Landesregierung soll Facebook-Seite deaktivieren

„Die Datenverarbeitung beim Betrieb einer solchen Seite ist rechtswidrig“, so der hessische Datenschutzbeauftragte Alexander Roßnagel über den Facebook-Auftritt der Landesregierung. Aufgrund von Facebooks mangelhaften Datenschutzes sollen die Auftritte der Landes- und Bundesregierung jetzt deaktiviert werden.
Roßnagel verweist dabei auf einen Beschluss des Oberverwaltungsgerichts von Schleswig-Holstein, die im Betreiben einer Facebook-Fanpage (für Land oder Bund) einen „schwerwiegenden datenschutzrechtlichen Verstoß“ sieht.

Facebook sammelt das Surfverhalten der Nutzer zu Profilen zusammen, um anschließend gezielt Werbung zu schalten.

Hier steht die Pflicht zum Informieren der Pflicht zum Datenschutz gegenüber. Als Alternative schlägt Roßnagel vor, die existierende Internetseite hessen.de weiter auszubauen sowie eine neue Präsenz auf der (datenschutzkonformen) Alternativ-Plattform Mastodon aufzubauen.

Abmahnwelle – Schadenersatzansprüche wegen Google Fonts

Auch die GINDAT hat von den scheinbar massenhaften E-Mails erfahren, in denen „besorgte Bürger“ oder Personen mit „gut gemeinten Ratschlägen“ Schadenersatzansprüche nach Art. 82 DSGVO als Privatperson geltend machen möchten.
Wir möchten Sie hiermit darüber informieren und zeitgleich vor den Mails warnen.
Zum Inhalt des Schreibens:
Besagte Personen möchten gerne Schadenersatz geltend machen, häufig in Höhe von 100,00 EUR. Als Grund dazu, dass die Webseite des Adressaten den Drittanbieter „Google Fonts“ dynamisch eingebunden hat, wodurch bei Aufruf der Webseite automatisch und ohne Zustimmung des Besuchers eine Verbindung mit den Servern von Google hergestellt wird.
Mit Angaben wie der URL Ihrer Homepage und die Angabe der eigenen IP-Adresse sieht dieses Schreiben – zumindest augenscheinlich – für manche Empfänger vielleicht glaubhaft und am Ende auch etwas beängstigend aus. Zumal auch ein Urteil vom Landgericht München (Urteil v. 20.01.2022, Az. 3 O 17493/20) angegeben wird.
Scheinbar möchten sich besagte Personen dieses Urteil zu Nutzen machen und haben die Zeit und Lust, eine Abmahnwelle im eigenen Namen ins Rollen zu bringen.
Falls Sie ebenfalls ein solches Schreiben erhalten haben, sollten Sie es zwar nicht komplett ignorieren, jedoch empfehlen wir nicht, den verlangten Betrag zu zahlen.
Google Fonts sollte natürlich lokal eingebunden werden, jedoch kann unserer Ansicht nicht ohne Umschweife ein Schadensersatzanspruch angenommen werden, wenn dies Mal nicht der Fall ist.
Sollten Sie dies bzgl. Hilfe benötigen, können sie sich natürlich auch gerne an uns wenden.
Anbei haben wir Ihnen ein Massen-Schreiben angehängt, welches wir natürlich Datenschutz-konform geschwärzt haben. Die Schreiben, von denen die GINDAT bisher erfahren hat, sind vom Inhalt nahezu identisch.

Apple will App-Store-Auflagen doch noch erfüllen

Apple passt nun nach mehreren Wochen der Verhandlung mit der niederländischen Verbraucherschutzbehörde Autoriteit Consument & Markt (ACM) die Regelungen des eigenen App Stores in den Niederlanden an. Dies beinhaltet alternative Zahlungsmethoden.

Nach Apples ursprünglicher Weigerung verhängte die Behörde Strafzahlungen (in Höhe von 50 Millionen Euro), woraufhin die Verhandlungen begannen.
„In der digitalen Wirtschaft haben mächtige Unternehmen eine besondere Verantwortung, den Markt fair und offen zu halten.“, so die ACM.

In niederländischen Dating-Apps will Apple nun Zahlungsmethoden neben Apple-Pay zulassen. Gelockert wird außerdem, dass App-Anbieter nicht mehr auf mangelnde Sicherheit durch Zahlungsmethoden außerhalb von Apple hinweisen oder sich zwischen In-App und externen Zahlungen entscheiden müssen.
Ferner dürfen die App-Anbieter nun die Kosten der alternativen Zahlungsmethoden angeben und es wird ein zeitlich begrenzter Nachlass bei der Provision für Drittanbieter eingeräumt.

Apple äußerte sich über die Anpassungen: „Wir glauben nicht, dass einige dieser Änderungen im besten Interesse der Privatsphäre oder der Datensicherheit unserer Nutzer sind“.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/niederlande-apple-will-app-store-auflagen-doch-noch-erfuellen-2206-166057.html

Proofpoint stellt „Der Faktor Mensch“-Report vor

Vor Kurzem wurde die Studie „Der Faktor Mensch“ von Proofpoin, Inc. herausgebracht. Durch die Auswertung von Milliarden Benachrichtigungen, Dateianhängen und Cloud-Konten über ein Jahr hinweg wurden hier die aktuellsten Bedrohungen der Cyberwelt ermittelt.

Es folgen die wichtigsten Erkenntnisse des Berichtes mit Fokus auf drei wesentlichen Aspekten: Verwundbarkeit, Angriffsart und Zugriffsprivilegien.

  • Das Smartphone ist ein primäres Angriffsziel.
    Cyberkriminelle verschaffen sich über Smishing-Angriffe (via SMS) Zugang zum Berufs- und Privatleben von Menschen. Dabei werden gerne falsche Lieferbenachrichtigungen versandt, um persönliche Daten abzugreifen.
  • Privilegierte Nutzer sind ein primäres Angriffsziel.
    Etwa die hälfte aller Angriffe zielen auf Manager und sonstige Führungskräfte ab, die über erhöhte Nutzerrechte verfügen.
  • In 80 % der Fälle werden Lieferanten-Konten angegriffen, wodurch Unternehmen in der Lieferkette auch zum Ziel werden.
  • Angriffe werden am häufigsten über Microsoft Onedrive und Google Drive durchgeführt.
  • Malware-Gruppen und Ransomware-Betreiber arbeiten eng zusammen
  • Aktuelle Popkultur wird ausgenutzt.
    So werden etwa E-Mails verschickt, die einen früheren Zugang zur 2. Staffel von „Squid Game“ versprechen.
  • Weltweite Konflikte werden ausgenutzt.
    Politisch motivierte Angreifer zielen etwa auf ukrainische Organisationen und Kommunikationsinfrastrukturen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/proofpoint-stellt-der-faktor-mensch-report-vor-18452
https://www.proofpoint.com/de/resources/threat-reports/human-factor

Vishing-Angriffe auf Rekordniveau

In den vergangenen 12 Monaten hat die Anzahl der Vishing-Fälle (Voice-Phishing) um fast 550 Prozent zugenommen. Dies ging aus dem aktuellen „Quaterly Threat Trends & Intelligence Report“ von Atari und PhishLabs hervor. Der Report bietet neueste Erkenntnisse und Einblicke in die wichtigsten Trends der aktuellen Bedrohungslage.

So haben Vishing-Angriffe seit dem dritten Quartal 2021 bereits die „Offenlegung geschäftlicher E-Mails“ als zweithäufigst gemeldete E-Mail-Bedrohung überholt. Zum Jahresende 2021 hin war bereits mehr als jede vierte gemeldete, reaktionsbasierte Bedrohung ein Voice-Phishing-Fall.

Ebenfalls wichtige Erkenntnisse des Reports:

  • Zunahme von Angriffen mit gefälschten Social Media-Identitäten
  • weiterhin hohe Zahlen von gemeldeten Fällen von Diebstahl der Zugangsdaten per E-Mail
  • stetige Weiterentwicklung der Malware-Landschaft

Laut HelpSystem-Chefstratege John LaCour ist eine Zunahme von Angreifern zu beobachten, welche anstelle von Voice-Phishing-Kampagnen mehrstufige E-Mail-Angriffe durchführen. Hierbei verwenden die Akteure eine Rückrufnummer im Text der E-Mail als Köder und nutzen Social Engineering zur Erstellung einer falschen Identität um ihr Opfer letztendlich zur Aktion eines Anrufs dieser Nummer zu leiten.

Durch die Vielzahl von Möglichkeiten, die den Angreifern heutzutage zur Verfügung stehen, kann man sich nicht mehr nur auf den Schutz des Netzwerkbereichs beschränken. Ein umfassender Überblick über externe Kanäle, so wie die Investition von Sicherheitsteams in Partnerschaften, die vollständige Abwehr von Angriffen gewährleisten, werden empfohlen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/vishing-angriffe-auf-rekordniveau-18436

Trotz massivem Datenleck kein Bußgeld für Buchbinder

Im Januar 2020 wurde bei der Transportfirma Buchbinder ein Datenleck entdeckt. Bei einem Backup-Server tauchte ein Konfigurationsfehler auf wodurch 10 TB an Daten, bestehend aus Namen, Telefonnummern und Adressen, nach außen zugänglich gemacht wurden.

Aufgrund der ungeschützten Zugänglichkeit liegt hier eine Verletzung von Artikel 32 der Datenschutzgrundverordnung (DSGVO) vor. Maßgeblich ist dabei, dass aufgrund der Fehlkonfiguration unbefugter Zugriff überhaupt möglich gemacht wurde. Laut der bayrischen Datenschutzbehörde bestand jedoch kein Anlass, „von Abhilfe- beziehungsweise Sanktionsbefugnissen Gebrauch zu machen“. Die Begründung darf man durchaus als wunderlich empfinden.

Die Buchbinder-Gruppe will nämlich durch Auswertung der Logdateien nachgewiesen haben, dass es nur eine „begrenzte, gegebenenfalls sogar individuell identifizierbare und damit spezifisch zu bewertende Anzahl von Akteuren“ gab. Es gebe aufgrund der Analysen des Netzverkehrs „eine geringe Eintrittswahrscheinlichkeit eines Abrufs mit dem Zweck eines Datenmissbrauchs“.
Sprich: Es wird kein Bußgeld für die Firma Buchbinder erhoben, weil sich die Zugriffe von außerhalb im Rahmen hielten und die Intention beim Zugriff auf die Daten nicht böswillig waren. Ob die ausgewerteten Logdateien tatsächlich echt oder im Nachhinein manipuliert wurden, sei einmal dahingestellt.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/dsgvo-trotz-massivem-datenleck-kein-bussgeld-fuer-buchbinder-2205-165141.html

EU einigt sich auf Digitale-Dienste-Gesetz

Das „Plattformgrundgesetz“ wurde kürzlich von der EU-Kommission unter Führung von Ursula von der Leyen verhandelt und soll noch diesen Sommer endgültig beschlossen werden.
Es handelt sich dabei um den zweiten Teil eines Zwillingsabkommens – in dem Zusammenhang wurde vor einigen Wochen bereits das Digitale-Märkte-Gesetzt erlassen.
 
Es sollen damit einheitliche Standards und faire Bedingungen für Nutzerinnen und Nutzer europaweit  geschaffen werden. Besonders „sehr große Plattformen“ (z. B. Google, Facebook, Apple, Amazon) müssen mit speziellen Auflagen rechnen. Bei Verstoß können bis zu sechs Prozent des Umsatzes als Strafzahlung anfallen.

Zu den Auflagen gehören:

  • Es müssen Prozesse für das Melden illegaler Inhalt bereitgestellt werden. Einschließlich unabhängiger Beschwerdemöglichkeiten, wenn Einspruch gegen eine Löschung/Sperrung erhoben wird.
  • Es soll verpflichtend werden, illegale Inhalte zu entfernen oder Informationen darüber herauszugeben, wenn es eine Behörde anordnet.
  • Es kann der Status eines „Trusted Flaggers“ an Organisationen verliehen werden, deren Inhaltsmeldungen mit erhöhter Priorität bearbeitet werden sollen.
  • Know-your-customer-Prinzip: Auf Handelsplattformen (wie eBay) sollen Informationen wie Name, Adresse, Ausweiskopie und Bankdaten verpflichtend eingeholt werden.
  • Transparenzauflagen: Es muss offengelegt werden, wenn automatisierte Tools (z. B. Uploadfilter) zum Einsatz kommen, welche und wie viele Konten/Inhalt zu unrecht gesperrt wurden und warum welchen Nutzern Werbung angezeigt wird.
  • Risikoeinschätzungen: Es sollen regelmäßig Einschätzungen gemacht werden, wie weit sich illegale Inhalte, Grundrechtsverletzungen und Desinformationen ausbreiten. Fernen sollen mögliche Gegenmaßnahmen vorgeschlagen werden und die EU-Kommission behält sich vor, zu bestimmen, ob die Maßnahmen ausreichen und ob sie eingehalten werden.
  • Datenzugang für Forscher: Spezielle Zugänge sollen geschaffen werden, um das Sammeln von Daten für Forschungszwecke (etwa der Bekämpfung von Hassrede und Desinformation) zu ermöglichen.

Trotz zahlreichen Lobes über die Geschwindigkeit der Anpassungen und Durchsetzung des Gesetzes kritisierte Patrick Breyer, Abgeordneter der Piraten, die Einigung als unzureichend. Das Digitale Grundgesetz versage „vielfach beim Schutz unserer Grundrechte im Netz“, da u. a. ein Verbot der Nutzung von sensiblen persönlichen Daten (politische Meinung, sexuelle Vorlieben etc.) „stark verwässert“ wurde.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/durchbruch-eu-einigt-sich-auf-digitale-dienste-gesetz/

Fast die Hälfte der Unternehmen traut sich nicht zu, Sicherheitslücken zu schließen

In ihrem Bericht „2022 Attack Resistance Report“ legt die Firma Hackerone die sogenannte „Attack Resistance Gap“ dar – eine Lücke zwischen den Sicherheitsmaßnahmen, die eine Firma ergreifen kann, und denen, die sie tatsächlich ergreifen muss. CEO von Hackerone, Marten Mickos, erklärt dazu: „Kenntnis reduziert das Risiko. Nur Unternehmen, die ihre Attack Resistance Gap kennen, sind in der Lage, sie zu verkleinern.“

Im Vordergrund stehen dabei 4 Bereiche, in denen sich Unternehmen gegen Cyberangriffe wappnen müssen.

  1. Kenntnis um die Angriffsfläche, die Cyberkriminellen zur Verfügung steht.
  2. Die Frequenz der Anwendungstests im Verhältnis zu den Release-Zyklen.
  3. In welcher Art und Tiefe Sicherheitstests durchgeführt werden.
  4. Wie verfügbar die Fachkräften rund um Cybersicherheit sind.

Laut Hackerone erzielen gefragte Unternehmen aus Europa und Nordamerika hier einen Confidence Score von 63 %. Unter den Befragten gaben ein Drittel an, weniger als 75 % ihrer Angriffsflächen zu überwachen. Etwa 20 % (10 % davon deutsche Unternehmen), dass sich mehr als die Hälfte ihrer Angriffsfläche entweder unbekannt ist oder sich nicht überwachen lässt. Des weiteren bezweifeln 44 % der Unternehmen (15 % in Deutschland), dass sich die eigene Attack Resistance Gap schließen lässt.

Als prädominanter Grund wird Fachkräftemangel genannt – immerhin von 44 % der Unternehmen (15 % in Deutschland).  Ferner sehen ein Drittel der Befragten einen Grund für mangelhafte Sicherheitstests in schlechter Zusammenarbeit der internen Teams. Die Teams, die für Sicherheit und Entwicklung in Unternehmen zuständig sind, sehen wiederum die stetig wechselnden Anforderungen an die Sicherheitsmaßnahmen als Grund an. Weiterhin werden unzureichende Produkttests und die Abhängigkeit von Sicherheits- und Scan-Tools als Gründe genannt.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/fast-die-haelfte-der-unternehmen-traut-sich-nicht-zu-sicherheitsluecken-zu-schliessen-18379

Yandex sendet Daten nach Russland

Yandex ist ein russischer Konzern, der die größte Suchmaschine im russischsprachigen Raum betreibt. Über eine API (Datenschnittstelle) von Appmetrica, eine Analyse- und Marketing-Plattform für Apps, soll Yandex Zugang zu Millionen von Nutzerdaten bekommen haben.

Dies wurde ursprünglich von der Financial Times berichtet. Yandex bestätigte dies zunächst. Trotz der Behauptung, dass einzelne Nutzer aus den Daten nur schwer zu identifizieren sei, steht zu befürchten, dass die Daten auch an russische Sicherheitsbehörden weitergegeben wurden.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/datenschutz-yandex-sendet-daten-nach-russland-2203-164254.html

Mit diesen sechs Tricks werden Nutzerdaten abgegriffen

Dark Patterns – so bezeichnet man Praktiken, die u.a. in Cookie-Bannern zum Einsatz kommen, um Daten der Nutzer durch Täuschung und Manipulation abzugreifen. Diese verstoßen gegen das Prinzip der informierten Einwilligung der DSGVO und sind somit rechtswidrig. Das EDPB (European Data Protection Board) hat hierzu eine Orientierungshilfe zur Gestaltung von Cookie-Bannern herausgebracht.

Folgende Methoden gilt es, zu vermeiden:

  • Overloading (Überlastung):
    Es wird eine so große, unüberschaubare Menge von Informationen/Optionen geliefert, dass der Nutzer genötigt wird, ein „OK“ zur Datenweitergabe zu geben, anstatt sich durch ein Datenschutzlabyrinth klicken zu müssen. Hierzu gehört auch, eine Zustimmung durch einen einfachen Klick zu ermöglichen während eine klare Ablehnung gar nicht angeboten oder erst in den Einstellungen gesucht werden muss.
  • Skipping (Überspringen):
    Es wird eine Option präsentiert, bestimmte Informationen zu überspringen, oder eine Einstellung für alle Optionen zu übernehmen. Dies zielt darauf ab, dem Nutzer eine vermeintlich einfache Möglichkeit zu geben, bei der jedoch eine Ablehnung der Datenweitergabe übersprungen wird.
  • Stirring (Emotional berührend):
    Es werden mit Nachrichten oder Bildern Unsicherheiten geschürt. Nutzer sollen sich unsicher, verängstigt oder schuldig fühlen, wenn sie beispielsweise nicht ihre Positionsdaten teilen, weil „Vernetzung die Welt zu einem besseren Ort macht“.
  • Hindering (Behindern):
    Nutzer werden mit irreführenden Informationen, Sackgassen, fehlenden Kontrollmöglichkeiten oder unnötig langen Bearbeitungszeiten konfrontiert, um eine Ablehnung der Datenweitergabe möglichst schwer zu machen.
  • Fickle (Vernebeln):
    Informationen werden durch fehlende Hierarchien, kleine Schrittgrößen, kleine Buttons oder wenig kontrastreiche Farben unklar präsentiert.
  • Left in the Dark (Im Dunkeln lassen):
    Es werden uneinheitliche Begrifflichkeiten, widersprüchliche Informationen oder einfach mehrdeutige Sprache verwendet, um die tatsächlichen Kontrollmöglichkeiten der Nutzerdaten zu verschleiern.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/dark-patterns-mit-diesen-sechs-tricks-werden-nutzerdaten-abgegriffen-2203-164148.html