Kategorie: IT-Sicherheit

Was macht denn google so, die Datenschutzerklärung von google

Habt Ihr sie kürzlich auch bekommen, die aktuellste Fassung der google Datenschutzerklärung?

Hier der Link: google-Datenschutz

Ich hatte jetzt mal Lust, mir das ganze genauer anzuschauen.  Unter dem Punkt von uns erhobene Informationen, findet man dieses hier:

Wir erfassen Informationen, um allen unseren Nutzern bessere Dienste zur Verfügung zu stellen – von der Feststellung grundlegender Aspekte wie zum Beispiel der Sprache, die Sie sprechen, bis hin zu komplexeren Fragen wie zum Beispiel der Werbung, die Sie besonders nützlich finden, den Personen, die Ihnen online am wichtigsten sind, oder den YouTube-Videos, die Sie interessant finden könnten.

Es geht also um Nutzertracking und Werbung, nichts neues, aber „Personen, die Ihnen online am wichtigsten sind“ Was geht das bitte google an?

Weiter schreiben sie, dass sie gerätebezogene Informationen mitschneiden, wenn ich bestimmte Dienste nutze.

Wir erfassen gerätespezifische Informationen, beispielsweise das Modell der von Ihnen verwendeten Hardware, die Version des Betriebssystems, eindeutige Gerätekennungen und Informationen über das Mobilfunknetz einschließlich Ihrer Telefonnummer. Google verknüpft Ihre Gerätekennungen oder Telefonnummer gegebenenfalls mit Ihrem Google-Konto.

Wird noch besser:

Einzelheiten zu der Art und Weise, wie Sie unsere Dienste genutzt haben, beispielsweise Ihre Suchanfragen.

Telefonieprotokollinformationen wie Ihre Telefonnummer, Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe.

IP-Adresse.

Daten zu Geräteereignissen wie Abstürze, Systemaktivität, Hardware-Einstellungen, Browser-Typ, Browser-Sprache, Datum und Uhrzeit Ihrer Anfrage und Referral-URL.

Cookies, über die Ihr Browser oder Ihr Google-Konto eindeutig identifiziert werden können.

Diese Datenschutzerklärung von google ist meterlang, es stellen sich gewisse Ermüdungserscheinungen beim Lesen ein. Aber der folgende Satz hat mich dann wieder wach gemacht:

Unsere automatisierten Systeme analysieren Ihre Inhalte (einschließlich E-Mails), um Ihnen für Sie relevante Produktfunktionen wie personalisierte Suchergebnisse, personalisierte Werbung sowie Spam- und Malwareerkennung bereitzustellen.

Super, die lesen Emails mit, was ist denn mit dem guten alten Postgeheimnis?

Es geht dann weiter, in schön formulierten Passagen, schreiben Sie dann, dass sie alle möglichen Informationen zusammen führen, um den besten Nutzen daraus zu haben.

verknüpfen wir personenbezogene Daten aus einem Dienst mit Informationen und personenbezogenen Daten aus anderen Google-Diensten.

Auch scheint google sehr bestrebt, sich möglichst nicht an unser BDSG zu halten.

Sofern wir den Zugriff auf und die Berichtigung von Daten gewähren können, erfolgt dies grundsätzlich kostenlos, außer in Fällen, in denen dies einen unverhältnismäßigen Aufwand erfordern würde.

Dies bestärkt mich in meinem bereits vor Jahren gefassten Beschluss, keine google Dienste zu nutzen, die auf meinen Geräten installiert werden müssen, also weder earth, noch hangout und schon gar nicht google chrome. Denn alles, was google heisst, finanziert sich durch großangelegtes Datentracking. Ich habe und hatte auch noch nie ein gmail-Konto und vermeide aus o.g. Gründen Leute anzumailen, die ein solches Konto haben. Denn, google liest ja die Emails mit auch die, die ich an gmail-Empfänger schicke.

Vielen Menschen heute ist ja Datenschutz egal, sie nutzen, das was alle nutzen, weil sie sonst Angst haben, außen vor zu sein. Ich persönlich möchte mir gerne meinen persönlichen Minimalanteil an Privatsphäre erhalten.

Massendatenspeicherung, tolles Wort

So nun soll sie doch kommen, die Massendatenspeicherung. Massenhaft Buchstaben in diesem Wort. Man hat nun sehr lange daranrumgefeilt, nachdem sie ja schon mehrfach unter anderem am EuGH abgeschmettert wurde. Nun wurde endlich eine Formulierung gefunden, für die dann eine rechtliche Grundlage geschaffen werden konnte.

Gemeint ist damit die Speicherung von Telekommunikationskopfdaten für nun in der neuen Variante für 4-10 Wochen. Um, natürlich mit richterlichem Beschluß, im Falle von Straftaten, diese Daten auswerten zu können und auch um im Vorwege Straftaten verhindern zu können.

Kopfdaten
Das sind alle Verbindungsdaten ausser Inhaltsdaten. Also wer mit wem unter welcher Nummer wie lange telefoniert, gechattet xyz hat.

Sie spukt mir schon sehr lange im Kopf herum diese Massendatenspeicherung. Es stellen sich mir wieder viele Fragen:

  • Wo sollen sie hin diese Massendaten, die da gespeichert werden sollen
  • Wer bezahlt das ganze? Es werden ja die Telefon- und Internetprovider in die Pflicht genommen, dieses zu tun, das heisst wahrscheinlich, dass sie ihre Systeme darauf anpassen müssen, ist bestimmt teuer.
  • Wer soll sie dann im Falle eines Falles auswerten, diese Massen von Daten, die da in der Massendatenspeicherung gespeichert werden?

Die Namensgebung ist auch super, Massendatenspeicherung, da muß ich gleich an Messies denken, die alles sammeln und nichts wegwerfen können. Es gibt noch das Synonym Vorratsdatenspeicherung. Speicherung auf Vorrat, so wie Suppe, falls uns die Daten mal ausgehen. Ok, ich höre jetzt auf und denke nochmal ernsthaft darüber nach:

Die Vorratsdaten, die ja nun zwischen 4 und 10 Wochen gespeichert werden, wer das wie festlegt, konnte ich noch nicht plausibel herausfinden, müssen danach wieder gelöscht werden. Sie dürfen nur ausgewertet werden, wenn es einen richterlichen Beschluß gibt. Da stellt sich natürlich die Frage, wie funktioniert das technisch.

Beispiel:
Mutmasslicher Terrorist x hat 5 Handys bei unterschiedlichen Providern, noch diverse Internetzugänge und unzählige Mailadressen. Es wird jetzt vermutet, dass der mutmassliche Terrorist x einen Anschlag auf Flughafen irgendwo plant. Der überarbeitete Richter gibt die Erlaubnis, diese Daten auszuwerten. Ab jetzt bis minus 10 Wochen würde ich sagen, oder? Wie bekommen jetzt diejenigen, die die Daten auswerten alle Daten?

Es erschliesst sich mir nicht, wie das ohne eine Art Metadatenbank, die alle Daten zusammenführt, funktionieren soll. Desweiteren gibt es in den Massendaten des mutmasslichen Terroristen x wahrscheinlich auch sehr viele Verbindungen zu Teilnehmern ohne terroristischen Hintergrund. Da hat er mal den Klempner angerufen, min. 3 mal beim Pizzaexpress (sind die jetzt auch verdächtig? 3 mal und die Pizzabecker sind alle arabischer Abstammung), Anruf bei Oma etc. Müssen jetzt die Verbindungsdaten dieser Teilnehmer auch ausgewertet werden? Oma hat bei dem selben Pizzaexpress bestellt und hat denselben Klempner (bei ihr war der 5 mal, die Heizung ging nicht), ist das vielleicht eine Gruppe? Und der Zeitrahmen, beim Angriff auf den Bundestag, haben sie 3 Monate benötigt, ehe sie tätig wurden.

Ihr seht, mangels Verständnis für diese Angelegenheit, schiessen mir viele Gedanken durch den Kopf, nicht alle sind ernst gemeint. Der mutmassliche Terrorist x ist eine Phantasiegestalt, eventuelle Ähnlichkeiten mit noch lebenden Personen sind rein zufällig.

Und Übrigens: In Frankreich gibt es bereits die Speicherung von Verbindungsdaten, und hat es prophylaktisch genützt bei Charlie?

 

Safe-Harbor Abkommen / neues Urteil

Seit dem 6. Oktober 2015 gibt ein neues Urteil des europäischen Gerichtshofes zum Thema Kontrolle der Verarbeitung von personenbezogenen Daten von EU-Bürgern durch die  Landesdatenschutzbeauftragten der Mitgliedsstaaten.

Was ist das Safe-Harbor Abkommen?

Das Safe-Harbor Abkommen wurde im Jahr 2000 zwischen der europäischen Kommission und der US-Regierung geschlossen. Es wurde vereinbart, weil nach Art. 25 und 26 der Europäischen Datenschutzrichtlinie, der Export von personenbezogenen Daten in Drittländer verboten ist. Bei dem Safe-Harbor Abkommen handelt es sich um Prinzipien zur Verarbeitung von personenbezogenen Daten, dadurch ist es möglich, Daten in die USA zu exportieren. Es müssen folgende Prinzipien erfüllt werden: “

  1. Informationspflicht: die Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben.
  2. Wahlmöglichkeit: die Unternehmen müssen den Betroffenen die Möglichkeit geben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.
  3. Weitergabe: wenn ein Unternehmen Daten an Dritte weitergibt, muss es die Betroffenen darüber und die unter 2. aufgeführte Wahlmöglichkeit informieren.
  4. Zugangsrecht: die Betroffenen müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen und sie ggfs. berichtigen, ergänzen oder löschen können.
  5. Sicherheit: die Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.
  6. Datenintegrität: die Unternehmen müssen sicherstellen, dass die von ihnen erhobenen Daten korrekt, vollständig und zweckdienlich sind.
  7. Durchsetzung: die dem Safe Harbor beigetretenen Unternehmen verpflichten sich zudem, Streitschlichtungsmechanismen beizutreten, so dass die Betroffenen ihre Beschwerden und Klagen untersuchen lassen können und ihnen im gegebenen Fall Schadensersatz zukommt.

Quelle: http://www.bfdi.bund.de/DE/Europa_International/International/Artikel/SafeHarbor.html

Interessant!

Beispiel: Dienste wie Facebook und WhatsApp verdienen ihr Geld über das sammeln, kategorisieren und weitergeben von personenbezogenen Daten. Deshalb sind sie scheinbar kostenlos. Wie sähe es z.B. mit dem Punkt 2 Wahlmöglichkeit bei Facebook aus? Normalerweise müßte Facebook schon jetzt das Abkommen erfüllen, das tut Facebook aber nicht.

Das neue Gesetz macht es nun möglich, dass Betreiber von Diensten, bei denen die Einhaltung fragwürdig ist, kontrolliert werden dürfen.

Anm.: Auch eine Nutzung der Daten durch Geheimdienste stellt eine Weitergabe dar.

Hackerangriff auf den Bundestag, nun geht’s los

Im Moment hört man ständig in den Medien, dass wegen des Hackerangriffs auf den Bundestag vor ca. 3 Monaten die IT-Infrastruktur abgeschaltet wurde.

Wenn ich so etwas lese, ergeben sich für mich sehr viele Fragen.

  • Der Hackerangriff war doch schon vor 3 Monaten, wurde in der Zwischenzeit einfach weitergearbeitet?
  • Was ist mit der Schadsoftware passiert? Ist sie noch im Netz und wurde in der Zwischenzeit fleissig weiter verteilt?
  • Warum müssen denn die Serversysteme auch getauscht werden
  • eigentlich hätte ich noch so ca. 10 Fragen, aber ich belasse es mal dabei.

Zusammenfassend kann man wohl sagen, sämtlicher Informationsfluss wirft immer wieder neue Fragen auf. Aus meiner Sicht sieht es gar so aus, als würde man total im Dunkeln tappen. Nach 3 Monaten erst mit Abschaltung der Systeme zu reagieren, ist entweder arrogant oder dumm.

Nun wird die Sommerpause genutzt, vor einigen Wochen sollte zwar schon einmal abgeschaltet werden, aber wegen der Debatten zur Griechenlandhilfe ging das nicht. Die (verseuchten?) Systeme wurden wohl noch gebraucht.

Zur Eliminierung des Trojaners werden viele verschiedene Informationen bekannt gegeben. Säuberung der Systeme, ich frage nochmal wirklich? nach 3 Monaten. Austausch von Hardware, hier frage ich mal, wer will denn da jetzt so richtig verdienen?

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) gibt regelmäßig Tipps zum Umgang mit IT-Sicherheit heraus. Es hat sogar die sogenannten BSI-Grundschutzkataloge auf den Markt geworfen. Die gaukeln zwar nur Sicherheit vor, leiten aber dazu an, sich über IT-Sicherheit mal kurz Gedanken zu machen und zu überprüfen, wo man steht und ob vielleicht etwas mehr getan werden sollte.

Jede ordentliche Firma hat einen Notfallplan, sei es für Feuer o.ä. Für IT-Notfälle heißt er IRP, Incident Response Process. Was sagt der für den Bundestag passende denn für den Fall eines Angriffes?

Und meine letzte Frage, wo steht denn der Bundestag (und ich werfe auch gerne schnell noch alle anderen Behörden in den Topf) in Bezug auf den BSI-Grundschutz? Sollte es nicht gerade dort Pflicht sein, das anzuwenden, was eine andere Behörde ausgearbeitet hat? Schließlich sind sie alle wie sie da sitzen nur unsere Vertretung (StaatsDIENER), ich erwarte etwas mehr Einsatz und Integrität für mein (Steuer) geld.

siehe auch: Hackerangriff auf franz. Fernsehsender; IT-Sicherheit ein Einführung

Botnet, was ist das, was macht das und was geht es mich an?

Immer wieder taucht der Begriff Botnet(z) in den Medien auf. Durch die Frequenz der Nennung ging dieses Wort wie selbstverständlich in unseren Sprachgebrauch über. Jeder kennt es, oder?

Ein (Ro)BOT- net(z) besteht aus verschiedenen Bots. Der Begriff wurde abgekürzt von Robot. Ein Bot ist ein Schadprogramm, mit dem ein bestimmter, krimineller Zweck verfolgt wird. Alle Rechner, die mit dem Bot infiziert sind, bilden das Botnet und sind zumeist zusammen ansteuerbar.

Anwendungsbeispiele von Botnetzen:

  • Über den infizierten Rechner kann auf weitere Rechner (Server, Firewalls etc.) im selben Netzwerk zugegriffen werden
  • Es können sensible lokale Daten gestohlen werden (Zugangsdaten etc.)
  • Nutzung des infizierten Rechners zur Fernsteuerung anderer Rechner oder
  • zum Versand von Phishing und Spammails
  • Missbrauch des gekaperten Rechners zur Speicherung/Verteilung illegaler Inhalte
  • der Phantasie sind hier keine Grenzen gesetzt

Wie kann man sich schützen?

Wie immer gilt, kann man auch nochmal in diesem Blog nachlesen, keine Mails von unbekannten Empfängern mit dubiosen Betreffs öffnen. Allerdings werden auch diese Mails immer besser. Nicht jeden Mist herunterladen.  Keine Links betätigen zur Validierung irgendwelcher Zugriffskonten u.ä.

Kann man sehen, ob der benutzte Rechner bereits Opfer geworden ist?

Es gibt ein sehr gutes Projekt, das Anti-Botnet-Beratungszentrum

Hier kann man Testsoftware und Cleaner herunterladen. Diese werden ständig aktualisiert, es lohnt sich deshalb auch regelmässige Checks am eigenen Rechner durchzuführen.

Vorsorge ist besser als heilen:

  • Rechner aktuell halten (Updates einspielen)
  • Virenscanner aktuell halten
  • Browser Plugins aktuell halten
  • Prüfen, ob man nicht auf Java verzichten kann, Java ist ein beliebter Angriffspunkt, meistens kann man drauf verzichten
  • Windows Firewall aktivieren
  • Routermöglichkeiten nutzen

Freihandelsabkommen TTIP und Datenschutz

Wie ist das geplante Freihandelsabkommen in Bezug auf den Datenschutz zu bewerten? Das ist, denke ich, eine interessante Fragestellung.

(TTIP – „Trans-Atlantic Trade and Investment Partnership“)

Bei Aufnahme der Gespräche wurde von verschiedenen offiziellen Stellen zugesichert, dass die EU in Bezug auf den bereits etablierten Datenschutzstandard keine Rückschritte zulassen wird. Auch Wirtschaftsminister Gabriel hat dies mehrfach auf verschiedene Art und Weise betont.

Wie soll das gehen? „Andere Länder, andere Sitten“! Wie jeder weiß, wird in den USA der Datenschutz für wesentlich weniger wichtig gehalten als bei uns.

In Deutschland hat das Bundesverfassungsgericht bereits 1983 in seinem Volkszählungsurteil den Datenschutz als Grundrecht anerkannt. Bereits damals wurden Rechte und Pflichten etabliert, wie bespielsweise das Zweckbindungsgrundatz und Erforderlichkeitsprinzip, ebenso wie die Verpflichtung auf unabhängige Kontrollen etc. Wir sind da also bereits länger im Thema.

Wenn man unabhängig des TTIP der Berichtserstattung in den Medien folgt, kann man lesen, daß in anderen Ländern ansässige Unternehmen, deren Zweck das Akqirieren und Verbinden von Daten ist, also google, facebook, whatsapp etc. eine grundsätzliche andere Auffassung davon haben, wie Daten verwendet werden können. Bereits hier tun sich breite Schluchten auf.

Im Jahr 2000 wurde versucht mit dem „Safe-Harbor-Beschluss“ der EU Kommission, ein Ausgleich zwischen Datenschutz und freiem Handel zu schaffen. Bis jetzt kann man nicht sagen, dass mit dem „Safe-Harbor-Beschluss“ in den USA eine Sicherstellung oder Angleichung der inzwischen international anerkannten Datenschutzgrundsätze erreicht wurde.

Wenn man weiter bedenkt, daß US Behörden jederzeit Zugriff auf die gespeicherten Daten von US Unternehmen gewährt werden muss, unabhängig davon, in welchem Land die Server stehen, kann man an 2 Fingern abzählen, dass von einer Angleichung oder zumindest Ähnlichkeit der beiden Gesetzgebungen in Bezug auf den Datenschutz keine Rede sein kann. Auch erkennen die USA unser Grundrecht auf den Datenschutz nicht an.

Wir können also alle gespannt sein, wohin das ganze führen wird. Auch interessant die Entwicklungen zu CETA als Testphase für TTIP.

Identitätsübernahme: Was ist das und wie geht das

Unter einer Identitätsübernahme werden kriminelle Handlungen verstanden, bei der der Täter sich virtuell, also im web, als eine andere Person ausgibt. Im Vorfeld werden gezielt Daten ausgespäht, die es widerrum erlauben, an andere Daten zu gelangen.

Beispiel: Sie benutzen als Zugang zu Ihrem ebaykonto die Mailadresse xyz@irgendeinedomain.de, dazu gehört natürlich ein Passwort. Nun möchte der Täter gerne Zugriff auf besagte Emailadresse erhalten, weil er vermutet, daß Sie diese nicht nur für ebay verwenden, sondern noch für andere Zugänge. Identitätsübernahme: Was ist das und wie geht das weiterlesen

IT-Sicherheit: Validierungsmails von Banken eigentlich ein alter Hut, oder?

Sollte eigentlich jedem klar sein, ist es aber nicht, wie ich vor kurzem im Gespräch mit einem Kunden feststellen mußte:

„Sie tätigen doch Zahlungen auch über xyz, die haben jetzt eine Sicherheitslücke bekannt gegeben, man muß unbedingt ein neues Passwort vergeben, das kann man ganz bequem mit einem Link aus einer Email machen….“ IT-Sicherheit: Validierungsmails von Banken eigentlich ein alter Hut, oder? weiterlesen

Cyber Angriff auf französischen Fernsehsender scheucht alle auf

Gestern wurde bekannt, daß ein Cyber Angriff auf einen französischen Fernsehsender verübt wurde.

http://www.nzz.ch/international/europa/is-hackerattacke-gegen-franzoesische-sendergruppe-tv5monde-1.18518613

Nun sind alle empört, auch die deutsche Regierung schließt nicht aus, daß so etwas auch uns treffen könnte.

Ich frage mich nur, ist das eigentlich ein deutsches oder ein menschliches Problem? Dieses Reagieren auf Ereignisse gepaart mit einer hochstilisierten Empörung bei gleichzeitiger Lähmung. Jeder denkt bei jedem wie auch immer gearteten Problem, mir passiert das nicht, in meinem Land kann so etwas nicht passieren…

Cyber Angriff auf französischen Fernsehsender scheucht alle auf weiterlesen