Lage der physischen Sicherheit 2022

Es wurden Umfrageergebnissen der Firma Genetec Inc. zur Lage der physischen Sicherheit veröffentlicht. Dabei wurden 3711 Enduser und Systemanbieter weltweit befragt.
Die Ergebnisse möchten wir hier kurz wiedergeben:

  • 54% der Befragten geben an, dass sie bzw. ihr Unternehmen einen hybriden Ansatz aus Cloud-basierten und lokalen Lösungen plant, um eine ausgewogene Mischung aus Effizienz und Sicherheit zu gewährleisten.
  • Sowohl 64% der Befragten aus der IT und 54% der Befragten aus Sicherheitsbereichen zitierten Cybersicherheit als zentrales Thema, für das neue Ansätze für eine optimierte Sicherung notwendig sind.
  • 63% der Befragten sehen außerdem die physische Sicherheit von Daten als „unternehmenskritisch“ an.
    Maßnahmen beinhalten Zutrittskontrollsysteme und Videoüberwachung.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/lage-der-physischen-sicherheit-2022-18683

265 Millionen Euro Bußgeld für geleakte User-Daten bei Facebook

Die Data Protection Commission in Irland hat im November 2022 geurteilt, dass der Facebook-Konzern Meta die persönlichen Daten seiner Nutzer unzureichend geschützt hat und somit gegen Art. 25 Abs. 1 und Abs. 2 der DSGVO verstoßen hat. Zuvor ist im April 2021 bekannt geworden, dass im Zeitraum zwischen Mai 2018 und September 2019 bei einem „Data Scraping“ etwa 533 Millionen personenbezogene Daten (Namen, Telefonnummern, E-Mail-Adressen etc.) abgegriffen wurden.

Das Bußgeld beläuft sich auf 265.000.000 Euro. Zusätzlich muss Meta technische und organisatorische Maßnahmen einleiten, um den Anforderungen der DSGVO zu entsprechen.

Weitere Informationen finden Sie hier:
https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-in-facebook-data-scraping-inquiry

Razzia bei Ber­liner Rechts­an­walt

Infolge der Abmahnwelle gegen Webseiten-Betreiber, die Google-Fonts nutzen, kam es kürzlich zu einer Razzia bei einem Berliner Rechtsanwalt und dessen Mandanten, welcher sich als Repräsentant der „IG Datenschutz“ ausgab.

Die GINDAT berichtete in der Vergangenheit bereits über den Vorfall, zuletzt im Oktober: https://www.gindat.de/news/detail/update-abmahnwelle-schadenersatzansprueche-wegen-google-fonts.html

Laut der Berliner Generalstaatsanwaltschaft besteht der Verdacht auf Abmahnbetrug und versuchte sowie vollendete Erpressung, – denn beiden wird vorgeworfen, Privatpersonen und Betreibern von Kleingewerben anwaltliche Abmahnschreiben geschickt zu haben, für die es keine rechtliche Grundlage gab. Dabei wurde ein Gerichtsverfahren angedroht und gleichzeitig ein Vergleich in Höhe von 170 Euro angeboten, um das Verfahren zu vermeiden.

Es wird vermutet, dass die Beschuldigten eine Software programmiert haben, welche Webseiten nach genutzten Google-Fonts durchsucht. Anschließend soll mittels einer separaten, selbst geschriebenen Software ein Besuch der Webseite vorgetäuscht worden sein, um dann einen Schmerzensgeldanspruch stellen zu können, da durch ebenjenen Besuch der Webseite die eigene IP-Adresse unerlaubt an Google (bzw. die USA) weitergegeben wurde. Wenn der Besuch der Webseite durch eine Software erfolgte, läge jedoch laut Staatsanwaltschaft keine Verletzung der Persönlichkeitsrechte vor. Dass noch dazu eine konkrete Absicht vorgelegen hatte, die IP-Adresse weitergeben zu lassen, um daraufhin Schmerzensgeld fordern zu können, könnte außerdem als Einwilligung in die Weitergabe ausgelegt werden.

Insgesamt liegt der Verdacht eines Betrugsversuches in mindestens 2.418 Fällen vor, – darunter etwa 2.000, die auf den Vergleich eingingen und die 170 Euro bezahlen. Darüber hinaus gingen 402 Anzeigen bei der Staatsanwaltschaft ein.

Weitere Informationen finden Sie hier:
https://www.lto.de/recht/nachrichten/n/abmahnung-berlin-betrug-erpressung-gerichtsverfahren-vergleich-anwalt-google-fonts-nutzung/

China schafft staatliche Corona-App ab

Die staatlich überwachte Corona-App, welche in China etwa zweieinhalb Jahre den Alltag der Bürger bestimmte, wurde vergangene Woche eingestellt.

Die App kannte drei verschiedene Status:

  • Grün: Normalzustand = Teilnahme am Alltagsleben uneingeschränkt möglich.
  • Gelb: Verdacht auf Infektion = Selbstisolation wird erwartet und die Teilnahme am öffentlichen Nahverkehr war bereits untersagt.
  • Rot: Positiver Test oder enger Kontakt mit infizierter Person = Quarantäne.

Die App registrierte Standortdaten, Reisedaten von zwei Wochen sowie eingegangene/ausgegangene Anrufe.
Es wurden auch Städtenamen gespeichert, in denen man sich länger als 4 Stunden aufhielt. Als solche konnte man u. a. sehen, wenn man sich in einer Stadt mit einer aktuellen Lockdown-Zone aufhielt – und folglich bereits potenziell den gelben Status erhalten. Selbst dann, wenn man nicht in der Nähe der besagten Zone war.

Es dürfte nicht zuletzt ein Resultat der Proteste sein, dass die chinesische Regierung Maßnahmen rund um die Coronapandemie, einschließlich der App, weitestgehend zurückgezogen hat.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/nach-protesten-china-schafft-staatliche-corona-app-ab-2212-170461.html

EDSA fordert Umsetzung des Urteils zur PNR-Richtlinie

In einem Urteil, das der BDfI Professor Ulrich Kelber als richtungsweisend betrachtet, hat der EuGH im Juni entschieden, dass der Umgang mit PNR-Daten (Passenger Name Records) aktuell nicht restriktiv genug ist.

Bei den Passender Name Records handelt es sich um die Daten, die rund um die Buchung eines Flugs gesammelt und im Computersystem des Flug-Unternehmens gespeichert werden. Diese Daten werden 5 Jahre gespeichert und EU-weit erfasst – beides geht im Ermessen des Gerichtshofes wie auch von Professor Kelber weit über die notwendige Erfassung hinaus.

Der Europäische Datenschutzausschuss fordert nun die Mitgliedsstaaten dazu auf, diese Vorgaben unverzüglich umzusetzen.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2022/13_EDSA-PNR-Richtlinie.html;jsessionid=8D726F69DE74861E0DEC2804EE90A285?nn=251944

Meta darf Nutzerdaten nicht für Werbung verwenden

Laut einer jüngst getroffenen Entscheidung des EDSA (Europäischen Datenschutzausschusses) verstößt der Konzern Meta (ehemals Facebook) bereits seit Jahren gegen die DSGVO, weil die personenbezogenen Daten von Facebook-Nutzern für personalisierte (und somit unzulässige) Werbung verwendet werden.

Zuvor konnte zwischen Meta/Facebook und den Datenschutzbehörden kein Konsens erzielt werden, ob Facebook, Instagram und Whatsapp seit der Inkrafttretung der Europäischen Datenschutzgrundverordnung verpflichtet waren, eine Einwilligung der Nutzer einzuholen, bevor deren Daten zu Werbezwecken verwendet werden. Obwohl dies gebilligt wurde, war es nie datenschutzkonform.
Max Schrems, der 2018 nach dem Inkrafttreten der DSGVO eine Klage gegen Meta einreichte, geht sogar so weit zu sagen: „Uns ist kein anderes Unternehmen bekannt, das versucht hat, die DSGVO auf so arrogante Weise zu ignorieren“.

Das finale Urteil des EDSA steht noch aus – es wird jedoch damit gerechnet, dass Meta keine personalisierten Werbeanzeigen mehr schalten darf und dazu eine hohe Geldstrafe zahlen muss.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/datenschutz-meta-darf-nutzerdaten-nicht-fuer-werbung-verwenden-2212-170323.html

Vorratsdatenspeicherung auch in Bulgarien mit EU-Recht unvereinbar

Bereits zum zweiten Mal scheitert in Bulgarien ein Gesetz zur Vorratsdatenspeicherung, nachdem der EuGH es für rechtswidrig erklärte. Laut Gerichtshof-Urteil entspricht das bulgarische Kommunikationsgesetz nicht der Charta der Grundrechte der EU – demzufolge nur die nötigsten Daten verarbeitet und die Betroffenen informiert werden müssen.
Das besagte Gesetz verlangte von Telekommunikationsanbietern und Internetprovidern, alle Verbindungsdaten von Kunden über 6 Monate hinweg zu speichern.
Zuvor gab es bereits 2014 in Bulgarien den Versuch, ein Vorratsdatenspeicherungsgesetz durchzubringen – damals sollten Telekommunikationsdaten sogar ein Jahr lang gespeichert werden.

Innerhalb der EU werden anlasslose Massenspeicherungen von Daten immer wieder auf nationale Ebene (so auch in Deutschland) gekippt.
Generell werden solche Eingriffe in die Privatsphäre höchstens im Fall von konkreten und unmittelbaren terroristischen Bedrohungen vom EuGH bewilligt.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/eugh-urteil-vorratsdatenspeicherung-auch-in-bulgarien-mit-eu-recht-unvereinbar/

Sammelklage wirft Apple illegale Datensammelei vor

Laut Sammelklage in Amerika sammelt Apple sehr umfassend Daten über die Nutzer ihrer iPhones – selbst wenn das in den Einstellungen deaktiviert wurde. Damit verstoßen sie gegen geltendes kalifornisches Recht.

Zwei Forscher analysierten den App Store und fanden heraus, dass bei der Nutzung des Stores u. a. die Klicks und die Verweildauer auf den einzelnen Apps , sowie Geräteinformationen, eingestellte Sprache und Internetverbindung registriert.
Dies widerspricht der Option „iPhone Analytics“, die behauptet „die Weitergabe von Device Analytics vollständig zu deaktivieren“.
Auf das Ergebnis der Analyse folgte die Klage.

Weitere Apps wie Apple Music und Apple TV lieferten durch dieselbe Analyse ähnliche Ergebnisse.
Apple wirbt übrigens mit den Slogan „Privacy. That’s iPhone.“

Weitere Informationen finden Sie hier:
https://www.golem.de/news/tracking-sammelklage-wirft-apple-illegale-datensammelei-vor-2211-169764.html

Abruf des E-Rezepts per eGK? Aber sicher!

Ärztliche Rezepte sollen in Zukunft mittels E-Rezept direkt über die Krankenkassenkarte in Apotheken einlösbar sein. Aktuell verstößt die Schnittstelle, die dies ermöglichen soll, allerdings aufgrund von Sicherheitsmängeln gegen die DSGVO.

Professor Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit, sieht in der bisher vorgelegten Umsetzung ein großes Risiko für die Daten der Nutzer. Diese sind nicht ausreichend gegen unberechtigte Zugriffe von außen geschützt – ein Problem, das seit Monaten bekannt ist, ohne dass angemessene Lösungen bereitgestellt wurden. Laut Herr Kelber würde am Ende das Vertrauen in aktuelle und zukünftige Digitalisierungsprojekte wie das E-Rezept unter einem potenziellen Hack unnötig leiden.

Anstatt zusätzliche IT-Absicherungen einzurichten, steigt die Kassenärztliche Vereinigung jedoch aus dem Pilotprojekt aus. Herr Kelber drückt Enttäuschung darüber aus, will aber auch in Zukunft „Unzureichend gesicherten Lösungen (…) eine datenschutzrechtliche Absage erteilen.“ Denn: „Digitalisierung im Gesundheitssektor muss richtig umgesetzt werden: sicher, datenschutzkonform und bequem zu nutzen.“

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2022/12_E-Rezept.html

Gefährliche Zwangs-Apps für Fußballfans

Sicherheitsexperten sowie u. a. die Menschenrechtsorganisation Amnesty International warnen vor 2 Apps, die tiefen Zugriff auf das eigene Handy erlauben – die aber für die Fußballmeisterschaft vor Ort in Katar verpflichtend installiert werden müssen.

Nach der Installation können die Apps auf die persönlichen gespeicherten Daten sowie WLAN/Bluetooth-Verbindungen und den eigenen Standort zugreifen.

  • Ehteraz: Mit der App Etheraz soll der Verlauf von Corona-Infektionen von Person zu Person nachvollzogen werden. Über die App lassen sich Daten leicht Personen zuordnen und somit überwachen, wer sich wo und in welchen Umfeldern aufhält.
    Eine ähnliche App (Smittestopp) wurde zu Beginn der Pandemie in Norwegen eingesetzt, aufgrund des tiefen Eingriffs in die Privatsphäre jedoch wieder eingestellt.
  • Hayya: Diese App wird für die Einreise und den Stadionbesuch verwendet und ermöglicht die kostenlose Nutzung des öffentlichen Nahverkehrs.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/wm-in-katar-gefaehrliche-zwangs-apps-fuer-fussballfans/