Monatliches Archiv:September 2020

Totalüberwachung mit Gesichtserkennung

Datenschützer warnen vor Totalüberwachung mit Gesichtserkennung

Der rheinland-pfälzische Datenschutzbeauftragte wirft IT-Unternehmen eine Salami-Taktik vor. Besondere Risiken gebe es bei der Verknüpfung von Anwendungen. Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann hat vor einer umfassenden Einführung von Techniken zur Gesichtserkennung gewarnt. „Eine flächendeckende, automatisierte Gesichtserkennung in öffentlichen Räumen könnte zu einer Totalüberwachung führen“, sagte Kugelmann der Deutschen Presse-Agentur und fügte hinzu: „Davor graut es mir.“

Datenschützer pro Open Source

Vielen Menschen seien die Gefahren einer flächendeckenden, automatisierten Erfassung biometrischer Merkmale noch nicht bewusst. Kugelmann regte eine breite Debatte dazu an, etwa in Stadt- und Gemeinderäten, Schulen und Verbänden. „Auch bei der Polizei muss eine Debatte her. Das Thema betrifft auch die Ebene des Bundes und der EU, dabei will ich mich einschalten.“

Der Datenschützer warf der IT-Branche vor, schrittweise die Grenzen des Zulässigen auszuloten: „Bei digitalen Entwicklungen verfolgen manche Unternehmen eine Salami-Taktik.“ Einzelne Anwendungen könnten zwar sinnvoll sein. „Wenn aber viele solcher Anwendungen miteinander verknüpft werden, mündet das in eine umfassende Überwachung.“ Bei Software-Entwicklungen sei zu beobachten, dass beanstandete Punkte in späteren Versionen behoben würden, sagte Kugelmann. „Wir rennen da ein bisschen hinterher.“ Grundsätzlich habe Open-Source-Software beim Datenschutz größere Vorteile, weil von vornherein volle Transparenz gegeben sei. Unternehmen hätten zwar ein berechtigtes Interesse, Betriebs- und Geschäftsgeheimnisse zu wahren. „Aber für uns ist es immer gut, wenn offene Produkte verwendet werden“, sagte Kugelmann. „Ich denke, als Datenschützer sollten wir der Verwaltung empfehlen, verstärkt Open-Source-Systeme zu verwenden.“ Nicht nur das Gesicht wird erfasst, auch werde das Umfeld digitalisiert und Metadaten gespeichert, was für viele Firmen einer Spionage ähnelt.

Smartphone Besitzer mit Face ID aufgepasst …………..

Emotet versteckt sich nun in passwortgeschützten Archiven

Aufgepasst: Emotet versteckt sich nun in passwortgeschützten Archiven

Die Drahtzieher hinter Emotet haben eine neue Kampagne gestartet, um die Malware zu verbreiten. Dieses Mal haben Sie aber bei einer Sache gepennt. Wer dieser Tage im Dateianhang einer Mail ein gepacktes Archiv vorfindet, sollte besonders gut aufpassen: Darin könnte die hoch entwickelte Windows-Malware Emotet lauern. Wie Microsoft auf Twitter berichtet, sollen solche Mails derzeit weltweit und in verschiedenen Sprachen unterwegs sein. An den als Arbeits- oder Rechnungsmails getarnten Nachrichten hängt ein mit einem Passwort geschütztes Archiv. Dieser Ansatz sorgt dafür, dass Antiviren-Software auf Mail-Gateways nicht in das Archiv gucken kann und somit die Bedrohung darin nicht sieht. Der Text in der Mail bittet das Opfer darum, das Archiv mit dem in der Nachricht enthaltenen Passwort zu öffnen. Darin befindet sich ein Word-Dokument mit vermeintlichen weiterführenden Informationen zum Betreff der Mail.

Infektion nicht ohne Weiteres

Um eins gleich klarzustellen: Der alleinige Empfang der Mail und selbst das Öffnen des Archivs und im Anschluss des Dokuments hat noch keine Emotet-Infektion zufolge. Erst wenn ein Opfer die Makros im Word-Dokument aktiviert, kommt die Malware auf den Computer. Um das zu erreichen, tun die Kriminellen so, als wenn das Dokument mit Windows 10 Mobile oder Android erzeugt wurde. Um es lesen zu können, muss das Opfer den „Kompatibilitätsmodus“ aktivieren. Doch diesen Modus gibt es gar nicht. Fällt das Opfer auf die Finte rein, aktiviert es die Makros im Dokument.

Emotet-Mails mit einem Blick enttarnen

In der Vergangenheit hing Emotet an Mails, die in der Regel sehr gut gefälscht waren und selbst Admins mussten zum Teil mehrmals hingucken, um den Schwindel aufzudecken. Dafür werteten die Emotet-Macher bereits kopierte Interna aus und strickten daraus maßgeschneiderte Betrüger-Mails mit gefährlichem Anhang. So waren in Unternehmen beispielsweise Mails im Namens des Chefs in Umlauf, die an bestehende Projekte anknüpften und so besonders glaubhaft wirkten.

Massenhaftem Auslesen von Kontakten

Massenhaftem Auslesen von Kontakten

Verfahren zur Kontaktermittlung bei populären Messengern gefährdeten die Privatsphäre von über einer Milliarde Nutzern, schlagen Datenschützer Alarm. Der Zugriff von Messenger-Diensten wie WhatsApp auf das Adressbuch für die Kommunikation mit bereits bestehenden Kontakten gilt generell als datenschutzrechtlich problematisch. Über einfache Crawling-Angriffe in Form der zufälligen Abfrage von Telefonnummern lässt sich das soziale Umfeld von Nutzern aber in noch stärker ausspionieren, zeigt eine Studie von IT-Sicherheitsforschern. Sie sehen damit „die Privatsphäre von weit mehr als einer Milliarde“ Anwender bedroht. Für die Untersuchung fragten die Wissenschaftler der Würzburger Secure Software Systems Group und der Darmstädter Cryptography and Privacy Engineering Group laut der als Preprint veröffentlichten Ergebnisse zunächst anhand einer Datenbank zufällig ausgewählte zehn Prozent aller Mobilfunknummern in den USA für WhatsApp und 100 Prozent für Signal ab. Dadurch waren sie in der Lage, persönliche Informationen inklusive Metadaten zu sammeln, wie sie üblicherweise in den Nutzerprofilen der Messenger gespeichert werden. Dazu gehörten etwa auch Profilbilder, Nutzernamen, Statustexte und die „zuletzt online“ verbrachte Zeit. Die analysierten Daten offenbaren aussagekräftige Statistiken über das Verhalten der Anwender. So ändern nur sehr wenige Nutzer die standardmäßigen Privatsphäre-Einstellungen, obwohl diese für die meisten nicht sonderlich datenschutzfreundlich sind. Die Teams fanden heraus, dass ungefähr 50 Prozent aller WhatsApp-User in den USA ein öffentliches Profilbild haben und 90 Prozent einen öffentlichen Infotext. 40 Prozent aller bei Signal Registrierten hatten auch das von Datenschützern kritischer gesehene WhatsApp in Betrieb, die Hälfte davon sogar ein öffentliches Profilbild dort gespeichert.

Verhaltensmodelle möglich

Angreifer, die solche Daten über die Zeit hinweg verfolgen, können genaue Verhaltensmodelle in Form des sogenannten Social Graph erstellen. Wenn sie die Informationen mit weiteren Angaben in sozialen Netzwerken und anderen öffentlichen Datenquellen abgleichen, können sie auch detaillierte Profile erstellen und etwa für Betrugsmaschen sowie Abzocke nutzen. Auch Telegram nahmen die Experten unter die Lupe und stellten fest, dass der Dienst zur Kontaktermittlung sogar die Anzahl möglicher Kommunikationspartner für die Besitzer von Telefonnummern preisgibt, die gar nicht bei dem Dienst registriert sind. Das API der App legt eine breite Palette sensibler Informationen offen. Welche Daten während des Adressbuchabgleichs publik werden und über Crawling-Angriffe gesammelt werden können, hängt vom Dienstanbieter und den gewählten Privatsphäre-Einstellungen ab. WhatsApp und Telegram übertragen das komplette Adressbuch der Nutzer an Server, während sich Signal etwa mit kurzen kryptographischen Hashwerten von Telefonnummern begnügt.

Keine nennenswerten Hürden

Die Forscher zeigen jedoch, dass es mit optimierten Angriffsstrategien auch möglich ist, von diesen Prüfsummen innerhalb von Millisekunden auf die zugehörigen Telefonnummern zu schließen. Dritte könnten einfach eine große Anzahl an Konten erstellen und die Nutzerdatenbanken eines Messengers dann nach Informationen durchforsten, indem sie Daten für zufällige Telefonnummern abfragen. Nennenswerte Hürden für die Registrierung bei Chat-Diensten gebe es nicht. Zudem schlagen sie verschiedene Techniken zum Schutz vor Crawling-Angriffen vor wie etwa ein verbessertes Verfahren zur Kontaktermittlung, wodurch die Nutzbarkeit der Anwendungen nicht negativ beeinflusst würde. Ihre Resultate, die sie auf einer GitHub-Seite zusammengefasst haben, wollen sie im Februar 2021 auch auf dem 28. Annual Network and Distributed System Security Symposium (NDSS) präsentieren.

Gesetz gegen Abmahnmissbrauch

Gesetz gegen Abmahnmissbrauch

Wettbewerber erhalten künftig keine Kosten mehr erstattet für Abmahnungen wegen Verstößen gegen Info-Pflichten und die DSGVO durch kleinere Firmen.

Der Bundestag hat am Donnerstag einen Gesetzentwurf „zur Stärkung des fairen Wettbewerbs“ verabschiedet. Das Parlament will damit das Abmahnwesen bekämpfen. So sollen etwa hohe Anwaltsgebühren und Vertragsstrafen bei Bagatellverstößen der Vergangenheit angehören. Für die Initiative stimmten die Regierungsfraktionen von CDU/CSU und SPD. AfD und die Grünen waren dagegen, die FDP und die Linksfraktion enthielten sich.

Fehlanreize

Verstöße gegen gesetzliche Kennzeichnungs- und Informationspflichten im Internet etwa durch Online-Händler können laut der Initiative zwar noch abgemahnt werden. Für Mitbewerber besteht aber kein Anspruch auf Kostenerstattung mehr. Dies gilt laut den Änderungen der großen Koalition am Regierungsentwurf auch bei Datenschutzverstößen von Unternehmen mit weniger als 250 Mitarbeitern. Finanzielle Fehlanreize für Abmahnungen soll es so nicht mehr geben. Schwarz-Rot hatte schon 2018 prinzipiell vereinbart, kleine und mittlere Unternehmen vor Abmahnmissbräuchen wegen der Datenschutz-Grundverordnung (DSGVO) zu schützen. Die damaligen Befürchtungen gelten inzwischen aber als übertrieben. Auch die Möglichkeiten für Vertragsstrafen werden in den genannten Fällen eingeschränkt, die Sanktionen für kleine und mittlere Unternehmen in einfach gelagerten Fällen auf 1000 Euro gedeckelt.

Unterlassungsansprüche

Bei Urheberrechtsverstößen muss der Abmahnende künftig bei Zusenden einer vorformulierten Unterlassungsverpflichtungserklärung angeben, ob diese erheblich über den bestehenden materiell-rechtlichen Unterlassungsanspruch hinausgeht, der regelmäßig auf einer bereits festgestellten Rechtsverletzung beruht. Diese Korrektur soll in erster Linie dem Schutz des abgemahnten Schuldners dienen und zwar insbesondere dann, wenn es sich um private Rechtsverletzer handelt. Bislang oblag es teils dem Verbraucher, seinerseits erst eine Unterlassungserklärung zu formulieren, um so die Wiederholungsgefahr auszuräumen und eine Klage abzuwenden. Konkurrenten können Unterlassungsansprüche künftig auch nur noch geltend machen, wenn sie im großen Stil und nicht nur gelegentlich Waren oder Dienstleistungen vertreiben oder nachfragen. Online-Shops mit Fantasieangeboten sollen damit ebenso ausgeschlossen werden wie Mitbewerber, die bereits insolvent sind und gar nicht mehr am Wettbewerb teilnehmen.

Klagebefugte

Wirtschaftsverbände sollten nur noch abmahnen dürfen, wenn sie vom Bundesamt für Justiz überprüft wurden und auf einer Liste der Klagebefugten eingetragen sind. Sie müssen zudem mindestens 75 Mitgliedsfirmen haben. Gewerkschaften bleiben klageberechtigt. Wer trotz der verschärften Bestimmungen missbräuchlich abgemahnt wird, soll die Kosten seiner Rechtsverteidigung in der Höhe zurückbekommen, in der auch der Abmahnende sie geltend gemacht hat. Betroffenen können ungerechtfertigte Abmahnungen zudem anhand mehrerer Regelbeispiele leichter darlegen. Hierzu zählen neben dem massenhaften Versand einschlägiger Anwaltsschreiben etwa Fälle, in denen ein Konkurrent eine offensichtlich überhöhte Vertragsstrafe verlangt oder einen unangemessen hohen Gegenstandswert ansetzt. Den „fliegenden Gerichtsstand“ mit freier Wahl haben die Abgeordneten eingeschränkt: Bei Rechtsverletzungen im Internet und im elektronischen Geschäftsverkehr muss der Streit künftig einheitlich am Ort des Beklagten ausgetragen werden. Die Koalition hat das Designgesetz ferner um eine „Reparaturklausel“ erweitert, die den Markt für sichtbare Ersatzteile für den Wettbewerb öffnet. Die Monopolstellung der Hersteller für Kotflügel, Scheinwerfer und Co. soll damit aufgebrochen werden. Der Bundestag hatte 2013 bereits ein Gesetz gegen „unseriöse Geschäftspraktiken“ beschlossen und damit den Streitwert bei ersten Abmahnungen wegen einfacher Urheberrechtsverletzungen im privaten Umfeld pauschal auf 1000 Euro gesenkt. Die Regierung sah aber vermehrt Anzeichen, dass mit dem Instrument insgesamt trotzdem weiterhin Missbrauch betrieben werde.

Mildere Mittel

Die neuen Bestimmungen sollen zum Großteil am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. „Das Gesetz ist ein riesiger Schritt in Richtung fairen Wettbewerbs“, lobte der Rechtsexperte der CDU/CSU-Fraktion, Jan-Marco Luczak, den Beschluss. Die Masche der Abzocke mit Abmahnungen per Serienbrief werde sich künftig nicht mehr lohnen, konstatierte sein SPD-Kollege Johannes Fechner. Die FDP kritisierte, dass ein „Notice-and-take-down-Verfahren“ das mildere Mittel gewesen wäre und Rechtsbegriffe teils unbestimmt blieben. Die Linke beklagte, dass das Vorhaben unerwünschte Auswirkungen auf die legitime Rechtsdurchsetzung durch Verbraucherschutzverbände haben könne. Die Grünen befürchten, dass viele Betroffene von Abmahnungen nach wie vor überfordert sein dürften.

Video Authenticator

Video Authenticator: Microsoft-Software soll Deepfakes entlarven

Manipulierte Videos und Fotos sorgen vielfach für Desinformation. Microsoft will dagegen den Video Authenticator in den Kampf schicken – aber nicht nur ihn.

Microsoft entwickelt mit dem Video Authenticator eine KI-Software, die Deep Fakes, also Manipulationen von Videos und Fotos erkennen soll. Wie Microsoft anmerkt, sei Desinformation sehr verbreitet. Sie bedrohe die Demokratie, die Microsoft durch den Einsatz der Software verteidigen wolle. Konkret sieht Microsoft die Gefahr darin, dass Deep Fakes die Meinung großer Teile der Bevölkerung mit falschen Informationen beeinflussen und Menschen so manipulieren können, dass sie falsche Schlüsse ziehen. Das schade dem demokratischen Willensbildungsprozess – auch in Hinblick auf die bevorstehenden US-Präsidentschaftswahlen im November.

Manipulationen erkennen

Um solche unerwünschten Einflussnahmen durch Deep Fakes zu verhindern, arbeitet Microsoft am KI-basierten Video Authenticator, schreiben Tom Burt, Vizepräsident für Kundensicherheit & Vertrauen und Eric Horvitz,CSO bei Microsoft im Microsoft-Blog. Die Software soll Videos und Fotos analysieren und eine prozentuale Wahrscheinlichkeit berechnen, ob ein Medium von einer Künstlichen Intelligenz (KI) gefälscht wurde oder nicht. Die Software soll dabei die Videos in Echtzeit analysieren und für jedes einzelne Videoframe die Wahrscheinlichkeit einer Manipulation bestimmen können. Die charakteristischen Merkmale von Deep Fakes wie Bildübergänge zwischen authentischem und generierten Material sowie Unterschiede von Graustufen und Bildschärfe, die für das menschliche Auge kaum erkennbar sind, soll der Video Authenticator erkennen, heißt es von Microsoft.

Die Technik dafür wird von Microsoft Research in Zusammenarbeit mit Microsofts AI Team sowie Microsoft AI, Ethics and Effects in Engineering and Research (AETHER), einem beratenden Gremium, entwickelt. Das Gremium achte darauf, dass neue Techniken in verantwortlicher Weise entwickelt und eingesetzt werden. Trainiert wurde die KI-Software Video Authenticator nach Microsoft-Angaben unter Verwendung des öffentlichen Datensatzes Faceforensics++ und danach mit dem Deep Fake Detection Challenge Dataset getestet. Angaben zur Erkennungsleistung macht Microsoft nicht. Microsoft ist sich bewusst, dass die Methoden zur Generierung von Deep Fakes immer besser werden und die KI-Erkennungsmethoden Fehler aufweisen. Deshalb will Microsoft weiter an besseren Methoden forschen.

Online-Erkennung von Fälschungen

Um sicherzustellen, dass Medien aus vertrauenswürdigen Quellen stammen und nicht manipuliert wurden, stellt Microsoft dem Video Authenticator ein System zur Seite, das manipulierte Online-Inhalte erkennt oder Medien als authentisch einstuft. Das System besteht aus zwei Komponenten, heißt es im Blog-Eintrag. Die erste ist ein in Microsoft Azure integriertes Tool, das digitale Inhalte mit Hashes und Zertifikate versehen kann. Diese seien zusammen mit den Metadaten verbunden. Die zweite Komponente, beispielsweise ein Reader in Form einer Browsererweiterung, überprüft die Zertifikate und checkt die Hash-Werte auf Übereinstimmung. Die Leser können dann „mit einem gewissen Maß an Genauigkeit“ erfahren, ob die Inhalte authentisch sind oder verändert wurden. Außerdem ist ersichtlich, wer die Inhalte erstellt hat. Microsoft ist mit seinem Kampf gegen Deep Fakes nicht allein. Google hat die experimentelle Plattform „Assembler“ aufgesetzt, Facebook hat zusammen mit Microsoft und anderen einen Wettbewerb ausgerufen, um ein System zur Erkennung von Deep Fakes zu erhalten.