[datensicherheit.de, 02.11.2023] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Stellungnahme auf das geplante Abonnement-Modell bei „facebook“ und „Instagram“ ein: Das Geschäftsmodell dieser Sozialen Netzwerke wird sich demnach „auf Druck der Datenschutzbehörden ändern müssen“. Dies sei die Konsequenz eines Beschlusses des Europäischen Datenschutzausschusses (EDSA) vom 27. Oktober 2023. Die europäischen Aufsichtsbehörden hätten damit zum ersten Mal von dem Instrument Gebrauch gemacht, „in einem Dringlichkeitsverfahren endgültige Maßnahmen zu erlassen, die für den gesamten Geltungsbereich der DSGVO wirken“.

Meta hat bereits angekündigt, Bezahl-Modell einführen zu wollen

Laut HmbBfDI wurde dem Unternehmen Meta als Betreiber dieser Dienste die personalisierte Werbung ohne Vorliegen einer entsprechenden Einwilligung untersagt. „Aufgrund der Dringlichkeit wurde für die Umsetzung nur ein kurzer Zeitraum eingeräumt.“ Ein jahrelanger Verstoß gegen das Datenschutzrecht müsse damit in Kürze beendet werden. Dies sei „ein gutes und wichtiges Ergebnis“, welches die Wirksamkeit der europäischen Datenschutzaufsicht aufzeige.

Meta habe bereits angekündigt, ein Bezahl-Modell einzuführen, um entsprechende Anforderungen des EDSA (EDPB) bzw. der für Meta federführend zuständigen Aufsichtsbehörde in Irland umzusetzen. Zahlenden Nutzern solle dann keine Werbung mehr ausgespielt werden. „Wer kein entsprechendes Abonnement abschließt, muss in die personalisierte Werbung einwilligen, um das Netzwerk weiter nutzen zu können.“

Ob geplante Umsetzung durch Meta rechtskonform ist, derzeit noch offen

Der HmbBfDI verweist in diesem Zusammenhang auf den Beschluss der Datenschutzkonferenz (DSK) zu Abonnement-Modellen auf Websites, auf den sich auch Meta in seinem Modell beziehe. Die darin aufgestellten Anforderungen würden durch die deutschen Aufsichtsbehörden bei nationalen Anbietern geltend gemacht und von diesen umgesetzt. „Sie sind aus unserer Sicht auch durch ein Bezahl-Modell bei den Diensten von Meta oder in anderen Sozialen Netzwerken zu erfüllen.“ Hierzu gehörten „Granularität bei der Einwilligung, Transparenz und Verzicht auf irreführende Gestaltungsmittel“.

Ob die geplante Umsetzung durch Meta dies leistet und damit in Zukunft ein insoweit rechtskonformes Angebot vorliegt, sei noch offen. „Wir befinden uns dazu insbesondere mit der irischen Aufsichtsbehörde und den anderen betroffenen nationalen Aufsichtsbehörden in einem laufenden Dialog.“ Die deutschen Aufsichtsbehörden hätten auf Grundlage des genannten Beschlusses auf verschiedene Problemfelder hingewiesen und erwarteten nun eine überprüfbare rechtliche Bewertung durch die federführende Behörde in Irland.

Weitere Informationen zum Thema:

edpb EUROPEAN DATA PROTECTION BOARD, 01.11.2023
EDPB Urgent Binding Decision on processing of personal data for behavioural advertising by Meta

DSK DATENSCHUTZKONFERENZ
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 22. März 2023 / Bewertung von Pur-Abo-Modellen auf Websites

Der BfDI unterstreicht aktuelles Urteil gegen Meta in seiner Bedeutung für den Datenschutz

[datensicherheit.de, 04.07.2023] Laut einer aktuellen Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) hat der Gerichtshof der Europäischen Union (EuGH) am 4. Juli 2023 sein Urteil zur sogenannten Meta-Entscheidung des Bundeskartellamts verkündet. Der BfDI begrüßt nach eigenen Angaben dieses Urteil in seiner Bedeutung für den Datenschutz.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber gratuliert Bundeskartellamt zum Erfolg…

Meta-Entscheidung zeigt auch: Bundeskartellamt muss zuständige Datenschutzaufsichtsbehörden einbinden

„Es freut mich, dass der EuGH anerkennt, dass die Einhaltung von Datenschutzanforderungen wettbewerbsrelevant ist und Kartellbehörden erlaubt, zum Schutz des Wettbewerbs auch die Vereinbarkeit des Verhaltens von Unternehmen mit Datenschutzrecht zu prüfen“, so der BfDI. Professor Ulrich Kelber. Er gratuliert dem Bundeskartellamt zu diesem „Erfolg“.

Der EuGH habe auch klargestellt, dass vorrangig die unabhängigen Datenschutzaufsichtsbehörden Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) festzustellen hätten. „Daher muss das Bundeskartellamt die zuständigen Datenschutzaufsichtsbehörden vor einer eigenen Entscheidung in datenschutzrechtlichen Fragen einbinden.“

Nicht nur bei Mata: Bürger besser vor rechtswidrigen und missbräuchlichen Datenverarbeitungen schützen

Kartell- und Datenschutzaufsichtsbehörden könnten datengetriebene Geschäftsmodelle nur erfolgreich regulieren, „wenn sie eng zusammenarbeiten“. Dies bestätigt laut der Professor Kelber „die Praxis in Deutschland, wo Bundeskartellamt und der Bundesdatenschutzbeauftragte entsprechend kooperieren“.

Gemeinsam mit seinen europäischen Kollegen werde sich der BfDI die Entscheidung in der „Task Force“ des Europäischen Datenschutzausschusses zum Zusammenspiel von Datenschutz, Wettbewerb und Verbraucherschutz auswerten und „Best Practices“ für eine effiziente Zusammenarbeit festlegen, damit Bürger besser vor „rechtswidrigen und missbräuchlichen Datenverarbeitungen“ geschützt werden könnten. Die Erfahrungen der Zusammenarbeit in Deutschland seien dafür eine gute Grundlage.

Praxis von Meta gerügt, Daten zu detaillierten Nutzerprofilen zu verknüpfen

Hintergrund des Verfahrens sei die Praxis von Meta, die Daten seiner Nutzer nicht nur auf „facebook“ selbst, sondern auch bei seinen Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln und zu detaillierten Nutzerprofilen zu verknüpfen. Aus Sicht des Bundeskartellamts missbrauche Meta damit seine marktbeherrschende Stellung.

„Da Meta seinen Sitz in Irland hat, ist nach dem sogenannten One-Stop-Shop Mechanismus der DSGVO die irische Datenschutzaufsichtsbehörde (DPC) federführend zuständig.“ In Deutschland sei der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HbmBfDI) für Meta zuständig.

Betrieb einer facebook-Fanpage laut BfDI nicht datenschutzkonform möglich

[datensicherheit.de, 22.02.2023] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat nach eigenen Angaben das Bundespresseamt (BPA) angewiesen, den Betrieb der „facebook“-Fanpage der Bundesregierung einzustellen. Ein entsprechendes Schreiben habe er zu Beginn der Woche versendet. „Das BPA hat ab Erhalt des Bescheids vier Wochen Zeit diesen umzusetzen.“ Es habe die Möglichkeit, innerhalb eines Monats gegen den Bescheid des BfDI zu klagen.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber: Das BPA muss als Verantwortlicher nachweisen können, dass die Grundsätze des Datenschutzrechts eingehalten werden!

BfDI fordert, stets Grundrechte der Bürger zu wahren

„Ich habe lange darauf hingewiesen, dass der Betrieb einer ,facebook’-Fanpage nicht datenschutzkonform möglich ist“, betont Professor Kelber. Dies zeigten ihre eigenen Untersuchungen und das Kurzgutachten der Datenschutzkonferenz.

„Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich.“

Professor Kelber findet es wichtig, dass der Staat über Soziale Medien erreichbar ist und Informationen teilen kann. Indes stellt er klar: „Das darf er aber nur, wenn die Grundrechte der Bürgerinnen und Bürger gewahrt bleiben.“

BfDI kritisiert insbesondere Fehlen einer wirksamen Rechtsgrundlage für die Datenverarbeitung

Da sich insbesondere die Interessen von Betreibern von Fanpages und von „Meta“ ergänzten, bestehe nach Einschätzung des BfDI eine „gemeinsame Verantwortlichkeit für die Verarbeitung der bei Nutzung der Fanpage erhobenen personenbezogenen Daten“.

Das BPA müsse als Verantwortlicher nachweisen können, „dass die Grundsätze des Datenschutzrechts eingehalten werden“. Einen solchen Nachweis habe das BPA im Verfahren nicht zur aufsichtsbehördlichen Überzeugung erbringen können.

Der BfDI kritisiert insbesondere, „dass es nach seiner Begutachtung hier bislang an einer wirksamen Rechtsgrundlage für die Datenverarbeitung fehlt“. Außerdem müsse nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz für die Verwendung nicht unbedingt erforderlicher Cookies und ähnlicher Tracking-Technologien eine Einwilligung eingeholt werden. Im Falle der „facebook“-Fanpages werde eine solche Einwilligung jedoch nach Ergebnis der aufsichtsbehördlichen Prüfungen derzeit nicht wirksam eingeholt.

Weitere Informationen zum Thema:

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 23.03.2022
Beschluss zur Task Force Facebook-Fanpages

Album adressiert facebook-Nutzer auf der Suche nach pornographischen Inhalten

[datensicherheit.de, 06.02.2023] Das „Zscaler ThreatLabz“-Team deckt nach eigenen Angaben „regelmäßig neue Arten von Infostealer-Familien in verschiedenen Angriffskampagnen auf“. Kürzlich seien die Forscher auf den Infostealer namens „Album“ gestoßen: „Diese Malware ist als Fotoalbum getarnt, das pornographische Inhalte als Köder verwendet, während im Hintergrund bösartige Aktivitäten ausgeführt werden.“ Dazu setze die Malware auf eine sogenannte Side-Loading-Technik, bei der legitime Anwendungen zur Ausführung bösartiger DLLs verwendet würden, um die Entdeckung zu vermeiden. Die eigentliche Aufgabe sei jedoch das Stehlen von „Cookies“ und Anmeldeinformationen, „die von den Opfern in ihren Webbrowsern gespeichert wurden“. Darüber hinaus würden Informationen von „Facebook Ads Manager“, „Facebook Business“-Konten und „Facebook API Graph“-Seiten gestohlen. „Die auf einem infizierten System gesammelten Informationen werden schließlich an einen Command-and-Control-Server geschickt.“

Abbildung: zscaler

Zscaler ThreatLabz Team: Die Album-Stealer-Infektionskette

Album-Stealer lauert auf gefälschten facebook-Profilseiten mit erotischen Bildern

Der „Album“-Stealer lauere auf gefälschten „facebook“-Profilseiten mit erotischen Bildern: „Bedrohungsakteure erstellen diese Profilseiten, um die Opfer zum Klicken auf einen Link zu verleiten, mit dem sie vermeintlich ein Album mit diesen Bildern herunterladen können.“

Wird ein infizierter Link angeklickt, startet demnach die eigentliche Infektionskette mit der Weiterleitung zu einem mit Schadcode-infiziertem Zip-Archiv, das unter anderem auf „Microsoft OneDrive“ gehostet wird. „Die Zip-Archive treten unter verschiedenen Namen auf, wie beispielsweise ,Album(.)zip’, ,AlbumSuGarBaby(.)zip’, ,albumyirlsexy(.)zip’ oder ,sexyalbum(.)zip’.“

Wird Album.exe ausgeführt, wird Datei PdfiumControl.dll mit Schadcode geladen

Hinter dem Zip-Archiv verberge sich jeweils „Album.exe“ als eine legitime, ausführbare „TresoritPDFViewer“-Datei. Diese Datei sei allerdings anfällig für den „DLL Side-Loading“-Angriff: „Wird ,Album.exe’ ausgeführt, lädt das Programm eine abhängige Datei namens ,PdfiumControl.dll’, die in diesem Fall den Schadcode beinhaltet, der in der Folge die ,data.dat’-Datei mit einer sich selbst extrahierenden Archivdatei (SFX) ausführt.“ Diese Datei enthalte die als Köder eingesetzten gewünschten pornographischen Bilder.

Im Hintergrund allerdings beginne die bösartige DLL-Datei ihre Aktivitäten auf der Suche nach dem „\%AppData%\Roaming\Canon“-Verzeichnis. Erst im Anschluss werde die eigentliche „Payload“ in einem verschlüsselten Format abgeliefert, welche sich auf die Suche nach den gewünschten Informationen in Form von Anmeldeinformationen, „Cookies“ oder „Facebook Business“ und „Ad“-Accounts mache.

Fazit: Album-Stealer kann Sicherheitsvorkehrungen umgehen

Angreifer versuchten, „facebook“-Benutzer dazu zu bringen, eine bösartige Archivdatei herunterzuladen, welche als Köder mit pornographischen Inhalten locke. Der „Album“-Stealer könne Sicherheitsvorkehrungen umgehen, „indem er legitime Anwendungen ausnutzt, die für ,DLL-Side-Loading’ anfällig sind“.

Das „Zscaler ThreatLabz“-Team überwache diese Kampagne und habe eine ausführliche technische Analyse mit Indikatoren für einen erfolgreich durchgeführten Angriff im eigenen Blog veröffentlicht.

Weitere Informationen zum Thema:

zscaler, 20.01.2023
Album Stealer Targets Facebook Adult-Only Content Seekers

Newsfeed zeigte verschiedene Kommentare fremder Nutzer auf Seiten von Prominenten oder in Gruppen gepostet an

[datensicherheit.de, 25.08.2022] Als viele „facebook“-Nutzer am Morgen des 24. August 2022 ihren Newsfeed dort betrachteten, soll die Verwunderung groß gewesen sein: „Denn im Newsfeed wurden verschiedene Kommentare anzeigt, die fremde Nutzer auf Seiten von Prominenten oder in Gruppen gepostet hatten“, berichtet Chris Vaughan, „AVP of Technical Account Management, EMEA“ bei Tanium, in seinem aktuellen Kommentar. Das Unternehmen Facebook habe nun bestätigt, dass dies auf eine „Konfigurationsänderung“ zurückzuführen gewesen sei, welche demnach behoben wurde.

Foto: Tanium

Chris Vaughan: Jüngstes Beispiel für ein schwerwiegendes IT-Problem, das durch menschliches Versagen verursacht wurde

Ob aktuell beim Newsfeed oder im Oktober 2021: Fehler der Mitarbeiter

Dies sei das jüngste Beispiel für ein „schwerwiegendes IT-Problem, das durch menschliches Versagen verursacht wurde“, nachdem Facebook bereits im Oktober 2021 von einem anderen Vorfall betroffen war, „der ebenfalls auf einen Fehler der Mitarbeiter zurückzuführen war“.

Vaughan stellt klar: „Das schwächste Glied in der IT- und Cyber-Sicherheit ist in vielen Fällen immer noch das menschliche Element, aber es gibt Maßnahmen, die getroffen werden können, um die Auswirkungen dieser potenziell schädlichen Fehler zu minimieren.“

Newsfeed-Störung mahnt Unternehmen, ihre Cyber-Hygiene zu verbessern

Die wichtigste sei, „dass Unternehmen ihre Cyber-Hygiene verbessern“. Darunter verstehe man eine Reihe von Praktiken, welche Unternehmen und Einzelpersonen regelmäßig anwendeten, um den Zustand und die Sicherheit von Nutzern, Geräten, Netzwerken und Daten zu prüfen und aufrechtzuerhalten.

Vaughan erläutert: „Zu den wichtigen Aspekten der Cyber-Hygiene, mit denen sich Störungen und Ausfallzeiten vermeiden lassen, gehören das Einspielen von Patches und der Überblick über alle Geräte, die mit dem Netzwerk des Unternehmens verbunden sind.“

So könnten anfällige Geräte schnell repariert oder entfernt werden. Maßnahmen wie diese böten keine Garantie dafür, dass kostspielige Vorfälle vermieden werden, „aber sie verringerten die Wahrscheinlichkeit, dass sie auftreten, und die Auswirkungen, die sie haben“.

facebook-Newsfeed-Störung kurz nachdem Peiter Zatko mehrere Sicherheitsprobleme bei Twitter anführte

Die jetzige „facebook“-Störung trete auf, kurz nachdem der ehemalige Twitter-Manager Peiter Zatko mehrere Sicherheitsprobleme mit der Plattform und den Geräten der Mitarbeiter angeführt habe. Daher sei zu erwarten, dass den Praktiken von Social-Media-Unternehmen in Bezug auf IT-Management und Sicherheit weiterhin große Aufmerksamkeit zuteil werde.

„Indem sich diese Unternehmen auf die Verbesserung der Cyber-Hygiene konzentrieren und diese Bemühungen gegenüber der Öffentlichkeit und den Behörden demonstrieren, kann wieder Vertrauen aufgebaut werden“, so Vaughan abschließend. Dies sei für Social-Media-Unternehmen überaus wichtig, da es sich direkt auf eines ihrer Hauptziele auswirke – die Steigerung der Nutzerzahlen.

Weitere Informationen zum Thema:

heise online, Eva-Maria Weiß, 24.08.2022
Facebook kaputt: Verquere Inhalte im Newsfeed / Zahlreiche Nutzer berichten am Mittwochmorgen, Beiträge bei Facebook angezeigt zu bekommen, die wenig mit ihren Interessen zu tun haben

datensicherheit.de, 06.10.2021
Massiver IT-Ausfall bei facebook: Abhängigkeit von Digitalen Identitäten fordert Unternehmen heraus / Digitale Identitäten für Nutzung von Anwendungen in Unternehmen unverzichtbar

[datensicherheit.de, 27.06.2022] Laut Medienberichten soll es zur Entdeckung eines groß angelegten „facebook Messenger“-Betrugs gekommen sein, von dem möglicherweise Hunderte Millionen „facebook“-Nutzer betroffen sein könnten, was abermals das weltweite Bedrohungspotenzial durch Phishing-Angriffe verdeutlicht. PIXM meldet, dass im Jahr 2021 2,7 Millionen Nutzer eine Phishing-Seiten besucht hätten – und rund 8,5 Millionen bisher im Jahr 2022. Das stellt laut einer aktuellen Stellungnahme von KnowBe4 „ein enormes Wachstum dieser Angriffsmethode im Vergleich zum letzten Jahr dar“.

Links zu Phishing-Seite stammen wohl von facebook selbst

Hierbei nutzten die Bedrohungsakteure kompromittierte „facebook“-Konten, um die Phishing-Seiten über den „facebook Messenger“ zu verbreiten. Die Links stammten dabei wohl von „facebook“ selbst, so die Forscher. „Das heißt, das Konto eines Nutzers wird kompromittiert, und der Bedrohungsakteur loggt sich wahrscheinlich automatisch in dieses Konto ein und schickt den Link über ,facebook Messenger‘ an die ,Freunde‘ des Nutzers.“ Das interne „Threat Intelligence Team“ von Facebook sei in diese Systeme zum Sammeln von Anmeldeinformationen eingeweiht, doch diese Gruppe setze eine Technik ein, um die Blockierung ihrer URLS zu umgehen.

Diese Technik beinhalte die Verwendung legitimer Anwendungsdienste, welche das erste Glied in der Umleitungskette darstellten, sobald der Benutzer auf den Link geklickt hat. Anschließend werde er auf die eigentliche Phishing-Seite umgeleitet. Auf „facebook“ erscheint aber ein Link, „der mit einem legitimen Dienst generiert wurde, den ,facebook‘ nicht ohne weiteres blockieren kann“.

Die Kampagne nutze eine Automatisierung, um verschiedene Phishing-Seiten zu durchlaufen und so die Erkennung durch Sicherheitstechnologien zu vermeiden. „Sobald eine der URLs dennoch entdeckt und blockiert wird, haben es die Bedrohungsakteure recht einfach einen neuen Link mit demselben Dienst und einer neuen eindeutigen ID zu erstellen.“ Diese Beobachtungen zeigten, dass pro Dienst mehrere an einem Tag verwendet worden seien. Die Nutzung dieser Dienste ermögliche es, die Links der Bedrohungsakteure für lange Zeit verborgen zu halten und eine Blockierung durch den „facebook Messenger“ zu vermeiden.

Beliebte Angriffstechniken neben Phishing

Bei einem klassischen Phishing-Angriff werde versucht, sensible Informationen wie Benutzernamen, Kennwörter und Kreditkartendaten zu erlangen. Die Bedrohungsakteure gäben sich hierbei als vertrauenswürdiges Unternehmen aus und verschickten Massen-E-Mails, um Spam-Filter zu umgehen und oftmals sorglose Nutzer zum Anklicken schadhafter Links zu verleiten. Nachfolgend eine kleine KnowBe4-Übersicht weiterer beliebter Techniken, mit denen „täglich weltweit Tausende von Unternehmen und Privatpersonen angegriffen werden“:

Vishing
Vishing stehe für „Voice-Phishing“. Dabei handele es sich um eine Betrugsmasche, bei der die Opfer in Form eines Telefonanrufs oder einer Sprachnachricht – kontaktiert und dann mündlich nach ihren persönlichen Daten befragt würden.

Ransomware
Angreifer nutzten Ransomware, um die Daten der Opfer zu verschlüsseln und ihre Computer oder Systeme zu sperren. Folglich würden die Opfer damit erpresst, ein Lösegeld zu zahlen, um ihre Daten und ihren Zugriff zurückzuerhalten.

Social Engineering
Dies bezeichne den Einsatz psychologischer Manipulation, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Zugang zu Geldern zu gewähren. Die Kunst des „Social Engineering“ könne auch darin bestehen, Informationen von Social-Media-Plattformen zu sammeln, um potenzielle Opfer damit zu manipulieren.

Wirksame Verteidigung gegen Phishing-Kampagnen

Schulungen zum Sicherheitsbewusstsein (wie z.B. solche von KnowBe4) könnten Mitarbeitern und Unternehmen helfen, die raffinierten Betrugsmethoden zu durchschauen, welche es schafften, die Sicherheitsfilter der Unternehmen zu umgehen.

Grundsätzlich werde hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings sei es, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen.

Weitere Informationen zum Thema:

PIXM
Phishing tactics: how a threat actor stole 1M credentials in 4 months

datensicherheit.de, 04.04.2022
Fanpages: Facebook-Verstöße gegen Europäisches Datenschutzrecht auch Seitenbetreibern zuzurechnen / Datenschutzkonferenz hat Kurzgutachten zur aktuellen Situation und datenschutzrechtlichen Konformität des Betriebs sogenannter Fanpages erstellt

datensicherheit.de, 06.10.2021
Massiver IT-Ausfall bei facebook: Abhängigkeit von Digitalen Identitäten fordert Unternehmen heraus / Digitale Identitäten für Nutzung von Anwendungen in Unternehmen unverzichtbar

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt

[datensicherheit.de, 04.04.2022] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht nach eigenen Angaben wegen des „facebook“-Auftritts der Hamburger Behörden auf den Senat zu. Diese Nutzung durch eigene Auftritte, sog. „facebook“-Fanpages, stoße seit Jahren auf rechtliche Bedenken. Bereits 2018 hatte der EuGH demnach entschieden, dass eine gemeinsame datenschutzrechtliche Verantwortlichkeit von Anbietern dieser „facebook“-Fanpages und des Providers Facebook selbst besteht.

facebook-Fanpages mit problematischer Rechtslage

Verstöße von Facebook gegen das Europäische Datenschutzrecht seien daher auch den Seitenbetreibern zuzurechnen: Dies seien vor allem die Speicherung von und der Zugriff auf Daten in den Geräten der Nutzer ohne wirksame Rechtsgrundlage und fehlende Informationen.

„Anlässlich des Urteils des OVG Schleswig vom 25. November 2021, das einen jahrelangen Rechtsstreit abgeschlossen hatte, hat die Datenschutzkonferenz (DSK) ein Kurzgutachten zu der aktuellen Situation und der datenschutzrechtlichen Konformität des Betriebs von ,facebook‘-Fanpages erstellt, das die insofern problematische Rechtslage bestätigt.“

Hamburger Senatskanzlei über datenschutzrechtliche Problematik informiert

Die Datenschutzbeauftragten der Länder und des Bundes hätten beschlossen, die jeweiligen obersten Bundes- und Landesbehörden über das Kurzgutachten der DSK zu informieren, über die Rechtslage aufzuklären und auf eine Deaktivierung der Seiten durch die betroffenen Behörden hinzuwirken, „soweit Nachweise für die datenschutzrechtliche Konformität der Fanpage-Nutzung nicht gelingen“.

Der HmbBfDI habe bereits in der letzten Woche die Senatskanzlei der Freien und Hansestadt Hamburg dementsprechend informiert.

Weitere Informationen zum Thema:

DSK, Taskforce Facebook‐Fanpages, 18.03.2022
Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages

datensicherheit.de, 02.07.2018
facebook-Fanpages: Datenschutz-Mitverantwortung der Organisationen / Rechtsexperten des Forschungsverbunds „Forum Privatheit“ beleuchten langfristige Auswirkungen des EuGH-Urteils

datensicherheit.de, 01.11.2013
facebook-Fanpages: ULD legt Berufung gegen Urteil des Verwaltungsgerichtes Schleswig ein / Musterverfahren soll verbindliche Klärung der datenschutzrechtlichen Frage herbeiführen

Für sämtliche Web-Dienste dieselben Login-Daten zu verwenden ermöglicht Credential Stuffing

[datensicherheit.de, 25.10.2021] Dieses Thema sei nicht neu: „Soziale Netzwerke wie ,facebook‘, ,Twitter‘ oder auch Berufsnetzwerke wie ,XING‘ und ,LinkedIn‘ haben massive Sicherheitsprobleme. Datenklau ist bei nahezu jedem dieser Netzwerke bereits Thema gewesen.“ Allein 2021 seien bereits eine halbe Milliarde „facebook“-Nutzer, mehr als eine Million „Clubhouse“-Daten sowie die „LinkedIn“-Daten von fast allen Nutzern betroffen gewesen. Patrycja Schrenk kommentiert und warnt: „Allerdings können Nutzende selbst die meist nicht sehr tiefgreifende Sicherheit Sozialer Netzwerke weiter kompromittieren, indem diese beispielsweise für sämtliche Dienste dieselben Login-Daten verwenden“, so die Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Schrenk: Soziale Netzwerke oder auch Berufsnetzwerke haben massive Sicherheitsprobleme!

Credential Stuffing: Angreifer probieren mit Login-Daten Anmeldungen bei anderen Online-Diensten aus

Schrenk betont: „Das kann fatale Folgen haben, die bis zum Identitätsdiebstahl reichen können. Denn wenn Nutzende dieselben Login-Daten für mehrere Dienste verwenden, reicht es, wenn Cyber-Kriminelle einmalig an diese Daten gelangen.“ Diese probierten dann aus, in welche Dienste man sich mit diesen Zugängen noch einloggen kann. Diese Angriffsmethode werde auch „Credential Stuffing“ genannt.
Tatsächlich gehöre „Credential Stuffing“ zu den Angriffsmethoden, welche im Internet sehr häufig aufträten. Angreifer nutzten dabei Anmeldedaten, „die entweder geleakt, gestohlen oder sonst wie in ihre Hände gelangt sind“.
Mit diesen Login-Daten probierten die Angreifer Anmeldungen mit Nutzernamen und Passwort bei anderen Online-Diensten aus. „Um dieses Ausprobieren bei anderen Diensten zu erleichtern, werden dafür in aller Regel gerne Bot-Netzwerke eingesetzt. Rotierende ,Proxys‘ können Hunderttausende Login-Informationen über verschiedene Online-Dienste hinweg ansteuern“, erläutert Schrenk.

Credential Stuffing nicht mit Brute Force verwechseln!

Das „Credential Stuffing“ könne demnach nur bei Nutzern Erfolg haben, welche dieselben Login-Daten („Credentials“) für verschiedene Dienste verwendeten. Nicht zu verwechseln seien „Credential Stuffing“-Angriffe mit „Brute Force“-Attacken: Für „Brute Force“-Angriffe würden unzählige Kombinationen möglicher Login-Daten computergestützt „erraten“.
„Es werden solange Login-Daten eingegeben, bis irgendwann zufällig eine Kombination passt.“ Die Erfolgsaussichten von „Brute Force“-Attacken verringerten sich mit starken Passwörtern – beim „Credential Stuffing“ hingegen sei die Stärke eines Passworts nicht maßgeblich.
„Damit ist der beste Schutz vor ,Credential Stuffing‘- Angriffen, tatsächlich für jeden Dienst unterschiedliche Login-Daten zu verwenden. Niemals sollte dasselbe Passwort für verschiedene Dienste genutzt werden. Um nicht den Überblick über viele Passwörter zu verlieren, hilft die Nutzung eines sicheren Passwort-Managers“, empfiehlt Schrenk. Unternehmen rät sie zudem zum Einsatz von Monitoring-Systemen, welche unautorisierte Anmeldeversuche von Botnetzen erkennen könnten und diese abwehrten.

Angriffe per Credential Stuffing erschweren: Immer mehr Dienste bieten Zwei-Faktor-Authentifizierung an

Auch mittels verschiedener Faktoren zur Authentifizierung könnten Accounts geschützt werden: Immer mehr Dienste böten mit der Zwei-Faktor-Authentifizierung (2FA) mindestens zwei Faktoren, über welche sich Nutzer anmelden könnten. „Als zweiten Faktor oder auch für den gängigen Login setzen bereits immer mehr Dienste auf biometrische Daten. Der Fingerabdruck- oder Augen-Scan existiert bei Notebooks, Smartphones, Tablets und Rechnern. Da biometrische Daten einmalig sind, sind Fälschungen schwer bis unmöglich“.
Allerdings sollten Anwender einen sicheren Anbieter zum Speichern ihrer biometrischen Daten nutzen. Darüber hinaus erfreue sich „TOTP-based Authenticator“ zur zusätzlichen Authentifizierung immer größerer Beliebtheit. Der „Time-based One-time“-Passwort-Algorithmus (TOTP) sei das Verfahren, mit welchem Session-Kennwörter erstellt würden. Entsprechende Anwendungen seien auch für Mobilgeräte verfügbar, so dass diese Login-Methode überall genutzt werden könne. Dabei werde dem Passwort ein einmaliger Code, das Session-Kennwort, angehängt.
„Jeder Internet-Nutzende sollte es sich außerdem zur Routine machen, Passwörter regelmäßig auf Diebstahl oder Kompromittierung zu checken“, so Schrenk. Entweder sei diese Funktion im Passwort-Manager enthalten oder alternativ böten sichere Online-Dienste wie „haveibeenpwned.com“ für E-Mail und Rufnummer oder „haveibeenpwned.com/passwords“ für Passwörter entsprechende Services an.

Weitere Informationen unter zum Thema:

PSW GROUP, Bianca Wellbrock, 31.08.2021
Credential Stuffing: Cyberangriffe durch unsichere Logins

datensicherheit.de, 01.07.2021
Linkedin-Datenleck: API als Schwachstelle / Bereits im April 2021 wurde über ein Datenleck bei Linkedin berichtet

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt

datensicherheit.de, 23.02.2021
Clubhouse: Data Breach bei Social-Media-Plattform / Satnam Narang kommentiert Sicherheitslücken in boomender Clubhouse-App

Digitale Identitäten für Nutzung von Anwendungen in Unternehmen unverzichtbar

[datensicherheit.de, 06.10.2021] Der jüngste, massive Systemausfall bei „facebook“ ist wohl – nahezu – niemandem verborgen geblieben. Die Bewertungen der Folgen dieses Vorfalls gingen weit auseinander und reichten von „ist mir egal“ bis zu „Schäden von bis zu einer Milliarde Dollar binnen weniger Stunden“. Guido Grillenmeier, „Chief Technologist“ bei Semperis, geht in seiner Stellungnahme auf die oft unterschätzte Bedeutung des Schutzes und des Managements Digitaler Identitäten ein.

Foto: Semperis

Guido Grillenmeier: Web-Apps, welche Anmelde-Option via facebook nutzen, betroffen gewesen…

facebook-Ausfall für Unternehmen weltweit spürbar gewesen

Losgelöst von den oben beispielhaft genannten Betrachtungsweisen rücke der Ausfall bei „facebook“ (und mehreren damit verknüpften Diensten) einen anderen, perspektivisch weitaus wichtigeren Aspekt in den Fokus: Die Bedeutung Digitaler Identitäten und die möglichen Folgen, wenn diese eine Zeit lang nicht genutzt werden können.
Grillenmeier warnt: „Wo dies im Zusammenhang mit ,Social Media‘ noch einige Menschen kaltlassen mag, so ist dies eine weitaus ernstere Problematik, wenn Digitale Identitäten ausfallen, die für die Nutzung von Anwendungen im beruflichen Umfeld (,Windows‘, ,Microsoft365‘, ,Azure‘, …) unverzichtbar sind.“ Die Tatsache, dass „facebook“ nicht erreichbar war und damit auch die zugehörige „Messenger“-App ebenso wie „WhatsApp“ und „Instagram“, sei weltweit spürbar gewesen – für Nutzer jeden Alters.

Unternehmen verlassen sich auf Digitale Identitäten via facebook

Da „facebook“ jedoch auch als Identity-Anbieter für andere Apps fungiere, habe dieser Ausfall weitreichende Folgen über die eigenen Dienste hinaus gehabt: Jede andere Anwendung, typischerweise Web-Apps, welche die Option „Anmelden mit Facebook“ nutzten, sei betroffen gewesen – und damit auch die Unternehmen, die sich auf diese Digitalen Identitäten verlassen.
Grillenmeier führt aus: „Bald wurde klar, dass der gesamte Ausfall schlicht mit dem Prozess der Auflösung des lesbaren Teils der Website-URLs, d.h. ihres Domainnamens und der zugehörigen Servernamen, in ihre jeweiligen IP-Adressen zusammenhing. Letztere sind erforderlich, damit die verschiedenen Rechner miteinander kommunizieren können.“ Während Menschen Namen verwendeten, nutzten Computer und Anwendungen ihre IP-Adressen, um miteinander in Verbindung zu treten. „Wenn aber das erforderliche System, um diese Namen in IPs aufzulösen, d.h. das ,Domain Naming System‘, kurz DNS, nicht funktioniert, gibt es ein Problem.“

Viele Unternehmen nutzen bereits WhatsApp und Instagram, um mit Kunden zu interagieren

„Als das IT-Team von ,facebook‘ einige Updates vornahm, führte ein Konfigurationsfehler dazu, dass die Systeme Routing-Updates an andere DNS-Server auf der ganzen Welt schickten. Die Routing-Updates teilten den DNS-Servern versehentlich mit, dass ,facebook.com‘ nicht mehr existiert. Dies bedeutet, dass es keine DNS-Server mehr gab, die alle Namen im Zusammenhang mit ,facebook.com‘ in eine IP-Adresse auflösen konnten“, erläutert Grillenmeier. Diese IP-Adresse wiederum sei erforderlich zur Verbindung der verschiedenen Systeme, welche die „facebook“-Dienste nutzen wollten.
Nicht alle Unternehmen seien direkt von diesem Ausfall betroffen gewesen. Aber: „Viele Unternehmen nutzen bereits ,WhatsApp‘ und ,Instagram‘, um mit ihren Kunden zu interagieren, beispielsweise, um technischen Support anzubieten. Andere Unternehmen sind stark davon abhängig, dass sich ihre Nutzer mit ihren ,facebook‘-Konten authentifizieren, das heißt, sie nutzen ,facebook‘ als Identity-Anbieter.“ Sobald „facebook.com“ nicht mehr erreichbar war, konnten demnach keine neuen Verbindungen mehr aufgebaut werden.

Ausfall eines Identitätssystems mit erheblichen Auswirkungen auf einzelne Unternehmen

Grillenmeier unterstreicht: „Das ist ein Horror-Szenario für jeden Anbieter Digitaler Identitäten. Man stelle sich vor, ,Azure AD‘ wäre nicht mehr im Web verfügbar – in diesem Fall könnte nur Microsoft das Problem beheben und nicht die User selbst.“ In kleinerem Maßstab sei jedes lokale „Active Directory“ genauso abhängig von einem korrekt konfigurierten DNS.
Egal, ob es sich um eine DNS-Fehlkonfiguration oder um einen direkten Cyber-Angriff gehandelt habe: „Wenn ein Identitätssystem ausfällt, hat das erhebliche Auswirkungen auf einzelne Unternehmen.“ Im Idealfall sollten Unternehmen daher ihre Backups validiert und ihren „Incident Response“-Plan parat haben, so Grillenmeier und rät abschließend: „Wäre es nicht nützlich, wenn das fb-Team eine ,Rückgängig-Taste‘ für alle Änderungen hätte, die es an seinem System vornimmt?“

Weitere Informationen zum Thema:

datensicherheit.de, 05.10.2021
Bitkom kommentiert Ausfall von Facebook, Whatsapp und Instagram / Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder nimmt Stellung und gibt Empfehlung

[datensicherheit.de, 05.10.2021] Die Web-Plattformen „facebook“ und „Instagram“ sowie der Messenger-Dienst „WhatsApp“ waren laut einer aktuellen Meldung des Branchenverbands Bitkom weltweit stundenlang ausgefallen. Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder geht in seiner Stellungnahme vom 5. Oktober 2021 auf diesen Vorfall ein:

Laut Bitkom waren Unternehmen durch Ausfall zum Teil an ihrer Arbeit gehindert

„Der Ausfall der Plattformen und die Reaktionen der Nutzerinnen und Nutzer zeigen, welche zentrale Rolle Soziale Medien mittlerweile einnehmen. Während viele Menschen für ihre private Kommunikation und den Austausch mit Freundeskreis oder Familie auf andere Kanäle ausgewichen sind, waren Unternehmen zum Teil an ihrer Arbeit gehindert“, so Dr. Rohleder.

Bitkom rät Unternehmen, eigene Kommunikation zu verteilen und Alternativen zu haben

Auch in Deutschland setze ein großer Teil der Wirtschaft auf diese Plattformen: „So nutzt jedes dritte Unternehmen (30%) ,Social Media‘ für die interne und externe Kommunikation. Zwei Drittel (66%) nutzen dafür Messenger-Dienste, wie eine repräsentative Bitkom-Studie im Mai 2021 ergeben hat.“ Insbesondere für Unternehmen sei es daher wichtig, die eigene Kommunikation auf mehrere Kanäle zu verteilen und Alternativen zu haben, welche bei einem Ausfall der primär genutzten Dienste eingesetzt werden könnten, rät Rohleder.

Weitere Informationen zum Thema:

datensicherheit.de, 11.05.2021
Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten für Facebook