Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

November 04 2011

2500 Patientendaten von psychisch Schwerkranken im Netz

Als potentialer und theoretischer Worst-Case für Datenlecks werden immer Patientendaten, vor allem von psychisch Schwerkranken, in die Diskussion geworfen. Das mit der Theorie können wir vergessen, weil in Schleswig-Holstein rund 2500 Patientendaten von psychisch Schwerkranken anscheinend monatelang im Netz herunterladbar waren. Der Fehler lag bei einem IT-Diensleister.

Das Beispiel kann man wunderbar für Werbemaßnahmen verwenden, um zukünftig mehr sensible Patientendaten in Cloud-Infrastrukturen zu packen. Was kann dabei denn schon passieren?

May 11 2011

Facebook-Lücke gab Nutzerprofile frei

Heute ist ein weiterer guter Tag, um als Facebook-Nutzer mal darüber nachzudeneken, ob man nicht mal das eigene Passwort ändern könnte. Das sollte man natürlich regelmäßig tun, aber aus Gewohnheit machen das wahrscheinlich nur wenige. Spiegel-Online berichtet über eine Datenlücke bei Facebook, worüber Werbekunden seit 2007 auf Profile von Facebook-Nutzern zugreifen konnten und anscheinend sogar (theoretisch) in der Lage waren, Chats mitzulesen. Unklar ist hingegen, ob jemand diese Lücke aufgefallen ist (Die wohl ausnahmsweise mal kein Feature war):

Der Grund für die ungewollte Offenheit: Versehentlich wurden den Werbetreibenden sogenannte access tokens der Anwender übertragen. Dabei handelt es sich quasi um Ersatzschlüssel für den Vollzugriff auf Profildaten der Facebook-Anwender, erklären die Symantec-Experten. Bis April hätten schätzungsweise 100.000 Facebook-Apps durch diesen Fehler Zugang zu solchen access tokens gehabt. Täglich würden rund 20 Millionen Facebook-Apps installiert. Da der Fehler zudem sei der Einführung von Facebook-Apps im Jahr 2007 besteht, ist der potentielle Schaden gewaltig – zumindest theoretisch. Die Symantec-Sicherheitsexperten Nishant Doshi und Candid Wueest bezweifeln allerdings dass überhaupt ein Schaden entstanden ist. Ihr Argument: “Glücklicherweise haben die Drittanbieter ihre Möglichkeit, auf diese Informationen zuzugreifen, wahrscheinlich gar nicht erkannt”.

flattr this!

May 03 2011

Sony und Co: Verstöße gegen Datensicherheit und Datenschutz müssen weh tun!

Wir haben mal als “Digitale Gesellschaft” einen kurzen Forderungskatalog zu den aktuellen Datenlecks von Sony & Co aufgestellt, was aus Nutzersicht getan werden muss, um Datenschutz und Datensicherheit zu verbessern: Sony und Co: Verstöße gegen Datensicherheit und Datenschutz müssen weh tun!

Verstöße gegen Datenschutz und Datensicherheit sind nach wie vor billiger, als sich anständig um diese Themen zu kümmern. Das kann und darf nicht sein. In unserer Gesellschaft von Morgen sind Daten zu wichtig, um Datenlecks wie kleine Schönheitsfehler zu behandeln.

Die Dimension der Probleme, die wir mit fortschreitender Digitalisierung aller Lebensbereiche nun erreichen, die ist neu. Politik und Wirtschaft sind gute Antworten auf diese drängenden Probleme bislang schuldig geblieben. Das wundert nicht: für Politik ist das unbequem, Teile der Wirtschaft würden gerne weiterschludern können.

Wer dabei verliert, sind die Nutzer und auch jene Firmen, die ihre Rolle ernst nehmen und in Datenschutz und Datensicherheit investieren. Das kann nicht sein, das muss sich ändern. Dass Datensicherheit im engeren Sinne (Absicherung von Systemen etc.) Betreiberpflicht ist, steht außer Frage. Aber wie kann man die Betreiber dazu bringen, mehr für die Sicherheit ihrer Systeme zu tun?

Vier Forderungen, die perspektivisch vielleicht etwas mehr Datensicherheit bringen könnten:

1. Beweisumkehr bei Datenschutz-GAU:

Wenn Unternehmen ihren Datensicherheitspflichten nicht nachgekommen sind, muss eine Beweisumkehr stattfinden: da es für den Einzelnen kaum möglich ist, nachzuweisen, dass Betrugsfälle beispielsweise mit gestohlenen Kreditkartendaten aus dem Pool der betroffenen Firma stammen, müssen bei solchen Fällen die Unternehmen nachweisen, dass dies nicht der Fall ist.

Wir fordern:

  • Umkehrung der Beweislast: Wer ein Datenleck verursacht, muss beweisen, dass es nicht sein Leck war das zu Missbrauch geführt hat. (Risikoverschiebung)
  • Es kann nicht sein, dass die Nutzer das Risiko für die Datenschutzschlampereien großer Firmen tragen.

2. Sammelklagen für Verbraucher und Verbraucherverbände ermöglichen:

Seit Jahren wird insbesondere auf EU-Ebene diskutiert, ob man Sammelklagen ermöglichen soll. Insbesondere für den Datenschutz wäre dies ein klarer Gewinn: die Beschwer des Einzelnen ist gefühlt oft gering und die Klagehürden sind für den Einzelnen hoch.

Um dennoch eine angemessene Rechtsdurchsetzung zu ermöglichen, ist das Instrument der Sammelklage (“Collective Redress” im EU-Englisch) das Mittel der Wahl.

Beispiel: Wenn 77 Millionen Betroffene sich zusammenschließen, muss Sony mit empfindlichen Kosten rechnen und es lohnt sich mehr, in die Sicherheit der Daten zu investieren statt die Nutzerinnen und Nutzer entschädigen zu müssen.

Wir fordern:

  • Sammelklagemöglichkeit führt zu besserer Datensicherheit
  • Unterlassungsklagegesetz §2 muss Datenschutzgesetze als Verbraucherschutznormen enthalten (tut es bislang nicht)

3. Datendiebstahlsanzeige verschärfen

Auf EU-Ebene ist die Data Breach Notification, die Anzeige eines Datendiebstahls, noch in der Diskussion, in Deutschland ist sie seit der letzten Novelle im Bundesdatenschutzgesetz vorgesehen – aber wie?! Wenn eine Vielzahl Fälle betroffen ist, können Firmen derzeit an Stelle einer individuellen Benachrichtigung über zwei halbseitige Anzeigen in bundesweit erscheinenden Tageszeitungen ihrer Pflicht im Sinne des Gesetzes nachkommen.
Das ist keine Transparenz sondern eine versteckte Zeitungssubvention.

Wir fordern:

  • individuelle Benachrichtigungspflicht bei Verlust personenbezogener Daten
  • Benachrichtigung der Öffentlichkeit durch Anzeige beim Bundesbeauftragten für Datenschutz, der diese gesammelt veröffentlicht (Öffentliches Datensicherheitssünderregister)

4. Datenbenachrichtigung einführen (“Kleiner Datenbrief”)

Unternehmen, die personenbezogene Daten halten, sollen über ihre Datenbestände in abstrahierter Form (Datenkategorien) jährlich auf dem üblichen Kommunikationsweg (E-Mail, Fax, Post) informieren, solange der Kunde dem nicht widersprochen hat. Außerdem müssen sie über datenschutz- und datensicherheitsrelevante Vorkommnisse benachrichtigen.

[Datenbenachrichtigung] XYZ GmbH
“Wir halten über Sie derzeit Daten folgender Kategorien: Name, Anschrift, Telefon/fax, E-Mail, Bestellhistorie, Zahlungsdaten. Sie haben uns erlaubt, ihre Daten unseren direkt verbundenen Partnerunternehmen zur Verfügung zu stellen. Wir haben für das vergangene Jahr keinerlei Datensicherheits- und Datenschutzvorkommnisse registriert.”

Der Kunde muss darauf hingewiesen werden, dass er ein
a) Recht auf umfassende Auskunft über die ihn betreffenden Daten
b) Recht auf Korrektur
b) Recht zur Sperrung/Löschung dieser Daten
hat.

Anhand dieses Überblicks kann der Kunde selbst entscheiden, ob ihn dies stört bzw. weitergehend interessiert.

flattr this!

April 28 2011

UNESCO stellte Bewerbungsunterlagen ins Netz

Beim politischen Ziel als UN-Organisation, den Zugang zu Wissen zu verbessern, ist die UNESCO etwas übers Ziel hinaus geschossen. Seit Jahren stehen wohl hunderttausende Bewerbungsunterlagen im Netz herum, wenn man sich im Bewerbungs-System auf der UNESCO-Webseite registriert hatte. Spiegel-Online berichtet über das Datenleck: Unesco entblößt Hunderttausende Bewerber im Web.

Die Datensätze enthalten neben Handynummern, Anschriften, E-Mail-Adressen und Namen auch genaue Auskünfte zu bisherigen Arbeitgebern, zum Bildungsweg, zu Sprachkenntnissen, zum Teil auch Namen und Anschriften von Verwandten der Kandidaten. Aus den Bewerbungen erfährt man zum Beispiel exakt, wie viel ein leitender Mitarbeiter im diplomatischen Dienst Pakistans verdient (einen sechsstelligen Dollar-Betrag) und welche Angestellten der Weltbank zur Unesco wechseln wollen. Die Bewerber stammen aus aller Herren Länder, manche bekleiden derzeit durchaus hohe Positionen.

Die SpOn-Redaktion konnte bis ins Jahr 2006 zurück Bewerbungen finden. Beliebter Fehler: Anscheinend musste man nur eine Zahl in der URL verändern, um auf andere Bewerbungen zu kommen, sofern man eingeloggt war-

Update: Die Praktikanten-Bewerbungen stehen wohl immer noch im Netz und man muss nicht eingeloggt sein, um darauf zuzugreifen, sondern lediglich die richtige URL kennen und dann Zahlen verändern.

Update: Jetzt scheinen beide Datenbanken wohl mal offline zu sein.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl