Kritische Sicherheitslücke in der WPA2-Verschlüsselung entdeckt

Schwachstellen im WPA2-Protokoll können von Angreifern genutzt werden, um eigentlich geschützten Datenverkehr mitzulesen.
Da die Sicherheitsstandards an sich verwundbar sind, läßt sich die Vorgehensweise auf allen Geräten mit WLAN-Chip anwenden.
Betroffen sind WPA2 inkl. der Personal- und Enterprise Variante, WPA-TKIP, AES-CCMP und GCMP. Die Schwachstelle ist in allen
populären Betriebssystemen wie Android, iOS, Linux und Windows nutzbar.

Bis Updates und Patches verfügbar sind, muss man davon ausgehen, das Dritte mitlesen können. Bei der Übertragung von
persönlichen Informationen ist darauf zu achten, das eine Extra-Verschlüsselung wie HTTPS zum Einsatz kommt. Auch die Nutzung
eines VPN kann helfen.

Sowohl Software-Entwickler als auch Netzwerkausrüster haben bereits Patches angekündigt. Wir empfehlen, die Updates zeitnah einzuspielen.

Beschwerde gegen Facebooks Standardvertragsklauseln

Der österreichische Jurist Max Schrems hat eine weitere Beschwerde gegen die Weitergabe privater Daten an die USA beim irischen Höchstgericht eingereicht. Die Klage wird direkt von den irischen Behörden an den Europäischen Gerichtshof (EuGH) weitergeleitet. Dieser muss entscheiden, ob die Weitergabe personenbezogener Daten, zum Beispiel aus sozialen Netzwerken, rechtmäßig ist. Nachdem bereits durch den Juristen das Safe-Harbor-Abkommen 2015 gekippt wurde, versucht er nun die sogenannten Standardvertragsklauseln, welche Facebook zum Datenaustausch nutzt, als Rechtsgrundlage für den transatlantischen Datentransfer zu stoppen.

Mehr zum Thema finden Sie hier:
https://netzpolitik.org/2017/nsa-ueberwachung-europaeischer-gerichtshof-muss-weitergabe-privater-daten-an-usa-pruefen/

Netzwerkdurchsetzungsgesetz in Kraft

Das Netzwerkdurchsetzungsgesetz (NetzDG) ist seit dem 1. Oktober 2017 in Kraft getreten. Damit sollen strafbare Inhalte in den sozialen Netzwerken so schnell wie möglich verschwinden.
Betreiber müssen die Voraussetzungen schaffen, dass strafbare Kommentare gelöscht werden können. Wer nicht die systemischen Rahmenbedingungen anpasst, um das NetzDG umsetzen zu können, muss mit einem Bußgeld in Höhe von 50 Millionen Euro rechnen.
Das Gesetz sieht vor, das spätestens nach 24 Stunden „offenkundig strafbare Inhalte“ gelöscht werden müssen. Jedes Unternehmen kann in schwierig zu entscheidenden Fällen ein Gremium zu Rate ziehen, welches dem Bundesamt für Justiz untersteht.

Mehr zum Thema finden Sie hier:
https://www.heise.de/newsticker/meldung/Facebook-Gesetz-in-Kraft-getreten-3848132.html

Unsichere Überwachungskameras

Die Stiftung Warentest („test“-Ausgabe 10/17) bemängelt bei vielen Überwachungskameras, die über eine Internetverbindung arbeiten, erhebliche Sicherheitslücken. Dies ergab eine Auswertung von 16 Überwachungskameras zu Preisen von 34 bis 315 Euro. Negativ fielen bei dem Test besonders solche Kameras auf, die unsichere Zugangsdaten voreingestellt haben und die Nutzer dieser Kameras nicht explizit dazu auffordert, ein neues Passwort anzulegen. Außerdem werden bei den meisten Kameras Daten unverschlüsselt über das Internet versendet und Netzwerkzugänge bleiben unnötig offen. Wer auf Datenschutz und Datensicherheit Wert legt, sollte sich vorab über verschiedene Kameramodell informieren, um nicht andere zum Datenklau einzuladen.

Mehr zum Thema finden Sie hier:
http://www.it-business.de/sicherheitsluecken-bei-vernetzten-ueberwachungskameras-a-647781/?cmp=nl-43&uuid=F3989E33-C8B7-44F8-AD5F53F7D2759DC5

Weitere 1,2 Millionen Euro Strafe gegen Facebook verhängt

Nachdem bereits die französische Datenschutzbehörde in diesem Sommer eine Geldstrafe gegen Facebook verhängte, hat nun auch die spanische Behörde das Unternehmen zu einer Strafe in Höhe von 1,2 Millionen Euro verdonnert. Nach Auffassung der Datenschutzaufsicht Agencia Española de Protección de Datos (AEPD) sammelt Facebook besonders geschützte Daten der Nutzer ohne deren Einverständnis eingeholt zu haben. Die schwerwiegenden Verstöße beziehen sich auf Informationen über die politische Ausrichtung, Religionszugehörigkeit, Geschlecht sowie das Surfverhalten der Facebook-Nutzer. Diese Daten sammelt und verwendet das Unternehmen damit Werbetreibende gezielt Anzeigen (targeted advertising) an die Nutzer bringen können.

Mehr zu diesem Thema finden Sie hier:
https://netzpolitik.org/2017/spanien-millionenstrafe-fuer-facebooks-illegale-datensammlung/

US-Bundesbehörden: Verbot für russische Kaspersky-Software

Das Heimatschutzministerium der USA hat seinen Bundesbehörden untersagt, Software des russischen Software-Herstellers Kaspersky Lab zu verwenden. Alle Installationen z. B. der weit verbreiteten Antivirensoftware sollten entfernt werden.

Die US-Regierung sieht in den Programmen ein potentielles Spionagerisiko. Laut Heimatschutzministerin Elaine Duke könnten sie die „nationale Sicherheit“ der USA gefährden . Der Hersteller Kaspersky Lab steht seit einiger Zeit im Verdacht, mit dem russischen Inlandsgeheimdienst FSB zu kooperieren und diesen bei Cyber-Angriffen zu unterstützen.

Kaspersky hat diese, im Juli vom US-Magazin Bloomberg Newsweek vorgebrachten, Anschuldigungen bereits zurückgewiesen. Man unterstütze zwar weltweit Regierungen und Strafverfolgungsbehörden dabei, Cyber-Kriminalität zu bekämpfen, der Vorwurf einer deutlich engeren Zusammenarbeit sei aber haltlos. Beweise hierzu seien nicht vorgelegt worden. Kaspersky fühlt sich in eine geopolitischen Angelegenheit hineingezogen.

Die Bundesbehörden haben nun 60 Tage Zeit, um Pläne zur Beendigung der Verwendung von Kaspersky-Software zu erarbeiten. Anschließend sollen diese Pläne innerhalb von 90 weiteren Tagen umgesetzt werden.

Weitere Infos zu diesem Thema finden Sie hier:
http://www.zeit.de/digital/2017-09/spionageverdacht-usa-russland-kaspersky-software
https://www.heise.de/newsticker/meldung/Wirbel-um-Kasperskys-Russland-Verbindungen-3807937.html

Spionage-Apps in Googles App Store

Bisher 500 bekannte Android-Apps, die offiziell im App Store Google Play erworben werden konnten, sollen mit Schnüffelfunktion ausgestattet sein. Dies ergab eine Untersuchung durch Sicherheitsforscher. Sie entdeckten, dass unter anderem Spiele- und Wetterabs, die mit einem sogenannten Software Development Kit für Werbeeinblendungen erstellt wurden, Befehle von einem Server empfangen und ausführen können. Hierbei hatten aber die Entwickler der Apps nicht die Absicht Programme für Schnüffelaktionen zu entwickeln. Sie nutzten ahnungslos das Igexin Software Development Kit (SDK), das Kriminelle für ihre Zwecke mit einem Schadprogramm infizierten.

Weitere Infos zu diesem Thema finden Sie hier:
https://www.heise.de/amp/meldung/Google-schmeisst-500-potenzielle-Spionage-Apps-aus-App-Store-3810366.html?xing_share=news

OLG München entscheidet für AdBlocker

Gleich drei Medien-Unternehmen mussten vor dem Oberlandesgericht München eine herbe Niederlage hinnehmen. Die Süddeutsche Zeitung, der Werbevermarkter IP-Deutschland sowie die Sendergruppe ProSiebenSat1 klagten gegen den Hersteller des populären Werbeblockers AdBlock Plus. Die drei Medienhäuser beklagten, dass die Eyeo GmbH, der Hersteller des AdBlockers, Marktmissbrauch, Verstöße gegen Urheberrechte und Aushöhlung der Pressefreiheit mit dem Programm betreibe. Durch das kostenlose Programm seinen den Unternehmen unter anderem hohe Werbeeinnahmen entgangen und forderten daher Schadenersatz vom Hersteller. Das OLG München, wie auch bereits das OLG Hamburg und Köln, entschied die Klage allerdings im Sinne der Eyeo GmbH. Damit kann das Thema allerdings nicht zu den Akten gelegt werden, denn alle Beteiligten haben erklärt, die Klage vom Bundesgerichtshof in Karlsruhe klären zu lassen.

Ausführliche Infos zum Thema finden Sie hier:
https://www.heise.de/newsticker/meldung/OLG-Muenchen-Adblocking-ist-legal-3806291.html

Werbeanrufe nach Vertragsende unzulässig

Das Oberlandesgericht Köln hat mit seinem Urteil vom 2. Juni 2017 (Az. 6 U 182/16) entschieden, dass ein Unternehmen keine Telefonwerbung in eigener Sache über dem Vertragsende hinaus tätigen darf. Im vorliegen Fall hatte die Telekom in ihren Vertragsdaten eine Werbeklausel eingefügt, wonach Kunden auch noch nach einem Jahr über dem Vertragsende kontaktiert werden dürfen. Der Verbraucherzentrale Bundesverband (vzbv) wollte dies nicht so hinnehmen, denn der Zeitraum sei nach ihren Vorstellungen viel zu lang. Außerdem bemängelten die Verbraucherschützer, dass sich die Telekom mehrere Möglichkeit offen halten wollte, wie sie den Kunden (per E-Mail, Telefon, SMS oder MMS) kontaktieren wolle.
Das OLG Köln urteilte, dass die Telekom gegen das Verbot belästigender Werbung verstoßen habe, da die Klausel nur unbestimmt formuliert sei. So ist laut Gericht, eine individuelle Kundenberatung nach möglicherweise zwei Jahren nicht mehr nachvollziehbar.

Oberlandesgericht Köln, Urteil vom 02.06.2017, Az.: 6 U 182/16, nicht rechtskräftig!

Mehr zum Thema finden Sie hier:
http://www.vzbv.de/pressemitteilung/gericht-erschwert-unerwuenschte-werbeanrufe-nach-vertragsende

Überwachung mittels Keylogger unzulässig

Nach einem aktuellen Urteil des Bundesarbeitsgerichts vom 27.07.2017 (2 AZR 681/16) ist die anlasslose Überwachung von Mitarbeitern mittels einer Software, die sämtliche Tastatureingaben protokolliert und die Benutzung der Systeme und den gesamten Internettraffic mitloggt, unzulässig.

In einem Unternehmen hatte der Arbeitgeber, ohne, dass hierfür ein besonderer Grund vorhanden war, einen sogen. Keylogger („Tastenprotokollierer“) installiert, der sämtliche Tastatureingaben der Mitarbeiter protokolliert und damit die Benutzung der Systeme und den gesamten Internettraffic mitloggt. Im Rahmen der Aufzeichnungen wurde sodann festgestellt, dass ein Mitarbeit seinen Dienst-PC während der Arbeit auch privat genutzt hatte. Ihm wurde darauf hin fristlos gekündigt, wobei der Mitarbeiter auch ausdrücklich eingeräumt hatte seinen Dienst PC „in geringem Umfang“ privat genutzt zu haben.

Der Mitarbeiter wehrte sich gegen seine Kündigung und erhob eine Kündigungsschutzklage. Das Bundesarbeitsgericht hielt die Kündigung nicht für rechtens und gab damit dem Arbeitnehmer in letzter Instanz Recht. Es wurde festgestellt, dass der Arbeitgeber mit der Überwachungssoftware dass allgemeine Persönlichkeitsrecht des Mitarbeiters verletzt hat. Die dauerhafte Protokollierung der Aktivitäten der Mitarbeiter war unverhältnismäßig.

Zwar kann eine solche Überwachungsmaßnahme im Einzelfall zulässig sein. Das aber nur dann, „wenn eine auf Tatsachen beruhender Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht“, so dass Gericht. Hier war die Maßnahme jedoch „ins Blaue hinein“ erfolgt, so dass aufgrund des Verstoßes gegen den Datenschutz „Recht auf informationelle Selbstbestimmung“ die Auswertungen im gerichtlichen Verfahren nicht verwertet werden durften.

Zudem ist auch immer zu prüfen, ob mögliche Pflichtverletzungen in Zusammenhang mit einer unzulässigen Nutzung von betrieblichen Arbeitsmitteln, sofort mit einer Kündigung geahndet werden dürfen. Im Falle einer unzulässigen Nutzung in geringem Umfang, ist immer zu prüfen, ob nicht zunächst nur eine Abmahnung, als milderes Mittel, auszusprechen ist.