Der Skandal, der keiner ist
OK, Steve Jobs mein iPhone weiss also, wo ich mich letzten Sommer rumgetrieben habe. Zwar nicht ganz, denn ich war ja, gerade im Ausland – um Roaming-Kosten zu sparen – auch immer wieder mit meinem Android-Handy unterwegs. Fein säuberlich sind Positionsdaten als Längen- und Breitengrade in einer Datei abgelegt, die man mit iPhoneTracker wieder aus dem Handy rauskitzeln kann.
Bisher gibt es allerdings keine Hinweise darauf, dass die gesammelten Daten das Smartphone jemals verlassen haben. Der jetzt erfolgte Aufschrei zur „Entdeckung“ der Daten zeigt aber, dass es sich manchmal halt doch lohnen würde, Änderungen von Geschäft- und Datenschutzbestimmungen – die man ja normalerweise gern elegant wegklickt – genauer zu lesen. Denn dann wüsste man bereits seit längerem, dass Apple-Handys Positionsdaten sammeln. So hiess es bereits im „End User Software License Agreement“ des iPhone 3GS im Juli 2009:
Apple and its partners and licensees may provide certrain services trough your iPhone that rely upon location information. To provide these services, where available, Apple and its partners and licensees may transmit, collect, maintain, process and use your location data, including the real-time geographic location of your iPhone, and location search queries. The location data collected by Apple is collected in a form that does not personally identify you and may be used by Apple and its partners and licensees to provide location-based products and services. By using any location-based services on your iPhone, you agree and consent to Apple’s and its partners‘ and licensees‘ transmission, collection, maintenance, processing and use of your location data to provide such products and services.
Im Juli 2010 wurde dann die „Customer Privacy Policy“ angepasst:
To provide location-based services on Apple products, Apple and our partners and licensees may collect, use, and share precise location data, including the real-time geographic location of your Apple computer or device. This location data is collected anonymously in a form that does not personally identify you and is used by Apple and our partners and licensees to provide and improve location-based products and services. For example, we may share geographic location with application providers when you opt in to their location services.
Some location-based services offered by Apple, such as the MobileMe „Find My iPhone“ feature, require your personal information for the feature to work.
Von einem Skandal, nach dem manche nun schreien, sind wir also weit entfernt…
Sicherheit durch Transparenz: Safer Camping
Passend zur derzeitigen OpenAir-Saison hier noch ein Hinweis auf das ultraleichte Zelt „Safer Camping T100“. Es erfüllt nicht nur die neusten Sicherheitsvorschriften, sondern ist auch kompatibel mit der jüngsten Novelle der Vorschriften über das Campieren im Freien des Bundesamtes für Justiz: Camper sollen in Realtime überwacht werden…
(via Judith Kolb)
Canon als eifriger Datensammler
Der Elektronikhersteller Canon hat mit „You Connect“ ein Vehikel gefunden, mit dem sich ein raffinierter Überblick über die Vorlieben seiner potentiellen Kunden erstellen lässt. „You Connect“ ist die hauseigene „Community“ von Personen, die gerne mal ein Canon-Produkt testen wollen. Wer sich da aber anmelden will, muss einen siebenseitigen Fragebogen ausfüllen, der es in sich hat.
Da werden nicht nur die „üblichen“ Fragen wie Geschlecht und Geburtstag abgefragt, sondern es tauchen auch Fragen wie z.B. derjenigen nach eigenen Kindern auf – schön detailliert anzugeben, ob diese im eigenen Haushalt leben oder nicht. Oder die Frage, wie fest man an religiösen Ansichten und am Glauben festhält. Auch die Fragen, ob man an der „traditionellen Rollenverteilung“ der Geschlechter festhält, ob es einem wichtig ist, einen „höheren, sozialen Status“ zu erreichen oder ob man gerne „Kontrolle über Menschen hat“, fehlen nicht.
Ganz schön viel für eine simple Anmeldung in einer „Tester-Community“, bei der man nur mit viel Glück einmal für einen Test ausgewählt werden kann. Dass man auf Seite 7 nach dem Upload eines Fotos dann auch noch zustimmen muss, „dass Canon das von mir eingesandte Foto verwenden darf“, ohne dass genauer spezifiert wird, wann, wie und wo der Hersteller das Konterfei nutzen will, macht die Angelegenheit nicht gerade vertrauenswürdiger.
Aber offenbar werfen „testhungrige“ Leute gerne mal sämtliche Bedenken über Bord, nur um einmal ein neues Produkt testen zu dürfen. Wenn es denn jemals so weit kommt…
Kassensturz: Google ist böse
Wie das Konsumentenschutzmagazin „Kassensturz“ heute berichtete, verstossen hierzulande viele Firmen gegen das Gesetz, indem sie das Statistikprogramm Google Analytics einsetzen, ohne das auf der Webseite entsprechend zu kommunizieren. Gemäss Gesetz muss die Weitergabe solcher Daten dem Besucher mitgeteilt werden, wie der eidgenössische Datenschutzbeauftragte Hanspeter Thür gegenüber dem Kassensturz erklärte:
Jemand, der mit Google Analytics arbeitet, muss die Besucher der Website darüber informieren, dass die Daten ausgewertet werden und dass die Daten in die USA wandern.
Google selbst wäscht seine Hände jedoch in Unschuld, denn unter Punkt 8.1 der Nutzungsbestimmungen von Analytics wird ausdrücklich darauf hingewiesen, dass der Webseitenbetreiber eine solche Erklärung publizieren muss. Das Problem dabei: Kaum jemand liest seitenlange Nutzungsbedingungen solcher Dienste, bevor er sie einsetzt, obwohl er diese mit der Nutzung des Services stillschweigend akzeptiert.
Bleibt die Frage, wie gläsern man als Surfer gegenüber Google wirklich ist. Schliesslich könnte der Suchmaschinengigant mit den Daten aus der Websuche, Analytics, Mail, Chrome, oder AdSense & Co. ziemlich aussagekräftige Profile erstellen. Während Google gegenüber dem Kassensturz erklärte, dass die in Analytics erhobenen IP-Adressen nicht mit anderen Diensten von Google verknüpft würden, klang es vor kurzem in Deutschland noch anders. Dort schrieb das Landeszentrum für Datenschutz Schleswig-Holstein im August in einer Pressemitteilung:
Eine Zusammenführung mit Nutzungsdaten mit denen anderer Google-Dienste ist möglich und wird generell von Google bestätigt.
Immerhin heisst es in den Nutzungsbedingungen von Analytics aber auch:
Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten der Google in Verbindung bringen.
Google wird sich wohl hüten, die Nutzer beispielsweise mit der Weitergabe von Daten zu verärgern. Dennoch sammelt man Daten, wie Google ja auch selbst zugibt. Dies aber wohl vor allem für Werbezwecke, für die, wie es in der Datenschutzerklärung heisst, „Bereitstellung von gewünschten Services, einschließlich der Services mit angepassten Inhalten und angepasster Werbung“. In diesem Blickwinkel ist denn wohl auch die neuste Verknüpfung von Analytics mit AdSense zu sehen.
Trotzdem: Auch wenn Google-Managerin Marissa Mayer fast schon gebetsmühlenartig wiederholt „Vertrauen ist die Grundlage all unserer Arbeit“, gibt es immer wieder Bedenken, wie das auch Lars Reppesgaard in seinem Buch „Das Google Imperium“ thematisiert:
„Eine Garantie, dass Google die freiwillig zugeteilte Macht nicht missbraucht, bekommen die Nutzer nicht. Und ein Versprechen ist etwas anderes als ein einklagbares Recht oder ein Gesetz, an das sich jeder halten muss.“ Es ist schön und gut, dass die jetzige Google-Führung angibt, mit dem riesigen Datenschatz verantwortlich umgehen zu wollen. Doch was, so fragt der Autor, wenn die Gründer bei einem Flugzeugabsturz umkommen oder Google durch einen anderen Schicksalsschlag plötzlich führungslos wird? Was, wenn später einmal die Erben der Gründer nichts dagegen haben zu verkaufen? Was, wenn sie selbst die Kontrolle über Google behalten wollen, aber andere Ansichten als ihre Vorgänger darüber haben, was dem Nutzer zuzumuten ist?
Ich halte es allerdings trotz allem nach wie vor für vertretbar, Dienste wie Google Analytics auf Webseiten einzusetzen. Wer trotzdem nach Alternativen sucht, findet zum Beispiel hier, hier oder auch in der Auswertung meiner Google-Frust-Blogparade hilfreiche Links.
Notiz am Rande: Das Schweizer Fernsehen nutzt zur Auswertung der Besucherdaten das Analysetool Webtrends. Auch dieses übermittelt via Javascript Daten in die USA. Dies wird jedoch nirgends erwähnt, weder in der Datenschutzerklärung noch in den Nutzungsbedingungen. Was sagt der Kassensturz denn dazu?
[Update] 22:25 Uhr
Kollege Lang fragte im „Kassensturz-Chat“ Urs Gasser, Professor für Informationsrecht, zum Einsatz des Analysetools Webtrends beim Schweizer Fernsehen:
Disclosure: Auch unter der Haube dieses Blogs kommt (nach einer langen Pause wieder) Google Analytics zum Einsatz. Die entsprechende Erklärung dazu findet sich (nicht erst seit heute) in der Privacy Policy.
56’000 Logindaten bei PwC Deutschland geklaut
Rund 56’000 eMail-Adressen und Passwörter wurden von Servern der deutschen Niederlassung von PricewaterhouseCoopers (PwC) gestohlen und liegen offenbar auf einem Server in China zum Download bereit. Die Daten stammen offenbar aus einer Datenbank, in welcher die Logindaten für Bewerber unverschlüsselt gespeichert wurden.
Nach der Warnung der vom Diebstahl betroffenen Personen durch das ZDF-Magazin WISO und nachfolgender Blogbeiträge zeichnete sich schon früh ab, dass es sich beim betroffenen Unternehmen um die Wirtschaftsprüfer von PricewaterhouseCoopers handeln könnte. Inzwischen hat PricewaterhouseCoopers eine Stellungnahme veröffentlicht:
Das Wirtschaftsprüfungs- und Beratungsunternehmen PricewaterhouseCoopers (PwC) hat heute Strafanzeige gegen bislang unbekannte Daten-Hacker gestellt, die eine externe Servicedatenbank für Jobsuchende angegriffen und dabei Daten gestohlen haben. Diese von einem externen Serviceprovider betriebene Internet-Seite diente interessierten Nutzern zur vereinfachten Erstellung ihrer Bewerbung bei PwC.
Unmittelbar eingeleitete Stichproben-Untersuchungen legen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem chinesischen Server aufgetaucht. PwC veranlasste seinen externen Serviceprovider umgehend zur Stilllegung der betroffenen Internet-Seite. PwC hat bereits damit begonnen, alle möglicherweise betroffenen Nutzer direkt über den Vorfall zu informieren und Hinweise zur eigenen Datensicherheit zu geben.
Von der Attacke betroffen sei „lediglich“ die Plattform für Stellenbewerbungen. In der Zwischenzeit sei das System aber auf eine andere Systemplattform umgestellt worden.
Nicht beantwortet blieb bisher meine Anfrage zu den genaueren Umständen des Datenklaus. Sollten Antworten diesbezüglich eintreffen, werde ich diese hier im Rahmen eines Updates veröffentlichen.
56’000 Logindaten gestohlen
Insgesamt rund 56’000 eMail-Adressen und Passwörter sollen gemäss einem Bericht des ZDF-Magazin WISO aus einer Datenbank eines nicht genannten Unternehmens in Deutschland gestohlen worden sein und auf einem Server in China lagern.
Bekannt wurde der Vorfall durch eMails der WISO-Redaktion an die betroffenen Personen. Weitere Details zum Fall will WISO aber offenbar erst in der nächsten Sendung (ZDF, Mo. 08.09.2008, 19:25 Uhr) nennen. Blogs wären aber nicht Blogs, wenn nicht schon eifrig nach dem Namen des Unternehmens, aus welchem die Datensätze stammen, gesucht würde. Ob die Vermutungen der Kommentatoren stimmen, wird sich wohl in Kürze herausstellen. Eine entsprechende Medienanfrage an das Unternehmen habe ich bereits gestellt und bin gespannt…
Handy-Datenklau mit dem CSI-Stick
Auch schon mal das eigene Handy gedankenlos einem (Un-) Bekannten in die Hände gedrückt, damit er ein kurzes Telefonat machen kann? Wer sich seiner Daten auf dem Handy sicher sein will, sollte das in Zukunft unterlassen. Mit dem „Cell Seizure Investigator Stick“ sind die Daten nämlich blitzschnell aus dem Handy kopiert und zur weiteren Bearbeitung bereit. Der sogenannte CSI-Stick (passt marketingmässig doch grad wunderbar) speichert dabei je nach Handymodell sensitive Daten wie bspw. SMS (auch gelöschte), die Anruflisten, GPS Waypoints, eMails und auch das gesamte Filesystem.
Der Stick, der offiziell für forensische Zwecke gebaut worden sein soll, ist ab 199 Dollar für jedermann erhältlich. Derzeit funktioniert der Stick zwar „nur“ mit Motorola- und Samsung-Handys, doch weitere sollen demnächst folgen. Der Identitätsdiebstahl ist so wohl nur noch einen Stick entfernt…
(via CNET News)
Schweden bald grösster Daten-Spitzel?
Am 17. Juni 2008 entscheidet das schwedische Parlament über einen äusserst brisanten Gesetzesentwurf. Wird das Gesetz abgesegnet, dann soll sämtlicher Datenverkehr, der über die schwedischen Grenzen geht, über Server des technischen Geheimdienst Schwedens (FRA) geleitet und die gesamte ins Land gehende und ans Ausland gerichtete Netzkommunikation abgehört werden können. Dazu sollen die Daten, zu denen auch Telefongespräche, Faxe und eMails zählen, in Echtzeit nach Schlüsselwörtern durchsucht werden. Wird verdächtiges gefunden, sollen diese durch Angestellte betrachtet und ausgewertet werden und danach interessierten Ministerien vorgelegt werden. Sogar grosse Unternehmen sollen „unter Umständen“ solche Suchaufträge abgeben können.
Während die drei Oppositionsparteien bereits Widerstand angekündigt haben, beruhigen die Befürworter mit dem Hinweis darauf, dass lediglich grenzüberschreitende Datenpakete erfasst würden und schwedische Bürger davon kaum betroffen seien. Internetdiensteanbieter reagieren aber bereits jetzt auf die möglichen Folgen des neuen Gesetzes. So hat die finnische Sonera bereits angekündigt, die rund 500’000 eMail-Konten ihrer Kunden von der gemeinsam mit dem schwedischen Provider Telia betriebenen TeliaSonera-Plattform abzuziehen und wieder in Finnland zu hosten. Auch Peter Fleischer, oberster Datenschützer von Google und weltweit zuständig für Schutz der Nutzerdaten, nannte das neue Gesetz „diktatorisch„:
The proposal stems from a tradition begun by Saudi Arabia and China and simply has no place in a Western democracy.
Er drohte zudem damit, dass Google im Falle der Annahme des Gesetzes keine Investitionen in Schweden mehr tätigen werde und keine Server innerhalb der schwedischen Grenzen mehr platzieren werde.
(via inside-it.ch)
Überwachung der Schweizer Internetuser
Wer meinte, nach der Fichenaffäre in den 90er-Jahren sei die Überwachung der Bürger Vergangenheit, irrt. Wie die Sonntagszeitung berichtet, will der Schnüffelstaat nun auch beim Surfen zuschauen:
Darum wächst bei vielen Fahndern der Wunsch, auf elektronischem Weg mehr über verdächtige Nutzer zu erfahren. In Kriminalfällen möchten sie schnell wissen, was ihre Zielpersonen im Internet treiben. Dazu gehört, welche Websites sie besuchen und welche Daten sie aus dem Internet auf ihre Rechner kopieren. Die Installation neuer Überwachungssoftware in die Kommunikationsnetze soll Bundes- und Kantonsbehörden den Zugriff auf diese Informationen ermöglichen. Sie sollen mehrere Monate lang in einer Datenbank gespeichert werden und die rückwirkende Überwachung ermöglichen.
Rückwirkende Überwachung? Das heisst nichts anderes, als dass auch Daten von unbescholtenen Bürgern schon mal auf Vorrat gespeichert und monatelang aufbewahrt werden. Und das alles unter dem Deckmantel des 11. September. Willkommen im Schnüffelstaat Schweiz!
Da lob ich mir die Ideen von Fredy, der schon mal darüber nachdenkt, ob er nicht im Ausland Colocation-Space mieten soll, um sichere VPN-Netze für die überwachten Schweizer Surfer anzubieten. Fredy, wo kann ich mich anmelden?
Mail gelöscht – Denkste!
Wie selbstverständlich gehen wir davon aus, dass ein eMail endgültig gelöscht ist, wenn wir auf „Löschen“ klicken (und allenfalls auch den Papierkorb geleert haben). Allerdings wähnt man sich bei (fremden) Mailanbietern offenbar in falscher Sicherheit. Die Netzeitung berichtet heute, dass Google E-Mails, die von einem Gmail-Nutzer gelöscht wurden, für ein US-Gerichtsverfahren herausgeben soll.
Die US-Wettbewerbsbehörde FTC will damit an Beweise in einem Verfahren gegen eine Kreditberatungsfirma kommen, welche Gelder ins Millionenhöhe ins Ausland verschoben haben soll. Die FTC erwirkte eine Verfügung welche es dem Ankläger ermöglicht, den gesamten eMail-Bestand des Gründers der Beratungsfirma einzusehen.
Weiter heisst es:
Die FTC-Ankläger beriefen sich bei ihrer Anordnung explizit auf die Gmail-Datenschutzbedingungen, in der im Kleingedruckten steht, dass Google sich die weitere Speicherung gelöschter Mails vorbehält. So könne der Löschvorgang auf allen aktiven Servern «bis zu 60 Tage» dauern. Außerdem macht der Anbieter Sicherheitskopien. So kann es sein, dass vom Nutzer eigentlich gelöschte Mails auf Backup-Bändern noch wesentlich länger lagern.
Darum merke: Je mehr wir auf externe (Online-) Dienste setzen, desto weniger Kontrolle haben wir über die gespeicherten Informationen. Selbst das Löschen der Daten durch den Anwender muss nicht zwangsläufig bedeuten, dass die Daten auch tatsächlich gelöscht sind.