Warnung

Soziale Netzwerke: Gefahren, Schwachstellen, Datenschutz, Tipps zur Abwehr

von Sascha Kuhrau
30. Dezember 2010

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem aktuellen Brennpunkt vor den Gefahren sozialer Netzwerke. Gleichzeitig gibt es 10 Tipps, um sich und seine persönlichen Daten besser zu schützen.

Dem BSI geht es hierbei nicht nur um den im Netz bereits hitzig diskutierten Datenschutz in sozialen Netzwerken, sondern ebenfalls um die Möglichkeiten seitens (IT-) Krimineller, die Gutgläubigkeit vieler Anwender auszunutzen. Soziale Netze geben fälschlicherweise ein Gefühl der Sicherheit und verleiten schnell zu Angaben, die besser nicht veröffentlicht sein sollten.

Tatbestand: Offenlegung zahlreicher privater Angaben
Risiken: Firmen nutzen Adressdaten für unerwünschte Werbung; aufgrund schwacher Voreinstellungen sind Ihre Daten weltweit sichtbar; (potentielle) Arbeitgeber können auf Einträge und Fotos stoßen, die wirklich besser privat geblieben wären; Missbrauch der Angaben durch Dritte

Tatbestand: Mobbing
Risiken: Ausschluss aus Gruppen, beleidigende oder verletzende Beitragsbomdardements auf der Pinwand führen gerade bei Jugendlichen zu Belastungen; unechte Freunde, “böser Onkel”; Informationen werden genutzt, um andere bloßzustellen; Cyber-Stalking

Tatbestand: Phishing / Identitätsdiebstahl
Risiken: durch Phishing gelangen Dritte an Ihre Zugangsdaten und geben sich zukünftig als Sie aus z.B. um finanzielle Unterstützung von Ihren Freunden zu erbitten; Ausspionieren Ihrer Urlaubszeiten, um in aller Ruhe Ihr trautes Heim leerräumen zu können

Tatbestand: Verbreitung von Schadsoftware
Risiken: Freunden vertraut man, ebenfalls deren Links und Empfehlungen. Schnell ist man verleitet, dem Link zu folgen und startet über eine Systemschwachstelle einen Wurm, einen Trojaner oder andere Schadsoftware; zusätzlich besteht das Risiko, diese weiter zu verbreiten

Das BSI appelliert an den gesunden Menschenverstand und will mit seinem aktuellen “Brennpunkt” sensibilisieren.

BSI: Brennpunkt
BSI: 10 Tipps für den Umgang mit sozialen Netzwerken
Das Internet vergisst nichts!
Social Media Leitfaden für Unternehmen

Weitere hilfreiche Links

Back to the roots — wieso eine herkömmliche Weihnachtskarte Ihre Daten schützt

von Sascha Kuhrau
3. Dezember 2010
1 Kommentar

Gerade zur Weihnachtszeit sehr beliebt – ecards oder auch elektronische Postkarten genannt. Schnell (und mit dem Lockmittel ‘kostenfrei’) im Internet erstellt und per Mausklick an den gewünschten Empfänger versandt. Dieser öffnet den Link in der Email im Vertrauen auf den ihm bekannten Absender. Wie groß ist die Freude des Betrachters über diese nette Geste.

Im Hintergrund schrillen im günstigsten Fall in der IT-Abteilung die Alarmglocken. Denn mittlerweile bedienen sich sogar kriminelle Elemente dieser profanen Möglichkeit, in Firmennetzwerke einzudringen. Oftmals – und vom Anwender vollkommen unbemerkt – aktiviert diese ecard so ganz nebenbei verschiedene Einfallmöglichkeiten über bekannte, aber noch nicht gestopfte Sicherheitslöcher in verschiedenen Anwendungen wie Flash, ActiveX, Java, Javascript oder direkt im Browserprogramm.

Zusätzlich haben Sie sowohl Ihren eigenen Namen samt Email-Adresse als auch die des „Beglückten“ preisgegeben. Wer garantiert Ihnen trotz der allerschönsten und ansprechendsten Aufmachung, dass die eingegebenen Daten nicht zu Werbesendungen per Email der dubiosesten Art genutzt werden?

Viele Unternehmen sind mittlerweile dazu übergegangen, sowohl die Anbieterseiten solcher ecards zu sperren oder zumindest den Aufruf der Email-Links zu blockieren. Doch der Schutz sollte auch in Ihren Privatbereich vordringen. Daher der nun häufiger zu lesende und gutgemeinte Rat von Datenschützern und IT-Sicherheitsspezialisten im Web: Lieber Finger weg von ecards. Im Zweifel nur auf bekannte und jahrelang bewährte Anbieter zurückgreifen.

Besser: Eine reale Postkarte oder ein handgeschriebener Brief vermitteln viel mehr Wertschätzung und Interesse an Ihrem Gegenüber als eine ecard. Nehmen Sie sich die Zeit – die Freude beim Empfänger wird deutlich größer sein. Und Ihr EDV-System um einiges sicherer.

Schöne Vorweihnachtszeit
Sascha Kuhrau

PS: nicht alle Anbieter von ecards werden die og. Vorgehensweise praktizieren. Dennoch ist Vorsicht geboten.

Das Internet vergisst nichts! — Schutz von Kindern und Jugendlichen im Netz

von Sascha Kuhrau
3. Dezember 2010

So lautet die Überschrift eines Kapitels der PDF — Online — Broschüre “ICH SUCHE DICH! Wer bist Du?”, herausgegeben von jugendnetz-berlin.de und dem Berliner Beauftragte für Datenschutz und Informationsfreiheit.

“Hast du auch ein Profil in einem sozialen Netzwerk, wie schülerVZ, studiVZ, Facebook oder wer-kennt-wen? Was erfährt man über dich? Welche Informationen gibst du preis?”, so lauten die einleitenden Fragen.

Anhand eines Fragenkatalogs werden Jugendliche an das Thema herangeführt und sensibilisiert, bei aller Internet-Euphorie den Schutz der eigenen Privatsphäre nicht zu vergessen. Denn das Internet vergisst nicht nur nichts, es ist nun mal auch ein öffentliches Medium. Schnell sind Informationen für alle zugänglich, deren Streuung man so gar nicht bedacht hat. Praktische Tipps runden die Broschüre als empfehlenswerte Informations- und Aufklärungsquelle — nicht nur — für Jugendliche ab.

Immer im Hinterkopf sollte man dieses Zitat behalten, wenn man hier und heute Bilder, Kommentare oder weitere Angaben im Internet kommuniziert: “Das Internetarchiv (www.archive.org) hat sich vorgenommen, das gesamte Internet zu archivieren. Von jeder erfassten Webseite sind auf einem Zeitstrahl auch frühere Versionen vorhanden, also vielleicht auch persönliche Daten zu lesen, die eigentlich längst gelöscht sein sollten.”

Direkter Download der Broschüre
jugendnetz-berlin.de
Der Berliner Beauftragte für Datenschutz und Informationsfreiheit
Gut gemachtes Video zu den Einstellungen zum Datenschutz und der Privatsphäre bei Facebook

Update vom 20.09.2010:

In einem aktuellen Beitrag greift Guido Strunck in seinem Blog zu IT-Sicherheit dieses Thema auf und warnt vor der Langlebigkeit von Daten und Informationen im Internet

Das Arschgeweih im Internet – von der Langlebigkeit der Daten in sozialen Netzwerken

Update vom 03.12.2010:

ULD untersagt Datenübermittlung an Hausarztverband

von Sascha Kuhrau
16. September 2010

Mit Verfügung vom 26.07.2010 untersagt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) dem Hausärzteverband Schleswig-Holstein e. V. (HÄV SH) unter Androhung eines Zwangsgeldes in Höhe von 30.000 Euro, gemäß dem zwischen der AOK Schleswig-Holstein, dem HÄV SH und Dienstleistern abgeschlossenen Vertrag von eingeschriebenen Hausärzten stammende Patientendaten weiterzugeben oder diese selbst zu nutzen. Die sofortige Vollziehung dieser Verfügung wurde angeordnet. Der Hausarztvertrag zwischen AOK und HÄV SH war durch einen Schlichterspruch zustande gekommen.

Nach Auffassung des ULD verfügen die Hausärzte wegen des zwischen der AOK Schleswig-Holstein, dem Hausärtzteverband und Dienstleistern abgeschlossenen Vertrages über keine ausreichende Möglichkeit der Kontrolle über die Weitergabe von Patientendaten durch ihr Praxissystem. Damit fehle es auch an den gesetzlichen Voraussetzungen einer Auftragsdatenverarbeitung. Die Ärzte könnten die Kontrolle über ihre Patientendaten als Auftraggeber nicht mehr wahrnehmen.

In der Verfügung heisst es: “An dem Rahmenvertrag, der das Verhältnis zwischen dem HÄV SH, Dienstleistern und den einzelnen Ärztinnen und Ärzten festlegt, sind Letztere überhaupt nicht beteiligt. Darin werden diese gezwungen, auf ihren Praxissystemen Software gemäß den Vorgaben des Hausärzteverbandes zu installieren, womit das Auftragsverhältnis geradezu auf den Kopf gestellt wird. Ihnen wird sogar vertraglich verboten, Kenntnis von wesentlichen Elementen der Software zu nehmen, so dass sie faktisch keine vollständige Kontrolle mehr über die Daten auf ihrem System hätten. Damit würden sie nicht nur ihre Datenschutzpflichten verletzen, sondern auch ihre ärztliche Schweigepflicht. Ein Auftragsverhältnis ist rechtlich zudem dadurch ausgeschlossen, dass der Hausärzteverband, der ausschließlich im Interesse und nach Weisung der einzelnen Ärzte die Daten verarbeiten sollte, ein eigenes Interesse an diesen Daten hat.”

Auslöser dieser Vorgehensweise des ULD ist die im September 2009 in Kraft getretene Novelle des Bundesdatenschutzgesetz (BDSG), § 11 Auftragsdatenverarbeitung. Diese fordert, dass der Auftraggeber Herr über die Daten bleiben muss. Der Auftragnehmer (das datenverarbeitende Unternehmen) darf lediglich ausführendes und weisungsabhängiges Organ sein.

Während das ULD bemängelt, daß nicht frühzeitig auf entsprechende Einwände seitens der Datenschutzbehörde eingegangen wurde (11.02.2010 Stellungnahme des ULD zu “Hausarztzentrierte Versorgung und Datenschutz”), kritisiert aerztezeitung.de online“Fraglich ist auch, warum das ULD und ihr Chef Thilo Weichert sich gerade jetzt melden. Schließlich gab es die Diskussion um den Datenschutz bei den HzV-Verträgen längst.” aerzteblatt.de hofft derweil auf eine bundesweit einheitliche Lösung.

Auch über Fachkreise hinaus zieht das Thema Kreise. So berichtet die Computer-Fachzeitschrift c’t in Ihrem Newsticker über den Vorfall.

Aus rechtlicher Sicht ist die Entscheidung des ULG nachvollziehbar und ganz im Sinne des BDSG. Ausnahmen für den medizinischen Bereich sind nicht vorgesehen. Ob dies jedoch in dieser Form praktikabel ist, steht auf einem anderen Blatt. Bleiben also nur zwei Möglichkeiten, wie auch “Das Datenschutz-Blog” anführt. Entweder stimmen Patienten in diese Abrechnungsverfahrenweise zuvor widerruflich schriftlich ein (wenig praktikabel, wenn es zu einem Widerruf kommt) oder der Gesetzgeber macht sich an die Erarbeitung eines Patientendatenschutzgesetzes und trägt der Problematik darin Rechnung.

Zur Verfügung des ULD
Zum Blogbeitrag von Internet-Law

Update vom 16.09.2010:

Die Fronten verhärten sich. In einer aktuellen Pressemitteilung läßt das ULD verlautbaren:

“Das Vorgehen der HÄVG zwingt nun das ULD dazu, analog zum AOK-Vertrag hinsichtlich der HzV-Verträge mit den anderen Krankenkassen Anordnungen vorzubereiten, um die unzulässige Abrechnung über den HÄV SH und die HÄVG und die dazu vorgesehene Installation der von den Ärzten nicht kontrollierbaren Software auf deren Rechnern wirksam zu unterbinden. Dies verursacht große Kosten und Arbeit für viele Juristen, ohne eine Klärung zu bringen. Diese Klärung kann nur durch das derzeit schon laufende Gerichtsverfahren herbeigeführt werden. Das Vorgehen der HÄVG zeugt von mangelndem Respekt vor dem verwaltungsgerichtlichen Musterverfahren.”

Lesen Sie hier die komplette Pressemeldung.

Datenschutz als kontinuierlichen Prozess verstehen, nicht als Zustand

von Sascha Kuhrau
2. September 2010

Stefan Ziegler, Autor des “eine-minute”-Blogs bringt es auf den Punkt. Datenschutz ist kein einmaliger Zustand, sondern ein fortlaufender Prozeß der Anpassung und Optimierung.

Aussagen wie “Datenschutz haben wir in unserem Unternehmen bereits durchgeführt” zeigen deutlich, daß das Thema Datenschutz im Unternehmen und in den Köpfen der Verantwortlichen und Mitarbeitern noch nicht angekommen sei. Als Beispiel aus der Praxis führt er einen nicht allzu seltenen Umstand an: “Komme ich als Kunde in das Büro des Dienstleisters und liegen dann noch Unterlagen und interne Informationen anderer Kunden offen herum, dann scheint es mit dem Datenschutz hier nicht allzu weit her zu sein.”

Zum kurzen, aber lesenswerten Blogbeitrag

Die Minute ist rum, Zeit zu handeln — sprechen Sie mich an.

Im Internet ist nichts “umsonst” — seien Sie umsichtig bei der Preisgabe Ihrer persönlichen Daten

von Sascha Kuhrau
31. August 2010
1 Kommentar

Die letzten Tage führte ich einige, inhaltlich sehr ähnliche Gespräche, sowohl im beruflichen als auch im privaten Umfeld. Gemeinsam hatten diese stets Aussagen wie die folgenden zu Angeboten im Internet:

Die Anmeldung zu diesem Dienst kostet nichts (u.a. Facebook, Google Services etc.)
Die Software konnte ich kostenlos nach einer Registrierung herunterladen
Nachdem ich einige Zusatzangaben gemacht habe, bekam ich noch ein paar extra Prämienpunkte

Allen dahinter stehenden Angeboten ist eins gemeinsam. Mit den “kostenlosen” Angeboten werden Nutzer angelockt und verleitet, so viele persönlichen Daten wie möglich preiszugeben. Mit entsprechend geschickter Ausgestaltung der Angebote und allgemeinen Geschäftsbedingungen sind diese personenbezogenen Daten für das hinter dem Angebot stehenden Unternehmen bares Geld wert. Sei es für zielgruppengerechte Werbung anhand von Merkmalen wie Geschlecht, Alter, Hobbies oder sogar für die Überlassung der Daten an Dritte. Ein weites Feld, diese personenbezogenen Daten — die oftmals für kleine oder veraltete Gimmicks (z.B. alte Softwareversionen) preisgegeben wurden — zu Geld zu machen.

Mit dem Datenschutz und den Datenschutzgesetzen ist es hier nicht getan. Jeder ist eigenverantwortlich aufgefordert, sich vor der Nutzung solcher Dienste und Services Gedanken zu machen, welche Informationen er von sich preiszugeben bereit ist, um die angebotene Leistung zu erhalten. Es kann nichts schaden, sich zuvor im Web über den jeweiligen Anbieter und seinen Umgang mit personenbezogenen Daten zu informieren — die Webforen sind voll mit Beiträgen zu diesen Themen.

Ein sehr plastischer und ausführlicher Beitrag zu diesem Thema erschien bei der PC Welt online - hier gelangen Sie direkt zum Artikel “So plündern Unternehmen Ihre Privatspähre”.

Update 31.08.2010:

Lesenswert zum Thema und auch der aktuellen Diskussion ist ebenfalls der Beitrag im Blog von Pascal90. Er schreibt unter anderem “Viel mehr müssen alle Bürgerinnen und Bürger in Deutschland lernen, wie man seine Privatsphäre schützen kann […]”

PIWIK — die unbedenklichere Alternative zu Google Analytics

von Sascha Kuhrau
22. Juli 2010
5 Kommentare

Google Analytics steht trotz einiger Bemühungen (IP-Anonymisierung, Script-Blocker etc.) nach wir vor in der Kritik der Datenschützer. Zur Zeit liegt auch noch keine Stellungnahme der Aufsichtsbehörden vor, ob die bisher geltende Sicht über die Unzulässigkeit des Einsatzes von Analytics deswegen geändert wird. Bei der ganzen Diskussion und Aufregung wird übersehen, dass es kostenfreie und unbedenkliche Alternativen gibt — in Form von PIWIK.

PIWIK wird serverseitig installiert und nutzt zur Datenspeicherung die webservereigene SQL-Datenbank. Die IP-Adressen der Besucher werden selbstverständlich anonymisiert, diese Einstellung ist bereits nach der Installation automatisch aktiviert. Eine Weitergabe der Daten an Externe erfolgt explizit nicht.

Die Installation erfolgt mittels eines Setup-Assistenten. Am Ende der Setup-Routine wird ein Code-Schnipsel erzeugt, der in die Webseite eingebunden werden muss. Ist dies erledigt, erhält man zukünftig über das sog. Backend von PIWIK auf dem eigenen Webserver aussagekräftige Auswertungen über die Leistungsfähigkeit des Webauftritts. In einem frei konfigurierbaren “Dashboard” (siehe Screenshot weiter oben) kann sich jeder Webseitenbetreiber seine gewünschten Auswertungsmodule zusammenstellen oder über die weiterführenden Menüs in die Tiefe der Webseitenanalyse einsteigen.

PIWIK verfügt über eine deutsche Menüoberfläche und wird kontinuierlich weiterentwickelt. In Verbindung mit einer gut formulierten Datenschutzerklärung ist PIWIK eine gute Alternative, um ohne das datenschutzrechtlich bedenkliche Google Analytics das Besucherverhalten eines Webauftritts zu “tracken”.

Update vom 09.04.2011:

Mittlerweile hat das ULD (Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein) einen Leitfaden veröffentlicht, wie nach Einschätzung der Behörde das Webtracking-Tool PIWIK datenschutzkonform (inkl. Widerrufsmöglichkeit) umgesetzt werden kann. Mehr lesen Sie im neuen Blog-Beitrag “ULD gibt Hinweise und Empfehlungen zum Einsatz des Webanalyse-Tools PIWIK”.

Als erstes Ergebnis können Sie bei jedem Besuch dieses Blogs und dessen Unterseiten frei wählen, ob Ihr Besuch und Besucherverhalten durch das eingesetzte Webanalyse-Tool bei a.s.k. aufgezeichnet werden darf oder nicht. Ein Klick genügt und Sie bleiben nicht nur anonym (die Anonymisierung wird generell vorgenommen), sondern geben auch sonst keine weiteren Informationen über Ihren Besuch preis. Ein Blick in die orangefarbene Spalte neben diesem Beitrag lohnt sich — siehe Grafik.

Auf PIWK umsteigen ist datenschutzkonform, problemlos möglich und kostengünstig

Wollen Sie umsteigen? Sprechen Sie mich an. Ich übernehme sowohl das vollständige Entfernen von Google Analytics aus Ihrem Webauftritt als auch die Installation und Konfiguration von PIWIK auf Ihrem Webserver — Datenschutzerklärung inklusive!

Zur Webseite von PIWIK
Nachbesserungen seitens Google an Analytics
Piwik als Alternative zu Google Analytics

Sommerhitze — Stresstest für Ihre Hardware und die Datensicherheit

von Sascha Kuhrau
29. Juni 2010

Der Sommer ist da und mit ihm die warmen Temperaturen. Des einen Freud’, des anderen Leid. Ihre Computerhardware, egal ob Desktop PC, Note- und Netbook oder Server freut sich weniger über Sonne und Sonnenschein. Überhitzung im Geräteinneren kann zum plötzlichen Hitzetod von Netzteil, Festplatte und Co führen. Je nach Art und Hersteller von Hardware sind bereits Raumtemperaturen ab 40 Grad Celsius eine Gefahr. Die Folge: Abstürze, Defekte und Dateninkonsistenz bis hin zum totalen Datenverlust. Kosten verursachen dann die Hardwareneubeschaffung, der Einbau und die Datenwiederherstellung — wenn diese überhaupt noch möglich ist.

Sie müssen Ihrer Hardware jedoch im Sommer nicht gleich hitzefrei geben. Einige Tipps erleichtern jedoch den Betrieb bei den höheren Temperaturen und minimieren das Ausfallrisiko:

Stand-PCs immer so platzieren, das diese möglichst frei stehen und der Netzteil-Lüfter ausreichend Platz nach hinten hat, die warme Luft wegzublasen
Hardware nie direkter Sonnenbestrahlung aussetzen — auch nicht Notebooks im Außeneinsatz, stets ein schattiges Plätzchen zum Arbeiten suchen
Note- und Netbooks führen relativ viel Wärme über den Gehäuseboden ab. Stellen Sie diese daher nicht auf Kissen oder Polster. Dadurch staut sich die Wärme ins Gerät zurück.
Lassen Sie keine Hardware im Auto liegen. Selbst im Kofferraum übersteigen die Temperaturen bei indirekter Sonneneinstrahlung schnell die zulässigen Höchsttemperaturen.
Serverräume sollten von vornherein über ausreichende Kühlung mittels Klimageräten oder Anlagen verfügen. Ist dies nicht der Fall, so ist jetzt der beste Zeitpunkt, schnell für ausreichende Kühlung zu sorgen.
Steht Ihr System unter Dauerlast, dann gönnen Sie ihm eine gelegentliche Pause. Schließen Sie nicht benötigte Anwendungen und reduzieren somit die Systemlast sowie den Energieverbrauch.

Ich wünsche allen Lesern weiterhin schöne Sommertage und eine nicht überhitzende Hardware.

Kostenloser Online Passwort Check

von Sascha Kuhrau
29. Juni 2010
1 Kommentar

Der Datenschutzbeauftragte des Schweizer Kantons Zürich bietet einen kostenfreien Online Check für die Stärke eines gewählten Passworts. Die Eingabe erfolgt über eine verschlüsselte https — Verbindung, eine farbliche Markierung in Grün oder Rot zeigt die Tauglichkeit des gewählten Passworts an.

Es ist ratsam, kein aktives Passwort für die Überprüfung zu wählen, sondern auf ein in der Struktur und Zusammensetzung ähnliches Passwort auszuweichen.

Zum Passwort Online Check

Abofallen im Internet — Schutz und Abwehr

von Sascha Kuhrau
23. Juni 2010

Mit einem unbedachten Klick werden Webnutzer schnell Opfer einer Abzocke per Abofalle. Ist es dazu erst mal gekommen und die Rechnung ins Haus geflattert, ist dies noch lange kein Grund, klein beizugeben und den Zahlungsaufforderungen der Betrüger nachzukommen.

Rat und Unterstützung bietet die Verbraucherzentrale Hamburg mit einer regelmäßig aktualisierten Übersicht bekannter Abofallen im Web. Ergänzt werden diese durch Hinweise auf die Betreiber sowie kooperierenden Inkasso- und Anwaltbüros. Hinweise zu aktuellen Verfahren gegen die Betreiber oder auch z.B. gesperrte Bankkonten runden die Informationen ab.

Zahlreiche Fragen und Antworten zur Rechtslage und der richtigen Verhaltensweise in einem solchen Fall runden das Angebot der Verbraucherzentrale ab. Eine telefonische Rechtsberatung wird zusätzlich angeboten.

“Abofallen im Internet” — Verbraucherzentrale Hamburg

« Zurück
1
…
4
5
6
7
8
Weiter »