Kategorie-Archiv:News

Gesetz gegen Abmahnmissbrauch

Gesetz gegen Abmahnmissbrauch

Wettbewerber erhalten künftig keine Kosten mehr erstattet für Abmahnungen wegen Verstößen gegen Info-Pflichten und die DSGVO durch kleinere Firmen.

Der Bundestag hat am Donnerstag einen Gesetzentwurf „zur Stärkung des fairen Wettbewerbs“ verabschiedet. Das Parlament will damit das Abmahnwesen bekämpfen. So sollen etwa hohe Anwaltsgebühren und Vertragsstrafen bei Bagatellverstößen der Vergangenheit angehören. Für die Initiative stimmten die Regierungsfraktionen von CDU/CSU und SPD. AfD und die Grünen waren dagegen, die FDP und die Linksfraktion enthielten sich.

Fehlanreize

Verstöße gegen gesetzliche Kennzeichnungs- und Informationspflichten im Internet etwa durch Online-Händler können laut der Initiative zwar noch abgemahnt werden. Für Mitbewerber besteht aber kein Anspruch auf Kostenerstattung mehr. Dies gilt laut den Änderungen der großen Koalition am Regierungsentwurf auch bei Datenschutzverstößen von Unternehmen mit weniger als 250 Mitarbeitern. Finanzielle Fehlanreize für Abmahnungen soll es so nicht mehr geben. Schwarz-Rot hatte schon 2018 prinzipiell vereinbart, kleine und mittlere Unternehmen vor Abmahnmissbräuchen wegen der Datenschutz-Grundverordnung (DSGVO) zu schützen. Die damaligen Befürchtungen gelten inzwischen aber als übertrieben. Auch die Möglichkeiten für Vertragsstrafen werden in den genannten Fällen eingeschränkt, die Sanktionen für kleine und mittlere Unternehmen in einfach gelagerten Fällen auf 1000 Euro gedeckelt.

Unterlassungsansprüche

Bei Urheberrechtsverstößen muss der Abmahnende künftig bei Zusenden einer vorformulierten Unterlassungsverpflichtungserklärung angeben, ob diese erheblich über den bestehenden materiell-rechtlichen Unterlassungsanspruch hinausgeht, der regelmäßig auf einer bereits festgestellten Rechtsverletzung beruht. Diese Korrektur soll in erster Linie dem Schutz des abgemahnten Schuldners dienen und zwar insbesondere dann, wenn es sich um private Rechtsverletzer handelt. Bislang oblag es teils dem Verbraucher, seinerseits erst eine Unterlassungserklärung zu formulieren, um so die Wiederholungsgefahr auszuräumen und eine Klage abzuwenden. Konkurrenten können Unterlassungsansprüche künftig auch nur noch geltend machen, wenn sie im großen Stil und nicht nur gelegentlich Waren oder Dienstleistungen vertreiben oder nachfragen. Online-Shops mit Fantasieangeboten sollen damit ebenso ausgeschlossen werden wie Mitbewerber, die bereits insolvent sind und gar nicht mehr am Wettbewerb teilnehmen.

Klagebefugte

Wirtschaftsverbände sollten nur noch abmahnen dürfen, wenn sie vom Bundesamt für Justiz überprüft wurden und auf einer Liste der Klagebefugten eingetragen sind. Sie müssen zudem mindestens 75 Mitgliedsfirmen haben. Gewerkschaften bleiben klageberechtigt. Wer trotz der verschärften Bestimmungen missbräuchlich abgemahnt wird, soll die Kosten seiner Rechtsverteidigung in der Höhe zurückbekommen, in der auch der Abmahnende sie geltend gemacht hat. Betroffenen können ungerechtfertigte Abmahnungen zudem anhand mehrerer Regelbeispiele leichter darlegen. Hierzu zählen neben dem massenhaften Versand einschlägiger Anwaltsschreiben etwa Fälle, in denen ein Konkurrent eine offensichtlich überhöhte Vertragsstrafe verlangt oder einen unangemessen hohen Gegenstandswert ansetzt. Den „fliegenden Gerichtsstand“ mit freier Wahl haben die Abgeordneten eingeschränkt: Bei Rechtsverletzungen im Internet und im elektronischen Geschäftsverkehr muss der Streit künftig einheitlich am Ort des Beklagten ausgetragen werden. Die Koalition hat das Designgesetz ferner um eine „Reparaturklausel“ erweitert, die den Markt für sichtbare Ersatzteile für den Wettbewerb öffnet. Die Monopolstellung der Hersteller für Kotflügel, Scheinwerfer und Co. soll damit aufgebrochen werden. Der Bundestag hatte 2013 bereits ein Gesetz gegen „unseriöse Geschäftspraktiken“ beschlossen und damit den Streitwert bei ersten Abmahnungen wegen einfacher Urheberrechtsverletzungen im privaten Umfeld pauschal auf 1000 Euro gesenkt. Die Regierung sah aber vermehrt Anzeichen, dass mit dem Instrument insgesamt trotzdem weiterhin Missbrauch betrieben werde.

Mildere Mittel

Die neuen Bestimmungen sollen zum Großteil am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. „Das Gesetz ist ein riesiger Schritt in Richtung fairen Wettbewerbs“, lobte der Rechtsexperte der CDU/CSU-Fraktion, Jan-Marco Luczak, den Beschluss. Die Masche der Abzocke mit Abmahnungen per Serienbrief werde sich künftig nicht mehr lohnen, konstatierte sein SPD-Kollege Johannes Fechner. Die FDP kritisierte, dass ein „Notice-and-take-down-Verfahren“ das mildere Mittel gewesen wäre und Rechtsbegriffe teils unbestimmt blieben. Die Linke beklagte, dass das Vorhaben unerwünschte Auswirkungen auf die legitime Rechtsdurchsetzung durch Verbraucherschutzverbände haben könne. Die Grünen befürchten, dass viele Betroffene von Abmahnungen nach wie vor überfordert sein dürften.

Video Authenticator

Video Authenticator: Microsoft-Software soll Deepfakes entlarven

Manipulierte Videos und Fotos sorgen vielfach für Desinformation. Microsoft will dagegen den Video Authenticator in den Kampf schicken – aber nicht nur ihn.

Microsoft entwickelt mit dem Video Authenticator eine KI-Software, die Deep Fakes, also Manipulationen von Videos und Fotos erkennen soll. Wie Microsoft anmerkt, sei Desinformation sehr verbreitet. Sie bedrohe die Demokratie, die Microsoft durch den Einsatz der Software verteidigen wolle. Konkret sieht Microsoft die Gefahr darin, dass Deep Fakes die Meinung großer Teile der Bevölkerung mit falschen Informationen beeinflussen und Menschen so manipulieren können, dass sie falsche Schlüsse ziehen. Das schade dem demokratischen Willensbildungsprozess – auch in Hinblick auf die bevorstehenden US-Präsidentschaftswahlen im November.

Manipulationen erkennen

Um solche unerwünschten Einflussnahmen durch Deep Fakes zu verhindern, arbeitet Microsoft am KI-basierten Video Authenticator, schreiben Tom Burt, Vizepräsident für Kundensicherheit & Vertrauen und Eric Horvitz,CSO bei Microsoft im Microsoft-Blog. Die Software soll Videos und Fotos analysieren und eine prozentuale Wahrscheinlichkeit berechnen, ob ein Medium von einer Künstlichen Intelligenz (KI) gefälscht wurde oder nicht. Die Software soll dabei die Videos in Echtzeit analysieren und für jedes einzelne Videoframe die Wahrscheinlichkeit einer Manipulation bestimmen können. Die charakteristischen Merkmale von Deep Fakes wie Bildübergänge zwischen authentischem und generierten Material sowie Unterschiede von Graustufen und Bildschärfe, die für das menschliche Auge kaum erkennbar sind, soll der Video Authenticator erkennen, heißt es von Microsoft.

Die Technik dafür wird von Microsoft Research in Zusammenarbeit mit Microsofts AI Team sowie Microsoft AI, Ethics and Effects in Engineering and Research (AETHER), einem beratenden Gremium, entwickelt. Das Gremium achte darauf, dass neue Techniken in verantwortlicher Weise entwickelt und eingesetzt werden. Trainiert wurde die KI-Software Video Authenticator nach Microsoft-Angaben unter Verwendung des öffentlichen Datensatzes Faceforensics++ und danach mit dem Deep Fake Detection Challenge Dataset getestet. Angaben zur Erkennungsleistung macht Microsoft nicht. Microsoft ist sich bewusst, dass die Methoden zur Generierung von Deep Fakes immer besser werden und die KI-Erkennungsmethoden Fehler aufweisen. Deshalb will Microsoft weiter an besseren Methoden forschen.

Online-Erkennung von Fälschungen

Um sicherzustellen, dass Medien aus vertrauenswürdigen Quellen stammen und nicht manipuliert wurden, stellt Microsoft dem Video Authenticator ein System zur Seite, das manipulierte Online-Inhalte erkennt oder Medien als authentisch einstuft. Das System besteht aus zwei Komponenten, heißt es im Blog-Eintrag. Die erste ist ein in Microsoft Azure integriertes Tool, das digitale Inhalte mit Hashes und Zertifikate versehen kann. Diese seien zusammen mit den Metadaten verbunden. Die zweite Komponente, beispielsweise ein Reader in Form einer Browsererweiterung, überprüft die Zertifikate und checkt die Hash-Werte auf Übereinstimmung. Die Leser können dann „mit einem gewissen Maß an Genauigkeit“ erfahren, ob die Inhalte authentisch sind oder verändert wurden. Außerdem ist ersichtlich, wer die Inhalte erstellt hat. Microsoft ist mit seinem Kampf gegen Deep Fakes nicht allein. Google hat die experimentelle Plattform „Assembler“ aufgesetzt, Facebook hat zusammen mit Microsoft und anderen einen Wettbewerb ausgerufen, um ein System zur Erkennung von Deep Fakes zu erhalten.

Geheimdienste mit Staatstrojanern

Regierung plant „Quellen-TKÜ plus“ durch Agenten
Innen- und Justizministerium haben laut einem Bericht vereinbart, dass Geheimdienste mit Staatstrojanern auch auf gespeicherte Chats und Mails zugreifen dürfen!!!

Geht es nach den Bundesministerien für Inneres und Justiz, werden die Befugnisse der Geheimdienste von Bund und Ländern mit dem geplanten Gesetz „zur Anpassung des Verfassungsschutzrechts“ noch einmal deutlich erweitert. Die Sicherheitsbehörden sollen mithilfe von Staatstrojanern nicht nur die laufende Messenger-Kommunikation sowie Internet-Telefonate und Video-Calls abhören dürfen, sondern im Rahmen einer „Quellen-TKÜ plus“ auch auf gespeicherte Chats und Mails zugreifen. Auf diesen Ansatz haben sich Verhandlungsführer der beiden Ministerien im Rahmen der laufenden Ressortabstimmung innerhalb der Bundesregierung geeinigt. Mit der Quellen-Telekommunikationsüberwachung (TKÜ) wird es den berechtigten Stellen bislang ermöglicht, den „laufenden“ Nachrichtenaustausch direkt auf dem Endgerät mitzuschneiden, bevor er ver- oder nachdem er entschlüsselt wird.

Aufgebohrter Staatstrojaner

Idee hinter der aufgebohrten Variante ist es dem Bericht zufolge, dass die berechtigten Behörden rückwirkend auch alte Kommunikation ausforschen dürfen, sobald die Spionagemaßnahme bewilligt ist. Sie sollten rechtlich so gestellt werden, als hätten sie sofort loslegen können und nicht auf die erfolgreiche Platzierung eines Trojaners auf dem Zielgerät warten müssen. Das Vorhaben ist brisant, da damit die Grenzen zu weitergehenden heimlichen Online-Durchsuchungen von IT-Systemen noch weiter verschwämmen. Das Bundesverfassungsgericht, bei dem zahlreiche Klagen gegen Kompetenzen zum Einsatz von Staatstrojanern auf Bundes- und Länderebene anhängig sind, hatte schon mehrfach Bedenken geäußert und ein eigenes Computer-Grundrecht entwickelt, um die Vertraulichkeit und Integrität der vernetzten Gerätewelt abzusichern. Die G10-Kommission soll dem Bericht zufolge die Kontrolle über die erweiterte Quellen-TKÜ übernehmen und entlang jüngster Vorgaben aus dem BND-Urteil des Bundesverfassungsgerichts personell mit mehr technischem und juristischem Sachverstand gestärkt werden.

Eine Eilanordnung ohne das Plazet der Kommission werde nicht möglich sein, heißt es weiter. Umstritten seien zwischen beiden Häusern noch Möglichkeiten der Weitergabe abgehörter Daten an ausländische Geheimdienste, was den Beschluss eines Regierungsentwurfs durch das Bundeskabinett noch verzögert. Bürgerrechtler, Medienorganisationen und Verbände der Digitalbranche laufen seit Monaten Sturm gegen die tief in die Grundrechte einschneidende Initiative. Unterdessen taugt der Staatstrojaner nicht unbedingt als alltägliches Ermittlungswerkzeug. Seit drei Jahren dürfen Ermittler Software auf technischen Geräten installieren, erklärt der Berliner Oberstaatsanwalt Ralph Knispel.

Wir stimmen dagegen …….. und Sie?

WLAN-Router im Visier von Hackern

WLAN-Router im Visier von Hackern

Die Angriffe auf WLAN-Router nehmen drastisch zu, während viel mehr Nutzer auf sichere Router im Homeoffice angewiesen sind. Aktuell greifen Kriminelle viel mehr Home-Router an als je zuvor, wie aus einer Studie des Antiviren-Herstellers Trend Micro hervorgeht. Zwischen September und Dezember 2019 hat sich die Zahl fast verzehnfacht, nämlich von 23 auf 249 Millionen unberechtigte Login-Versuche. Allein im März dieses Jahres registrierte das Unternehmen fast 194 Millionen solcher Angriffe. Die Sicherheitsforscher gehen davon aus, dass mit der Verlagerung von Firmendaten in Heimnetzwerke solche Attacken für Kriminelle weit lukrativer werden. Die aktuelle Angriffswelle führen anscheinend Profis, die Brute-Force-Verfahren skriptgesteuert anwenden, um Zugangsdaten diverser Internet-of-Things-Geräte zu knacken. Home-Router stehen auf Grund ihrer zentralen Lage im Netzwerk der Opfer im Visier der Angreifer: Der Router ist das erste Gerät des Heimnetzes, das aus dem Internet ansprechbar ist. Er eignet sich zudem als Brückenkopf für weitere Angriffe auf IoT-Geräte dahinter. Ziel der Angreifer ist es, die Geräte in ein Botnetz einzuspannen, um damit etwa DDoS-Angriffe auf Firmen-Websites zu führen.

Firmware oft veraltet

Dass Home-Router immer mehr in den Fokus professioneller Angreifer rücken, könnte daran liegen, dass es um die Sicherheit solcher Geräte anhaltend schlecht bestellt ist. So hat zum Beispiel das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) die Firmware von 127 nicht näher genannten Home-Routern der Hersteller Asus, AVM, D-Link, Linksys, Netgear, TP-Link und Zyxel auf Sicherheitslücken abgeklopft. Huawei-Router haben die Forscher nicht untersucht, da der Hersteller keine Firmware-Dateien auf seiner Website bereitstellt. Aus gleichem Grund hat Fraunhofer auch die verbreiteten Provider-Router nicht berücksichtigt.

Das Ergebnis dieser Teiluntersuchung ist ernüchternd: Viele Hersteller entwickeln gar keine Sicherheitsupdates für ihre Geräte, sodass Informationen über viele alte Router-Schwachstellen lange im Umlauf sind. Die Fraunhofer-Forscher hatten die Firmware der Router mittels eigener Methoden automatischen Tests unterzogen und so ermittelt, von wann der darin enthaltene Linux-Kernel stammt. Zudem haben die Forscher untersucht, ob gängige Exploit-Schutzmaßnahmen umgesetzt sind und ob Sicherheitsprobleme wie voreingestellte Passwörter vorhanden waren.

Für 22 der 127 getesteten Geräte sind seit zwei Jahren gar keine frischen Firmware-Updates erhältlich. Mehr als ein Drittel der Gerätefirmware basiert auf Linux-Kernelversionen, die seit mindestens neun Jahren keine Sicherheitsupdates erhalten. Die Firmware eines Linksys-Geräts gründet gar auf einem knapp 18 Jahre alten Linux-Kernel. Das Bild setzt sich bei den Exploit-Abwehrmaßnahmen fort: Auch hier könnten die Hersteller viel mehr tun, um ihre Router sicherer zu machen. Immerhin schnitten die AVM-Router mit Abstand am besten ab, ASUS und Netgear konnten ebenfalls ein paar lobende Worte der Tester verbuchen.

BSI will mehr Sicherheit

Dass die vielfältigen Sicherheitslücken in Home-Routern gestopft werden müssen, hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkannt und Anfang Juli eine neue Prüfspezifikation für Router im Endkundenbereich veröffentlicht. Auf dieser Basis sollen Hersteller, Prüfer und „andere Interessierte“ die Sicherheit von Home-Routern untersuchen können. Laut BSI will man so Testergebnisse vergleichbar machen, damit das Home-Router-Angebot insgesamt sicherer wird. Anhand der neuen Prüfspezifikation lassen sich Router im Rahmen der vom BSI gegen Ende 2018 veröffentlichten technischen Richtlinie für Home-Router-Sicherheit auch zertifizieren. Bleibt zu hoffen, dass die Prüfkriterien dazu führen, dass IT Unternehmen ihre Kunden künftig die Sicherheit von Routern verbessern können und dadurch die Sicherheit überhaupt ein wichtiges Kaufkriterium wird.

Cookies und Bestandsdatenauskunft

Datenschutz: Einheitliche Regeln zu Cookies und Bestandsdatenauskunft geplant

Das Wirtschaftsministerium will mit einem Gesetzentwurf für ePrivacy gegen versteckte Mikrofone und Kameras sowie standortbasierte Werbung vorgehen. Das Bundeswirtschaftsministerium beabsichtigt, Vorschriften rund um die Privatsphäre für Online-Dienste inklusive Messenger aus der Datenschutzgrundverordnung (DSGVO), dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) zu vereinheitlichen. Ziel des „Telekommunikations-Telemedien-Datenschutz-Gesetzes“ (TTDSG) ist es, die verschiedenen Bestimmungen in einem „wirksamen und handhabungsfreundlichen“ Rahmen zusammenzuführen. Das Bundeswirtschaftsministerium von Peter Altmaier (CDU) hat in dem geleakten Referentenentwurf vor allem „die in vielen Fällen erforderliche Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten oder in das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer“ im Blick. So sollen erstmals die EU-Vorgaben zu Cookies aus der 2009 überarbeiteten EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation im Lichte der DSGVO in nationales Recht umgesetzt werden. Die Bundesregierung hatte dies bislang nicht für nötig gehalten.

Gegen Cookie-Klick-Arien

„Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt“, wenn der Endnutzer darüber im Einklang mit der DSGVO „informiert wurde und er eingewilligt hat“, heißt es in Paragraf 9. Dies gelte nicht, wenn das entsprechende Setzen von Cookies „technisch erforderlich ist“, um eine Kommunikation elektronisch zu übermitteln oder um Telemedien bereitzustellen, „deren Inanspruchnahme vom Endnutzer gewünscht wird“. Als weitere Ausnahmen für ein Opt-in sieht das Ministerium eine ausdrückliche vertragliche Vereinbarung, „um bestimmte Dienstleistungen zu erbringen“, oder gesetzliche Auflagen. Der Endnutzer könne „die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt“. Diese Klausel soll offenbar Cookie-Klick-Arien eindämmen, die viele Nutzer nerven. Sie ist allerdings auch schon in der grundlegenden ePrivacy-Richtlinie enthalten und entfaltete darüber keine große Wirkung.

Parallel hat die Bundesregierung auf Ebene des EU-Ministerrats eine Initiative gestartet, um die seit Längerem geplante, aber schon für tot erklärte ePrivacy-Verordnung als Update für die bestehende, in die Jahre gekommene Richtlinie doch noch beschlussreif zu machen. Dabei regt sie etwa an, dass werbefinanzierten Nachrichtenseiten das webseiten- und geräteübergreifende Tracking der Nutzer ohne deren Einwilligung und ohne weitere Schutzvorkehrungen erlaubt sein sollte. Im TTDSG-Entwurf ist davon noch keine Rede. Vielmehr will das Wirtschaftsressort darüber das „Do not Track“-Verfahren stärken.
„Neben Browsereinstellungen sind auch Online-Verfahren zum Einwilligungsmanagement – etwa über Datentreuhänder – denkbar“, ist der Begründung zu entnehmen. Zu berücksichtigen seien zudem neue Entwicklungen wie das Internet der Dinge mit Geräten wie intelligenten Stromzählern, die zunehmende Maschine-Maschine-Kommunikation und Künstliche Intelligenz (KI). Auf Basis eines einschlägigen Urteils des Europäischen Gerichtshofs müssten zudem gewisse „Anforderungen an die Wirksamkeit der Einwilligung“ einbezogen werden.

Anonymisierte Standortdaten

Sofern der Dienste-Anbieter Standortdaten von Nutzern verarbeitet, die etwa zum Weiterleiten einer Nachricht über ein elektronisches Kommunikationsnetz nicht nötig seien, sollen diese laut Paragraf 14 ohne Plazet des Betroffenen nur verarbeitet werden, soweit und solange dies erforderlich ist, um Services mit Zusatznutzen bereitzustellen. Die Geo-Informationen müssen zudem anonymisiert werden. Der Handy-Nutzer ist zudem per „Textmitteilung an das Endgerät“ darüber zu informieren, dass sein Aufenthaltsort ermittelt wurde. Das Regime für Geodaten für Telemediendienste werde damit deutlich strenger, kommentiert der Cottbusser Rechtsanwalt Jannik Krone: „Standortbasierte Werbung ist dann in Deutschland bei allen Apps mit Nachrichtenfunktion tot.“ Generell soll es beim Ansatz aus dem TMG bleiben, wonach der Dienste-Anbieter „die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen“ hat, „soweit dies technisch möglich und zumutbar ist“.

16.07.2020

Microsoft unterstützt die Polizei mit speziellen Überwachungsplattformen und Cloud-Lösungen, auf die auch andere Hilfssheriffs bauen.

Im digitalen Zeitalter geht auch bei der Polizei ohne die Zusammenarbeit mit Tech-Firmen nicht mehr viel. „Microsoft ist zusammen mit Amazon und anderen Cloud-Anbietern einer der Hauptakteure in diesem Bereich“, schreibt das Online-Magazin The Intercept in einer Reportage über den von Microsoft mit Massenüberwachung, biometrischer Gesichtserkennung und Online-Datendiensten vorangetriebenen „Polizeistaat“. Microsoft stehe zwar im Gegensatz zu anderen Tech-Größen auch nach den Black-Live-Matters-Protesten nicht im Zentrum der öffentlichen Kritik, heißt es in dem Dossier von The Intercept. Der Konzern verschleiere aber gezielt seine einschlägigen Geschäftsbeziehungen, stecke „knietief in Dienstleistungen für die Strafverfolgung“ und fördere ein System von Unternehmen, „die der Polizei Software über Microsofts Cloud und andere Plattformen zur Verfügung stellen“.

„Massenüberwachungsplattform für Polizisten“

Als Beispiel nennt das Magazin die von der Firma entwickelte „Massenüberwachungsplattform für Polizisten“ in Form des „Domain Awareness System“ (DAS). Microsoft habe das System für das New York Police Department (NYPD) gebaut und später auf Atlanta, Brasilien und Singapur ausgeweitet. Das Portal integriere unterschiedliche Informationsquellen, um die drei Kernfunktionen Echtzeit-Alarm, Hilfe bei alltäglichen Ermittlungen und kriminalpolizeiliche Analysen zu erfüllen. Durch das System beobachte das NYPD die persönlichen Bewegungen der gesamten Metropole, führt der Autor aus. Anfangs habe es Daten aus Kameras zur Videoüberwachung, Umweltsensoren und automatischen Kfz-Kennzeichen-Scannern aufgenommen. Von 2010 an seien Aufzeichnungen von Beschwerden, Verhaftungen, Notrufen und Haftbefehlen hinzugekommen, um das bisherige Material in einen Kontext zu bringen. Mittlerweile habe die Behörde Videoanalysen, automatische Mustererkennung, Techniken für Predictive Policing und eine App für die Ordnungshüter hinzugefügt. Schon bis 2016 soll das DAS unter anderem zwei Milliarden Nummernschildaufnahmen bei 3 Millionen Lesevorgängen pro Tag bei einer Speicherfrist von fünf Jahren, 15 Millionen Beschwerden, mehr als 33 Milliarden öffentliche Dateneinträge, über 9000 Kameraaufzeichnungen sowie Videos von mehr als 20.000 Bodycams enthalten haben. Das gesamte Archiv lasse sich mit speziellen Algorithmen durchsuchen, um relevanten Daten sowie neuen Erkenntnissen auf die Spur zu kommen.

Microsoft Cloud für Überwachungsfunktionen

Zudem hat sich Microsoft dem Bericht nach mit zahlreichen Anbietern von Überwachungssystemen zusammengeschlossen, die ihre Produkte auf der „Government Cloud“ der Azure-Sparte des Unternehmens betrieben. Der Konzern vermarkte zudem Plattformen etwa für Drohnen und Roboter, um Polizeieinsätze auf lokaler, staatlicher und föderaler Ebene zu vernetzen. Kaum bekannt sei ferner, dass Microsoft eine Abteilung „Öffentliche Sicherheit und Justiz“ mit Mitarbeitern unterhalte, die früher in der Strafverfolgung tätig gewesen seien. Dabei handle es sich um das „wahre Herzstück“ der Hilfssheriffdienste des Unternehmens. Neben der konzeptuellen Skizze eines rundum vernetzten Polizisten („The Connected Officer“) hat die Firma die „Microsoft Advanced Patrol Platform“ (MAPP) als White-Label-Lösung für ein mit dem „Internet der Dinge“ verbundenes Streifenfahrzeug auf den Markt gebracht. Diese integriert Überwachungssensoren und Inhalte von Datenbanken über die Azure-Cloud. Dazu gehören etwa Abfertigungsinformationen, Fahranweisungen, Aufzeichnungen über Verdächtige und standortbezogene Kriminalitätsdossiers, ein per Sprache steuerbares Kennzeichenlesegerät, eine Vermisstenliste und Schichtberichte.

Eine vom Microsoft-Partner Aeryon Labs bereitgestellte Drohne, der SkyRanger, patrouilliere parallel den Himmel, um Live-Streams zu liefern, ist dem Bericht zu entnehmen. Die unbemannten Fluggeräte könnten der Datenplattform Luftaufnahmen zur Verfügung stellen, die es den Beamten auch ermöglichten, forensische Beweise von einem Tatort zu sammeln. An die MAPP könnten zudem Polizeiroboter etwa von ReconRobotics angeschlossen und ferngesteuert werden. Ein so hochgerüsteter Wagen wird laut Microsoft zum „Nervenzentrum“ der Strafverfolgung. Dank Kooperation und kritischer Infrastruktur aus Redmond biete „eine Schattenindustrie kleinerer Firmen der Staatsmacht weitere breite Überwachungsfunktionen, arbeitet der Verfasser heraus. Genetec etwa biete so eine Cloud-basierte Videoüberwachung und Big-Data-Analysen an, Veritone Dienste zur automatisierten Gesichtserkennung. In Chicago deckten so 35.000 Kameras die Stadt ab. Detroit ermuntere seine Einwohner, ein „grünes Licht“ neben installierte elektronische Augen zu stellen, die mit einem polizeilichen Analysezentrum verknüpft seien. Bei der dort ebenfalls erfolgenden biometrischen Erkennung passieren aber Fehler.

Widerstand in eigenen Reihen

Vorigen Monat baten Hunderte von Microsoft-Mitarbeitern ihren Chef Satya Nadella, Verträge mit Strafverfolgungsbehörden zu kündigen und Black Lives Matter zu unterstützen. Der Konzern kündigte daraufhin an, keine eigenen Programme zur Gesichtserkennung an die US-Polizei verkaufen zu wollen. Dabei handelt es sich dem Bericht nach aber um einen PR-Trick, da die Technik fester Bestandteil vieler Videoüberwachungssysteme und Kriminalitätszentren sei, die Microsoft in mehreren US-Städten betreibe. Das volle Ausmaß des Einbezugs des Unternehmen in den Polizeikomplex sei kaum auszuloten, da es Cloud-Deals mit Drittparteien nicht immer öffentlich mache. In Redmond wollte die Zusammenschau keiner kommentieren.

06.07.2020

Bundeskartellamt: Smart-TV-Hersteller verstoßen massiv gegen die DSGVO

Vernetzte Fernsehgeräte sammeln oft ohne Wissen der Betroffenen intime Nutzungsdaten, haben die Wettbewerbshüter festgestellt. An der IT-Sicherheit hapere es. Das Bundeskartellamt hat schwere Mängel beim Datenschutz und der IT-Sicherheit bei vernetzten Fernsehgeräten ausgemacht und fordert von den Herstellern umfangreiche Nachbesserungen. Sie verweisen zudem auf weitere Probleme wie „die Rechtmäßigkeit von Werbeeinblendungen im TV-Portal“. Insgesamt hätten die in Deutschland aktiven Smart-TV-Hersteller fast durchgehend schwerwiegende Transparenzmängel rund um die Privatsphäre der Verbraucher. Damit verstießen sie massiv gegen die Datenschutz-Grundverordnung.

Die Geräte können laut der “ Sektoruntersuchung Smart-TVs “ vielfältig personenbezogene elektronische Spuren erheben. So könnten etwa das generelle Fernsehverhalten einer Person, ihre App-Nutzung, ihr Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte erfasst und ausgewertet werden.

Dass die Hersteller solch intime Nutzungsdaten sammeln und etwa für personalisierte Werbung verwenden, könne der Verbraucher meist erst verhindern, indem er Einstellungen an seinem Fernsehgerät ändert und sich durch zahlreiche Menüs hangelt. Sich über die Datenschutzbestimmungen bereits vor dem Kauf zu informieren, sei oft nicht oder nur mit großem Aufwand möglich. Bei der Ersteinrichtung fügten sich die meisten Kunden zudem den angezeigten Bedingungen, da sie dazu keine Alternative sähen. Für die Käufer sei meist nicht nachvollziehbar, dass die Datenschutzbestimmungen „für eine Vielzahl von Diensten und Nutzungsprozessen gelten sollen“. Die Verbraucher erführen nicht zuverlässig, welche personenbezogenen Daten verarbeitet, für wie lange gespeichert und an Dritte übermittelt werden. Etliche Hersteller gewährleisten zudem nicht, dass der Standard der Geräte für IT-Sicherheit auch in den Jahren nach dem Kauf durch Software-Aktualisierungen aufrechterhalten wird; dazu mache kein Unternehmen verbindliche Angaben. Für die Verbraucher sei diese Information aber unerlässlich, „um einschätzen zu können, wie lange sie das Gerät uneingeschränkt gefahrlos verwenden können“.

Forderungen an die Politik

Das Bundeskartellamt fordert, dass Nutzer besser und zielgerichteter „über die Möglichkeit zur extensiven Datensammlung und -verarbeitung“ durch alle Geräte im Internet der Dinge aufgeklärt werden. Die Unternehmen sollten notwendige Informationen klarer und einfacher vermitteln müssen. Anwendern sollte es leichter gemacht werden, Datenschutzstandards schon vor dem Kauf etwa durch eingängige Bildsymbole zu berücksichtigen. Nötig sei zudem ein „klarer gesetzlich geregelter Anspruch des Verbrauchers auch gegenüber dem Hersteller auf Software-Updates“. Der Gesetzgeber solle auch Haftungsfragen beim Zusammenspiel der verschiedenen Akteure im Bereich des „Internet of Things“ (IoT) klären, meint die Wettbewerbsbehörde.

Die Ermittlungen betrafen rund 20 Anbieter, die in Deutschland internetfähige Fernsehgeräte unter eigenen Marken absetzen.

02.07.2020

Massive Sicherheitsprobleme durch offene Git-Repositorys

In Deutschland sind Git-Repositorys auf zehntausenden Servern ungeschützt per Webbrowser zugänglich. Angreifer haben ein leichtes Spiel und können neben Code auch Zugangs- und Nutzerdaten abgreifen.

Zehntausende von Webservern in Deutschland machen Repositorys des Versionskontrollsystems Git per Browser zugänglich. Die Server veröffentlichen dadurch nicht nur aktuellen und überholten Quellcode, sondern publizieren oft auch Konfigurations- und Zugangsdaten. Zu diesem erschreckenden Befund kommen Sicherheitsexperten der „Deutschen Gesellschaft für Cybersicherheit“ aus Flensburg. Die IT-Fachleute suchten deutsche Internetadressen nach öffentlichen Git-Repositorys ab. Unter 6.927.416 gescannten .de-Domains und -Subdomains fanden sie 41.252 betroffene Systeme, in deren Wurzelverzeichnis ein Repository zugänglich ist. Die wahre Zahl betroffener Server liegt wahrscheinlich deutlich höher, weil die Flensburger keine Repositorys in Unterverzeichnissen erfassten. Aufgrund der schieren Zahl von Treffern sah sich die Sicherheitsfirma außer Stande, sämtliche Betroffenen zu kontaktieren. Sie wandte sich stattdessen an die Wochenzeitung Die Zeit und den Norddeutschen Rundfunk, um öffentlich auf die Gefahr hinzuweisen.

In der Tat ist die Liste beeindruckend. Darin finden sich politische Lokalverbände, ebenso wie Projekte namhafte IT-Firmen bis hin zu DAX-Konzernen. Betroffen waren beispielsweise Systeme des Versicherungskonzerns Allianz, des Triebwerksherstellers MTU und des Hosting-Anbieters Host Europe. Das Gros sind allerdings private Homepages sowie Webpräsenzen kleinerer Unternehmen. Wie problematisch die Lücke jeweils ist, hängt vom Einzelfall ab. Stichproben ergaben, dass immer wieder auch Konfigurationsdaten in den Archiven sind, die nicht öffentlich bekannt sein sollten. Sogar Zugangsdaten lassen sich oft finden, darunter Passwörter für Datenbankserver. Spätestens in solchen Fällen können Kundendaten bedroht sein. Das ist umso schlimmer, weil sich betroffene Server weitgehend automatisch erfassen und nach Zugangsdaten durchsuchen lassen. Es gibt sogar spezialisierte Browser-Plug-ins, die vor dem Problem warnen und betroffene Repositorys direkt herunterladen.

Kleiner Fehler, große Wirkung

Verantwortlich ist weder eine Sicherheitslücke von Git, noch eine der Webserver-Software. Stattdessen handelt es sich um klassische Fehlkonfigurationen: Git-Repositorys, genauso wie die Archive anderer Versionskontrollsysteme, sollten sich nicht im Web-Root eines Webservers befinden. Wer sie dennoch dort platziert, muss den Webserver entsprechend konfigurieren, um die Archive zu schützen – was die genannten Firmen inzwischen getan haben. Eigentlich sollte all das hinlänglich bekannt sein. Schon 2015 warnte das Projekt Internetwache.org vor derart fehlkonfigurierten Servern. Offenbar hat sich deren Warnung bei vielen deutschen Systemadministratoren noch nicht herumgesprochen.

Gegenmaßnahmen

Betroffene sollen den Mangel in jedem Fall schleunigst beheben. Wer sich nicht sicher ist, kann einfach http://meine-domain.de/.git/config im Browser aufrufen. Zeigt der Browser eine Konfigurationsdatei an, ist der Server von dem Problem betroffen. Sie sollten dann entweder das Git-Repository verschieben, sodass es nicht mehr im Web-Root des Servers liegt. Oder Sie konfigurieren den Webserver so, dass Zugriffe auf das Verzeichnis „.git“ unterbunden werden. Directory-Listings zu deaktivieren, ist kein Schutz. Der Webserver liefert dann zwar keine Dateilisten mehr aus, aber gültige URLs lassen sich auch über die interne Struktur von Git-Repositorys konstruieren. Es gibt Tools, die das vollautomatisch erledigen und so ein Repository vollständig herunterladen, ohne auf Dateilisten vom Server angewiesen zu sein. Die Fälle zeigen, dass Sicherheitsprobleme häufig nicht in technischen Finessen begründet liegen, sondern in Konfigurationsfehlern. Unentschuldbar wird es, wenn die Fehler auch noch seit Jahren bekannt und einfach zu beheben sind.

29.05.2020

Bundestag: Pflicht für Verdachtsmeldungen ans BKA und Passwortherausgabe

Das Parlament hat den Gesetzentwurf „zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ in verschärfter Form verabschiedet.

Anbieter von Telemediendiensten wie WhatsApp, Google mit Gmail, Facebook, Tinder & Co. müssen sensible Daten von Verdächtigen wie IP-Adressen und Passwörter künftig an Sicherheitsbehörden herausgeben. Dazu kommt eine Pflicht für Betreiber großer sozialer Netzwerke wie Facebook, TikTok und Twitter, strafrechtlich relevante Inhalte wie Hassbeiträge, Terrorismuspropaganda oder Bedrohungen und Darstellungen sexuellen Kindesmissbrauchs nicht mehr nur zu löschen, sondern parallel unaufgefordert – ebenfalls zusammen mit aussagekräftigen Internetkennungen inklusive Portnummern – ans Bundeskriminalamt (BKA) zu melden.

15.06.2020

Corona-App: Lücken gefunden

Die Corona-App der Bundesregierung braucht eigentlich noch mehr Zeit. „Es besteht noch Nachholbedarf“, so das Fazit der TÜV Informationstechnik. Mitarbeiter der TÜV Informationstechnik (TÜVit), einer auf IT-Sicherheit spezialisierten Tochter des TÜV Nord, prüfen seit knapp zwei Wochen die von der Bundesregierung in Auftrag gegebene Corona-Warn-App auf Sicherheitslücken. Dabei haben sie mehrere Mängel entdeckt und an die Entwickler gemeldet, damit diese die Fehler vor dem Start der App – der für die kommende Woche erwartet wird – beheben können. Eins der gefundenen Sicherheitsprobleme wurde von den TÜV-Prüfern dabei als recht schwerwiegend eingestuft.

Es besteht Nachholbedarf

Im Gespräch äußerte sich TÜVit-Geschäftsführer Dirk Kretzschmar mit Blick auf die bisher bei der Sicherheitsprüfung der Corona-App gesammelten Erfahrungen kritisch über den von der Regierung anvisierten Start-Termin der App nächste Woche. Man hätte sich den 30.06. „oder besser noch etwas später“ als Start-Termin gewünscht, sagte er. Die TÜVit prüft die von SAP und der Deutschen Telekom entwickelte App im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken und Verstöße gegen die zugesicherten Privatsphäre-Garantien des Apple/Google-Contact-Tracing-API und der App-Entwickler. Schon als noch eine App in Zusammenarbeit mit der PEPP-PT-Initiative angedacht war, hatte Kretzschmar im Namen seiner Firma dem BSI ein Angebot unterbreitet, diese App kostenfrei auf Sicherheitslücken zu prüfen. Dieses Angebot sei zu diesem Zeitpunkt allerdings abgelehnt worden. Im Zuge der Neuentwicklung der App durch SAP und Telekom habe die TÜVit ihr Angebot noch mal erneuert und das BSI sei schließlich darauf eingegangen. Allerdings sei die vom TÜV vorgeschlagene Prüfdauer von vier Wochen auf eine Woche eingedampft worden, so Kretzschmar. Man habe es dann geschafft, eine zweite Woche dranzuhängen. Im Gespräch mit dem TÜVit-Chef klang aber trotzdem deutlich durch, dass die Corona-Warn-App durchaus noch etwas mehr Test-Zeit hätte gebrauchen können. „Es besteht noch Nachholbedarf“, so Kretzschmar.

TAN-Sicherheitslücke

Das gravierendste von den TÜV-Prüfern entdeckte Sicherheitsproblem besteht mit den TANs, die Patienten in die App eingeben können, um zu bestätigen, dass sie positiv auf SARS-CoV-2 getestet wurden. Nach Bestätigung einer positiven Diagnose kann ein App-Nutzer den Prozess anstoßen, mit dem seine Diagnose-Schlüssel über das Apple/Google-API an den Backend-Server der App übermittelt werden. Dadurch laden dann die Apps aller anderen Nutzer diese Schlüssel herunter und prüfen, ob ihr Anwender mit dem als positiv getesteten Anwender Kontakt hatte. Der Algorithmus, mit dem diese TANs generiert wurden, war relativ leicht zu knacken, so dass sich jeder solche TANs beliebig hätte erstellen können. Damit hätte man sich dann fälschlich als positiv getestet ausgeben können. Diese Sicherheitslücke hätte ein katastrophales Ergebnis auf den Betrieb der Corona-Warn-App haben können. Zuerst einmal ist zu befürchten, dass viele falsch-positive Diagnose-Schlüssel beim Runterladen auf alle Geräte im Netzwerk mindestens temporär zum Zusammenbruch der App-Infrastruktur geführt hätten. Außerdem wären viele Nutzer dann wohl mit falsch-positiven Warnungen auf eine mögliche Infektion und dem Gesuch, sich selbst unter Quarantäne zu stellen, konfrontiert worden, was wahrscheinlich zu einem Verlust des öffentlichen Vertrauens in die Corona-Warn-App geführt hätte. Ein solcher Angriff wäre wahrscheinlich nur koordiniert von einer Gruppe von Angreifern durchzuführen, da man ja nicht nur eine positive Diagnose fälschen, sondern sein Smartphone auch noch in Bluetooth-Reichweite von möglichst vielen anderen Geräten bringen muss. Trotzdem wäre es denkbar, dass sich Teile der Bevölkerung, welche die App sabotieren wollen, sich zu so einem Angriff zusammenschließen, sobald die entsprechende Sicherheitslücke bekannt geworden wäre. Immerhin warnen Kritiker des von DP3-T vorgeschlagenen und von Apple und Google umgesetzten Contact-Tracing-Models seit Monaten vor genau diesem Angriffsvektor.

Große Teile der App sind ungeprüft

Die TAN-Lücke und weitere von der TÜVit gefundene Probleme können die SAP- und Telekom-Entwickler hoffentlich vor Erscheinen der App beheben. Allerdings, sagte uns Dirk Kretzschmar, sind weite Teile der App-Infrastruktur außerhalb des Prüfauftrags seiner Mitarbeiter. Das Server-Backend und die von Apple und Google in ihren Betriebssystemen bereitgestellten Funktionen werden gar nicht geprüft. Auch die Verschlüsselung der SQLCipher-Bibliothek, welche die von der App auf dem Gerät gespeicherten Daten schützt, schauen sich die TÜV-Prüfer nicht an. Ein Penetration-Test dieser Verschlüsselung ginge „in Richtung Tiefenprüfung, welche wir durchführen können, wenn dies verlangt würde“, sagte Kretzschmar. Momentan sei eine solche Tiefenprüfung allerdings nicht Teil des Testauftrags. Solche Tests wären im aktuellen, von der Regierung bestimmten, Zeitplan allerdings auch arg unrealistisch, wenn sie gründlich durchgeführt werden sollen – jedenfalls legt das unsere Erfahrung mit ähnlichen Pentest-Unternehmungen nahe. Aktuell prüft die TÜVit nur die von den SAP- und Telekom-Entwicklern selbst umgesetzten Schutzmaßnahmen. Kretzschmar äußerte sich aber nicht nur kritisch zum Zeitplan der App-Veröffentlichung, sondern zeigte sich auch unzufrieden über das Vorgehen der Source-Code-Veröffentlichung im Rahmen des Corona-App-Projektes. Er bezeichnete es als „gewagtes Vorgehen“, den Quellcode der Open-Source-App vor der eingehenden Sicherheitsprüfung durch die TÜVit öffentlich zu machen. Das führe dazu, dass seine Mitarbeiter quasi im öffentlichen Wettkampf mit potenziellen Angreifern stünden, die über GitHub parallel ebenfalls Zugriff auf den Quellcode der App hätten. Die Mitarbeiter des TÜV-Teams müssen aufgrund des engen Zeitplans der Entwicklung der Corona-Warn-App ja so oder so schon ein bewegtes Ziel testen, da die App noch nicht fertig ist und ständig weiterentwickelt wird. Den TÜV-Prüfern wäre es da wohl lieber gewesen, diese Arbeit erst mal hinter verschlossenen Türen in Ruhe zu erledigen und den Quellcode der App danach der Öffentlichkeit zugänglich zu machen.

Privatsphäre unter die Lupe genommen

Die größte Sorge vieler potenzieller Anwender der Corona-Warn-App ist sicherlich die Frage nach der Privatheit ihrer Daten. Auf die Privatsphäre der App angesprochen, äußerte sich Kretzschmar recht zuversichtlich. Bisher sieht es wohl so aus, als ob die Corona-App in dieser Hinsicht das hält, was die Regierung versprochen hat. Tracking-Technologien, die über das im Apple/Google-API umgesetzte hinausgehen, habe man nicht gefunden, so der TÜVit-Chef. Auch leakt die App anscheinend keine Nutzerdaten nach außen. Bei diesen Ergebnissen muss man allerdings beachten, dass sie als vorläufig anzusehen sind, da mit dem Ende des TÜV-Prüfauftrags die Entwicklung der Corona-Warn-App mitnichten abgeschlossen ist. Kretzschmar signalisierte, dass der TÜV auch für weitere Tests zur Verfügung stehe. Es sei ihm wichtig, das Vertrauen der Bürger in diese kritische App zu stärken. Aus diesem Grunde habe man schließlich auch, als unabhängige Prüfinstanz, angeboten, die App kostenlos zu testen. Zahlende TÜV-Kunden hätten deswegen hintanstehen müssen. Das Verständnis dafür sei im Großen und Ganzen aber sehr ausgeprägt gewesen. „Jeder versteht, wie wichtig diese App gerade ist“, sagte Kretzschmar. Eine große Akzeptanz in der Bevölkerung sei unabdingbar dafür, dass die App funktioniere. Und für eine solche Akzeptanz sorge nur eine gründliche Sicherheitsprüfung durch eine unabhängige Instanz wie den TÜV oder DEKRA.