[datensicherheit.de, 20.09.2022] Die Entscheidung des Europäischen Gerichtshofes (EuGH) zur Vorratsdatenspeicherung in Deutschland vom 20. September 2022 kann als „historisch“ bezeichnet werden, denn damit wird nun eine lange und intensive Debatte darüber, wie lange, von wem und weshalb personenbezogene Daten gespeichert werden dürfen, vorläufig entschieden. Mit dieser Entscheidung des EuGH, dass die anlasslose Speicherung von Verkehrs- und Standortdaten nicht vereinbar mit dem europäischem Recht sei, da diese Rückschlüsse auf Gewohnheiten, Aufenthaltsorte und Beziehungen zulasse, „wurde den Menschen ein Stück Sicherheit und Privatsphäre zurückgegeben“, kommentiert Daniel Markuson, Experte für Cyber-Sicherheit bei NordVPN, in einer aktuellen Stellungnahme. Daneben bestünden auch erhebliche Cyber-Sicherheitsrisiken.

Entscheidung des Europäischen Gerichtshofes zu begrüßen

„Die Entscheidung des Europäischen Gerichtshofes ist richtig, weil die anlassbezogene Speicherung von persönlichen Daten alle Menschen unter Verdacht stellt, in kriminelle oder staatsgefährdende Handlungen involviert zu sein“, betont Markuson.

Es sei unklar, weshalb eine staatliche Institution ohne einen gerichtlichen Beschluss in Erfahrung bringen können sollte, wo ein gewöhnlicher Bürger sich befindet, wenn, wann und wie oft er eine E-Mail an bestimmte IP-Adressen versendet – „auch, wenn es sich um ein lustiges Katzen-Video handelt“.

Ein Generalverdacht sei kein richtiges Instrument, um kriminelle Elemente in unserer Gesellschaft effektiv zu bekämpfen.

Europäische Absage an anlasslose Vorratsdatenspeicherung

Bei der Vorratsdatenspeicherung habe bis heute nicht mit absoluter Sicherheit technisch ausgeschlossen werden können, „ob die Inhalte einer SMS nicht auch grundlos gespeichert werden, da diese Daten auch dort gespeichert sind, wo sich die Adressdaten befinden, wie der Standort und die Uhrzeit“.

Mit der europäischen Absage an die anlasslose Vorratsdatenspeicherung sei den Menschen wieder ein Stück Privatsphäre und Freiheit gegeben worden, sich mit ihren Freunden und ihrer Familie auszutauschen, ohne dabei Angst haben zu müssen, dass es einer Behörde im Orwell’schen Sinne möglich ist, nachzuverfolgen, „wen man anruft, wenn man seinen morgendlichen Kaffeebecher in der anderen Hand hält“.

Die anlasslose Vorratsdatenspeicherung würde unnötige Sicherheitsrisiken schaffen, da viele Beteiligte private Daten speichern und sichern müssten, während die Bürger keine andere Wahl hätten, als sich darauf zu verlassen, „dass Internetanbieter und Datenzentren dies ordnungsgemäß tun“. Markuson unterstreicht abschließend: „Die zahlreichen Datenlecks und Hacks der vergangenen Zeit haben gezeigt, dass dieses Vertrauen nicht immer eingelöst werden kann und es immer noch einen großen Bedarf nach Cybersecurity-Lösungen gibt, die die Nutzung digitaler Geräte sicherer gestalten.”

Weitere Informationen zum Thema:

GERICHTSHOF DER EUROPÄISCHEN UNION, 20.09.2022
Urteil des Gerichtshofs in den verbundenen Rechtssachen C-793/19 | SpaceNet und C-794/19 | Telekom Deutschland

datensicherheit.de, 20.09.2022
Vorratsdatenspeicherung: BfDI begrüßt EuGH-Urteil / EuGH sieht Gefahr der Erstellung persönlicher Netzwerke und Profile einzelner Personen

[datensicherheit.de, 16.09.2022] Nach eigenen Angaben hat die Europäische Kommission nach langen Diskussionen ihren Gesetzesentwurf zur Cyber-Resilienz vorgestellt. Der Entwurf zielt demnach darauf ab, einen globalen Standard zu schaffen, nach dem es verbindliche Anforderungen im Rahmen der Cyber-Sicherheit an Produkte mit sogenannten digitalen Elementen stellt – hierzu gehören nicht nur Smartphones, Software-Anwendungen oder Computer, sondern auch Autos, Türschlösser und Spielzeuge. Denn jedes Gerät mit einer Internetverbindung sei ein „Einfallstor für einen Cyber-Angriff”, warn EU-Binnenmarktkommissar Thierry Breton. Nun soll die Cyber-Sicherheit nach dem Prinzip „Cybersecurity by Design“ zum Bestandteil der Entwicklung von Produkten werden, um Verbraucher so noch besser vor möglichen Cyber-Attacken und den Missbrauch von Sicherheitslücken zu schützen. Daniel Markuson, Experte für Cyber-Sicherheit bei NordVPN, kommentiert den vorliegenden Gesetzentwurf in seiner aktuellen Stellungnahme:

Weltweit immer mehr Cyber-Angriffe

„Wir können diesen Gesetzesentwurf nur begrüßen, da er die Nutzer in einer Zeit schützen soll, in der es weltweit immer mehr Cyber-Angriffe gibt“, so Markuson. Die enorme Anzahl an unsicheren IoT-Geräten sei einer der Hauptgründe, „warum massive DDoS-Angriffe immer häufiger werden“.
Er führt aus: „Das Schlimmste war bisher, ohne wirkliche Gesetzgebung wirklich sagen zu können, wann die eingebauten Sicherheitslücken dieser Geräte verschwinden werden.“ Wenn dieses Gesetz verabschiedet wird, werde es sicherlich „ein echter Fortschritt für die Sicherheit der Nutzer“ sein.

Cyber-Sicherheitsfunktionen bisher offenbar keine Priorität

Markuson moniert: „Die Hersteller räumen den Sicherheitsfunktionen keine Priorität ein. Wenn man sich ein internetfähiges Gerät anschafft, dann wegen seiner Bequemlichkeit, und das haben die Hersteller verstanden.“
Bei der Erörterung Sicherheit oder Bequemlichkeit werden sich ein Hersteller wohl für den Vorteil entscheiden, „den der Kunde sofort sehen kann“. Dank eines solchen Gesetzes werde sich das Spiel nun sicherlich ändern.

Hersteller könnten Kosten zu Lasten der Cyber-Sicherheit senken

Er gibt indes abschließend zu bedenken: „Es sollte jedoch daran erinnert werden, dass sichere IoT-Geräte schwer zu entwerfen sind. Sie verfügen über begrenzten Platz, Speicher und/oder Rechenleistung für Sicherheitsfunktionen, so dass die Hersteller die Kosten senken könnten, indem sie die Cyber-Sicherheit nicht ausreichend berücksichtigen.
Die Ver- und Entschlüsselung sei ein anspruchsvoller Prozess. Die eigentliche Frage ist also laut Markuson: „Werden alle Hersteller wirklich mithalten können? Das wird nur die Zukunft zeigen!“

Weitere Informationen zum Thema:

Europäische Kommission, 15.09.2022
Kommission will Cybersicherheit von vernetzten Geräten erhöhen

datensicherheit.de, 16.09.2022
Cyber Resilience Act: TÜV-Verband fordert Nachschärfungen / EU-Vorschlag für verpflichtende gesetzliche Anforderungen hinsichtlich Cyber-Sicherheit von Hardware- und Software-Produkten vorgelegt

datensicherheit.de, 15.09.2022
Bitkom zum Cyber Resilience Act: Wichtiger Beitrag zur Stärkung der Cyber-Sicherheit / Indes Bitkom-Kritik an hohen bürokratischen Aufwand für Unternehmen

[datensicherheit.de, 22.11.2019] Mit dem Internet verbundene Spielzeuge mit Kameras und Mikrofonen oder Geräte, die den Standort verfolgen, können die Privatsphäre und Sicherheit von Eltern und Kindern gleichermaßen gefährden: Daniel Markuson nennt in seiner aktuellen Stellungnahme ein paar grundlegende Regeln bei der Auswahl und Handhabung „smarter“ Spielzeuge.

Eltern sollten genau wissen, was sie ihren Kindern mitbringen

Ob es sich um einen sprechenden Teddybären, ein „smartes“ Auto oder ein speziell für Kinder konzipiertes Tablet handelt – Unternehmen sind offensichtlich bestrebt, stets neue Spielzeuge auf den Markt zu bringen, wobei Sicherheitsvorkehrungen leicht übersehen werden können.
„Eltern sollten sich dessen bewusst sein, was sie ihren Kindern nach Hause mitbringen. Sobald man etwas mit dem Internet verbindet, kann es potenziell ins Visier von Cyber-Kriminellen geraten“, warnt Markuson.

Problem nicht neu, aber zunehmend

Haben diese erst einmal einen Zugang gefunden, könnten Hacker das Mikrofon oder die Kamera des Spielzeugs nutzen, um zu hören und zu sehen, was das Spielzeug „sieht“ und „hört“. „In manchen Fällen könnte eine zwielichtige Gestalt aus dem Internet sogar direkt mit deinen Kindern sprechen“, so Markuson.
Das Problem, das solche Schwachstellen in Spielzeugen überhaupt bestehen, sei nicht neu, „aber es wächst rapide an“ – jedes Jahr aufs Neue drängten immer mehr „smarte“ Spielzeuge auf den Markt.

Schwachstellen und Gefahren von Spielzeugen drohen alltäglich zu werden

Zuletzt hätten Experten gewarnt, „dass die Schwachstellen und Gefahren von Spielzeugen immer mehr zum Alltag werden“. Erst letzten Monat sei in Australien in einer „smarten“ Uhr für Kinder eine Sicherheitslücke erkannt.
Diese Sicherheitslücke habe es ermöglicht, Kinder zu verfolgen, ihnen zuzuhören und sie sogar anzurufen. Interessanterweise sei das Unternehmen, das diese GPS-Uhr produziert, von einer der regionalen Regierungen Australiens unterstützt worden.

Bereits Verbote ausgesprochen

Laut Markuson handelt es sich bei diesem Fall nicht um eine Ausnahme. Sicherheitslücken seien in renommierten und beworbenen Spielzeugen entdeckt worden. Offizielle staatliche Einrichtungen in verschiedenen Ländern hätten mittlerweile sogar einige „smarte“ Spielzeuge verboten.
Beispielsweise habe die deutsche Bundesnetzagentur 2017 ein Verbot für „My Friend Cayla“-Puppen ausgesprochen und Einzelhändlern ausschließlich dann den Verkauf gestattet, wenn die Funktion zur Verbindung mit dem Internet deaktiviert wurde. Der norwegische Verbraucherverband habe bezüglich dieses Spielzeugs eine ähnliche Bewertung abgegeben.

Eltern können niemals zu vorsichtig sein

Der größte bekannte Verstoß gegen sensible Daten von Kindern habe 2015 stattgefunden. Im Rahmen eines Cyber-Angriffs auf den Hersteller digitaler Spielzeuge, VTech Holdings, seien die Daten von 6,4 Millionen Menschen, wovon der Großteil Kinder waren, offengelegt worden. „Die gehackten Daten umfassten sogar Namen, Geschlecht und Geburtsdaten.“
Eltern könnten niemals zu vorsichtig sein, wenn es darum geht, ihr Kind zu schützen. Markuson, „Experte für digitalen Datenschutz“ bei NordVPN, nennt nachfolgend ein paar grundlegende Regeln für die Auswahl eines „smarten“ Spielzeugs:

1. Stell Nachforschungen an!
Bevor man ein Spielzeug kauft, sollte man online nach Kundenrezensionen und Expertenmeinungen suchen, um Beschwerden oder Sicherheitsprobleme bereits im Voraus zu identifizieren.
Namhafte Unternehmen gäben wahrscheinlich auch an, welche Daten sie erheben und wie sie sie verwenden. Markuson empfiehlt, durchaus die Datenschutzerklärung und allgemeinen Geschäftsbedingungen (AGB) des Herstellers auf der Website durchzulesen.

2. Eigene Daten nicht einfach so aushändigen!
Manche Spielzeuge und Spiele erfordern eine Registrierung, damit man den vollen Spielspaß und Updates erhält. Man sollte aber bei der Registrierung vorsichtig sein, welche Informationen preisgegeben werden.
Die Entwickler benötigten die E-Mail-Adresse, um über Updates zu informieren, aber weitere Informationen seien größtenteils unnötig. Wenn beispielsweise nach dem Geburtstag des Kindes gefragt wird, könnte man ruhig „ein wenig flunkern“.

3. Ausschließlich sichere WLAN-Hotspots nutzen!
Bevor man ein Smart-Spielzeug mit einem WLAN-Hotspot verbindest, sollte man sich vergewissern, dass er sicher ist und ein starkes Passwort besitzt.
Solche Gadgets mit einem öffentlichen WLAN-Hotspot zu verbinden, werde nicht empfohlen, da diese leicht gehackt werden könnten. Außerdem sollte man, sofern möglich, ein Passwort für das Spielzeug festlegen.

4. Die Gespräche überprüfen!
Manche Smart-Spielzeuge ermöglichten Kindern untereinander zu sprechen, wenn es mit demselben Spielzeug oder Spiel spielt. Man sollte seinem Kind erklären, was personenbezogene Daten sind, und weshalb es diese nicht teilen darf.
Die Gespräche sollten hin und wieder überprüft werden, um sicherzustellen, dass das Kind nicht mit Fremden spricht, die lediglich vorgeben, ein Kind zu sein. Renommierte Hersteller böten Eltern immer die Option an, die gespeicherten Informationen einzusehen.

5. Spielzeug ausschalten, wenn es nicht genutzt wird!
Es wird empfohlen, das Smart-Spielzeug auszuschalten, wenn es nicht verwendet wird, damit es nicht länger Daten erhebt.
Wenn das Spielzeug über ein Mikrofon verfügt, sollte man es in einer Schublade oder Kiste verstauen, damit es schwieriger ist, Gespräche aufzunehmen, und Spielzeuge mit einer Kamera könnten verdeckt oder mit der Linse zur Wand gestellt werden.

6. Verstöße melden!
Wenn etwas Ungewöhnliches auffällt oder ein Spielzeug von einem Hacker kompromittiert wurde, sollte man als Verbraucher und Bürger verantwortungsvoll handeln und eine Beschwerde an die zuständige staatliche Behörde einreichen.
Markuson: „Es hilft vielleicht nicht dir persönlich, aber du hilfst dabei, das Internet zu einem sichereren Ort für alle zu machen und übst Druck auf den Hersteller aus, damit er die Sicherheitsbestimmungen nicht länger ignoriert.“

Weitere Informationen zum Thema:

Bundesnetzagentur, 17.02.2017
Bundesnetzagentur zieht Kinderpuppe „Cayla“ aus dem Verkehr / Homann: „Privatsphäre ist gerade bei Kindern zu schützen“

The New York Times, Daniel Victor, 30.11.2015
Security Breach at Toy Maker VTech Includes Data on Children