Zum Inhalt springen

Bedrohung

Mausefalle

Mög­li­cher Daten­schutz­ver­stoß bei Nut­zung von VirusTotal

Das BSI warnt aktu­ell vor einem mög­li­chen Daten­schutz­ver­stoß bei Nut­zung von VirusTo­tal. Neben dem Daten­schutz­ri­si­ko sind aber auch ande­re schüt­zens­wer­te Infor­ma­tio­nen der eige­nen Orga­ni­sa­ti­on oder von Exter­nen in Gefahr, Drit­ten gegen­über offen­ge­legt zu werden.

Was ist VirusTotal?

VirusTo­tal ist ein Ser­vice von Goog­le und unter https://​www​.virusto​tal​.com erreich­bar. Über den Dienst kann man bei­spiels­wei­se ver­däch­ti­ge Web­adres­sen (URL) über­prü­fen, bevor man die­se selbst im Brow­ser auf dem eige­nen Sys­tem auf­ruft. Eine Emp­feh­lung, die wir bei­spiels­wei­se im Rah­men unse­rer Schu­lun­gen und Webi­na­re häu­fi­ger aussprechen.

Neben die­sem URL-Check bie­tet VirusTo­tal jedoch auch an, Datei­en zur Online-Über­prü­fung durch eine Viel­zahl bekann­ter Viren­scan­ner hoch­zu­la­den. Und da liegt auch der Hase im Pfef­fer. Neben der Nut­zung direkt im Brow­ser bie­tet VirusTo­tal auch Busi­ness-Ser­vices an, bei denen kein manu­el­ler Upload erfol­gen muss, son­dern die Prü­fung auto­ma­ti­siert im Hin­ter­grund durch­ge­führt wird.

“Die­ser Dienst wird von Pri­vat­per­so­nen und Unter­neh­men oft­mals zur Prü­fung von ver­däch­ti­gen Datei­en genutzt, um auf­grund der Viel­zahl von Anti­vi­ren­pro­gram­men ver­läss­li­che­re Ergeb­nis­se als mit nur einem Scan­ner zu erhal­ten.”, so das Bun­des­amt für Sicher­heit in der Informationstechnik.

Wo ist das Pro­blem bzw. der Daten­schutz­ver­stoß bei Nut­zung von VirusTotal?

Wer­den Datei­en mit per­so­nen­be­zo­ge­nen Daten hoch­ge­la­den bzw. geprüft, liegt für gewöhn­lich eine Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO vor. Die­se muss inkl. der TOM-Prü­fung kor­rekt VOR Nut­zung des Diens­tes gere­gelt und ver­ein­bart sein. Hin­zu kommt, dass lt. BSI Daten­wei­ter­ga­ben an zahl­rei­che AV-/Scan-Anbie­ter auch mit Sitz außer­halb der EU erfol­gen. Vor dem Hin­ter­grund der aktu­el­len Dis­kus­si­on um Dritt­staa­ten­über­mitt­lun­gen nicht ganz unproblematisch.

Und ganz neben­bei: Selbst dann, wenn Datei­en ohne per­so­nen­be­zo­ge­ne Daten hoch­ge­la­den wer­den, besteht ein nicht uner­heb­li­ches Risi­ko. Näm­lich dann, wenn es sich um ver­trau­li­che bzw. schüt­zens­wer­te Infor­ma­tio­nen der Orga­ni­sa­ti­on (oder eines Kun­den /​ Bür­gers /​ Auf­trag­ge­bers) han­delt. Die­se Datei wird mun­ter mit allen ange­schlos­se­nen Anbie­tern geteilt. Will man das für Geschäfts- bzw. Orga­ni­sa­ti­ons­ge­heim­nis­se? Eher nicht.

Was kann helfen?

  1. Mit­ar­bei­ter auf die­ses grund­le­gen­de Sicher­heits­pro­blem bei der Nut­zung des Diens­tes auf­merk­sam machen bzw. dafür aus­rei­chend sen­si­bi­li­sie­ren (Nein, Papier allei­ne reicht nicht!)
  2. Rege­lun­gen tref­fen, ob und wenn ja wel­che Datei­en mög­li­cher­wei­se doch einem Check durch den Ser­vice unter­zo­gen wer­den dür­fen (z.B. bei Ver­trau­lich­keits­sta­tus “Öffent­lich”)
  3. Oder wie das BSI rät, aus­schließ­lich mit Hash-Wer­ten der Datei­en zu arbei­ten (tri­cky, aber machbar)

Wei­te­re Unter­stüt­zung bie­ten die Fra­ge­stel­lun­gen an Sicher­heits­be­auf­trag­te auf Sei­te 3 der Stel­lung­nah­me des BSI zum The­ma, zu fin­den hier.

 

Ach­tung Daten­schutz: BaFin warnt vor gefälsch­ten Zahlungsaufforderungen

Die Bun­des­an­stalt für Finanz­dienst­leis­tungs­auf­sicht, kurz BaFin warnt in einer aktu­el­len Pres­se­mit­tei­lung vor gefälsch­ten Zah­lungs­auf­for­de­run­gen. Der eine oder ande­re Email-Adres­sat mag sich schon ver­wun­dert die Augen gerie­ben haben, ob eines mög­li­chen Geld­se­gens. Es wer­den Rück­zah­lun­gen ange­kün­digt von Inves­ti­tio­nen in nicht-lizen­zier­te Online-Han­dels­platt­for­men. Zuvor müs­se man jedoch selbst erst eine Über­wei­sung täti­gen, um die Rück­zah­lung aus­zu­lö­sen. Als Beleg für die “Echt­heit” des Geld­ver­spre­chens wird ein sog. “Sicher­heits­ver­trag” der BaFin beigefügt.

Die BaFin betont, das sei erwar­tungs­ge­mäß Hum­bug und man sol­le als Emp­fän­ger einer sol­chen Email nicht auf die Masche her­ein­fal­len. Statt­des­sen sol­le man Anzei­ge bei der Poli­zei oder Staats­an­walt­schaft erstat­ten. Ver­brau­chern rät die BaFin, gene­rell äußerst wach­sam zu sein, wenn Drit­te unter dem Namen der BaFin agie­ren, denn sie wen­det sich nicht von sich aus an ein­zel­ne Personen.

Grü­ße von der Nige­ria-Con­nec­tion

BSI spricht War­nung vor Kas­pers­ky aus

BSI: War­nung vor Kas­pers­ky — Kein Ein­satz von Pro­duk­ten aus dem Hau­se Kas­pers­ky mehr

“Das BSI emp­fiehlt, Anwen­dun­gen aus dem Port­fo­lio von Viren­schutz­soft­ware des Unter­neh­mens Kas­pers­ky durch alter­na­ti­ve Pro­duk­te zu erset­zen.” Die­se War­nung vor Kas­pers­ky spricht das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik mit eini­ger Ver­zö­ge­rung und auch erst nach drän­gen­den Nach­fra­gen des Hei­se Ver­lags nun seit eini­gen Tagen offi­zi­ell aus.

War­nung vor Kas­pers­ky berech­tigt oder Panikmache?

Dazu kann man nun ste­hen wie man will. Wie­so erst jetzt? Wie­so nicht schon im Zuge der Anne­xi­on der Krim, als sich die tota­li­tä­ren Risi­ken bereits klar abzeich­ne­ten? Sei es drum. Ein Risi­ko ist nicht gene­rell von der Hand zu wei­sen, von daher ist Vor­beu­gen bes­ser als hin­ter­her schlau­er zu sein.

Das BSI schreibt dazu:

“Viren­schutz­soft­ware hat tief­ge­hen­de Ein­griffs­rech­te in PCs, Smart­pho­nes, Lap­tops und ande­re IT-Infra­struk­tu­ren. Ver­trau­en in die Zuver­läs­sig­keit und den Eigen­schutz des jewei­li­gen Her­stel­lers sowie sei­ner authen­ti­schen Hand­lungs­fä­hig­keit ist daher ent­schei­dend für den siche­ren Ein­satz sol­cher Systeme.”

Schwach­stel­len in der eigent­li­chen Soft­ware kön­nen daher schnell zur Kom­pro­mit­tie­rung ein­zel­ner Gerä­te, aber auch gan­zer Sys­tem­land­schaf­ten füh­ren. Das ist kein gene­rel­les Pro­blem der Kas­pers­ky-Pro­duk­te, son­dern von jeder Soft­ware, die so tief in die Betriebs­sys­te­me ver­zahnt ist. In die­sem kon­kre­ten Fall führt das BSI in sei­ner War­nung vor Kas­pers­ky wei­ter aus:

“Im Kon­text des Krie­ges, den Russ­land gegen die Ukrai­ne führt, könn­te ein rus­si­scher IT-Her­stel­ler selbst offen­si­ve Ope­ra­tio­nen durch­füh­ren, oder gegen sei­nen Wil­len dazu gezwun­gen wer­den, Ziel­sys­te­me anzu­grei­fen, oder als Opfer einer Cyber-Ope­ra­ti­on ohne sei­ne Kennt­nis aus­spio­niert oder als Werk­zeug für Angrif­fe gegen sei­ne eige­nen Kun­den miss­braucht werden.”

Guter Rat ist teuer

Was heißt die­se War­nung vor Kas­pers­ky jetzt kon­kret? Je weni­ger kom­plex die betrof­fe­ne Sys­tem­um­ge­bung ist und gera­de auf einem Ein­zel­ge­rät zuhau­se, des­to leich­ter fällt der Umstieg auf einen ande­ren Anbie­ter. In grö­ße­ren Sys­tem­um­ge­bun­gen wer­den jedoch sel­ten nur Viren­schutz­pro­duk­te, son­dern meist gan­ze Sicher­heits­sui­ten der Anbie­ter genutzt. Damit fal­len dann schnell auch wich­ti­ge Schutz­me­cha­nis­men wie Spam-Fil­te­rung, Schutz der USB-Ports und vie­le mehr weg. Da ist es mit einer ein­fa­chen De-Instal­la­ti­on und Neu-Instal­la­ti­on eines ande­ren Pro­dukts nicht mal eben so getan. Dazu kom­men lau­fen­de Lizenz­ge­büh­ren, die wei­ter­hin bis zum Ende der Ver­trags­lauf­zeit zu leis­ten sind. Son­der­kün­di­gungs­recht? Sieht aktu­ell nicht so aus, aber dar­über sol­len die Juris­ten strei­ten. D.h. durch den Umstieg auf eine ande­re Lösung bzw. einen ande­ren Anbie­ter fal­len zusätz­lich Lizenz­ge­büh­ren an, von der not­wen­di­gen Arbeits­zeit für Pla­nung und Kon­zep­ti­on sowie Roll-Out ganz zu schweigen.

Die jeweils aktua­li­sier­te FAQ des BSI für Unter­neh­men und Pri­vat­an­wen­der ist hier zu fin­den: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Warnungen-nach-Par‑7/FAQ-Kaspersky/faq_node.html

 

Coro­na App — hof­fent­lich sicher zur nächs­ten Pandemie

In unse­rem Bei­trag vom 23.03.2020 zum Ein­satz von mobil­ge­rä­te­ba­sier­ter Gesund­heits­prä­ven­ti­on haben wir berich­tet, dass eine Coro­na App auch hier­zu­lan­de geplant ist, sowie über Aspek­te, die aus Daten­schutz­sicht sorg­fäl­tig zu prü­fen und zu pla­nen sind. 

Mitt­ler­wei­le wur­de kurz vor der geplan­ten Ver­öf­fent­li­chung eine lauf­fä­hi­ge Ver­si­on der Coro­na App von TÜVit geprüft und es gibt Nach­hol­be­darf.  Gegen­über hei​se​.de äußern die Prü­fer u.a. Kri­tik an dem kurz­fris­ti­gen Start­ter­min. Ins­ge­samt habe man laut TÜVit wie­der­holt die (sogar kos­ten­freie) Prü­fung ange­bo­ten und letzt­lich unter Zeit­druck durch­füh­ren müssen. 

Ange­sichts des­sen, dass inzwi­schen eine Locke­rung und Anti-„Maulkorb“-Demo die ande­re jagt und seit mehr als 7 Jah­ren die dro­hen­de SARS-Pan­de­mie und deren Bekämp­fungs­me­tho­dik bekannt ist (Bun­des­tags­druck­sa­che 17/​12051 aus 2012 /​ 2013, Sei­ten 5, 55 ff. ), kann man hier nicht unbe­dingt von einem agi­len Kri­sen­ma­nage­ment sprechen.

Sicher­heitsaspek­te der neu­en Coro­na App 

Die Prü­fung der Coro­na App erfolg­te im Auf­trag des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) in Bezug auf Sicher­heits­maß­ga­ben und Ein­hal­tung der ange­kün­dig­ten Pri­vat­sphä­re­stan­dards wie z.B. der Standortermittlung. 

Eine Schwach­stel­le bestün­de laut TÜVit dar­in, dass Pati­en­ten zwar ver­schlüs­selt abspei­chern kön­nen, posi­tiv auf Coro­na getes­tet wor­den zu sein, um etwai­ge Kon­tak­te mit Infi­zier­ten zu prü­fen, die genutz­te Ver­schlüs­se­lungs­lo­gik jedoch feh­ler­haft ist. So bestehe die Mög­lich­keit, einen Teil der Logik ohne grö­ße­re Schwie­rig­kei­ten aus­zu­le­sen, um belie­big Falsch­mel­dun­gen infi­zier­ter Per­so­nen zu generieren. 

Damit könn­te die gesam­te Daten­hal­tung und somit auch der ange­dach­te Nut­zen der App ad absur­dum geführt wer­den und bewusst pro­vo­zier­te Fehl­alar­me noch grö­ße­re Ver­un­si­che­rung bei den Bür­gern ver­ur­sa­chen. Die­ser Angriffs­punkt ist in Fach­krei­sen seit gerau­mer Zeit bekannt. 

Dass man bei der­lei Umset­zun­gen gegen destruk­tiv moti­vier­te IT-Exper­ti­se nicht hin­rei­chend auf­rüs­tet, son­dern IT-Exper­ten wie etwa Daten­schutz­auf­sichts­be­hör­den als Brem­ser hin­stellt, wenn die­se begrün­de­te Sicher­heits­be­den­ken anmel­den, ist schwer nachvollziehbar. 

Bereits vor der TÜVit Prü­fung wur­de der Quell­code ver­öf­fent­licht. Hier besteht insb. bei einem Mul­ti­mil­lio­nen-Pro­jekt kei­ne Not­wen­dig­keit. Dafür kann sich die Hacker­sze­ne schon ein­mal im Vor­feld ein­le­sen. Ande­rer­seits woll­te man gera­de in Bezug auf die herr­schen­den Daten­schutz­be­den­ken mit größt­mög­li­cher Trans­pa­renz reagieren. 

Daten­schutz und Pri­vat­sphä­re 

In Bezug auf die Pri­vat­sphä­re lässt TÜVit Posi­ti­ves ver­lau­ten. Bei dem geprüf­ten Ent­wick­lungs­stand der Coro­na App sei von Leaks nicht aus­zu­ge­hen und uner­war­te­te Tracking­lo­gik habe man in der Ver­si­on nicht fest­stel­len können.

Die Ent­wick­lung und Sicher­heits­do­ku­men­ta­ti­on der Coro­na App wur­de vom BSI u.a. durch Pene­tra­ti­ons­tests (Pen­tests) und Über­prü­fun­gen von Pro­gramm­code beglei­tet. Dabei konn­ten Schwach­stel­len gesich­tet und sei­tens der Ent­wick­lung beho­ben wer­den. Die Sicher­heits­do­ku­men­ta­ti­on kommt zu dem Schluss, dass die Coro­na App “alle für die­se App zutref­fen­den Anfor­de­run­gen aus der tech­ni­schen Richt­li­nie TR 03161 – Sicher­heits­an­for­de­run­gen an Digi­ta­le Gesund­heits­an­wen­dun­gen” des BSI erfüllt. Und auch zukünf­tig wird die Wei­ter­ent­wick­lung der App vom BSI beglei­tet. Die zuge­hö­ri­ge Pres­se­mit­tei­lung fin­den Sie hier.

Wei­te­re Infor­ma­tio­nen zu Daten­schutz- /​ tech­ni­schen Aspek­ten lie­fert eine Stu­die aus die­ser Woche (09.06.2020) der Unis Darm­stadt, Mar­burg und Würzburg. 

Prüf­auf­trag der Coro­na App war limi­tiert 

Laut TÜVit wur­de der Auf­trag zur Durch­leuch­tung der Ent­wick­lung auf bestimm­te Berei­che begrenzt. Aus­ge­nom­men von der Prü­fung waren Sys­tem­fea­tures von Apple /​ Goog­le und das Backend des eigent­li­chen Daten­ser­vers. Fer­ner sei die Ver­schlüs­se­lungs­lo­gik für die auf dem Mobil­ge­rät gespei­cher­ten Daten nicht Gegen­stand der Prü­fung gewesen. 

Fazit zum aktu­el­len Stand der Coro­na App 

Das Vor­ge­hen bei der Sicher­heit der Coro­na App steht in Wider­spruch zu dem Bestre­ben, Ver­trau­en in die­sen Lösungs­an­satz zu stär­ken. Es stellt sich die Fra­ge, ob nicht die­je­ni­gen, wel­che die Coro­na App ger­ne instal­lie­ren, um sich und Mit­bür­ger zu schüt­zen, ohne­hin mit gesun­dem Men­schen­ver­stand an Prä­ven­ti­ons­maß­nah­men her­an­ge­hen, wäh­rend ande­ren Anwen­dern ein wei­te­rer Schritt in die Unmün­dig­keit vor­ge­legt wird, sich dann ggf. nur noch auf die App zu verlassen. 

Intrans­pa­ren­te tech­ni­sche Umset­zung in Kom­bi­na­ti­on mit dem Aspekt der Frei­wil­lig­keit und mäßi­gem Mar­ke­ting las­sen an einem posi­ti­ven Effekt auf Ver­ant­wor­tungs­ge­fühl und Infek­ti­ons­ra­te nach der­zei­ti­gem Kennt­nis­stand zur Zeit lei­der noch zweifeln. 

Intrans­pa­ren­te tech­ni­sche Umset­zung in Kom­bi­na­ti­on mit dem Aspekt der Frei­wil­lig­keit en Effekt auf Ver­ant­wor­tungs­ge­fühl und Infek­ti­ons­ra­te nach der­zei­ti­gem Kennt­nis­stand zur Zeit lei­der noch zweifeln. 

Dash­cams erlaubt? Im Daten­schutz Check

Wer hat nicht schon ein­mal mit einer sol­chen gelieb­äu­gelt? Der Kom­fort und die Rechts­si­cher­heit der Dash­cams, klei­ne Kame­ras hin­ter der Wind­schutz­schei­be, am Len­ker oder wel­che Vehi­kel auch immer bevor­zugt wer­den, erschei­nen als ein­deu­ti­ges Ver­hält­nis­mä­ßig­keits­kri­te­ri­um. Aller­dings sind sie durch­aus nicht unein­ge­schränkt und in jedem Land erlaubt. Was zu beach­ten ist, erklärt die­ser Beitrag. 

Die Funk­ti­ons­wei­se  

Dash­cams sol­len ins­be­son­de­re das Ver­kehrs­ge­sche­hen und ‑unfäl­le auf­zeich­nen, um tat­sa­chen­wid­ri­gen bzw. par­tei­ischen Aus­sa­gen ent­ge­gen­zu­wir­ken und eine ein­deu­ti­ge Beweis­füh­rung zu ermög­li­chen. Dass die Vide­os jeden Auf­ge­nom­me­nen belas­ten kön­nen — ein­schließ­lich des Dash­cam Besit­zers, muss nicht geson­dert erwähnt wer­den. Ange­schlos­sen an die Bord­elek­tro­nik und /​ oder per Akku sind sie in der Lage, auf Micro SD Kar­ten im Giga­byte Bereich in End­los­schlei­fe auf­zu­zeich­nen. Diver­se Model­le haben auch Bewe­gungs­sen­so­ren und Infrarotsicht. 

Dash­cams in der prak­ti­schen Anwen­dung 

Die Auf­zeich­nung amt­li­cher Kenn­zei­chen und Per­so­nen ist eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Das online Stel­len kennt­li­cher Inhal­te ist selbst­ver­ständ­lich ein­deu­tig ein Ver­stoß gegen die infor­ma­tio­nel­le Selbst­be­stim­mung. Aus behörd­li­cher Daten­schutz­sicht geht der Tenor dahin, dass der Betrieb von Dash­cams auch dann als unzu­läs­sig zu betrach­ten ist, wenn kurz und anlass­be­zo­gen auf­ge­zeich­net wird, da natur­ge­mäß kei­ne Infor­ma­ti­ons­pflich­ten über Zweck etc. mit­ge­teilt wer­den kön­nen. Nicht umsonst ach­tet man bei Video­über­wa­chung in Fir­men und ande­ren Ein­rich­tun­gen auf Beschil­de­rung außer­halb des Erfas­sungs­be­reichs u.a. mit den Zwe­cken und den Daten des Aufzeichnenden. 

Die Kri­te­ri­en einer daten­schutz­kon­for­men Video­auf­zeich­nung sind nicht in Stein gemei­ßelt, aber klar defi­nier­bar. Gene­rell geht es um die Kennt­nis der kon­kre­ten Umstän­de und einer sach­ge­rech­ten Abwä­gung der Rechtsgüter. 

Auch Gene­rell Iin Fra­gen der rich­ti­gen Beur­tei­lung und der rechts­si­che­ren daten­schutz­kon­for­men Pro­zess­ge­stal­tung steht Ihnen unser Team als exter­ne Daten­schutz­be­auf­trag­te und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te zur Sei­te

Die Fra­ge zur Zuläs­sig­keit von Dash­cams vor dem BGH 

In sei­ner Ent­schei­dung VI ZR 233/​17 vom 15.05.2018 ent­schied der Bun­des­ge­richts­hof, dass Dash­cam-Auf­zeich­nun­gen im Unfall­haft­pflicht­pro­zess aus zivil­recht­li­cher Sicht ver­wert­bar sein kön­nen. Im Ein­zel­fall sei jeden­falls eine Inter­es­sen- und Güter­ab­wä­gung vorzunehmen. 

Über­wie­gen­de Inter­es­sen beim Ein­satz von Dash­cams 

Grund­sätz­lich wird man wohl das Inter­es­se des Dash­cam Betrei­bers den schutz­wür­di­gen Inter­es­sen ande­rer Ver­kehrs­teil­neh­mer unter­ord­nen müs­sen, ins­be­son­de­re dann, wenn per­ma­nen­te und nicht anlass­be­zo­ge­ne Auf­zeich­nun­gen vor­ge­nom­men wer­den. Ande­ren­falls wäre das Rechts­gut der infor­mel­len Selbst­be­stim­mung gefähr­det. Aller­dings ist die Anwen­dung von Dash­cams auch hin­sicht­lich der Ver­wer­tungs­fra­ge wei­ter­hin umstritten. 

Das BayL­DA kün­dig­te an, dass Über­mitt­lun­gen von Dash­cam-Auf­zeich­nun­gen an Poli­zei und Ver­si­che­run­gen als Ver­stoß gewer­tet und mit einem Buß­geld geahn­det wer­den könnten. 

Die mobile Version verlassen