03.10.2023 Cybercrime-Gang AlphV hat wieder zugeschlagen

Terabytes von Hotelkette Motel One gestohlen

Wie Heise.de brichtet hat die Cybercrime-Gang AlphV sich Zutritt zum Netzwerk der Hotelkette MotelOne verschafft. Die Gang behauptet auf ihrer Darknet-Seite insgesamt über 6 Terabyte Daten erbeutet zu haben. Darunter sind Finanz- und Kundendaten sowie Korrespondenz der Firma, darunter auch Buchungsbestätigungen aus den vergangen drei Jahren.

In 2 Tagen, am Donnerstag läuft die Frist ab, die die Erpresser dem Unternehmen gegeben haben, um ihre Bedingungen zu erfüllen. Ob sie dann tatsächlich alle Daten ins Netz stellen ist fraglich, wäre für das Unternehmen aber eine Katastrophe.

Wenn darunter auch die Kundendaten mit den zugehörigen Adress- und Kontodaten wären, könnten auch die ein Problem bekommen. Alle Betroffenen sollen nach Angaben von Motel One vom Unternehmen über den Vorfall informiert worden sein.

Mehr dazu bei https://www.heise.de/news/Cybercrime-Erpressergang-greift-Hotelkette-MotelOne-an-9322397.html
Kategorie[32]: Datenverluste Short-Link dieser Seite: a-fsa.de/d/3wy
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8543-20231003-cybercrime-gang-alphv-hat-wieder-zugeschlagen.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8543-20231003-cybercrime-gang-alphv-hat-wieder-zugeschlagen.html
Tags: #MotelOne #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Verluste #Cyberwar #Hacking #Trojaner #Cookies #Verschlüsselung #Datenbanken #Kundendaten #Ransomware #Erpressung

01.10.2023 Der Grundrechtseingriff liegt im Speichern
"Nein, der Grundrechtseingriff liegt im Zugriff"

... meinte Thomas de Maizière (CDU) als er noch Innenminister war in einem Gespräch über die Gefahren der Vorratsdatenspeicherung. Solange man nur alles mögliche speichert war seiner Meinung nach alles in Ordnung, lediglich der darauf folgende Zugriff müsste rechtlich geregelt werden.

GAFAM (Google, Amazon, Facbook, Apple und Microsoft), die sogenannten Big5, beweisen seit Jahren, dass dies eine irrige Ansicht ist. Sie sammeln über Jede/n alles was sie bekommen können und ihre Gewinne steigen ins Unermeßliche. Zumindest verfügen sie inzwischen über Gelder, die den Staatshaushalten mittlerer Industriestaaten entsprechen.

Das war 2013 als der verlinkte Artikel im Spiegel erschien noch etwas gemäßigter, doch die Analogie zu de Maiziere's Ansicht war auch damals sichtbar. "... wir speichern lediglich und wir geben nur Auskunft, wenn wir - juristisch einwandfrei! - nach bestimmten Daten gefragt werden." Und damit war für die betroffenen Firmen klar, dass es gar kein flächendeckendes Überwachungsprogramm gibt.

Die Veröffentlichungen unseres Ehrenmitglieds Edward Snowden ließen 2013 die Welt aufhorchen - eine Zusammenfassung der wichtigsten Erkenntnisse ist z.B. "Was ist neu an PRISM & Tempora?" - und dann wurde wieder weltweit abgewiegelt. In Deutschland taten sich dabei der (selbst betroffene) BND und die Bundesregierung hervor.
Rechtlicher Schutz ist eine Lachnummer

Auch die betroffenen oben genannten IT Konzerne verwiesen, wie Herr de Maiziere, auf die rechtliche Absicherung ihrer Datenweitergabe. In den USA befindet das FISA Gericht welche Daten die Firmen den anfragenden Behörden - meist Geheimdienste - auszuhändigen haben. Wie man in den Jahresberichten des Fisa-Gerichtes mehr oder weniger leicht nachvollziehen kann, betrachtet es dieser Gerichtshof offenbar nicht als seine Aufgabe, Datenabrufen einen Riegel vorzuschieben. Er bewilligt, was ihm vorgelegt wird, schrieb der Spiegel.

Auch sein Fazit ist so aktuell, als sei es von heute: Der Prism-Skandal ist also in erster Linie ein Weckruf für alle Internetnutzer: Die Bedrohung durch eine digitale Totalüberwachung entsteht eben nicht erst durch den Zugriff. Die gewaltige Sammlung personenbezogener und persönlichster Daten an sich ist das Problem.

Dies gilt um so mehr, als die speichernden Konzerne mit ihren inzwischen entwickelten KI-Tools aus den gespeicherten Datenbergen noch immens viel mehr an Kenntnissen über uns extrahieren können.

Mehr dazu bei https://www.spiegel.de/netzwelt/netzpolitik/was-prism-in-wahrheit-ueber-google-facebook-und-co-sagt-a-905351.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3wv
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8540-20231001-der-grundrechtseingriff-liegt-im-speichern.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8540-20231001-der-grundrechtseingriff-liegt-im-speichern.html
Tags: #Prism #Tempora #NSA #USA #EdwardSnowden #Grundrechtseingriff #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Verluste #Cyberwar #Hacking #Trojaner #Cookies #Verschlüsselung #Datenbanken #speichern #Zugriff #GAFAM #Big5 #KI #Auswertung

30.09.2023 Sony komplett gehackt?

Hacker behaupten "alle Daten des Unternehmens" zu haben

Die "Hintermänner von Ransomedvc" behaupten auf ihrer Webseite erfolgreich die IT-Systeme von Sony attackiert zu haben. Sie hätten "alle Daten des Unternehmens" erbeutet und verlangen nun eine "Entschädigung" für ihren Aufwand, da sie als Pentester für den Einbruch in IT-Systeme bezahlt werden wollen.

Außerdem wollen sie Sony wegen Verletzung des Datenschutzrechts bei der europäischen Datenschutzbehörde General Data Protection Regulation (GDPR) melden, da das Unternehmen die Daten seiner Kunden nicht sicher speichere.

Wenn Sony sie nicht bezahle, wollen sie sämtliche Daten verkaufen. Auf ihrer Webseite sind einige Beispiele der erbeuteten Daten zu sehen. Wie viele Daten sie wirklich erbeutet haben ist unbekannt, denn Sony hat sich bislang nicht zu dem Vorgang geäußert.

Sony war bereits in der Vergangenheit mehrmals Opfer von Datendiebstählen. Heise.de zählt auf:

• 2014 konnten Angreifer unzählige Daten von Sony Pictures kopieren. https://www.heise.de/news/Sony-Pictures-Hacker-veroeffentlichen-Mitarbeiterdaten-2480740.html
• 2011 wurden Kundendaten von Playstation Network abgezogen. https://www.heise.de/news/Angriff-auf-Playstation-Network-Persoenliche-Daten-von-Millionen-Kunden-gestohlen-1233136.html

Mehr dazu bei https://www.heise.de/news/Cyberkriminelle-von-Ransomedvc-behaupten-Sony-komplett-gehackt-zu-haben-9316488.html
Kategorie[32]: Datenverluste Short-Link dieser Seite: a-fsa.de/d/3wu
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8539-20230930-sony-komplett-gehackt.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8539-20230930-sony-komplett-gehackt.html
Tags: #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Verluste #Cyberwar #Hacking #Trojaner #Cookies #Verschlüsselung #Datenbanken #Kundendaten #Sony #Ransomware #Erpressung #DSGVO

16.09.2023 Kosten von eGK und ePA

Wie viele Milliarden wurden der Gesundheit vorenthalten?

Erst vor 3 Wochen haben wir berichtet, dass 0,6% der gesetzlich Versicherten das e-Rezept nutzen und vor einigen Monaten, dass Krankenkassen einen Widerspruch gegen die Einrichtung einer Zwangs-ePA (einer elektronischen Patientenakte) zurückweisen, obwohl man "irgendwann" das Recht haben soll diese abzulehnen.

Nach beiden Artikeln gab es Anfragen, warum wir diese "digitalen Innovationen" so pauschal ablehnen. Dazu stellen wir klar:

• Wir sind für "digitale Innovationen", wenn sie
• wirklich die Arbeit erleichtern,
• die Privatsphäre schützen,
• ihre Kosten in einem ausgewogenen Verhältnis zum Nutzen stehen.

Alle 3 Punkte werden weder durch die Gesundheitskarte (eGK) noch die Patientenakte (ePA) auch nur annähernd erfüllt. Mindestens bei der eGK und dem e-Rezept können wir das mit Sicherheit sagen. Wenn die Ärzte wegen Schlüsseleingabe und Zertifikaten beim e-Rezept mindestens die 3-fache Zeit (30sec) wie beim manuellen Rezept (5-10sec) brauchen, dann ist das Produkt untauglich.

Über die vielen Fälle von Datenverlusten bei Gesundheitsdaten haben wir berichtet, auch über die mehrfachen Nachweise des CCC, dass die Telematik-Infrastruktur des Gesundheitswesens in Deutschland angreifbar ist (z.B. Patientendaten beim DRK gehackt , Gesundheitsdaten ungeschützt im Netz , Gesundheitsdaten sicher ... für 10 Minuten , PC macht Update während Vollnarkose).

Das Kostenargument

Über die letzten 15 Jahre gab es die verschiedensten Zahlen zu den Kosten der angeblich eierlegenden Wollmilchsau eGK. Für die Einführung der Gesundheitskarte veranschlagte man 1,6 Mrd. Euro. Die Kassen sollten den größten Teil übernehmen. Für Ärzte, Kliniken und Apotheker war eine Beteiligung in Höhe von 600 Millionen Euro vorgesehen (https://de.wikipedia.org/wiki/Elektronische_Gesundheitskarte#Kostenerwartungen).

Die elektronische Gesundheitskarte (eGK) bezeichnete der Bund der Steuerzahler als „skandalös“. Die eGK könne elf Jahre nach ihrer Einführung noch nicht richtig genutzt werden. Dabei beliefen sich die Kosten für Entwicklung und Hardware auf rund 2,2 Milliarden Euro. Erst 2015 sei die eGK ausgeliefert worden – mit einer Verspätung von neun Jahren. Neu seien zu diesem Zeitpunkt nur das Passbild des Versicherten gewesen - Merke: Das sind nur die Kosten für eine Plastikkarte mit einem Foto ohne jede der geplanten Funktionen. (https://www.aerzteblatt.de/archiv/193895/Elektronische-Gesundheitskarte-Bund-der-Steuerzahler-kritisiert-Kostenexplosion)

Kurze Zeit später stellte eine Kosten-Nutzen-Analyse der Unternehmensberatung von Booz, Allen, Hamilton für die Gesellschaft für Telematikanwendungen der Gesundheitskarte (Gematik) fest, die der „Frankfurter Allgemeinen Sonntagszeitung“ vorliegt, dass die Kosten der eGK 3,9 Milliarden Euro betragen werden, im ungünstigsten Fall sieben Milliarden Euro. Auf die Ärzte kommen dem Gutachten zufolge Gesamtbelastungen von 1,933 Milliarden Euro zu. Sie müssen circa 2 000 bis 10 000 Euro je Praxis in die Anschaffung der neuen Technologie investieren. Dem steht nur ein Nutzen von 553 Millionen gegenüber (https://www.aerzteblatt.de/archiv/52753/Gesundheitskarte-Teurer-als-geplant).

Im ungünstigsten anzunehmenden Fall gehe man von einer vollständigen Funktionsfähigkeit der eGK erst in acht bis zehn Jahren aus, so der Pressesprecher der Firma gematik, Daniel Poeschkens, gegenüber Monitor. Die Gesamtkosten könnten dabei nach den internen Szenarien sogar auf 14,1 Milliarden Euro anwachsen. (https://de.wikipedia.org/wiki/Elektronische_Gesundheitskarte#Kostenerwartungen [82])

Es gab bis 2013 übrhaupt keine Kosten-Nutzen-Analyse des eGK-Projekts. Die bis 2013 amtierende Staatssekretärin im Bundesministerium für Gesundheit, Ulrike Flach, bestätigte, dass das Projekt schon 2009 1,5 Milliarden Euro gekostet habe. Insofern sind unsere Schätzungen im Jahr 2018 von 8 Milliarden Euro, die für die eGK versenkt wurden, sehr realistisch. Inzwischen dürften die 10 Milliarden erreicht sein. Im Gegensatz zu Großbritannien, wo die Reißleine nach der Vernichtung von 6 Milliarden gezogen wurde, wird in Deutschland weiter Geld in die "Entwicklung" der eGK gesteckt.

Was bleibt?

Von den für die eGK geplanten Anwendungen bleibt im wesentlichen nur der Identitätsnachweis und die Schlüsselfunktion zur geplanten ePA. Letztere ist durch das Verschieben der Anwendungen in irgendwelche Apps auf dem Smartphone eigentlich schon wieder obsolet.

Jedenfalls werden dafür z.Zt. für den NFC Chip Einbau in neue eGK Mehrkosten von 0,70 Euro pro Karte entstehen und man geht von Gesamtkosten von vier Euro pro Karte aus. Dadurch entstehen für die Gesetzliche Krankenversicherung geschätzte Mehrkosten für den Austausch in Höhe von weiteren 50 bis 60 Millionen Euro über die nächsten fünf Jahre. (https://www.serapion.de/kommt-die-elektronische-gesundheitskarte-mit-kontaktloser-schnittstelle/

Auf jeden Fall wurden in Deutschland inzwischen mehr als 10 Milliarden Euro in eine Plastikkarte (inkl. Telematik-Infrastruktur mit Lesegeräten in Praxen und Kliniken) für die 74,4 Millionen gesetzlich Versicherten gesteckt, die ihrer gesundheitlichen Versorgung sicher mehr genutzt hätten.

Über die Kosten der ePA gibt es bisher nur grobe Schätzungen. Da die Einführung vom 1.1.22 erst auf den 1.1.24 und nun als Zwangs-ePA für alle auf den 1.1.25 verschoben wurde, kann man wohl annehmen, dass erstens noch nicht allzuviel funktioniert und auch in 18 Monaten nicht funktionieren wird (Elektronische Patientenakte - Top oder Flop? u.v.a. Artikel zur ePA).

Mehr in unseren Artikel zu eGK und ePA https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=egk+epa&sel=meta
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3wf
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8525-20230916-kosten-von-egk-und-epa.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8525-20230916-kosten-von-egk-und-epa.html
Tags: #Kosten #eGK #ePA #elektronischePatientenakte #PDSG #Patientendatenschutzgesetz #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #RFIDChips #elektronischeGesundheitskarte #eHealth #Verluste

11.09.2023 Anbieter sollen Passworte herausgeben

... die sie nicht haben - Vertrauen in Digitalisierung verspielt

Da schauen wir bei Gesetzesänderungen eigentlich aus schlechter Erfahrung etwas genauer hin und trotzdem ist die Änderung von Telemediengesetz (TMG) und des Netzwerkdurchsetzungsgesetz (NetzDG) im Winter und Frühjahr 2020 durch das Gesetz "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" zwar nicht völlig an uns vorbeigegangen, aber wir haben ein "Hintertürchen" übersehen was die damit verknüpften Grundrechtseingriffe noch viel größer macht.

Jetzt 3 Jahre danach kann man zwar sagen, den Dammbruch des Rechtsstaates hat es nicht gegeben, weil die Gesetze-Schreiber wie üblich weit von der technischen Realität entfernt waren. Doch der Reihe nach - was waren die Inhalte?

• Die begehrten Bestandsdaten sollen generell neben Strafverfolgern und sämtlichen Geheimdienste auch Ämter in die Hände bekommen, die etwa Ordnungswidrigkeiten oder Schwarzarbeit ahnden.
• Der Auskunftsanspruch soll "soweit dies zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist", also zum Verfolgen von Urheberrechtsverletzungen, genutzt werden.
• Zu den abfragbaren Daten gehören ausdrücklich auch Daten auf räumlich getrennten Speichereinrichtungen (Cloud).
• Passwörter sollen Behörden erhalten, die "besonders schwere Straftaten" verfolgen oder für die "Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständig" sind.

Passwörter?

Regen wir uns an dieser Stelle nicht schon wieder über "Ordnungswidrigkeiten" und die Gelddruckmaschine für Abmahnanwälte auf, das hatten wir damals bei der Novelle vor 3 Jahren bereits getan. Aber der Cloudzugriff und die Herausgabe von Passwörtern haben es in sich. Wir verstehen noch, dass der Serverbetreiber auf die Cloud (auf seinem Server) zugreifen kann, nehmen aber an, dass die persönlichen Daten der Nutzer verschlüsselt abgelegt werden und nach allgemeiner Rechtsauffassung der Serverbetreiber das Passwort, wie auch alle anderen Nutzerpasswörter nicht im Klartext speichert.

Denn das Gesetz verlangt von Telemedienanbieter im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und den gängigen IT-Sicherheitsbestimmungen, dass Passwörter verschlüsselt gespeichert werden müssen. Den Serverbetreibern sind also nur irgendwelche Hashwerte bekannt, niemals jedoch die wirklichen Passworte. Also können auch Sicherheitsbehörden im Normalfall von den Betreibern auch keine erhalten.

Das zeigt wieder einmal, wie wichtig es ist, nicht irgendwelche Anbieter für die Aufbewahrung der eigenen Daten zu wählen - und vor allem keine, die nach US-Recht nicht an die DSGVO gebunden sind.

So gab es 3 Jahre nach der Gesetzesänderung auch kaum sensationelle Fälle von Passwortherausgaben. Trotzdem hätten wir vor 3 Jahren vor der Gefahr warnen müssen, denn ständig machen auch IT-Verantwortliche Fehler und können damit die ihnen anvertrauten Daten ihrer Kunden in Gefahr bringen.

Kritisieren müssen wir - auch nach 3 Jahren, denn ihre Begehrlichkeiten sind inzwischen nicht kleiner sondern größer geworden - die Regierenden, dass sie mit solchen Gesetzen das Vertrauen in die Datenverarbeitung untergraben und damit ihren eigenen Digitalisierungswahn selbst boykottieren.

Mehr dazu bei https://www.heise.de/news/Kampf-gegen-Hass-Bundesregierung-stimmt-fuer-Pflicht-zur-Passwortherausgabe-4663947.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3wa
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8520-20230911-anbieter-sollen-passworte-herausgeben.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8520-20230911-anbieter-sollen-passworte-herausgeben.html
Tags: #Passworte #Bestandsdatenauskunft #Lauschangriff #Überwachung #Vorratsdatenspeicherung #Rasterfahndung #Datenbanken #Hashwert #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Anonymisierung #Verschlüsselung

08.09.2023 Kein Datenschutz im Auto

25 Autohersteller durchgefallen

So viele hat Mozillas Shopping-Leitfaden "*Datenschutz nicht inbegriffen" geprüft und festgestellt, dass sie es mit dem Datenschutz in ihren Fahrzeugen nicht so genau nehmen. Na ja, stimmt nicht ganz, denn Toyota überrascht ihre Kunden mit ganzen 12 Datenschutzerklärungen denen sie zustimmen müssen. Das macht es in der Praxis dann auch nicht besser!

Das Highlight

Den Negativpreis würde Nissan gewinnen. Heise.de berichtet: In seiner Datenschutzerklärung gibt der Hersteller offen zu, Daten zur Gesundheit, Genetik und sexuellen Aktivität zu sammeln. Weiterhin speichert das Unternehmen "Präferenzen, Eigenschaften, psychologische Trends, Neigungen, Verhaltensweisen, Einstellungen, Intelligenz, Fähigkeiten und Eignungen.
Diese Daten würde Nissan auch ausdrücklich "weitergeben oder verkaufen".

Interessant ist, dass einige der 25 Hersteller die Consumer Privacy-Protection-Principles unterzeichnet haben. Das sollte eigentlich eine freiwillige Selbstverpflichtung sein, an die sich aber scheinbar niemand hält. Warum das so ist, haben Analysten herausgefunden. Mit den in Fahrzeugen erhobenen Daten lassen sich bis 2030 rund 750 Milliarden US-Dollar Einnahmen auf Kosten der Verbraucher verdienen.

Also wird weiter gesammelt und verkauft

... Daten zu

Ethnie,
Einwanderungsstatus,
Gewicht,
Genetik,
sexuellen Aktivität,
psychologische Trends,
Neigungen,
Verhaltensweisen,
Einstellungen,
Intelligenz,
Fähigkeiten
...

In der Liste fehlen solche "Selbstverständlichkeiten" wie Unfallhäufigkeit, Fehler im Fahrzeug, ...
Nicht nur im Internet lauern die Gefahren des Datenklaus, sondern auch auf der Straße.

Mehr dazu bei https://www.heise.de/news/Mozilla-Autos-sammeln-Daten-zum-Einwanderungsstatus-und-zur-sexuellen-Aktivitaet-9295153.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3w7
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8517-20230908-kein-datenschutz-im-auto.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8517-20230908-kein-datenschutz-im-auto.html
Tags: #Mozilla #Autotest #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #Lauschangriff #Überwachung #Datenweitergabe #Verhaltensweisen #Neigungen #Ethnie #Gewicht #freiwilligeSelbstverpflichtung

07.09.2023 Von der eigenen Uhr belauscht

Noyb geht gegen Fitbit vor

Die Firma Fitbit - die natürlich inzwischen seit 2021 zu Google gehört - verkauft "intelligente" Uhren. Diese können die Aktivität der Nutzer*innen aufzeichnen, auch Körperfunktionen wie Herzfrequenz oder Schlafzyklen, das eigene Gewicht oder den Zyklus.

Soweit so gut, wenn ich der Einzige bin, der diese Daten erhält. Im Gegenteil, bei Inbetriebnahme muss ich zustimmen "der Weitergabe ihrer personenbezogenen Daten an Länder außerhalb der EU ". Eine einmal erteilte Zustimmung kann man nicht widerrufen.

Beide Tatsachen widersprechen der europäischen DSGVO, denn eine solche erzwungene Einwilligung sei „weder frei, informiert noch spezifisch“. Deswegen hat die Datenschutz-Organisation „None of Your Business“ (noyb) wegen angeblicher Verstöße gegen die Europäischen Datenschutzregeln gleich bei der österreichischen, der niederländischen und der italienischen Datenschutzbehörde Beschwerde gegen Fitbit eingereicht.

Warum Daten nach außerhalb der EU?

Man hätte ja noch (ein ganz geringes) Verständnis gehabt, wenn Fitbit versuchen würde, meine sensiblen persönlichen Gesundheitsdaten für die Optimierung ihres Produkts sich selbst zuschicken würde. Aber nein, es muss gleich die ganze Welt - vor allem außerhalb der EU - sein, denn dort gilt die DSGVO nicht. Das beweist wieder einmal, dass die DSGVO trotz aller Unzulänglichkeiten nicht so schlecht sein kann.

Es geht natürlich um das ganz große Geld, welches die großen Internetkonzerne mit persönlich identifizierbaren Menschen und ihren Gesundheitsdaten machen möchten.

Mehr dazu bei https://netzpolitik.org/2023/dsgvo-fitbit-soll-illegal-daten-verarbeiten/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3w6
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8516-20230907-von-der-eigenen-uhr-belauscht.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8516-20230907-von-der-eigenen-uhr-belauscht.html
Tags: #Noyb #Fitbit #Google #Big5 #GAFAM #Gesundheitstracker #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #Lauschangriff #Überwachung #Datenweitergabe #EU #DSGVO #Smartphone #Handy #Transparenz

26.08.2023 Datenhändler wissen fast alles

Verfolgung auf Schritt und Klick

"Womit können wir Ihnen helfen? Wir wissen fast alles." Frage einfach den Datenhändler deines (Nicht-) Vertrauens:

• Menschen in Italien, die ein Kind adoptieren wollen,
• Frauen auf dem Land in Frankreich, die ihren Ehemann verloren haben,
• Haushalte in Deutschland, die mit 1.000 Euro monatlich über die Runden kommen müssen,
• Geringverdiener ohne Orientierung,
  • Überdurchschnittlicher Alkohol-Konsum

Viele Hunderttausende solcher Kategorien bieten Datenhändler an. Mit unseren persönlichen Eigenschaften helfen wir der Werbeindustrie beim Geldverdienen. Das geht nur so gut, weil wir uns keine Gedanken über den Datenmüll machen, den wir hinterlassen.

Cookies, IP-Adressen und Werbe-IDs werden beim Surfen im Internet auf unseren Geräten abgelegt. Dass Fremde sie dort lesen können, liegt wieder an unserer Nachlässigkeit. Aus Bequemlichkeit stimmen wir der Nutzung unserer persönlichen Daten zu, denn sich wirklich damit auseinanderzusetzen, welche Daten technisch notwendig und welche nur zu Werbezwecken erzeugt werden, ist mühsam. Browser Add-Ons wie NoScript, AddBlocker u.v.m. können uns dabei die Arbeit erleichtern. Google und seine WEI-Schnittstelle wollen es uns erschweren ...
Zurück zu den Datensammlern

Netzpolitik.org stellt fest: Einer der wichtigsten Akteure dieser Industrie ist der Datenmarktplatz Xandr. Xandr gehört inzwischen zu Microsoft. Bevor es zur Übernahme kam, stellte Xandr ein riesiges Dokument mit den Namen von rund 650.000 Segmenten öffentlich ins Netz. Netzpolitik.org hatte eine Zusammenfassung davon im Juni veröffentlicht. Davon kann man mindestens 1900 Kategorien als sensibel oder datenschutzrechtlich bedenklich nennen (Bsp. s. o). Das sind Kategorien, die persönliche Eigenschaften, etwa Gesundheit, Religion und politische Ansichten betreffen.

Auf mehrfache Nachfrage zu diesen Kategorien hat Microsoft nun mitgeteilt: Man nehme „diese Angelegenheiten ernst“ und halte sich an alle Gesetze. Andere Datenhändler, wie The Adex und Adsquare haben Netzpoltik.org erklärt, dass die gesammelte Daten nach rund 90 Tagen gelöscht würden. Damit meinen sie real wohl, dass die Daten in diesem Zeitraum durch neue Daten ersetzt werden - man will ja nichts veraltetes verkaufen ...

Mehr dazu bei https://netzpolitik.org/2023/europa-vergleich-wie-eng-uns-datenhaendler-auf-die-pelle-ruecken/

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3vS
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8503-20230826-datenhaendler-wissen-fast-alles.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8503-20230826-datenhaendler-wissen-fast-alles.html
Tags: #Datenhändler #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Zustimmung #Ergonomie #Datenpannen #Datenskandale #Cyberwar #Hacking #Trojaner #Cookies #Smartphone #Handy #Gesundheit #Religion #politischeAnsichten #Soziales #Gender #Diskriminierung #Ungleichbehandlung
Erstellt: 2023-08-26 08:45:45

25.08.2023 Ab 2024 Rezepte nur noch elektronisch

0,6% nutzen e-Rezept

Nicht zu glauben, schon 0,6% aller Patienten lassen sich bei ihrem Arztbesuch ein e-Rezept austellen, auch bei der elektronischen Patientenakte (ePA) sieht es nicht viel anders aus. Seit knapp zwei Jahren gibt es ein e-Rezept und im letzten Jahr Zeit standen 2,75 Millionen eingelösten E-Rezepten insgesamt 462 Millionen Rezepte auf Papier gegenüber.

Wo liegt das Problem?

Nicht ein Problem, sondern es sind viele:

• Das e-Rezept gibt es mit einer App auf dem Handy - das will wohl niemand oder keiner hat die passende App.
• Das e-Rezept gibt es auch auf der Gesundheitskarte - da gab es aber ein Sicherheitsloch, das erst gestopft werden musste. Nun warten wir auf die nächste Lücke ...
• Für die Erstellung eines e-Rezepts braucht ein Arzt mindestens 30 Sekunden für Anmeldung und Zertifizierung, für eins auf Papier nur 5 Sekunden. Wir geben ihm gern noch 5 weitere Sekunden zum Nachdenken, trotzdem summieren sich die zusätzlichen 20 Sekunden x 462 Millionen Rezepte auf viele Frau- oder Mann-Jahre, die bei der angespannten Lage im deutschen Gesundheitswesen nicht zur Verfüngung stehen.

Mit anderen Worten: eigentlich will niemand das e-Rezept, welches ab 1.1.24 der Standard sein soll. Für das Abrechnungswesen der Krankenkasse ändert sich praktisch dadurch auch nichts, denn ab der Apotheke läuft alles bereits elektronisch. Apotheken hatte lange Widerstand gegen ein e-Rezept geleistet, da sie fürchteten, dass ihr Geschäft zu Online-Apotheken abwandern könnte. Diese Angst hat nachgelassen. Fraglich bleibt der Zusatzaufwand in den Arztpraxen und welcher Widerstand im nächsten Jahr von dort zu erwarten ist.

Mehr dazu bei https://www.zeit.de/2023/35/elektronische-rezepte-medikamente-aerzte
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3vR
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8502-20230825-ab-2024-rezepte-nur-noch-elektronisch.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8502-20230825-ab-2024-rezepte-nur-noch-elektronisch.html
Tags: #e-Rezept #Zeitaufwand #Datenklau #Hacking #eGK #ePA #elektronischeGesundheitskarte #eHealth #Arbeitnehmerdatenschutz #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenbanken #Gendaten #Gesundheitsdaten

19.08.2023 Nette KI oder nur ein Bug?

Kunden ohne Geld heben bis zu 1.000 € ab

Wie der Independant berichtet, war es vor ein paar Tagen leicht bei einer irischen Bank Geld abzuheben, auch wenn das eigene Konto eigentlich leer ist. Es gab Andrang vor den Geldautomaten.

Die Bank of Ireland warnt allerdings, dass Geld, das während dieser "IT-Panne" abgehoben wurde, nach der Wiederherstellung der Online-Dienste vom Konto abgebucht wird. Ein "massiver technologischer Ausfall" hatte es Kunden ermöglicht Geld abzheben, auch wenn sie kein Geld auf ihren Konten hatten.

Es waren Abhebungen bis zu 1000€ möglich. Die Bank teilte nun mit, dass die mobile App und 365online jetzt wieder ordnungsgemäß funktionieren würden.

Wie Kunden behandelt werden, die die Möglichkeit genutzt haben, muss noch geklärt werden. Bei Belastungen mit den üblichen hohen Überziehungzinsen würden viele Menschen in Verschuldung geraten.

Nun gut, es war wahrscheinlich nur ein Bug in der Software, aber nehmen wir mal an, das wären Hacker oder eine eigenwillige KI, die der Ansicht sind, das kapitalistische Wirtschaftssystem gehört zerstört oder zumindest gestört - das wäre ein ganz schönes Chaos ...

Mehr dazu bei https://www.independent.ie/business/personal-finance/bank-of-ireland-warns-money-withdrawn-during-it-blunder-will-be-debited-as-online-services-restored/a510070628.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3vK
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8496-20230819-nette-ki-oder-nur-ein-bug.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8496-20230819-nette-ki-oder-nur-ein-bug.html
Tags: #Geldautomaten #Irland #Bankdaten #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Cyberwar #Hacking #Trojaner #KI #AI #KünstlicheIntelligenz

16.08.2023 Auch Roboter können Stau

Digitalisierung löst kein Verkehrsproblem

Seit einigen Tagen dürfen die Roboter-Taxi-Betreiber Cruise und Waymo in San Francisco fahrerlose Taxis rund um die Uhr betreiben. Cruise setzt 300 fahrerlose Elektrotaxis der Marke Chevrolet Cruze ein. Die Wagen können zu jeder Tages- und Nachtzeit benutzt werden. Cruise hat die Anzahl tagsüber jedoch auf 100 Fahrzeuge beschränkt.

Auch die die Google-Tochter Waymo startet mit dem Betrieb in der kalifornischen Stadt. Sie setzt im 24-Stunden-Einsatz 250 E-Fahrzeuge des Typs Jaguar I-Pace ein. Im Nachverkehr hatte man vorher schon geübt.

Mit dem Verkehr am Tage hatten die Fahrzeuge von Cruise mehr Probleme. Mehr als ein Dutzend Fahrzeuge versammelten sich an einer Stelle in der Stadt, blieben dort stehen und erzeugten einen Stau.

Welches "positive Feeling" ihre künstlichen Intelligenzen dabei durchlebten ist bisher nicht bekannt ...

Mehr dazu bei https://www.nzz.ch/mobilitaet/autonomes-fahren-das-robotaxi-ist-realitaet-aber-reicht-die-infrastruktur-ld.1751655
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3vG
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8493-20230816-auch-roboter-koennen-stau.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8493-20230816-auch-roboter-koennen-stau.html
Tags: #Kfz #Taxi #KI #AI #küsntlicheIntelligenz #autonomesFahren #Google #Criuse #Stau #Verkehrsprobleme #Verhaltensänderung #nachahmen #Datenpannen #Hack #Geodaten

15.08.2023 Wer hat die Daten von 40 Mio Briten?

Hacker hatten Zugriff auf britisches Wählerverzeichnis

Vor mehr als einem Jahr gelangten die Daten von 40 Millionen britischen Wähler:innen in den Händen von Unbekannten. Nun, nach einem Jahr, erfahren es auch die Betroffenen selbst. Da in Großbritannien Personalausweise lange unbekannt waren, müssen sich Briten für die Teilnahme an einer Wahl registrieren.

In diese Wahldatenbank kann man die eigenen Daten überprüfen, sollte aber in der Regel keine Downloads von Daten machen können. Dies ist jedoch unbekannten Hackern gelungen. Ungefähr klar ist, auf welche Systeme die Angreifer Zugriff hatten. Man weiß jedoch nicht mit Sicherheit, welche Daten sie tatsächlich abgegriffen haben.

Es ist zu befürchten, dass die Daten dazu genutzt oder zum Verkauf angeboten werden, bestimmte Wählergruppen zu manipulieren. Zusammen mit anderen Persönlichkeitsdaten, etwa dem Kaufverhalten, können Persönlichkeitsprofile erstellt werden.

Die Manipulation kann ganz profan mit speziell auf diese Gruppen ausgerichtetes "Informationsmaterial" geschehen. Der IT-Rechtler Michael Veale vom University College London verweist aber auch auf einen Vorfall aus dem Jahr 2011 in Kanada. Dort hatte ein Mitarbeiter der konservativen Partei Wähler:innendaten genutzt, um Menschen an der Wahl zu hindern. Bürger:innen erhielten automatisierte Anrufe von vermeintlichen Regierungsbeamten, die sie davon überzeugen sollten, dass ihre Wahllokale verlegt worden seien, beschreibt netzpolitik.org die Möglichkeiten der Manipulation.

Mehr dazu bei https://netzpolitik.org/2023/vereinigtes-koenigreich-hack-von-wahlregister-schuert-sorgen-vor-manipulation/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3vF
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8492-20230815-wer-hat-die-daten-von-40-mio-briten.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8492-20230815-wer-hat-die-daten-von-40-mio-briten.html
Tags: #Wählerverzeichnis #GB #Großbritannien #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Datenbanken #Manipulation #Verhaltensänderung #Grundrechte #Gleichberechtigung #Persönlichkeitsprofile

30.07.2023 Gefahren bei Microsoft365

Big Brother will deine Daten

Auf gewerkschaftsforum.de machen sich Sophia Fielhauer und Christian Resei Gedanken, wie man für die KollegInnen die Datensammelwut von Microsoft einhegen und betriebsrätlich regeln kann. Sie kommen zu dem Schluss, dass dies inzwischen viel schwieriger geworden ist, als es noch zu Zeiten der "normalen" Office Pakete war.

Früher kaufte die Firma ein Softwarepaket und dafür musste mit dem Betriebsrat eine Vereinbarung über die Nutzung getroffen werden. In dieser wurde festgelegt, welche Aufgaben mit der Software zu erledigen waren und welche Daten eventuell von der Software über die MitarbeiterInnen erhoben und gespeichert und wie sie ausgewertet werden dürfen.
Seit Office 365 ist alles anders

Entwickelt aus Microsoft Office, beinhaltet Microsoft 365 außer Programm-Klassikern wie Word, Excel, Outlook oder PowerPoint nun unter anderem auch Teams, Planner, OneDrive und diverse Security-Apps rund um die Bezeichnung „Purview“ – kurz: eine unüberschaubare Anzahl an Apps. Rund 400 Millionen Abonnent:innen nutzen Microsoft 365 weltweit.

Durch das Online-Arbeiten entstehen ständig eine Reihe von Verhaltens- und Leistungsdaten. Damit jedoch auszuwerten, wer im letzten Monat den Laptop erst nach 9 Uhr aufgedreht hat, um die Pünktlichkeit oder die Arbeitsleistung zu kontrollieren, sollte ein No-Go sein. Jede Leistungs- und Verhaltenskontrolle muss jedoch in Betriebsvereinbarungen geregelt, bzw. verboten werden.

Die App Microsoft Forms beispielsweise hilft dabei, Online-Umfragen zu erstellen. Dazu schreiben die AutorInnen: „Es ist aber ein großer Unterschied, ob das Thema der nächste Betriebsausflug oder die Führungsqualität meines Chefs ist und ob die Umfrage sachlich oder wertend ist“, erklärt der Betriebsinformatiker Thomas Riesenecker von der Forschungs- und Beratungsstelle Arbeitswelt (FORBA).

Leicht gesagt - schwer durchzuführen

Ein erster Schritt für eine Betriebsvereinbarung wäre, festzuschreiben, welche Software für welchen Zweck eingesetzt wird. Doch Microsoft kann einfach die App ändern, Funktionen abschalten oder neue hinzufügen. Weder das Unternehmen noch die Arbeitnehmer:innen können diesen Vorgang beeinflussen: "Eine Besonderheit der Cloudtechnologie ist, dass viele nicht wissen, wie das Produkt nächste Woche aussieht", so Riesenecker.

Aber auch die Unternehmen sollten sich fragen, ob sie mit einem solchen Programm-Wirrwar leben können ...

Und dann noch KI

Auch Microsoft 365 Programme setzen seit geraumer Zeit auf künstliche Intelligenz. "Die Technologie von ChatGPT kommt nun in Microsoft 365 Copilot zum Einsatz. Durch die Verknüpfung mit diversen Apps von Microsoft 365 soll der Copilot dabei helfen, die Kreativität und Produktivität zu steigern und Aufgaben schneller und effizienter zu erledigen."

Wie sieht das dann praktisch aus? Ein sehr negatives Beispiel nennen die AutorInnen in dem Artikel: Wer beispielsweise das E-Mail-Programm Outlook von Microsoft 365 nutzt, mag sich fragen, woher die guten Antwortvorschläge auf E-Mails kommen – auch hier ist ein mitlernender Algorithmus, also eine KI, eingebaut. Und der ist nicht immer neutral. Die KI sorgte etwa dafür, dass Nutzer:innen, die nach dem Browser Google Chrome suchten, vor allem Antworten erhielten, in der die Vorzüge der Microsoft-Suchmaschine beworben wurden. Als Medien dies kritisch aufgriffen, reagierte Microsoft etwas kleinlaut: Es handle sich nur um ein Experiment, das man infolge des negativen Feedbacks auch schon wieder beendet habe.

Auch wenn das bereits ein erster hoher Gipfel von Manipulation war, es geht auch eine Nummer kleiner. Die Arbeitsleistung des einzelnen Beschäftigten kann durch "Hilfen" einer KI in beliebiger Richtung verbessert oder verschlechtert werden, ohne dass dieser einen Einfluss darauf hat. Noch eine Nummer kleiner aber auch gefährlich ist die bereits im Videokonferenztool Teams enthaltene Möglichkeit der Auswertung von Online-Meetings. Es gibt Protokolle unter anderem über die Dauer der Redebeiträge – damit lassen sich jederzeit die Beteiligten bewerten.

Für die beteiligten Betriebsräte kann die Regelung von Microsoft 365 leicht zu einer Daueraufgabe werden. Das sollten auch die Unternehmen bedenken, wenn sie darin nur ein günstiges und allumfassendes Angebot sehen.

Was gehört in eine Betriebsvereinbarung?

Speicherfristen,
Zweckbindung,
eine Folgenabschätzung
auch Schulungen für Arbeitnehmer:innen, die klarmachen, was im Hintergrund von Microsoft 365 passiert
welche Daten erhoben und gespeichert werden dürfen,
welche Datennutzung ausgeschlossen ist.

Hier stößt man leider weiter an die EU-Grenzen der DSGVO. Welche Daten in die USA übermittelt werden und wie diese genutzt werden, war bereits Gegenstand vieler Urteile des EuGH zu den inzwischen nichtigen Abkommen Safe Harbor, Privacy Shield, ...

Deshalb ist sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands einig, dass Microsoft 365 gegen die europäische Datenschutzgrundverordnung verstößt. Ein Beispiel: Offiziell entnimmt das Unternehmen nur Daten, um das sogenannte Nutzer:innen-Erlebnis zu optimieren. Dabei wird nicht immer um die gesetzlich vorgesehene Erlaubnis gefragt. Die erste Version des Rechtschreibprogramms von Word wurde beispielsweise in den USA einfach mitgetrackt, ohne dass Nutzer:innen dem zugestimmt hätten.

Unser Vorschlag: Jedes Unternehmen könnte viel Geld sparen und kostenlos das Open Source Paket Libre Office verwenden. Man würde sich damit sogar EU-konformer verhalten, weil es standardmäßig als Austauschformat .odt Dateien erzeugt und verwendet, wie sie in Europa genormt sind. Und einen datenschutzkonformes Videokonferenztool lässt sich bestimmt auch leicht finden, Jitsi oder BigBlueButton oder ...

Mehr dazu bei https://gewerkschaftsforum.de/microsoft-365-big-brother-nach-programm/#more-17244
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3vo
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8475-20230730-gefahren-bei-microsoft365.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8475-20230730-gefahren-bei-microsoft365.html
Tags: #BigBrother #Gefahren #Microsoft365 #Teams #Lauschangriff #Überwachung #Videoüberwachung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #PrivacyShield #SafeHarbor #USA #Big5 #Gewerkschaft #Betriebsvereinbarung #Apps #Online #Veränderungen

25.07.2023 Der GAU bei Microsoft

Entwendeter Schlüssel viel mächtiger

Alles ist bis heute geheim, Microsoft sagt offiziell nichts über einen wahrscheinlich bereits im Juni entwendeten Masterkey. Aber eine US-Behörde hatte Microsoft auf seltsame Vorgänge in ihren Online-Exchange-Konten aufmerksam gemacht, weil sie in Protokolldaten verdächtige Zugriffe auf ihre E-Mails registriert hatten.

Microsoft gestand, dass mutmaßlich chinesische Angreifer, die Microsoft als Storm-0558 bezeichnete, sich Zugriff auf das von Microsoft gehostete Exchange Online vornehmlich europäischer Regierungsbehörden verschafft hatten. Dafür wurde ein Signaturschlüssel von Microsoft genutzt, mit dem man sich selbst funktionierende Zugangstoken für Outlook Web Access (OWA) und Outlook.com ausstellen kann - also ein Masterkey.

Dies hätte eigentlich nur für "billige" Privatkundenaccounts funktionieren sollen, doch die digitale Unterschrift funktionierte auch im Azure Active Directory für Business-Kunden. Doch es kommt noch viel schlimmer: Die auf Cloud-Security spezialisierte Firma Wiz behauptet, dass sie mithilfe des von Microsoft veröffentlichten Fingerprints weitere Möglichkeiten des Mastekeys identifiziert hätten. Dabei hätten sie festgestellt, dass der gestohlene Schlüssel nicht nur bei Microsofts Exchange Online funktioniere, sondern fast überall in der Microsoft Cloud.

Und noch schlimmer: Damit ist nicht nur der Exchange Mail Dienst, sondern das gesamte Azure Active Directory betroffen. Sogar in die in Unternehmen selbst betriebenen Azure-AD-Instanzen und deren Cloud-Appikationen können/konnten die Angreifer mit dem Schlüssel eindringen. Inzwischen hat Microsoft den kompromittierten Schlüssel gesperrt - der Vertrauensverlust ist dennoch enorm.

Mehr dazu bei https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3vi
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8470-20230725-der-gau-bei-microsoft.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8470-20230725-der-gau-bei-microsoft.html
Tags: #Masterkey #Microsoft #Exchange #AzureCloud #Cyberwar #Hacking #Trojaner #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Zensur #Transparenz #Informationsfreiheit #Anonymisierung #Verhaltensänderung

17.07.2023 "Böse" KI kann Pishing Mails versenden

WormGPT - eine auf Betrugsversuche trainierte KI

Oft sind Texte der typischen Phishing-Mails schlecht und oft auch schlecht auf das Ziel angepasst. WormGPT könnte das ändern. Der nach eigenen Angaben geläuterte Ex-Black-Hat-Hacker Daniel Kelley meint in einem Blogpost bei Slashnext, dass er mit diesem Textgenerator sprachlich perfekte und überzeugende Phishing-Mails erstellen kann.
Programm ohne "ethische Beschränkungen"

Auch wenn die Entwickler des Programm solche Einschränkungen eingebaut hätten, so lassen sich diese durch sogenannte "Jailbreaks" umgehen. Damit ist die Nutzung von KI Techniken auch auf der "bösen Seite des Universums" angekommen.

Markante Schadensfälle sind bisher noch nicht bekannt geworden, aber das ist nur eine Frage der Zeit ...

Mehr dazu bei https://www.heise.de/news/Textgenerator-WormGPT-soll-kaum-erkennbare-Phishing-Mails-erstellen-9217865.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3va
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8462-20230717-boese-ki-kann-pishing-mails-versenden.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8462-20230717-boese-ki-kann-pishing-mails-versenden.html
Tags: #Pishing #Cyberwar #KI #AI #künstlicheIntelligenz #WormGPT #Hacking #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Verhaltensänderung

16.07.2023 Diskussionen zur Chat-Kontrolle immer absurder

Die unendliche Schleife dreht sich weiter

Digitalisierung nützt Mensch und Maschine
1983: Computer nehmen uns bald die meiste Arbeit ab, und das ist gut so, dann haben wir mehr Zeit für uns und Kultur
2023: Wir müssen alle länger arbeiten, dafür haben wir jetzt Computer, die Songs schreiben und Bilder malen können

Die Auseinandersetzungen zur sinnlosen Chat-Kontrolle in der EU nehmen kein Ende. Immer noch geht es um ganz wesentliche Knackpunkte für ein benutzbares Internet:

Man kann nicht gleichzeitig Verschlüsselung schützen und verschlüsselte Inhalte scannen.
Wer die Ende-zu-Ende-Verschlüsslung angreift, macht das Internet kaputt - und zwar nicht nur für Banken und die Wirtschaft, sondern für Jede/n !

Deutschland und Luxemburg sind für sichere Verschlüsselung, Irland und 12 weitere EU Staaten wollen die Verschlüsselung nicht schützen. Dann gibt es Staaten, wie Frankreich, die Verschlüsselung nicht schwächen, aber „unbedingt" verschlüsselte Inhalte scannen wollen. Wozu, wenn man sie nicht doch entschlüsseln will?

Die EU Komission versteigt sich noch zu weiterem Unsinn. Sie ist gegen Verschlüsselung, weil dann Spam nicht erkannt werden kann. Um die klimaschädlichen Massen an Spam (~ 50-70% des Mailaufkommens) zu unterbinden, könnte man auch anders tätig werden ... Von anderen sinnlosen Datentransfers, wie Flugreisedaten, Katzenbildern und x-fachem Videostreaming wollen wir gar nicht erst anfangen.

Uneinig sind sich die Staaten auch, was die staatliche Kommunikation angeht. Soll diese ebenfalls gescannt werden und darf dann nicht sicher verschlüsselt werden. Ebenso ist es noch offen, ob die normale Telefonie ebenfalls gescannt werden soll.

Damit wäre der Überwachungsstaat perfekt. An dieser Stelle verweisen wir wieder auf die Überschrift und die unendliche Schleife der Diskussionen kann weitergehen. Wo bleibt der Aufschrei der Menschen, die sich gegen diesen Überwachungswahn stellen? 2007 und 2008 waren die Demonstrationen gegen die Vorratsdatenspeicherung ein ermutigender Ansatz ...

Mehr dazu bei https://netzpolitik.org/2023/chatkontrolle-eu-staaten-wollen-verschluesselung-doch-nicht-schuetzen/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3v9
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8461-20230716-diskussionen-zur-chat-kontrolle-immer-absurder.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8461-20230716-diskussionen-zur-chat-kontrolle-immer-absurder.html
Tags: #Überwachung #ChatKontrolle #EU #Zensur #Transparenz #Informationsfreiheit #Anonymisierung #Verschlüsselung #Hacking #Scannen #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #Unschuldsvermutung #Verhaltensänderung

20230i701 ePerso ohne Fingerabdruck!

Urteil des EuGH wird erwartet

Digitalcourage und andere Bürgerrechtsorganisationen haben gegen die Speicherpflicht für Fingerabdrücke in Personalausweisen vor dem EuGH geklagt. Heute wurden nun die Schlussanträge zu dieser Klage veröffentlicht. Leider sieht die Entscheidungsempfehlung der Generalanwältin nicht so aus, wie wir es erwarten. Zwar haben die Richterinnen und Richter die Freiheit auch noch ganz anders zu entscheiden. Es ist aber zu befürchten, dass das Gericht die Argumente der Kläger nicht ausreichend würdigen will.

Digitalcourage schreibt: Ein zentrales Thema in der mündlichen Verhandlung vor Gericht war eine Lücke in der EU-Verordnung, die der Speicherpflicht zugrunde liegt. Die Fingerabdrücke werden nämlich nicht sofort gelöscht, sobald der Personalausweis hergestellt ist. Sie können bis zu 90 Tagen lang weiter bei den Ämtern gespeichert werden. Und es kommt noch schlimmer: Gibt es ein anderes nationales Gesetz, das hier reingräscht, dann darf sogar auf diese zwischengelagerten Fingerabdrücke zugegriffen werden. Das könnte zum Beispiel im Rahmen von Durchsuchungsparagrafen bei den Polizeigesetzen oder der Strafprozessordnung brisant werden.

Auf diese weit offen stehende Hintertür zur Zweckentfremdung der sensiblen biometrischen Daten geht die Generalanwältin nur unzureichend ein. Ein weiteres heißes Thema bei der mündlichen Verhandlung war die Frage, ob die Fingerabdrucks-Daten gestohlen werden könnten, während sie noch bei den Bürgerämtern liegen. In der Verhandlung gab es dazu keine beruhigende Antwort.

Das Urteil wird demnächst verkündet und wir können momentan nur hoffen ...
Digitalcourage schreibt: Wir geben die Hoffnung nicht auf, denn in der mündlichen Anhörung haben sich die Richter.innen sehr viel kritischer mit den Problemen der Fingerabdruckpflicht auseinandergesetzt, als sich das jetzt in den Schlussanträgen der Generalanwältin wiederfindet.

Mehr dazu bei https://digitalcourage.de/newsletter/2023/schlussantraege-generalanwaeltin-perso-ohne-finger

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3uT
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8446-20230701-eperso-ohne-fingerabdruck.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8446-20230701-eperso-ohne-fingerabdruck.html
Tags: #ePerso #Fingerabdruck #Hacking #Diebstahl #Klage #EuGH #Schlussanträge #Urteil #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Anonymisierung #Freizügigkeit #Unschuldsvermutung #Verhaltensänderung #sensibleDaten #Biometrie

23.06.2023 Digitalisierung bleibt Neuland

Unendliche viele Freundschaftstickets?

Das "Freundschaftsticket" für Jugendliche, die in Frankreich Bahn fahren wollen, bekommt man nicht einfach so. Insgesamt sollten 60.000 kostenlose Bahntickets vergeben werden. Natürlich gab es zum Start zum einen wieder "digitale Probleme", d.h. die Server brachen unter dem Ansturm der Interessenten zusammen und waren nicht erreichbar.

Uns interessiert aber mehr das 2. Problem, denn, wie Netzpolitik.org schreibt, konnte, wer das technische Know-how hatte, den Ticketstau umgehen und sich mit Hilfe einer Sicherheitslücke auch noch Tage später eigenhändig einen Pass generieren. Zerforschung gelang es, sich über einen „Hintereingang“ anzumelden und so einen Pass zu erhalten, obwohl eigentlich bereits alle vergeben waren. Obwohl dies den Verantwortlichen bekannt gegeben wurde, war die Lücke noch einige Zeit nutzbar.

Die Gruppe "zerforschung" machte zusätzlich auf weitere Probleme aufmerksam: Hatten Nutzer*innen nämlich ihr Passwort vergessen, erhielten sie einen fehlerhaften Reset-Link zugeschickt, der auf eine unregistrierte Website führte. Jede Person hätte diese Anwendungsadresse „kapern“ können und so gezielt Phishing betreiben können.

Ähnliche Probleme bereichtete "zerforschung" auch von DiscoverEU, wo – ähnlich wie beim Freundschaftspass – Interrailtickets an 18-Jährige verlost werden. Sie konnten dort ohne Probleme Nutzer*innenkonten anlegen und auf die Daten von mehr als 240.000 registrierten Nutzer*innen zugreifen.
Mehr dazu bei https://netzpolitik.org/2023/freundschaftspass-klaffende-sicherheitsluecken-bei-der-ticketbuchung/
Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3uK
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8438-20230623-digitalisierung-bleibt-neuland.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8438-20230623-digitalisierung-bleibt-neuland.html
Tags: #Freundschaftstickets #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Zerforschung #Hacker #Frankreich #Interrail #unsicher #Pishing #Digitalisierung #Neuland #Verhaltensänderung

27.05.2023 Datenleck bei Tesla in Brandenburg

Vorgeschmack auf die Realität beim "autonomen Fahren"

Durch einen Datenklau von über 100 GB aus dem Management System von Tesla sind über 2400 Beschwerden über Selbstbeschleunigungen und mehr als 1500 Probleme mit Bremsfunktionen durch den "Fahrassistenten" bei Tesla Autos bekannt geworden. Dabei sind 139 Fälle von ungewollten Notbremsungen und 383 Phantombremsungen nach falschen Kollisionswarnungen. Pseudo-Autonomes Fahren kann also zu einem spannenden Erlebnis werden ...

Die Beschwerden stammen vom Jahr 2015 bis in den März 2022. Die Vorfälle in den geleakten Daren trugen sich meist in den USA zu. Was noch alles in den 100 GB an Daten steckt, muss der Empfänger, das Handelsblatt, wissen.

Das Tesla Unternehmen in Brandenburg verdächtigt einen Ex-Mitarbeiter, Daten "unter Verletzung von Geheimhaltungspflichten weitergegeben zu haben". Rechtliche Schritte gegen diesen sind eingeleitet worden. Der zuständige Landesdatenschutzbeauftragte in Brandenburg, meint, es gebe "ernstzunehmende Hinweise auf mögliche Datenschutzverletzungen".

Das glauben wir auch ;-)

Mehr dazu bei https://www.heise.de/news/Tesla-Files-Datenleck-soll-massive-Probleme-mit-Teslas-Autopilot-aufdecken-9066307.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3ug
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8410-20230527-datenleck-bei-tesla-in-brandenburg.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8410-20230527-datenleck-bei-tesla-in-brandenburg.html
Tags: #Tesla #Kfz #autonomesFahren #Fahrassistent #beschleunigen #bremsen #Verhaltensänderung #Datenpannen #Verbraucherdatenschutz #Zensur #Transparenz #Informationsfreiheit #Anonymisierung #Whistleblower #Meinungsfreiheit

17.05.2023 CDU nimmt Datenschutz auf die leichte Schulter
CDU kann gesammelte Daten "fairheizen"

Im Rahmen ihrer Desinformationskampagne "fairheizen" gegen die Energiewendepläne der Ampel-Regierung hat die CDU an der DSGVO vorbei Daten von Interessierten gesammelt und muss diese wohl nun selbst verheizen. In einem internen Schreiben hatte die CDU ihren Landesverbänden angekündigt:

Verbreiten Sie die Webseite auf allen Wegen. Das Besondere: Da wir die PLZ erheben, können wir allen Landesverbänden die Daten von allen Unterstützern aus ihrem jeweiligen Bundesland zur Verfügung stellen.

Eine solche Weitergabe der persönlichen Daten (Name, E-Mail, PLZ, evtl. Postanschrift) widerspricht der eigenen Datenschutzerklärung und ist damit illegal. Netzpolitik.org stellt dazu fest: In den ursprünglich auf der Webseite verlinkten Datenschutzbestimmungen war nicht zu lesen, dass die Daten der Kampagne an die Landesverbände der Partei weitergegeben werden können.

Nach den Bestimmungen der DSGVO hat eine Änderung der Datenschutzregelungen keine Auswirkungen auf Daten, die bereits zuvor erfasst wurden. Deshalb bestreitet die CDU inzwischen die Aufforderung zur Weitergabe der Daten gegeben zu haben.

Mehr dazu bei https://netzpolitik.org/2023/fairheizen-cdu-verbrennt-sich-die-finger-bei-datensammel-aktion/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3u8
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8402-20230517-cdu-nimmt-datenschutz-auf-die-leichte-schulter.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8402-20230517-cdu-nimmt-datenschutz-auf-die-leichte-schulter.html
Tags: #Verbraucherdatenschutz #Datenschutz #Datensicherheit #E-MailAdressen #CDU #fairheizen #Propagandaaktion #Datenweitergabe #Ergonomie #Datenpannen #Privatsphäre #Geodaten #PLZ