News – Seite 4 – Datenschutz

Pilotbetrieb von BigBlueButton an der TU Berlin

Seit Semesterbeginn wird das Portfolio an Videokonferenzdiensten durch das Open Source Videokonferenztool BigBlueButton (BBB) ergänzt, welches von InnoCampus betrieben wird.

Damit steht ein leistungsfähiger Dienst zur Verfügung, der vollständig auf Servern der TU Berlin betrieben wird und deshalb den Anforderungen an einen datenschutzfreundlichen Betrieb in besonderem Maße genügen kann.

In Berlin wird -teilweise seit Beginn der Pandemie- BigBlueButton an den meisten Hochschulen von den Rechenzentren als Videokonferenztool betrieben, um nur einige zu nennen:

Alice-Salomon-Hochschule Berlin (ASH)
Berliner Hochschule für Technik (BHT, ehem. Beuth)
Hochschule für Technik und Wirtschaft Berlin (HTW)
Hochschule für Wirtschaft und Recht Berlin (HWR)
Humboldt-Universität (HUB)
Universität der Künste (UdK)

Weitere Informationen

Sicherheitslücke: 70.000 Datensätze von Nutzer*innen der Unibibliothek Leipzig waren online abrufbar

Eine Webanwendung gab zwei Wochen lang Zugriff auf den Datenbestand, der Namen, E-Mail-Adressen und Bibliothekskarten-Nummer von 70.000 Nutzer*innen enthielt.

Erstaunlicherweise war die Zahl an Datensätzen deutlich höher als die Zahl aktiver Nutzer*innen. Offenbar waren auch inaktive Nutzer*innen betroffen, so dass nunmehr sowohl an der Verbesserung der IT-Sicherheit als auch am Löschkonzept gearbeitet wird.

Weitere Informationen

Uni Leipzig – Sicherheitslücke in der Universitätsbibliothek
heise.de – Unibibliothek Leipzig meldet Sicherheitslücke (Hinweis: Die Webseite bindet Aktivitätenverfolgung und weitere externe Dienste ein)

Positionspapier “Datenschutzkonforme digitale Tools in der Lehre”

Ein Kommentar zum aktuellen Positionspapier der Arbeitsgruppe Digitale Medien der Deutschen Gesellschaft für Hochschuldidaktik (dghd) in Kooperation mit der Gesellschaft für Medien in der Wissenschaft (GMW).

„Positionspapier “Datenschutzkonforme digitale Tools in der Lehre”“ weiterlesen

Erfolg von NOYB: Österreichs Datenschutzbehörde wird aktiv und bescheidet, dass Google Analytics gegen die DSGVO verstößt

Die erste von 101 Beschwerden von Max Schrems‘ Organisation NOYB „None of Your Business“ wurde jetzt positiv beschieden:

Der Einsatz von Google Analytics ist illegal.

Alle wussten es, jetzt müssen die Aufsichtsbehörden aktiv werden: Die Einbindung von Google Analytics und die für die Nutzung vereinbarten Standardvertragsklauseln genügen nicht den Anforderungen der DSGVO und sind mithin nicht zulässig.

„Erfolg von NOYB: Österreichs Datenschutzbehörde wird aktiv und bescheidet, dass Google Analytics gegen die DSGVO verstößt“ weiterlesen

EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten

Alle Strafverfolger wollen es, Apple hat bereits gezeigt, wie es geht.

Endgeräte scannen, bevor die Kommunikation verschlüsselt wird.

Die EU Kommission lanciert eine Verordnung, die Tech-Unternehmen und Telekommunikations-Anbieter dazu verpflichten soll, Endgeräte der Nutzer*innen und Kommunikation auf strafbare Inhalte zu scannen und diese automatisiert an die Behörden weiterzugeben.

„EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten“ weiterlesen

Sicherheitslücke bei Komponente log4j gefährdet eine Vielzahl von Systemen

Bei der weitverbreiteten Logging-Komponente log4j 2 ist am Freitag eine schwerwiegende Schwachstelle bekannt geworden, ein Zero-Day-Exploit. Das BSI hat am Wochenende die höchste Warnstufe rot dafür ausgerufen, da es vermehrt zu Angriffen kam.

Das log4j-Framework ist als Java-Bibliothek in viele Systeme integriert, insbesondere bei webbasierten Anwendungen, die dadurch angreifbar sein können.

Die Entwickler der Open Source Software haben umgehend einen Patch und Hinweise zur Abstellung der Schwachstelle veröffentlicht. Eine Anpassung der Systeme ist dringend geboten. An der TU wurden die zentralen Dienste bereits angepasst bzw. sind temporär nur eingeschränkt verfügbar.

Weitere Informationen

heise.de – Schutz vor schwerwiegender Log4j-Lücke – was jetzt hilft und was nicht (Hinweis: die Webseite bindet Aktivitätenverfolgung und andere externe Inhalte ein)
Offizielle Webseite der Apache-Foundation zum Logging-Framework Log4j 2
News der TU/ZECM zum Exploit

Nachtrag vom 15. Dezember

Es ist wohl schlimmer als gedacht: Letztlich handelt es sich um ein grundsätzliches Problem der Spezifikation der Programmiersprache, da diese zur Laufzeit ein (Nach)laden von Variablen und ihren Werten aus externen Quellen erlaubt. Daher sind solche problematische Schwachstellen auch schwer im Code zu erkennen. Überdiese Art von Schnittstellen verfügt nicht nur Java, es ist ein gängiges Konzept. Leider kein Sicherheitskonzept. Zumindest bleibt zu hoffen, dass die log4j-Schwachstelle ein Umdenken anregt.

heise.de – Kommentar zu Log4j: Es funktioniert wie spezifiziert (Hinweis: die Webseite bindet Aktivitätenverfolgung und andere externe Inhalte ein)

Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen

Ja!

Der gestern präsentierte Koalitionsvertrag von SPD, Grünen und FDP greift viele Forderungen aus der Zivilgesellschaft auf, u.a.

Überprüfung der Sicherheitsgesetze in einer Überwachungsgesamtrechnung, die wissenschaftlich evaluiert wird
(statt wie bisher: massive Ausweitung der Befugnisse und Staatstrojaner-Einsatz)
Videoüberwachung und biometrische Identifizierungen sollen im öffentlichen Raum (weitgehend) unterbleiben
(statt wie bisher diskutiert: Digitale Kontrolle des öffentlichen Raumes ausweiten)
Meldepflicht von Sicherheitslücken an das BSI durch staatliche Stellen
(statt wie bisher: diese einzukaufen um sie für Onlinedurchsuchungen / Staatstrojaner zu nutzen oder als Angreifer Hackbacks vorzunehmen)
Neuausrichtung des BSI als unabhängigere IT-Sicherheits-Instanz
ein Recht auf sichere Verschlüsselung
(statt wie bisher: Aushöhlung und Hintertüren)
Legalisierung der Aufdeckung von Schwachstellen „responsible disclosure“
(statt wie bisher: Strafverfolgung)
Herstellerhaftung für Schäden, die fahrlässig durch IT-Sicherheitslücken verursacht werden
(statt wie bisher: Bitten um Produktverbesserung)
Ersatzteile und Updates sollen für die gesamte Lebenszeit von Produkten verfügbar sein
(statt wie bisher: Hoffen auf freiwillige Selbstverpflichtung)
Open Source und offene Standards sollen bei öffentlichen Softwareentwicklungsprojekten die Regel sein „public money for public code“
Anonyme / pseudonyme Nutzung von Diensten soll möglich sein
(statt wie bisher diskutiert: Klarnamenpflicht)
Regelungen zur Anonymisierung von Daten sowie Strafbarkeit von De-Anonymisierung

„Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen“ weiterlesen

Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen

Die vom Innenministerium erarbeitete Strategie wurde vielfach kritisiert – nun wird die Aufweichung der Cybersicherheit zum Regierungsprogramm.

Statt für eine Erhöhung der Cybersicherheit durch entsprechende Gesetze mit strafbewehrten Auflagen zu sorgen, sollen Geräte und Software löchrig bleiben wie ein Schweizer Käse.

Kein Gerät ist sicher.
Jede*r ist betroffen.

Letztlich zeigt die Strategie, wohin die Reise geht: Überwachung und Kontrolle. Es wurden bereits etliche Gesetze beschlossen und weitere Gesetzesinitiativen sind auf dem Weg, sowohl in Deutschland als auch international (siehe den Blogbeitrag dazu).

Eine weitere Kritik an der Strategie: Die Weichen wurden noch vor der Bundestagswahl gestellt, statt der neuen Bundesregierung einen Gestaltungsspielraum einzuräumen.

Aus dem Inhalt der Cyber(un)sicherheitsstrategie 2021:

Ende-zu-Ende-Verschlüsselung aushöhlen: Hintertüren für Behörden – Anbieter sollen Klartext-Zugang ermöglichen.
Sicherheitslücken ausnutzen: Legaler Angriff über 0-day-Exploits und andere Schwachstellen; Hacking-Auftrag für das BSI und das neu geschaffene ZITiS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich).
Staatstrojaner für alle: neben den Geheimdiensten dürfen Polizei und Zoll diese nutzen (das BKA hat bereits 2019 den Staatstrojaner Pegasus der NSO Group für eine Million € beschafft).

„Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen“ weiterlesen

Braktooth: Bluetooth-Sicherheitslücken bei etlichen Geräten und im Internet der Dinge (IoT)

Notebooks, Smartphones und viele andere Bluetooth-fähigen Geräte sind betroffen (alle Bluetooth-Versionen 3.0 – 5.2). Wenn Bluetooth aktiviert und ein Angreifer in Funkreichweite ist, kann er das Gerät zum Absturz bringen und im Einzelfall auch Schadcode ausführen.

Falls der Bluetooth-Kopfhörer oder die Smartwatch nicht mehr reagiert, könnte das der Grund dafür sein :-(.

Updates sind noch nicht verfügbar und teilweise von den Herstellern auch nicht vorgesehen.

Updates für Geräte im Internet der Dinge / Internet of Things (IoT)

Zudem stellt sich bei vielen Geräten des Internets der Dinge (IoT) die Frage, ob und wie diese überhaupt gepatched werden können. Über Bluetooth oder WLAN/Mobiles Internet Updates einzuspielen erscheint nicht als geeigneter Weg, aber nicht jedes Gerät es lässt sich über USB verbinden und bei der Vielzahl an Geräten auch kein gangbarer Weg.

Problematisch ist zudem, dass es sich um sogenannte Firmware-Updates handelt (auch Treiber genannt), die für die oft separate Bluetooth-Komponente eines Gerätes installiert werden müssen.

Bislang hat sich noch kein sicheres Verfahren für Updates etabliert. Es zeichnet sich aber bereits jetzt ab, dass Updates „over-the-air (OTA)“ umgesetzt werden, d.h. sie werden direkt über WLAN/Mobiles Internet auf die Geräte aufgespielt. Dabei ist es wichtig, dass keine Schadsoftware auf die Geräte kommt – letztlich handelt es sich bei solch einem Update auch um Remote Code Execution, die gegen Mißbrauch abgesichert werden sollte.

Mittlerweile bieten zwar Cloud-Anbieter wie AWS und Azure Tools für IoT Device Management an, ob diese sicher genug sind, kann hinterfragt werden und hängt nicht zuletzt von den Fähigkeiten und implementierten Schutzmechanismen der IoT Devices ab.

In der Working Group Software Updates for Internet of Things (SUIT) der IEEE wird an Empfehlungen bis hin zu Standards gearbeitet. Ziel ist die Entwicklung einer sicheren Architektur für Updateprozesse, bei der u.a. kryptographische Signaturen für authorisierte Updates eingesetzt werden. Es scheint aber noch ein weiter Weg zu sein.

Weitere Informationen

heise.de – Braktooth: Neue Bluetooth-Lücken bedrohen unzählige Geräte (2.9.2020; Hinweis: Die Webseite nutzt Aktivitätenverfolgung und bindet weitere externe Dienste ein)
Study of Singapore University – BRAKTOOTH: Causing Havoc on Bluetooth Link Manager (2.9.2020; Hinweis: Die Webseite nutzt Aktivitätenverfolgung und bindet weitere externe Dienste ein)

Zu Updates von IoT-Geräten

IEEE /Working Group SUIT – A Firmware Update Architecture for Internet of Things (2020, Draft; Hinweis: Die Webseite und bindet externe Dienste ein)
IEEE – J. L. Hernández-Ramos, G. Baldini, S. N. Matheu and A. Skarmeta, „Updating IoT devices: challenges and potential approaches,“ 2020 Global Internet of Things Summit (GIoTS), 2020, pp. 1-5, doi: 10.1109/GIOTS49054.2020.9119514. (Volltext/PDF nur für Subscribers)

Wahlkampagnen mit Microtargeting in sozialen Medien: Beitrag in der ARD

Microtargeting ist spätestens seit dem Skandal um die Rolle von Cambridge Analytica bei der Trump-Wahl 2016 bekannt:

Ziel von Microtargeting ist, bestimmte Nutzergruppen anhand ihrer Interessen zu bündeln und diesen personalisierte, passende Werbung anzuzeigen.

Bei Wahlen sind das einerseits positive Äußerungen über die beworbene Partei, oft werden aber auch Fake News oder Schmutzkampagnen über politische Gegner auf diesem Weg verbreitet.

Ein aktueller Beitrag der ARD geht der Frage nach, ob und wie Wahlstrategen solche Kampagnen mithilfe britischer Agenturen umsetzen können – bei einer Undercover-Aktion.

„Wahlkampagnen mit Microtargeting in sozialen Medien: Beitrag in der ARD“ weiterlesen