[datensicherheit.de, 02.08.2019] Auch der Digitalcourage e.V. nimmt Stellung zum jüngsten Urteil des Europäischen Gerichtshofs (EuGH) und vermeldet „gute Nachrichten“ – das „Grundsatzurteil weist facebook-Ausspähung auf Internetseiten in die Schranken“. Der EuGH habe festgestellt, dass jene den „Like Button“ der „Datenkrake“ einbauenden Betreiber von Websites mitverantwortlich dafür seien, welche Daten an facebook abfließen. Digitalcourages Kommentar: „Das haben wir schon lange so gefordert. Wir freuen uns, dass sich was bewegt!“

Urteil des EuGH „gut für uns Internet-Nutzende“

Wenn auf die konventionelle Art der „Like Button“ von facebook auf einer Internetseite eingebunden wird, fließen laut Digitalcourage Daten an facebook, sobald jemand die Webseite ansurft. „Und zwar auch ohne, dass der ,Like Button‘ genutzt wird.“ Das betreffe selbst Personen ohne eigenes facebook-Account.
Der EuGH habe jetzt entschieden, dass Website-Betreiber für diesen Datenabfluss mitverantwortlich seien. „Das heißt, dass sich Nachrichtenseiten, Online-Shops und Blogs spätestens jetzt Gedanken darüber machen müssen, welche Daten von ihrer Seite ungefragt an facebook, Google und Konsorten weitergeleitet werden – und dass sie das endlich abstellen müssen!“ Dieses Urteil des EuGH sei „gut für uns Internet-Nutzende“, denn „wir dürfen nicht mehr ungefragt mit dem ,Like Button‘ ausgeforscht werden“.

Überwachung auch durch facebooks Tracking-Pixel

Dabei gebe es längst eine technische Lösung, die datenschutzfreundlich sei: Die Nachrichtenseite „Heise“ habe das Open-Source-Tool „Shariff“ entwickelt. „Shariff“ stellt demnach sogenannte Share-Buttons bereit, welche erst beim Anklicken aktiv werden und vorher keine Daten preisgeben. So bleibe die Privatsphäre der Besucher geschützt.
Doch der „Like Button“ sei leider nicht die einzige Methode, „mit der facebook uns beobachtet“.
Erst im Juni 2019 hat Digitalcourage nach eigenen Angaben „Zeit Online“ stellvertretend für viele andere Nachrichtenseiten einen „BigBrotherAward“ verliehen – unter anderem, „weil sie ihre Leserinnen und Leser der Überwachung durch facebooks Tracking-Pixel aussetzen – damit sind sie bei Weiten nicht die einzigen“. Digitalcourage werde dran bleiben: Qualitätsjournalismus dürfe sich nicht weiter zum „Gehilfen des Überwachungskapitalismus“ machen. Auf dem Blog „Rufposten“ zeige der Journalist Matthias Eberl, „wie viele Nachrichtenseiten mit facebook-Trackern verseucht sind“. Die Überwachung mit dem Tracking-Pixel sei rechtswidrig – Eberl zeige auch auf, „wie wir uns wehren können“.

Weitere Informationen zum Thema:

datensicherheit.de, 29.07.2019
Like Button: Gemeinsame Verantwortlichkeit bei Einbindung / EuGH bestätigt Mitverantwortung für Datenschutz bei Betreibern von Websites mit „Social Plugins“

datensicherheit.de, 29.07.2019
EuGH-Urteil: Enorme Verantwortung für Tausende Website-Betreiber / Dr. Bernhard Rohleder erwartet Auswirkungen auf alle gängigen „Social Media“-Plugins

datensicherheit.de, 29.07.2019
EuGH-Urteil: Lähmung digitaler Potenziale im Mittelstand / Dr. Ludwig Veltmann kritisiert Entscheidung zum „Like Button“ und warnt vor Folgen für KMU

Rufposten, 03.06.2019
Facebook trackt Nutzer auf drei Viertel aller deutschen Nachrichtenseiten

Rufposten, 03.06.2019
Facebook-Tracker erkennen und dagegen vorgehen

heise online, 02.12.2014
Datenschutz und Social Media: Der c’t Shariff ist im Einsatz

[datensicherheit.de, 20.12.2018] Laut einer Meldung von „heise online“ vom 20. Dezember 2018 haben Recherchen des „c’t magazin“ ergeben, dass über Amazon.de höchst private Sprachaufzeichnungen von „Echo“-Geräten an fremde Personen gelangt sind. Demnach sind 1.700 „Alexa“-Sprachaufzeichnungen aus Schlafzimmer, Badezimmer und Wohnzimmer eines „Echo“-Besitzers in die Hände eines Unbefugten geraten.

Sprachaufzeichnung als Datenbasis für KI-Training

„Mich verwundert dieser Vorfall nicht. Amazon speichert und nutzt solche Daten, um seine Sprach-KI ,Alexa‘ zu trainieren und besser zu machen. Nutzer erkennen das ganz leicht an der ,Alexa‘-App: Diese zeigt ein Transcript aller an die KI gestellten Fragen an und bietet sogar eine Feedback-Möglichkeit“, erläutert Boris Cipot, „Senior Sales Engineer“ bei Synopsys Software Integrity Group, und beantwortet damit die Frage, weshalb Amazon überhaupt solche Daten speichert.
„Wann immer solche Daten gespeichert werden, besteht auch die Möglichkeit unsachgemäßen Umgangs mit negativen Folgen. Dessen sollten sich Nutzer von ,Siri‘, ,Alexa‘ und Co. bewusst sein“, so der KI-Experte. „Amazon sollte bei ,Alexa‘ eine Funktion integrieren, die Nutzern eine Kontrolle über die eigenen Daten ermöglicht. Beispielsweise sollten Nutzer einen Zeitrahmen festlegen können, wie lange Daten höchstens gespeichert werden dürfen“, empfiehlt Cipot. So ein Mechanismus hätte den „menschlichen Fehler“ (laut Stellungnahme Amazon) im vorliegenden Fall vermieden.

Kunden sollten Wert auf transparenten, verlässlich Daten-Umgang legen!

Cipot unterstreicht: „Vertrauen ist das Wichtigste, was ein Kunde einem Unternehmen schenken kann. Gerade dann, wenn es um sensible Daten aus der eigenen Intimsphäre geht. Je mehr solcher Fälle publik werden, desto mehr werden auch große Unternehmen wie Amazon zu Transparenz im Umgang mit Daten gezwungen.“
Ob es sich im vorliegenden Fall tatsächlich um einen „menschlichen Fehler“ und „bedauerlichen Einzelfall“ laut der Stellungnahme von Amazon gehandelt hat, oder ob der Fehler in der Automatisierung und somit in der internen IT-Architektur des Unternehmens zu suchen ist, lasse sich nicht mit Sicherheit sagen.
Cipot hofft, „dass Kunden zukünftig nur Geräte und Technologien solcher Unternehmen verwenden, die bewiesen haben, dass sie transparent und verlässlich mit den ihnen anvertrauten Daten umgehen“.

Weitere Informationen zum Thema:

heise online / c’t Magazin, 20.12.2018
Amazon gibt intime Alexa-Sprachdateien preis / Durch einen Fehler von Amazon.de fielen rund 1700 Alexa-Sprachaufzeichnungen in die Hände eines Unbefugten

datensicherheit.de, 05.10.2018
Kommentar zum chinesischen Spionage-Angriff auf Apple und Amazon

[datensicherheit.de, 17.08.2016] Heutzutage funktioniert kaum noch ein betrieblicher Prozess ohne IT-Unterstützung – deren Absicherung ist also existenziell. Der „Markt rund um die IT-Sicherheit“ boome und die technischen Lösungen seien vielfältig, betont der eco – Verband der Internetwirtschaft e.V.
Ein nicht zu unterschätzender Sicherheitsfaktor bleibe aber der Mitarbeiter, der oft als „Einfallstor von Cyber-Ganoven“ genutzt werde. Bei den „Internet Security Days“ am 22. und 23. September 2016 in Brühl bei Köln sei deshalb „Security Awareness“ ein wichtiges Thema für die internationalen Security-Experten, meldet der eco.

„Human Hacking“ als Einfallstor

Laut dem „Bericht zur Lage der IT-Sicherheit in Deutschland“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) liege die Anzahl der Schwachstellen und Verwundbarkeiten in IT-Systemen weiterhin auf einem hohen Niveau. Neben umfangreichen technischen Maßnahmen beginne die Verbesserung des Schutzes aber vor allem bei den Mitarbeitern.
„Human Hacking“ sei ein häufiges Einfallstor von Cyber-Ganoven, so Marco Krause, „Security Engineer“ bei der ING-DiBa AG. Die „Human Hacker“ hätten in den letzten zwanzig Jahren eine unglaubliche Professionalisierung durchlaufen. Je nach eingesetztem Medium – E-Mail, Telefon oder im direkten Kontakt – seien sie in der Lage, ausgefeilte psychologische Tricks so einzusetzen, dass bei ihren Opfern meist eine vorhersagbare Irrationalität eintrete, berichtet Krause.

Unzureichende „Security Awareness“

Nach Krauses Ansicht holten viele Security-Awareness-Programme die Anwender nicht richtig ab und lieferten mitunter falsche Handlungsempfehlungen. Phishing-Mails seien zum Beispiel immer häufiger mit fehlerfreier Rechtschreibung verfasst, sprächen den Empfänger persönlich an und kämen scheinbar von einem bekannten Absender. „Solange bestehende Abwehrmechanismen nicht ausreichend professionalisiert oder mehrschichtig erweitert werden, garantiert Human Hacking im Bereich der Schattenwirtschaft auch weiterhin einen schnellen Return on Investment“, so Krauses Warnung.
Egal, ob Assistenz oder Geschäftsführung, jeder müsse um die Bedeutung der IT-Sicherheit wissen, ergänzt Martin Wundram, IT-Forensiker und Geschäftsführer der DigiTrace GmbH. Dazu müsse das Know-how ausgebaut werden. Es sei unabdingbar, dass alle Mitarbeiter zumindest über sattelfeste Grundkenntnisse verfügten, um „Locky und Co.“ sowie „Social Engineering“ nicht zum Opfer zu fallen, betont Wundram.

Plattform für internationale Security-Experten

Martin Wundram und Marco Krause sind zwei von zahlreichen Experten, die am 22. und 23. September 2016 bei den diesjährigen „Internet Security Days“ als Vortragsredner sprechen.
Auch in diesem Jahr werden im „Phantasialand“ bei Köln wieder Hunderte von Besuchern erwartet, die an Vorträgen und Workshops teilnehmen oder sich bei der „Security Fair“ über die neuen Sicherheitslösungen informieren können. Erstmalig wird die Sicherheitskonferenz nach eigenen Angaben gemeinsam vom eco und Heise Medien organisiert.

Weitere Informationen zum Thema:

„Internet Security Days“
Welcome to Internet Security Days 2016: Trade Fair, Conference, Networking and Fun