Datendesaster-Report: Die größten Datenschutz-Flops des Jahres 2014

Kein Beitragsbild

Lars Sobiraj

Ich habe mir über die Jahre stets eine gesunde Portion Neugier in...

Unsere Welt wird jedes Jahr ein bisschen mehr von Technik beherrscht. Fielen Daten früher nur vereinzelt in Computern an, so leben wir mehr und mehr in einer Welt, wo alles smart, intelligent und vor allem vernetzt sein soll. Es begann mit den Smartphones, geht weiter mit den modernen Armbanduhren und endet im Haushalt, auf der Straße, bei der Arbeit, im Urlaub – einfach überall. Im Zuge der vielen neuen Möglichkeiten Daten zu sammeln und auszuwerten, müsste es entsprechende Gesetze geben, die uns beschützen. Leider gibt es kein gesetzliches Gegengewicht zur Sammelleidenschaft der Unternehmen. Daran wird sich wohl auch in Zukunft wenig ändern.

privacy-policy-510731_640

Daneben scheinen juristische Grundlagen für die Mitarbeiter einiger Geheimdienste schlichtweg nicht zu existieren. Selbst Telekommunikationsanbieter werden systematisch gehackt, um ihre Nutzer auszuhorchen. Wegen angeblich fehlender Beweise wird nicht einmal Strafanzeige gestellt. Das ist das Ende vom Lied? Im Gegenteil: Big Data eröffnet den Agenten Möglichkeiten, auf die selbst der Autor von 1984 nicht gekommen wäre. Die Datenmenge des digitalen Universums steigt allerdings kontinuierlich weiter an. 2020 soll es nach ersten Einschätzungen ein Datenvolumen von 40 Zettabyte geben, das meiste davon kann noch nicht bearbeitet werden. Die NSA erbaut ständig neue gigantische Datenzentren, um derartige Massen auf Knopfdruck in den Griff zu kriegen.

datacenter-286386_640 (1)

Schauen wir mit mehr als einem leichten Kopfschütteln zurück auf die größten Datendesaster des Jahres 2014.

NSA: Datenschutzbeauftragte eingestellt

Bereits im September 2013 hatte Präsident Obama angekündigt, der militärische Geheimdienst NSA müsse mehr für seine Transparenz und seinen Ruf tun. Bei geschätzten 40.000 Mitarbeitern zuzüglich zu allen Freien und bei Fremdfirmen beschäftigten Personen wurde im Februar des Vorjahres erstmals eine einzelne Datenschutzbeauftragte eingestellt. Rebecca Richards kommt vom Ministerium für Inlandsicherheit und gilt ohne Frage als Expertin ihres Fachs. Die in kurzen Abständen veröffentlichten Dokumente des Whistleblowers Edward Snowden, früher selbst im Auftrag der NSA tätig, haben das Vertrauen der US-Bürger in ihren militärischen Geheimdienst nachhaltig gestört. Obama glaubt, er könne durch diese Personalentscheidung das Vertrauen wieder herstellen. Es bleibt allerdings nebulös, wie es einer einzelnen Person gelingen soll, die Strategie einer derart großen Organisation zu beeinflussen. Zumindest gibt es dort jetzt jemanden, der sich offiziell um die Einhaltung der Bürgerrechte und den Datenschutz kümmert. Das war davor nicht der Fall.

gloves-415390_1280

Safe Harbor – viel Wind um nichts

Das Thema Safe Harbor hat im Vorjahr diverse Politiker aus ganz Europa beschäftigt. Mitte Januar forderten Abgeordnete des EU-Parlaments aus wirklich allen Reihen, dass das Datenschutzabkommen Safe Harbor mit den USA ausgesetzt werden soll. Kritisiert wurde nicht nur die massenhafte Überwachung unserer Bürger durch US-Geheimdienste, wie die Dokumente von Edward Snowden immer wieder belegen. Die EU-Parlamentarier forderten auch mehr Transparenz von den US-Konzernen, die mehrfach bei der Schnüffelei ihrer Geheimdienste behilflich waren. Gegen Bezahlung, versteht sich.

Kennst du unser E-Book-Bundle? Spare jetzt 6,99 €!

E-Book Bundle von Andreas Hecht

Bei der Forderung blieb es dann auch. Im Oktober wurde eine Ankündigung des Stopps wiederholt, diesmal von Andrus Ansip, dem Vizepräsidenten der EU-Kommission.

digital-388075_640

Ein Arbeitspapier für 2015 veröffentlichen nicht etwa die Politiker selbst, die ja für mehr Transparenz eintreten solange es um Dritte geht. Das Programm für 2015 publizierte die internationale Vereinigung von Bürgerrechtsorganisationen EDRi. Die Pläne zeigen, dieses Jahr könnte spannend werden, weil sich die EU-Politiker endgültig auf eine gemeinsame Reform des Datenschutzes einigen wollen. Bleibt abzuwarten, ob es auf Dauer mal wieder bei der reinen Absichtserklärung bleibt.

Zur Erklärung: Safe Harbor (engl. „Sicherer Hafen“) ist eine Entscheidung der Europäischen Kommission. Die US-Firmen, die diesem Pakt beitreten, dürfen auch personenbezogene Daten von EU-Bürgern in die USA übermitteln, um sie dort auszuwerten. Als Facebook-Kritiker Max Schrems von der irischen Datenschutzbehörde die Kriterien der Datenweitergabe prüfen lassen wollte, teilten diese mit, sie wollen lieber gar nichts tun. Man habe die eigene Aufsichtspflicht bereits im vollen Umfang erfüllt und sei zur Auffassung gelangt, dass alles rechtens sei. Als Grund gab man unter anderem an, im Abkommen, welches im Jahr 2000 unterzeichnet wurde, wurde der Begriff „nationale Sicherheit“ verwendet. Auch Snowdens Prism-Enthüllungen würden daran nichts ändern, gab man zur Antwort.

Das Vorgehen der irischen Datenschutzkommission in Portarlington kann man leicht nachvollziehen, wenn man sich die Gegebenheiten genauer anschaut.

Pro Jahr werden dort rund 40.000 Anträge eingereicht, die ganze 22 Mitarbeiter beantworten sollen. Das winzige Büro wurde mitten in der Pampas neben einem Lebensmittelgeschäft untergebracht. Offenbar gibt es dort nicht einmal einen Juristen.

Irische_Datenschutzbehoerde
Bildquelle: Google Street View

Facebook & WhatsApp oder die Fusion zweier Datenkraken

Im Februar 2014 wurde die Verschmelzung zweier Unternehmen mit einer ausgeprägten Sammelleidenschaft vollzogen. Facebook holte sich mit dem Deal den Erzrivalen WhatsApp ins Boot. Mark Zuckerberg wollte damit alle inaktiven Jugendlichen wieder zu seinen eigenen Diensten zurückholen. Facebook gilt bei den jüngeren Anwendern zunehmend als uncool, weil sich dort ihre Eltern und diverse Silver-Surfer tummeln. Zuckerberg war die Fusion insgesamt 19 Milliarden Dollar wert, obwohl die übernommene Softwareschmiede in fünf Jahren nur eine einzige App entwickelt hat.

whatsapplanding

Ehrlich gesagt, hatte die Übernahme auch Vorteile, so hat sich bei der plattformübergreifenden Nachrichten-App seit Februar 2014 viel in Sachen IT-Sicherheit getan. Vor der Fusion war WhatsApp mehrfach negativ aufgefallen, weil man bekannte Sicherheitslücken einfach nicht geschlossen hat. Das wird sich unter der Führung von Facebook wahrscheinlich nicht wiederholen.

Europäischer Gerichtshof kassierte Vorratsdatenspeicherung ein

Der Gerichtshof der Europäischen Union hat im April 2014 die Vorratsdatenspeicherung in der jetzigen Fassung für ungültig erklärt. Der Eingriff der Richtlinie in die Grundrechte und der Privatsphäre der Bürger sei nicht mit geltendem Recht vereinbar. Dennoch gibt es sie noch immer in Frankreich und in zahlreichen anderen EU-Staaten.

clause-67401_640

Die Vorhaltung der französischen Verkehrsdaten für 12 Monate konnte leider nicht den kürzlich verübten Anschlag in Paris verhindern. Leider hält das aktuell kaum jemanden in der Bundesregierung davon ab, lautstark eine Wiedereinführung der Vorratsdatenspeicherung zu fordern. Man wird sehen, wann die EU eine neue Richtline erlässt, die auch von den obersten Richtern akzeptiert wird. Spannend bleibt auch die Frage, ob man in Berlin wirklich so lange warten will. Momentan sieht es nicht danach aus.

Heartbleed & Poodle: Verschlüsselung geknackt

Bislang glaubten viele, solange man das Schloss-Symbol im Browser sieht, ist man aufgrund der verschlüsselten Verbindung sicher. Im Laufe des letzten Jahres wurden gleich zwei schwerwiegende Probleme bekannt, mit denen man verschlüsselte Verbindungen aushebeln konnte, um die Surfer abzuhören. So war es sowohl Cyberkriminellen als auch den Geheimdiensten möglich, jeden Tastendruck bei der Eingabe der Kreditkarte, beim Online-Banking oder Shopping im Web zu beobachten. Auch wenn Heartbleed und Poodle gefixt wurden, im Internet ist man niemals sicher. Selbst dann nicht, wenn man eine verschlüsselte Verbindung nutzt. Es dürfte noch ein wenig dauern, bis die Konsumenten der Technologie wieder völlig vertrauen. Das kann man immerhin als einen Vorteil der beiden Lücken ansehen. Eine gesunde Portion Misstrauen hat beim Umgang mit sensiblen Daten noch nie geschadet.

heartbleed

TrueCrypt verschwindet mit einem lauten Knall

Aus und vorbei, die Verschlüsselungssoftware Truecrypt gibt es nicht mehr. Im Mai wurde auf der Webseite des Projekts eine schwer nachvollziehbare Mitteilung an die Nutzer ausgegeben. Truecrypt sei plötzlich nicht mehr sicher, heißt es dort. Stattdessen wird einem empfohlen, die Software eines Unternehmens zu nutzen, welches nachweislich mehrfach mit den Geheimdiensten kooperiert hat.

Worum geht es? Mit TrueCypt kann man ganze Festplatten oder einzelne Partitionen verschlüsseln oder einen unsichtbaren Teilbereich einrichten, in dem Daten versteckt werden können. Die Verschwörungstheoretiker kamen gar nicht mehr zur Ruhe. Die in der Ankündigung erwähnte Sicherheitslücke wurde niemals festgestellt.

truecrypt

Für die Warnung der Entwickler gibt es keinen nachvollziehbaren Grund. Am wahrscheinlichsten ist es aber, dass die Autoren von TrueCrypt einen sogenannten National Security Letter erhalten haben. Den Geheimdiensten war das Programm TrueCrypt schon seit langer Zeit ein Dorn im Auge. Wer ein ausreichend kompliziertes und langes Passwort auswählt, kann sicher sein, dass seine Daten privat bleiben.

Eine Regierungsbehörde oder das FBI könnten die Projektmitarbeiter durch den National Security Letter zu absolutem Stillschweigen verpflichtet haben. Das würde zumindest erklären, warum in der Abschiedserklärung ausgerechnet BitLocker von Microsoft angepriesen wird, wo der Konzern doch häufiger in der Kritik stand, gegen Bezahlung mit der NSA oder anderen Geheimdiensten kooperiert zu haben.

Wer dem Braten nicht traut, kann die letzte funktionierende Version von Truecrypt.ch oder beispielsweise die Weiterentwicklung VeraCrypt verwenden, die zumindest teilweise mit dem Vorgänger kompatibel ist.

Neue Herausforderung für den Datenschutz: das „Connected Car“

Autos werden in steigendem Maße Daten über sich selbst und ihre Passagiere erzeugen, um diese mit externen Systemen auszutauschen. Unter dem Stichwort „Connected Car“ werden Fahrzeuge entwickelt, die sich mit dem Internet verbinden können. Es wird sich dabei um gewaltige Datenmengen handeln, an denen nicht nur PR-Agenturen und Marktforscher, sondern auch diverse Behörden interessiert sind. Die Informationen sind sehr detailliert. Wer Gewalt über die Daten der smarten PKWs hat, der weiß Bescheid über erreichte Geschwindigkeiten, das Brems- und Fahrverhalten des Fahrers, alle Routen und viele weitere Angaben. Über Begehrlichkeiten derartiger Daten berichtete Kollege Dieter Petereit schon im Jahr 2011, als der Navigationsgeräte-Hersteller TomTom die erreichten Geschwindigkeiten und Routen seiner Nutzer an die dortige Polizei verkauft hatte.

vehicleswithcircleshighway-660
Bildquelle: U.S. Verkehrsministerium

Die modernen internetfähigen Fahrzeuge würden den Ermittlern aber weitaus mehr bieten. So könnten sie auch in Erfahrung bringen, welche Musik-CDs aufgelegt oder Radiosender sich der Nutzer angehört hat. Auch die Abfrage des kompletten Bewegungsprofils seit Kauf des Fahrzeugs wäre kein Problem mehr. Im August 2014 kündigte Bundesjustizminister Heiko Maas an, er wolle die Fahrzeughersteller als Nutznießer der ungelösten Problematik endlich in die Pflicht nehmen. Ein gläserner Autofahrer sei vom Gesetzgeber nicht gewollt. Passiert ist bislang aber noch nichts.

Google erweitert ständig seine Geschäftsfelder

Ein leidenschaftlicher Vertreter unter den Datensammlern ist auch Google. Schon im Juni 2014 gründete das Unternehmen die OAA (Open Automotive Alliance). Deren Ziel ist es, gemeinsam mit führenden Herstellern von Fahrzeugen, Entertainment-Systemen und sonstiger Hardware eigene Android-Plattformen für Automobile zu entwickeln. Mitglieder sind neben Alpine, Clarion, LG, Fujitsu, Nvidia, Panasonic und Pioneer auch das Who is Who der Autobranche.

Android_Auto

Schon seit Jahren besitzt Google eine enorme Marktmacht im Smartphone-Bereich, wo eine ähnliche Firmenallianz am Anfang stand. Doch Google drang auch in den Heimbereich ein. Seit der Übernahme von Nest Labs sammelt Google Daten auch direkt in privaten Haushalten. Mit den Geräten von Nest können die Daten von vernetzten Thermostaten und Rauchmeldern abgezapft werden. Das nächste Ziel in greifbarer Nähe sind dann intelligente PKWs, die ebenfalls ständig online sind.

Man denke nur daran wie genau man jemanden beobachten könnte, würde man die gesammelten Informationen aller Geschäftsbereiche von Google miteinander verknüpfen. Um nur ein paar Beispiele zu nennen: Google stellt Chrome zur Verfügung, einen der drei großen Browser. Dazu kommt ein weitverzweigtes Werbenetz, Google Analytics, die Suchmaschine und last, but not least die Informationen, die auf allen Android-Geräten eingesammelt werden.

Facebook: Gesichtserkennung perfektioniert

Facebook hat eine eigene Software zur Erkennung seiner Nutzer entwickelt, die den menschlichen Fähigkeiten in nichts nachsteht. Diese wurde im Juni auf einer Fachkonferenz vorgestellt. DeepFace identifiziert Facebook-Nutzer anhand ihrer biometrischen Daten mit einer Genauigkeit von über 97 Prozent. Bisher haben ungünstige Winkel oder schlechte Lichtverhältnisse verhindert, dass Algorithmen Personen eindeutig zuordnen konnten. Die Problematik wird nun mithilfe eines 3D-Modells des Gesichts gelöst. Damit ist die Gesichtserkennung jetzt so effektiv wie die eines Menschen. In Europa hatte Facebook die automatische Gesichtserkennung in Bildern nach der Kritik von Datenschützern vorerst aufgegeben, unter anderem in den USA ist sie weiter verfügbar.

cat-606532_640

Unser Desaster-Report kommt damit zum Ende, obwohl man die Reihe der Ereignisse noch ewig fortsetzen könnte. Hier beim Datenschutz-Blog gibt es eine schöne Übersicht, was wann im Detail passiert ist. Dort kann man das Jahr in allen widerlichen Details Revue passieren lassen.

Ihr Highlight beziehungsweise Tiefpunkt von 2014 hat in unserem Bericht gefehlt? Her damit! Über einen Kommentar inklusive Link würden wir uns freuen.

(dpe)

Lars Sobiraj

Ich habe mir über die Jahre stets eine gesunde Portion Neugier in Bezug auf alles Unbekannte erhalten können und hoffe, dass diese niemals nachlassen wird.

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

Benachrichtige mich zu:
avatar
wpDiscuz