Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
Lars Sobiraj 29. Januar 2015

Datendesaster-Report: Die größten Datenschutz-Flops des Jahres 2014

Unsere Welt wird jedes Jahr ein biss­chen mehr von Technik beherrscht. Fielen Daten frü­her nur ver­ein­zelt in Computern an, so leben wir mehr und mehr in einer Welt, wo alles smart, intel­li­gent und vor allem ver­netzt sein soll. Es begann mit den Smartphones, geht wei­ter mit den moder­nen Armbanduhren und endet im Haushalt, auf der Straße, bei der Arbeit, im Urlaub – ein­fach über­all. Im Zuge der vie­len neu­en Möglichkeiten Daten zu sam­meln und aus­zu­wer­ten, müss­te es ent­spre­chen­de Gesetze geben, die uns beschüt­zen. Leider gibt es kein gesetz­li­ches Gegengewicht zur Sammelleidenschaft der Unternehmen. Daran wird sich wohl auch in Zukunft wenig ändern.

privacy-policy-510731_640

Daneben schei­nen juris­ti­sche Grundlagen für die Mitarbeiter eini­ger Geheimdienste schlicht­weg nicht zu exis­tie­ren. Selbst Telekommunikationsanbieter wer­den sys­te­ma­tisch gehackt, um ihre Nutzer aus­zu­hor­chen. Wegen angeb­lich feh­len­der Beweise wird nicht ein­mal Strafanzeige gestellt. Das ist das Ende vom Lied? Im Gegenteil: Big Data eröff­net den Agenten Möglichkeiten, auf die selbst der Autor von 1984 nicht gekom­men wäre. Die Datenmenge des digi­ta­len Universums steigt aller­dings kon­ti­nu­ier­lich wei­ter an. 2020 soll es nach ers­ten Einschätzungen ein Datenvolumen von 40 Zettabyte geben, das meis­te davon kann noch nicht bear­bei­tet wer­den. Die NSA erbaut stän­dig neue gigan­ti­sche Datenzentren, um der­ar­ti­ge Massen auf Knopfdruck in den Griff zu krie­gen.

datacenter-286386_640 (1)

Schauen wir mit mehr als einem leich­ten Kopfschütteln zurück auf die größ­ten Datendesaster des Jahres 2014.

NSA: Datenschutzbeauftragte eingestellt

Bereits im September 2013 hat­te Präsident Obama ange­kün­digt, der mili­tä­ri­sche Geheimdienst NSA müs­se mehr für sei­ne Transparenz und sei­nen Ruf tun. Bei geschätz­ten 40.000 Mitarbeitern zuzüg­lich zu allen Freien und bei Fremdfirmen beschäf­tig­ten Personen wur­de im Februar des Vorjahres erst­mals eine ein­zel­ne Datenschutzbeauftragte ein­ge­stellt. Rebecca Richards kommt vom Ministerium für Inlandsicherheit und gilt ohne Frage als Expertin ihres Fachs. Die in kur­zen Abständen ver­öf­fent­lich­ten Dokumente des Whistleblowers Edward Snowden, frü­her selbst im Auftrag der NSA tätig, haben das Vertrauen der US-Bürger in ihren mili­tä­ri­schen Geheimdienst nach­hal­tig gestört. Obama glaubt, er kön­ne durch die­se Personalentscheidung das Vertrauen wie­der her­stel­len. Es bleibt aller­dings nebu­lös, wie es einer ein­zel­nen Person gelin­gen soll, die Strategie einer der­art gro­ßen Organisation zu beein­flus­sen. Zumindest gibt es dort jetzt jeman­den, der sich offi­zi­ell um die Einhaltung der Bürgerrechte und den Datenschutz küm­mert. Das war davor nicht der Fall.

gloves-415390_1280

Safe Harbor – viel Wind um nichts

Das Thema Safe Harbor hat im Vorjahr diver­se Politiker aus ganz Europa beschäf­tigt. Mitte Januar for­der­ten Abgeordnete des EU-Parlaments aus wirk­lich allen Reihen, dass das Datenschutzabkommen Safe Harbor mit den USA aus­ge­setzt wer­den soll. Kritisiert wur­de nicht nur die mas­sen­haf­te Überwachung unse­rer Bürger durch US-Geheimdienste, wie die Dokumente von Edward Snowden immer wie­der bele­gen. Die EU-Parlamentarier for­der­ten auch mehr Transparenz von den US-Konzernen, die mehr­fach bei der Schnüffelei ihrer Geheimdienste behilf­lich waren. Gegen Bezahlung, ver­steht sich.

Bei der Forderung blieb es dann auch. Im Oktober wur­de eine Ankündigung des Stopps wie­der­holt, dies­mal von Andrus Ansip, dem Vizepräsidenten der EU-Kommission.

digital-388075_640

Ein Arbeitspapier für 2015 ver­öf­fent­li­chen nicht etwa die Politiker selbst, die ja für mehr Transparenz ein­tre­ten solan­ge es um Dritte geht. Das Programm für 2015 publi­zier­te die inter­na­tio­na­le Vereinigung von Bürgerrechtsorganisationen EDRi. Die Pläne zei­gen, die­ses Jahr könn­te span­nend wer­den, weil sich die EU-Politiker end­gül­tig auf eine gemein­sa­me Reform des Datenschutzes eini­gen wol­len. Bleibt abzu­war­ten, ob es auf Dauer mal wie­der bei der rei­nen Absichtserklärung bleibt.

Zur Erklärung: Safe Harbor (engl. „Sicherer Hafen“) ist eine Entscheidung der Europäischen Kommission. Die US-Firmen, die die­sem Pakt bei­tre­ten, dür­fen auch per­so­nen­be­zo­ge­ne Daten von EU-Bürgern in die USA über­mit­teln, um sie dort aus­zu­wer­ten. Als Facebook-Kritiker Max Schrems von der iri­schen Datenschutzbehörde die Kriterien der Datenweitergabe prü­fen las­sen woll­te, teil­ten die­se mit, sie wol­len lie­ber gar nichts tun. Man habe die eige­ne Aufsichtspflicht bereits im vol­len Umfang erfüllt und sei zur Auffassung gelangt, dass alles rech­tens sei. Als Grund gab man unter ande­rem an, im Abkommen, wel­ches im Jahr 2000 unter­zeich­net wur­de, wur­de der Begriff „natio­na­le Sicherheit“ ver­wen­det. Auch Snowdens Prism-Enthüllungen wür­den dar­an nichts ändern, gab man zur Antwort.

Das Vorgehen der iri­schen Datenschutzkommission in Portarlington kann man leicht nach­voll­zie­hen, wenn man sich die Gegebenheiten genau­er anschaut.

Pro Jahr wer­den dort rund 40.000 Anträge ein­ge­reicht, die gan­ze 22 Mitarbeiter beant­wor­ten sol­len. Das win­zi­ge Büro wur­de mit­ten in der Pampas neben einem Lebensmittelgeschäft unter­ge­bracht. Offenbar gibt es dort nicht ein­mal einen Juristen.

Irische_Datenschutzbehoerde
Bildquelle: Google Street View

Facebook & WhatsApp oder die Fusion zweier Datenkraken

Im Februar 2014 wur­de die Verschmelzung zwei­er Unternehmen mit einer aus­ge­präg­ten Sammelleidenschaft voll­zo­gen. Facebook hol­te sich mit dem Deal den Erzrivalen WhatsApp ins Boot. Mark Zuckerberg woll­te damit alle inak­ti­ven Jugendlichen wie­der zu sei­nen eige­nen Diensten zurück­ho­len. Facebook gilt bei den jün­ge­ren Anwendern zuneh­mend als uncool, weil sich dort ihre Eltern und diver­se Silver-Surfer tum­meln. Zuckerberg war die Fusion ins­ge­samt 19 Milliarden Dollar wert, obwohl die über­nom­me­ne Softwareschmiede in fünf Jahren nur eine ein­zi­ge App ent­wi­ckelt hat.

whatsapplanding

Ehrlich gesagt, hat­te die Übernahme auch Vorteile, so hat sich bei der platt­form­über­grei­fen­den Nachrichten-App seit Februar 2014 viel in Sachen IT-Sicherheit getan. Vor der Fusion war WhatsApp mehr­fach nega­tiv auf­ge­fal­len, weil man bekann­te Sicherheitslücken ein­fach nicht geschlos­sen hat. Das wird sich unter der Führung von Facebook wahr­schein­lich nicht wie­der­ho­len.

Europäischer Gerichtshof kassierte Vorratsdatenspeicherung ein

Der Gerichtshof der Europäischen Union hat im April 2014 die Vorratsdatenspeicherung in der jet­zi­gen Fassung für ungül­tig erklärt. Der Eingriff der Richtlinie in die Grundrechte und der Privatsphäre der Bürger sei nicht mit gel­ten­dem Recht ver­ein­bar. Dennoch gibt es sie noch immer in Frankreich und in zahl­rei­chen ande­ren EU-Staaten.

clause-67401_640

Die Vorhaltung der fran­zö­si­schen Verkehrsdaten für 12 Monate konn­te lei­der nicht den kürz­lich ver­üb­ten Anschlag in Paris ver­hin­dern. Leider hält das aktu­ell kaum jeman­den in der Bundesregierung davon ab, laut­stark eine Wiedereinführung der Vorratsdatenspeicherung zu for­dern. Man wird sehen, wann die EU eine neue Richtline erlässt, die auch von den obers­ten Richtern akzep­tiert wird. Spannend bleibt auch die Frage, ob man in Berlin wirk­lich so lan­ge war­ten will. Momentan sieht es nicht danach aus.

Heartbleed & Poodle: Verschlüsselung geknackt

Bislang glaub­ten vie­le, solan­ge man das Schloss-Symbol im Browser sieht, ist man auf­grund der ver­schlüs­sel­ten Verbindung sicher. Im Laufe des letz­ten Jahres wur­den gleich zwei schwer­wie­gen­de Probleme bekannt, mit denen man ver­schlüs­sel­te Verbindungen aus­he­beln konn­te, um die Surfer abzu­hö­ren. So war es sowohl Cyberkriminellen als auch den Geheimdiensten mög­lich, jeden Tastendruck bei der Eingabe der Kreditkarte, beim Online-Banking oder Shopping im Web zu beob­ach­ten. Auch wenn Heartbleed und Poodle gefixt wur­den, im Internet ist man nie­mals sicher. Selbst dann nicht, wenn man eine ver­schlüs­sel­te Verbindung nutzt. Es dürf­te noch ein wenig dau­ern, bis die Konsumenten der Technologie wie­der völ­lig ver­trau­en. Das kann man immer­hin als einen Vorteil der bei­den Lücken anse­hen. Eine gesun­de Portion Misstrauen hat beim Umgang mit sen­si­blen Daten noch nie gescha­det.

heartbleed

TrueCrypt verschwindet mit einem lauten Knall

Aus und vor­bei, die Verschlüsselungssoftware Truecrypt gibt es nicht mehr. Im Mai wur­de auf der Webseite des Projekts eine schwer nach­voll­zieh­ba­re Mitteilung an die Nutzer aus­ge­ge­ben. Truecrypt sei plötz­lich nicht mehr sicher, heißt es dort. Stattdessen wird einem emp­foh­len, die Software eines Unternehmens zu nut­zen, wel­ches nach­weis­lich mehr­fach mit den Geheimdiensten koope­riert hat.

Worum geht es? Mit TrueCypt kann man gan­ze Festplatten oder ein­zel­ne Partitionen ver­schlüs­seln oder einen unsicht­ba­ren Teilbereich ein­rich­ten, in dem Daten ver­steckt wer­den kön­nen. Die Verschwörungstheoretiker kamen gar nicht mehr zur Ruhe. Die in der Ankündigung erwähn­te Sicherheitslücke wur­de nie­mals fest­ge­stellt.

truecrypt

Für die Warnung der Entwickler gibt es kei­nen nach­voll­zieh­ba­ren Grund. Am wahr­schein­lichs­ten ist es aber, dass die Autoren von TrueCrypt einen soge­nann­ten National Security Letter erhal­ten haben. Den Geheimdiensten war das Programm TrueCrypt schon seit lan­ger Zeit ein Dorn im Auge. Wer ein aus­rei­chend kom­pli­zier­tes und lan­ges Passwort aus­wählt, kann sicher sein, dass sei­ne Daten pri­vat blei­ben.

Eine Regierungsbehörde oder das FBI könn­ten die Projektmitarbeiter durch den National Security Letter zu abso­lu­tem Stillschweigen ver­pflich­tet haben. Das wür­de zumin­dest erklä­ren, war­um in der Abschiedserklärung aus­ge­rech­net BitLocker von Microsoft ange­prie­sen wird, wo der Konzern doch häu­fi­ger in der Kritik stand, gegen Bezahlung mit der NSA oder ande­ren Geheimdiensten koope­riert zu haben.

Wer dem Braten nicht traut, kann die letz­te funk­tio­nie­ren­de Version von Truecrypt.ch oder bei­spiels­wei­se die Weiterentwicklung VeraCrypt ver­wen­den, die zumin­dest teil­wei­se mit dem Vorgänger kom­pa­ti­bel ist.

Neue Herausforderung für den Datenschutz: das „Connected Car“

Autos wer­den in stei­gen­dem Maße Daten über sich selbst und ihre Passagiere erzeu­gen, um die­se mit exter­nen Systemen aus­zu­tau­schen. Unter dem Stichwort „Connected Car“ wer­den Fahrzeuge ent­wi­ckelt, die sich mit dem Internet ver­bin­den kön­nen. Es wird sich dabei um gewal­ti­ge Datenmengen han­deln, an denen nicht nur PR-Agenturen und Marktforscher, son­dern auch diver­se Behörden inter­es­siert sind. Die Informationen sind sehr detail­liert. Wer Gewalt über die Daten der smar­ten PKWs hat, der weiß Bescheid über erreich­te Geschwindigkeiten, das Brems- und Fahrverhalten des Fahrers, alle Routen und vie­le wei­te­re Angaben. Über Begehrlichkeiten der­ar­ti­ger Daten berich­te­te Kollege Dieter Petereit schon im Jahr 2011, als der Navigationsgeräte-Hersteller TomTom die erreich­ten Geschwindigkeiten und Routen sei­ner Nutzer an die dor­ti­ge Polizei ver­kauft hat­te.

vehicleswithcircleshighway-660
Bildquelle: U.S. Verkehrsministerium

Die moder­nen inter­net­fä­hi­gen Fahrzeuge wür­den den Ermittlern aber weit­aus mehr bie­ten. So könn­ten sie auch in Erfahrung brin­gen, wel­che Musik-CDs auf­ge­legt oder Radiosender sich der Nutzer ange­hört hat. Auch die Abfrage des kom­plet­ten Bewegungsprofils seit Kauf des Fahrzeugs wäre kein Problem mehr. Im August 2014 kün­dig­te Bundesjustizminister Heiko Maas an, er wol­le die Fahrzeughersteller als Nutznießer der unge­lös­ten Problematik end­lich in die Pflicht neh­men. Ein glä­ser­ner Autofahrer sei vom Gesetzgeber nicht gewollt. Passiert ist bis­lang aber noch nichts.

Google erweitert ständig seine Geschäftsfelder

Ein lei­den­schaft­li­cher Vertreter unter den Datensammlern ist auch Google. Schon im Juni 2014 grün­de­te das Unternehmen die OAA (Open Automotive Alliance). Deren Ziel ist es, gemein­sam mit füh­ren­den Herstellern von Fahrzeugen, Entertainment-Systemen und sons­ti­ger Hardware eige­ne Android-Plattformen für Automobile zu ent­wi­ckeln. Mitglieder sind neben Alpine, Clarion, LG, Fujitsu, Nvidia, Panasonic und Pioneer auch das Who is Who der Autobranche.

Android_Auto

Schon seit Jahren besitzt Google eine enor­me Marktmacht im Smartphone-Bereich, wo eine ähn­li­che Firmenallianz am Anfang stand. Doch Google drang auch in den Heimbereich ein. Seit der Übernahme von Nest Labs sam­melt Google Daten auch direkt in pri­va­ten Haushalten. Mit den Geräten von Nest kön­nen die Daten von ver­netz­ten Thermostaten und Rauchmeldern abge­zapft wer­den. Das nächs­te Ziel in greif­ba­rer Nähe sind dann intel­li­gen­te PKWs, die eben­falls stän­dig online sind.

Man den­ke nur dar­an wie genau man jeman­den beob­ach­ten könn­te, wür­de man die gesam­mel­ten Informationen aller Geschäftsbereiche von Google mit­ein­an­der ver­knüp­fen. Um nur ein paar Beispiele zu nen­nen: Google stellt Chrome zur Verfügung, einen der drei gro­ßen Browser. Dazu kommt ein weit­ver­zweig­tes Werbenetz, Google Analytics, die Suchmaschine und last, but not least die Informationen, die auf allen Android-Geräten ein­ge­sam­melt wer­den.

Facebook: Gesichtserkennung perfektioniert

Facebook hat eine eige­ne Software zur Erkennung sei­ner Nutzer ent­wi­ckelt, die den mensch­li­chen Fähigkeiten in nichts nach­steht. Diese wur­de im Juni auf einer Fachkonferenz vor­ge­stellt. DeepFace iden­ti­fi­ziert Facebook-Nutzer anhand ihrer bio­me­tri­schen Daten mit einer Genauigkeit von über 97 Prozent. Bisher haben ungüns­ti­ge Winkel oder schlech­te Lichtverhältnisse ver­hin­dert, dass Algorithmen Personen ein­deu­tig zuord­nen konn­ten. Die Problematik wird nun mit­hil­fe eines 3D-Modells des Gesichts gelöst. Damit ist die Gesichtserkennung jetzt so effek­tiv wie die eines Menschen. In Europa hat­te Facebook die auto­ma­ti­sche Gesichtserkennung in Bildern nach der Kritik von Datenschützern vor­erst auf­ge­ge­ben, unter ande­rem in den USA ist sie wei­ter ver­füg­bar.

cat-606532_640

Unser Desaster-Report kommt damit zum Ende, obwohl man die Reihe der Ereignisse noch ewig fort­set­zen könn­te. Hier beim Datenschutz-Blog gibt es eine schö­ne Übersicht, was wann im Detail pas­siert ist. Dort kann man das Jahr in allen wider­li­chen Details Revue pas­sie­ren las­sen.

Ihr Highlight bezie­hungs­wei­se Tiefpunkt von 2014 hat in unse­rem Bericht gefehlt? Her damit! Über einen Kommentar inklu­si­ve Link wür­den wir uns freu­en.

(dpe)

Lars Sobiraj

Ich habe mir über die Jahre stets eine gesunde Portion Neugier in Bezug auf alles Unbekannte erhalten können und hoffe, dass diese niemals nachlassen wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.