Ein Fall aus den USA zeigt die Gefahr der geplanten Chatkontrolle

Es fängt an mit einem Vater, dessen kleiner Sohn Schmerzen im Genitalbereich hat. Im Vorfeld einer Videokonferenz mit dem Kinderarzt sollte der Vater Fotos der schmerzenden Stelle schicken. Der Vater macht also Fotos vom Penis seines Sohnes und verschickt sie. Gleichzeitig landen diese Fotos auf Google-Servern, ein automatischer Scan schlägt Alarm und die Polizei wird hinzugezogen.

Die anonyme Synchronisierung auf Android-Geräten (welche sich ausschalten lässt, – was sie in diesem Fall jedoch nicht war) hat die besagten Fotos auf die Server von Google geladen, wo sie als Kinderpornografie identifiziert wurden.
Auch wenn die Polizei nach ihrer Ermittlung keine Straftat feststellte, wurde dennoch der Google-Account des Vaters gesperrt und ist es bis heute. Die privaten Daten, die darauf lagen, sind verloren.

Es ist ein Fall, der die Kritikpunkte der geplanten Chatkontrolle im Speziellen und von automatischer Bilderkennung durch KI im Allgemeinen illustriert. Eine KI, selbst wenn sie in der Erkennung der Bilder fehlerfrei funktioniert, wird trotzdem keinen Kontext verstehen und wie in diesem illustrierten Fall False Positives ausgeben. Man darf davon ausgehen, dass solche Fälle sich infolge der Chatkontrolle häufen werden. Selbst wenn dies nicht zu tatsächlichen Strafanzeigen oder Verhaftungen führt (wie im Falle des Vaters), werden trotzdem Menschen unter Verdacht von schweren Verbrechen gestellt. Zusätzlich zu der Unsicherheit, wie mit diesem Verdacht vonseiten der Behörden umgegangen wird, müssen Betroffene außerdem noch damit leben, z. B. ihr Google-Konto zu verlieren (ebenfalls wie im Falle des Vaters).

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/falscher-verdacht-gegen-vater-ein-fall-aus-den-usa-zeigt-die-gefahr-der-geplanten-chatkontrolle/

US-Clouddienste nicht pauschal von Aufträgen auszuschließen

Die USA gelten nicht als zuverlässiger Drittstaat, bei denen europäische Daten guten Gewissens gespeichert werden können. Das geht auf ein Urteil des EuGHs (Europäischer Gerichtshof) vom Juli 2020 zurück.
Dieser Beschluss gilt allerdings seit dem Urteil des Oberlandesgerichts Karlsruhe vom Juli 2022 als aufgehoben.

In dem beurteilten Fall ging es um die europäische Tochterfirma eines Anbieters von Cloud-Dienstleistungen mit Sitz in den USA. Eben dieses Tochterunternehmen gibt an, Daten auf Servern in Deutschland zu speichern.

Das Oberlandesgericht sieht nun kein Problem darin, weil man „grundsätzlich davon ausgehen [kann], dass ein Bieter seine vertraglichen Zusagen erfüllen wird.“ Man könne zunächst darauf vertrauen, dass die Vorgaben durch die DSGVO bei der Datenverarbeitung erfüllt werden und müsse dies erst bei Zweifeln nachprüfen.

Kritik, auch von Datenschutzbehörden, dass das Urteil u.a. „rechtlich zweifelhaft“ sei, blieb nicht aus. Man kann gespannt sein, wie sich das Urteil in Zukunft auf die Datenverarbeitung auswirken wird.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/gerichtsurteil-us-clouddienste-nicht-pauschal-von-auftraegen-auszuschliessen-2209-168221.html

Stolperfallen bei der DSGVO

Mittlerweile ist die DSGVO (Datenschutzgrundverordnung) seit 4 Jahren gültig. Nach wie vor gibt es Verwirrungen und Unklarheiten um den richtigen Umgang mit personenbezogenen Daten. Darum hat der Online-Service-Anbieter Conceptboard eine Auflistung der gängigsten Stolperfallen erstellt.

Datenschutz wird auch in Zukunft eine große Rolle spielen und sollte, um Imageschäden und Bußgelder für das eigene Unternehmen zu vermeiden, nicht auf die leichte Schulter genommen werden.

  • 1. Unsichere persönliche Arbeitsweisen im Alltag

Wenn Passwörter/PINS zu einfach gestaltet sind, auf Papier aufgeschrieben, weitergereicht oder mehrfach verwendet werden, wird Hackern der Zugriff auf interne Systeme stark vereinfacht.
Passwörter sollten regelmäßig gewechselt werden und zureichend lang/komplex (bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) sein. Weiterhin ist, wo möglich, eine Multifaktorauthentifizierung wünschenswert, die die Passwortabfrage um Security-Token, Fingerabdrücke oder TAN-Code erweitert.

  • 2. Unrechtmäßige Verarbeitung personenbezogener Daten

Es ist wichtig, ein Bewusstsein für den Umgang mit personenbezogenen Daten (also Namen, Adressen, Telefonnummern etc.) zu entwickeln. Solche Daten müssen immer für einen bestimmten Zweck erhoben und dürfen nicht außerhalb dieses Zweckes verwendet werden (etwa für Gewinnspiele oder Umfragen).
Alle Mitarbeiter sollten Schulungen im Datenschutz erhalten, um eine Sensibilisierung für das Thema zu entwickeln.

  • 3. Nutzung unsicherer Cloud-Lösungen

Cloud-Dienste sind für Unternehmen hilfreich bei der Bewältigung großer Mengen von Daten, bergen aber auch Risiken. Denn wenn der Cloud-Dienstleister Server in den USA betreibt, sind die amerikanischen Geheimdienste (durch den Cloud Act) berechtigt, darauf zuzugreifen. Es werden also personenbezogene Daten potenziell weitergegeben und das Unternehmen, welchen den Cloud-Dienst nutzt, kann dafür haftbar gemacht werden.
Es sollte immer darauf geachtet werden, dass der Cloud-Betreiber Daten ausschließlich in deutschen oder zumindest europäischen Rechenzentren speichert.

  • 4. Mangelhafte Datenschutzerklärungen

Um Bußgelder und Klagen zu vermeiden, sollte die eigne Datenschutzerklärung auf Rechtskonformität unbedingt von der internen Rechtsabteilung oder von externen Beratern überprüft werden. Vorgefertigte Datenschutzerklärungen finden sich zur Anpassung an den eigenen Internetauftritt im Netz.

  • 5. Datensilos anlegen

Personenbezogene Daten sollten katalogisiert werden, um im Falle einer Datenlöschanfrage einer betroffenen Person eine Übersicht zu haben, wo die Daten überhaupt gespeichert sind. Wurden Back-ups/Sicherungskopien der Daten auf Rechnern oder USB-Sticks erstellt? Kann ein Unternehmen nicht nachweislich alle Daten der anfragenden Person finden und löschen, liegt ein Verstoß gegen die DSGVO vor und es droht ein Bußgeld.
Auch hier hilft, Mitarbeiter im Datenschutz zu schulen, um dem Risiko von Datenschutzverstößen im Falle einer Anfrage zu minimieren.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/stolperfallen-bei-der-dsgvo-18546

Britisches Parlament schließt TikTok-Account

In einem Pilotversuch um jüngere Menschen zu erreichen, hat das britische Parlament einen Account auf der Plattform TikTok eröffnet, welcher nun „basierend auf dem Feedback der Mitglieder“ vorzeitig wieder geschlossen wird.

TikTok, das soziale Netzwerk auf dem in erster Linie sehr kurze Videoclips hochgeladen werden, gehört zum chinesischen Konzern Bytedance, welcher im Verruf steht, der chinesischen Regierung Nutzerdaten zu übermitteln. Ebendies war auch die Kritik vonseiten der Parlamentsmitglieder. 7 Abgeordnete sind zuvor aufgrund ihrer Kritik an Chinas Menschenrechtsverletzung durch Peking sanktioniert worden.

TikTok gibt dagegen an, nie der chinesischen Regierung Nutzerdaten zur Verfügung gestellt zu haben.

Weitere Informationen finden Sie hier:
https://www.wuv.de/Themen/Social-Media/Datenschutz-Britisches-Parlament-schliesst-Tiktok-Account

Neue Schikanen gegen Wikipedia in Russland

Die russische Medienaufsicht Roskomnadsor geht gegen Wikipedia vor, weil diese in russischsprachigen Artikeln nach wie vor vom Angriffskrieg gegen die Ukraine (und nicht von einer „Spezial-Operation“ schreiben.

Als Resultat sollen russische Suchmaschinen zukünftig alle Wikipedia-Artikel mit einem Hinweis versehen, dass die Betreiber gegen russische Gesetze verstoßen. Zuvor gab es bereits die Androhungen von Sperrung und Geldstrafen.

Wikipedia äußert sich dazu: „Wir haben bisher keine Anordnungen der russischen Regierung befolgt und werden weiterhin an unserer Mission festhalten, der Welt freies Wissen zur Verfügung zu stellen.“

Wer als russischer Bürger in den Medien von einem Krieg statt „Spezial-Operation“ spricht, muss übrigens mit bis zu 15 Jahren Gefängnis rechnen.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/zensur-neue-schikanen-gegen-wikipedia-in-russland/

Cloud-Security ist Hauptsorge der Sicherheitsexperten

Laut einer Umfrage von Delinea sehen Experten aktuell die größten Sicherheitsprobleme in der Cloud-Sicherheit. In der Umfrage wurden auch zahlreiche Fachleute zu ihren Sicherheitspraktiken befragt.

Da Unternehmen immer mehr Teile ihrer Infrastruktur auf die Cloud auslagern (und, entsprechend abhängiger von der Cloud sind), rückt der Schutz selbiger auch stärker in den Vordergrund. Zugriffe auf die Cloud müssen begrenzt und entsprechend gesichert werden.

Das Resümee ist dennoch ein positives, denn 80 Prozent der befragten Unternehmen gaben an, in den letzten 12 Monaten keinen Cyberangriff mehr erlebt zu haben.
Zurückzuführen dürfte das auf die Cyberhygiene-Praktiken der einzelnen Mitarbeiter sein. Hier wird zum Großteil angegeben, dass Passwörter nicht kontoübergreifend eingesetzt werden (59 %) und, wo möglich, Multifaktor-Authentifizierung beim Einloggen in kritische Systeme genutzt wird (66 %).

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/cloud-security-ist-hauptsorge-der-sicherheitsexperten-18510

Abmahnwelle – Schadenersatzansprüche wegen Google Fonts

Auch die GINDAT, hat von den scheinbar massenhaften E-Mails erfahren, in denen „besorgte Bürger“ oder Personen mit „gut gemeinten Ratschlägen“ Schadenersatzansprüche nach Art. 82 DSGVO als Privatperson geltend machen möchten.
Wir möchten Sie hiermit darüber informieren und zeitgleich vor den Mails warnen.

Zum Inhalt des Schreibens:
Besagte Personen möchten gerne Schadenersatz geltend machen, häufig in Höhe von 100,00 EUR. Als Grund dazu, dass die Webseite des Adressaten, den Drittanbieter „Google Fonts“ dynamisch eingebunden hat, wodurch bei Aufruf der Webseite automatisch und ohne Zustimmung des Besuchers eine Verbindung mit den Servern von Google hergestellt wird.
Mit Angaben, wie die Url Ihrer Homepage und die Angabe der eigenen IP-Adresse, sieht dieses Schreiben – zumindest augenscheinlich – für manche Empfänger vielleicht glaubhaft und am Ende auch etwas beängstigend aus. Zumal auch ein Urteil vom Landgericht München (Urteil v. 20.01.2022, Az. 3 O 17493/20) angegeben wird.
Scheinbar möchten sich besagte Personen dieses Urteil zu Nutzen machen und haben die Zeit und Lust, eine Abmahnwelle im eigenen Namen ins Rollen zu bringen.

Falls Sie ebenfalls ein solches Schreiben erhalten haben, sollten Sie es zwar nicht komplett ignorieren, jedoch empfehlen wir nicht den verlangten Betrag zu zahlen.

Google Fonts sollte natürlich lokal eingebunden werden, jedoch kann unserer Ansicht nicht ohne Umschweife ein Schadensersatzanspruch angenommen werden, wenn dies mal nicht der Fall ist.
Sollten Sie dies bzgl. Hilfe benötigen, können sie sich natürlich auch gerne an uns wenden.

Anbei haben wir Ihnen ein Massen-Schreiben angehängt, welches wir natürlich Datenschutz-konform geschwärzt haben. Die Schreiben, von denen die GINDAT bisher erfahren hat, sind vom Inhalt nahezu identisch.

Eine derartige Abmahnwelle, einer anderen Person, mit dem Betreff der Mail „Datenschutzverstoß, Unterlassung, Auskunft“, wird ebenfalls aktuell versendet.

Hier wird wieder die Webseite kritisiert, dass diese den Dienst „Google Fonts“, „Google Analytics“ oder „Typekit“ mit einbindet. Der Absender verlangt hier, dass die Einbindung ohne Einwilligung zu unterlassen ist und zudem möchte er auch noch, dass der Betreiber der Webseite eine Unterlassungserklärung unterschrieben zurück sendet. Diese sendet er „freundlicherweise“ direkt mit im Anhang, unter dem PDF „Auseinandersetzung“. Sollte man dieser, nach Unterzeichnung nicht nachkommen, so verlangt er einen Betrag in Höhe von 3.000,- EUR.

Bitte unterzeichnen Sie keinesfalls die beigefügte Unterlassungserklärung. Sollten Sie dahingehend weitere Unterstützung benötigen, melden Sie sich gerne bei uns per E-Mail oder telefonisch.

Cookie-Blocker „I don’t care about cookies“ – Das Add-on für den Browser

Surfen im Internet: Schnell und einfach soll es sein, wenn uns nicht immer wieder diese nervigen Cookie-Banner den Weg versperren. Hier werden wir nach einer evtl. Einwilligung gebeten, denn die Webseite verarbeitet und speichert während unseres Besuches allerhand Daten. Ohne den eigenständigen Klick auf „Akzeptieren“ / „Ablehnen“, wird uns der Weg auf die Webseite verwehrt.

Da uns diese Banner täglich im Netz begegnen, ist es sicherlich für eine Mehrheit von uns so, dass wir uns gar nicht mehr durchlesen, was denn überhaupt in den Cookie-Einstellungen voreingestellt ist. So wählen wir den für uns – meistens – einfachsten Weg – der Klick auf „Akzeptieren“.

In den Einstellungen des Cookie-Banners, dürfen jedoch nur die technisch notwendige Cookies aktiv voreingestellt sein. Alles andere, bedarf einer weiteren, aktiven Einwilligung durch uns Webseitenbesuchern. Daher sollte man bei fremden Webseiten einen kurzen Blick in die Einstellungen werfen und nicht gewünschtes deaktivieren.

I don’t care – mir ist es egal

Wem also diese lästigen Popups auch auf den Keks gehen, für den kann das Add-on „I don’t care about cookies“ sehr nützlich sein. Hier muss man sich aber im Klaren darüber sein, wie das Tool arbeitet.

Denn: Die Browser-Erweiterung versucht die Cookie-Banner in erster Linie von allen Webseiten zu entfernen oder zu verstecken. Ist dies jedoch nicht möglich, so akzeptiert das Add-on die Cookie-Richtlinie automatisch. Hier kann es dann auch dazu kommen, dass nicht nur die technisch notwendigen Cookies, sondern auch Cookies aller Art, akzeptiert werden.
Wer sich auch da weiterhin sagt – „I don’t care“ –  für den lohnt es sich, das Tool zu nutzen.

Das Add-on gibt es u.a. für Firefox, Chrome, Edge und Opera.
Das Tool wird einfach und schnell über die Webseite https://www.i-dont-care-about-cookies.eu/de für den jeweiligen Browser heruntergeladen. Das Add-on installiert sich von alleine und erscheint, wie in unserem Beispiel, unter Microsoft Edge oben rechts in der Statusleiste, in Form eines Cookies.

Ist das Add-on installiert, so ist es bereit zum Einsatz und verbergt die Cookie-Popups, bzw. stimmt automatisch der Cookie-Richtlinie zu, ohne dass wir davon etwas bemerken. Sollte es hier doch einmal dazu kommen, dass ein Cookie-Banner den Weg zu uns findet, dann lässt sich die Webseite bei dem Entwickler melden.

Indem man auf das Cookie-Icon klickt, haben wir die Möglichkeit, bestimmte Webseiten zu whitelisten, d.h. dass das Tool für diese Webseiten deaktiviert wird und wir den Banner angezeigt bekommen, um so unsere eigene Einwilligung geben zu können.

Die Whitelist lässt sich entweder für die aktive Webseite erstellen, oder auch manuell, unter dem Punkt „Einstellungen“:

In unserem Beispiel, würden wir nun weiterhin den Cookie-Banner unserer Webseite www.gindat.de eingeblendet bekommen.

Ein kurzer Test hat gezeigt, dass tatsächlich die Cookie-Banner geblockt werden, bzw. wir diese nicht mehr angezeigt bekommen. Der Besuch von Webseiten gestaltet sich angenehmer, der Klick bleibt uns erspart. Nur ist auch dieses Tool mit einer gewissen Vorsicht zu genießen, wenn man die Kontrolle über seine Privatsphäre im WWW nicht komplett aus der Hand geben möchte.

Signal sieht in Interoperabilität Gefahr für die Sicherheit

Messenger wie WhatsApp, Signal und Telegram müssen Nachrichten untereinander austauschen können – diese Interoperabilität wurde vom Europaparlament über das Digitale-Märkte-Gesetz 2021 beschlossen.

Ziel des Beschlusses war es, „das Internet aufzuräumen und digitale Monopole zu bekämpfen„. Der Teil des Beschlusses, dass Messenger interoperabel funktionieren müssen, stieß bereits zuvor auf Kritik, denn man muss sich am kleinsten gemeinsamen Nenner orientieren, um einer solchen Verpflichtung nachzukommen. Das dürfte sich negativ sowohl auf Innovation wie auch auf Datensicherheit auswirken.

Die Betreiber von Signal erklären dazu: „Die Zusammenarbeit mit iMessage und WhatsApp würde letztendlich die Privatsphäre von Signal und seinen Benutzern verschlechtern.“
Nicht alle Apps haben dieselben Datenschutzstandarts. So nutzt Signal etwa eine Ende-zu-Ende-Verschlüsselung, welche von Facebook Messenger nur optional und bei Telegram begrenzt zur Verfügung steht.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/dma-signal-sieht-in-interoperabilitaet-gefahr-fuer-die-sicherheit-2207-166744.html

Der menschliche Risikofaktor bleibt die größte Bedrohung für die Cybersicherheit von Unternehmen

Die Arbeitsumgebung von Mitarbeitern wird zunehmend dezentraler, wodurch die Bedeutung einer cybersicheren Belegschaft und engagierter Sicherheitskultur wichtiger den je ist.

Das SANS-Institut hat in ihrem jährlichen Security Awareness Report Daten von mehr als 1000 Experten ausgewertet.

Die wichtigsten Ergebnisse:

  • Es werden zu viele Mitarbeiter (über 69%) zu Fachleuten für Security Awareness gemacht, die zwar technisches Wissen aber zu wenig Kenntnisse in der Thematik haben bzw. dieses Wissen nicht vermitteln können.
  • Die häufigste Herausforderung ist Zeitmangel, wodurch Awareness-Programme nicht angemessen vermittelt und/oder umgesetzt werden können.
  • Gerade im Rahmen der Pandemie war das größte Problem, dass Cyberangriffe durch abgelenktes und überfordertes Personal begünstigt wurden.

Die wichtigsten Tipps:

  • Generell sollten nicht einfach nur Regeln aufgestellt und deren Einhaltung durchgesetzt werden. Es muss auch ein Verständnis vermittelt werden, warum Schritte mit welcher Priorität durchzuführen sind.
  • Es sollte klar dokumentiert werden, wie viele Mitarbeiter im Sicherheitsteam für welche Aufgabe (z. B. Konzentration auf Technologie oder menschliches Risiko) benötigt werden und ggf. andere Abteilungen mit einbeziehen.
  • Mindestens einmal im Monat sollte eine Schulung oder eine vergleichbare Kommunikation stattfinden, um die Mitarbeiter in das Thema Sicherheit zu integrieren.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/der-menschliche-risikofaktor-bleibt-die-groesste-bedrohung-fuer-die-cybersicherheit-von-unternehmen-18511