApp‘ zu unterbinden und wertvolle Informationen aus Gruppen-Chats zu löschen, ist deshalb eine leistungsstarke Waffe für Angreifer.
Alle ,WhatsApp‘-Anwender sollten auf die neueste Version der App aktualisieren, um sich vor diesem möglichen Angriff zu schützen“, empfiehlt Oded Vanunu, Leiter von Check Point’s Product Vulnerability Research.

Erkenntnisse an WhatsApp Bug Bounty gemeldet

Check Point Research hat nach eigenen Angaben seine Ergebnisse „am 28. August 2019 verantwortungsbewusst an das ,WhatsApp Bug-Bounty‘-Programm weitergegeben“. „WhatsApp“ habe die Ergebnisse bestätigte und einen Fix zur Behebung des Problems entwickelt, der seit „WhatsApp“-Versionsnummer 2.19.58 verfügbar sei.
Benutzer sollten diesen manuell auf ihren Geräten anwenden. „WhatsApp hat schnell und verantwortungsbewusst reagiert, um den Schutz gegen die Ausnutzung dieser Schwachstelle zu gewährleisten“, betont Vanunu.

Künftig verhindern, dass Personen unerwünscht zu WhatsApp-Gruppen hinzugefügt werden

„WhatsApp schätzt die Arbeit der Security-Community sehr, um uns zu helfen, eine hohe Sicherheit für unsere Anwender weltweit zu gewährleisten“, sagt WhatsApp-Software-Engineer Ehren Kret. „Dank des ,Responsable Disclosure‘ von Check Point in unser Bug-Bounty-Programm haben wir dieses Problem für alle ,WhatsApp‘-Applikationen Mitte September schnell gelöst.“
Man habe auch kürzlich neue Kontrollen hinzugefügt, um zu verhindern, dass Personen unerwünscht zu Gruppen hinzugefügt werden, um die Kommunikation mit nicht vertrauenswürdigen Parteien insgesamt zu vermeiden.

Kommunikation zwischen WhatsApp und WhatsApp Web untersucht

Das Check-Point-Research-Team habe diese Schwachstelle gefunden, indem es die Kommunikation zwischen „WhatsApp“ und „WhatsApp Web“, der Webversion der App, untersucht habe, die alle vom Telefon des Benutzers gesendeten und empfangenen Nachrichten widerspiegele.
Auf diese Weise hätten die Forscher die für die „WhatsApp“-Kommunikation verwendeten Parameter sehen und manipulieren können. Diese neue Untersuchung baue auf den von Check Point Research entdeckten „FakesApp“-Fehlern auf, die es ermöglichten, Gruppen-Chat-Nachrichten zu bearbeiten, um „Fake News“ zu verbreiten.

Weitere Informationen zum Thema:

cp<r>, 17.12.2019
BreakingApp – WhatsApp Crash & Data Loss Bug

cp<r>, 07.08.2018
FakesApp: A Vulnerability in WhatsApp

datensicherheit.de, 10.07.2019
Von WhatsApp bis Threema: Überwachung gängiger Messenger möglich

datensicherheit.de, 14.05.2019
Schwachstelle in Whatsapp-Anrufen ermöglicht Übernahme von iPhones

datensicherheit.de, 13.05.2019
ESET Sicherheitswarnung: Sicherheitslücke in WhatsApp zwingt Nutzer zum Eingreifen

[datensicherheit.de, 10.07.2019] Sicherheitsexperten von Kaspersky haben neue Versionen von „FinSpy“ (auch bekannt als „FinFisher“), einem komplexen, bösartigen Überwachungstool mobiler Geräte, entdeckt. Die neuen Implantate funktionieren sowohl auf iOS- als auch auf Android-Devices, können die Aktivitäten auf fast allen gängigen – auch verschlüsselten – Messaging-Diensten überwachen und ihre Spuren dabei noch besser als bisher verschleiern. Die Angreifer sind dadurch in der Lage, alle Aktivitäten eines Geräts auszuspionieren und sensible Daten wie GPS-Standort, Nachrichten, Bilder, Anrufe und vieles mehr auszulesen.

FinSpy ermöglicht gezielte Überwachungsangriffe

Bei FinSpy handelt es sich um ein äußerst effektives Software-Werkzeug für gezielte Überwachungsangriffe. Weltweit wurden bereits dementsprechende Informationsdiebstähle bei NGOs, Regierungen und Strafverfolgungsbehörden beobachtet. Die verantwortlichen Cyberkriminellen sind dabei in der Lage, das Verhalten jeder bösartigen FinSpy-Variante an eine bestimmte Zielperson oder eine Zielgruppe anzupassen.

Die Grundfunktionalität der Malware umfasst eine nahezu unbegrenzte Überwachung der Geräteaktivitäten: Lokalisierung von Standorten, Einsicht in alle ein- und ausgehenden Nachrichten, Kontakte, auf dem Gerät gespeicherte Medien und Daten gängiger Messaging-Dienste wie WhatsApp, Facebook-Messenger oder Viber. Alle auf diese Weise abgesaugten Daten werden per SMS- oder HTTP-Protokoll an den Angreifer übertragen.

Erweitertes Funktionalitätsspektrum – höheres Angriffspotenzial

Die neuesten bekannten Versionen der Malware verfügen gegenüber ihren Vorgängern über ein größeres Funktionalitätsspektrum und sind nun auch in der Lage, weitere Messaging-Dienste, einschließlich derjenigen, die bisher als „sicher“ galten – etwa Telegramm, Signal oder Threema – zu kompromittieren. Auch bei der Verschleierung der eigenen Spuren gehen sie wesentlich geschickter vor. So kann beispielsweise die iOS-Malware, die auf iOS 11 und ältere Versionen abzielt, nun Anzeichen eines Jailbreaks verbergen, während die neue Version für Android einen Exploit enthält, der Root-Privilegien – also nahezu vollständigen Zugriff auf alle Dateien und Befehle – eines nicht verwalteten Geräts erlangen kann.

Basierend auf den von Kaspersky zur Verfügung stehenden Informationen, benötigen die Angreifer, um sowohl Android- als auch iOS-basierte Geräte erfolgreich zu infizieren, entweder physischen Zugriff auf ein Telefon oder ein bereits „jailbroken“ oder „rooted“ Gerät. Für Geräte, die bereits jailbroken/rooted sind, gibt es mindestens drei mögliche Infektionswege: SMS-, E-Mail- oder Push-Benachrichtigungen.

Cyberkriminelle reagieren hochflexibel

„Die Entwickler von FinSpy überwachen ständig Sicherheitsupdates für mobile Plattformen und modifizieren ihre Schadprogramme in der Regel sehr schnell, um zu verhindern, dass der Betrieb durch Fehlerbehebungen blockiert wird“, sagt Alexey Firsh, Sicherheitsforscher bei Kaspersky. „Darüber hinaus folgen sie Trends und implementieren Funktionen, um Daten aus derzeit beliebten Anwendungen abzugreifen. Wir registrieren täglich Opfer solcher FinSpy-Kompromittierungen. Deshalb lohnt es sich, stets auf die neuesten App- und Plattform-Updates zu achten und sie sofort nach deren Veröffentlichung zu installieren. Denn unabhängig davon, wie vermeintlich sicher bestimmte Anwendungen und die darin verarbeiteten Daten geschützt sind, ist ein Smartphone weitestgehend offen für Spionage, sobald dessen Zugriffrechte unrechtmäßig durch Dritte erworben oder alle Restriktionen hinsichtlich bestehender Zugriffsrechte entfernt wurden.“

Kaspersky-Tipps zur Vermeidung einer FinSpy-Infizierung

• Smartphone oder Tablett nicht entsperrt lassen und stets sicherstellen, dass niemand den PIN bei der Eingabe einsehen kann.
• Geräte nicht jailbreaken oder rooten, da dies die Arbeit eines Angreifers erleichtert.
• Mobile Anwendungen nur aus offiziellen App-Stores, etwa Google Play, installieren.
• Niemals verdächtigen Links, die von unbekannten Nummern geschickt wurden, folgen.
• In den Geräteeinstellungen die Installation von Programmen aus unbekannten Quellen blockieren.
• Passwörter oder Codes auf dem Endgerät nicht offenlegen, auch nicht für Vertrauenspersonen.
• Niemals unbekannte Dateien oder Anwendungen auf dem eigenen Gerät speichern, da sie den Schutz der Privatsphäre beeinträchtigen könnten.
• Eine leistungsstarke Sicherheitslösung für mobile Geräte.

Weitere Informationen zum Thema:

Securelist
New FinSpy iOS and Android implants revealed ITW

datensicherheit.de, 09.07.2019
Visual und Audible Hacking: Unterschätzte Gefahren im Zug

datensicherheit.de, 15.02.2019
Überwachungstechnologie: Globale Regulierung gefordert

datensicherheit.de, 26.01.2018
FinFisher: ESET-Whitepaper bietet neue Einblicke in Spyware-Kampagne

[datensicherheit.de, 14.05.2019] Eine Sicherheitslücke im beliebten WhatsApp stellt eine Gefahr für alle Nutzer dar, ob iOS, Android, Tizen oder Windows Phone. Unbefugte können über die Schwachstelle (CVE-2019-3568) Fernzugriff auf das Smartphone erhalten. Über einen WhatsApp-Anruf schleusen Cyberkriminelle die Spyware ein-, auch wenn der Angerufene das Telefonat nicht annimmt. Es wird empfohlen die Aktualisierung von WhatsApp manuell vorzunehmen.

Angriffe gegen Messenger- und Kommunikationsdienste in Zukunft verstärkt zu erwarten

Thomas Uhlemann, ESET Security Specialist: „Die aktuelle Sicherheitslücke in WhatsApp wird derzeit nicht für Massenüberwachungen eingesetzt, sondern dient für gezielte Angriffe. Dennoch ist nicht auszuschließen, dass mittelfristig diese Attacken von Cyberkriminellen flächendeckend ausgenutzt werden. Wir müssen uns auch zukünftig auf diese Art von Angriffen gegen Messenger- und Kommunikationsdienste einstellen. Insbesondere bei WhatsApp, weil es eine breite Masse von Anwender täglich nutzt.“ Anwender sollten das aktuelle Update derzeit händisch anstoßen, um keine Zeit zu verlieren. Bei vielen Geräten wird noch die betroffene Version der Anwendung als aktuell angezeigt.

Tipps des Sicherheitsexperten:

• Manuell auf Updates prüfen: Anwender sollten über den App-Store (Apple) oder Google Play nach der aktuellen Version von WhatsApp schauen und das Update manuell anstoßen.
• Betriebssystem aktualisieren: In diesem Zuge bietet es sich an, auch die aktuelle Version des Betriebssystems zu installieren.
• Automatische Updates aktivieren: Es ist ratsam, die automatische Update-Funktion zu aktivieren. So erhalten Nutzer grundsätzlich immer zeitnah die neueste Version der installierten Apps und des Betriebssystems.

Diese Versionsnummer von WhatsApp sind von der Sicherheitslücke nicht mehr betroffen:

• Android: v2.19.134
• Business für Android: v2.19.44
• iOS: v2.19.51
• Business für iOS: v2.19.51
• Tizen: v2.18.15
• Windows Phone: v2.18.348

Weitere Informationen zum Thema:

datensicherheit.de, 14.05.2019
Schwachstelle in Whatsapp-Anrufen ermöglicht Übernahme von iPhones

datensicherheit.de, 02.05.2019
ESET Sicherheitswarnung: D-Link-Webcam angreifbar

datensicherheit.de, 10.10.2018
Whatsapp: Sicherheitslücke bedroht Millionen Nutzer

[datensicherheit.de, 14.05.2019] Eine Sicherheitslücke im Telefonie-Modul von Whatsapp ermöglicht Angreifern, Android- und iOS-Smartphones mit Schadsoftware zu infizieren. Ausgenutzt wurde diese nach Angaben der New York Times vom israelischen Hersteller NSO-Group, der von Menschenrechtsgruppen für den Verkauf von Spionagesoftware an autoritäre Regime kritisiert wird. Im konkreten Fall soll ein Menschenrechtsanwalt aus London und ein saudischer Dissident im kanadischen Exil Ziel der Spionagesoftware gewesen sein.

„Eine Sicherheitslücke in Whatsapp bedroht potenziell 1,5 Milliarden Nutzer weltweit“, sagt G DATA Security Evangelist Tim Berghoff. „Nutzer sollten so schnell wie möglich das angebotene Update der Software einspielen.“ Von Panik, selbst Ziel des Angriffs geworden zu sein, hält Berghoff allerdings nichts: „Werkzeuge wie die der NSO-Group sind mit großem Aufwand entwickelt und entsprechend teuer. Zudem sind sie für den verdeckten Einsatz gedacht, weshalb ein Einsatz auf breiter Front aufgrund des erhöhten Entdeckungsrisikos unwahrscheinlich ist.“

Update steht zur Verfügung

Whatsapp hat ein Update bereitgestellt, mit dem sich die Sicherheitslücke beheben lässt. Nach Angaben des Unternehmens waren nur vereinzelte Nutzer Ziel von Angriffen mit der beschriebenen Sicherheitslücke.

Weitere Informationen zum Thema:

datensicherheit.de, 10.10.2018
Whatsapp: Sicherheitslücke bedroht Millionen Nutzer