backup & security – Page 29

Schufa, Crif Bürgel und andere sammelten ohne Einwilligung Daten von Handynutzern

Daten- und Verbraucherschützer beobachten Unternehmen wie die Schufa ohnehin mit kritischem Blick. Dort werden massenhaft Kundendaten gehortet und tun kann man dagegen wenig. Allerdings könnten die Schufa, Crif Bürgel und andere Firmen nun ihre Kompetenzen laut der Süddeutschen Zeitung überschritten haben. Sie speicherten ohne Einwilligung massenhaft Daten von Handynutzern. Laut Datenschützern sei das nicht rechtens und die Daten müssten gelöscht werden, fordern Verbraucherschützer.

Seit 2018 sollen die Auskunfteien die Daten ohne Einwilligung der Verbraucher gesammelt haben. Betroffen sind potenziell alle Menschen in Deutschland, die seit 2018 einen Mobilfunkvertrag abgeschlossen haben. Teilweise sollen die Daten über das Vertragsverhalten nicht nur gespeichert worden sein, sondern sie flossen wohl auch in die Scores ein.

Der Verbraucherzentrale Bundesverband (vzbv) bezweifelt, dass die Praxis rechtens bzw. von der Datenschutzgrundverordnung gedeckt sei. Auch die Datenschutzkonferenz (DSK) ist kritisch und betrachtet das Verhalten als „unzulässig“. Ohne Anlass seien erhebliche Datenmengen über Alltagsvorgänge aus dem Wirtschaftsleben gespeichert und ausgewertet worden. Wer jetzt denkt, vor 2018 wurde nichts gespeichert: Doch, auch das war der Fall. Da musste man aber eine Einwilligung der Verbraucher einholen. Nach Eintreten der DSGVO stiegen aber die Anforderungen an eine solche Einwilligung. So entscheid man sich dann einfach darauf zu verzichten und trotzdem Daten zu erheben.

Die Auskunfteien beriefen sich darauf, ein „berechtigtes“ Interesse an den Daten zu haben. Genau das bezweifeln aber Daten- und Verbraucherschützer. Somit steht nun auf der Kippe, ob die Sammelei weitergehen darf bzw. alte Daten eventuell gelöscht werden müssten. Die Auskunfteien sind natürlich erzürnt und drehen den Spieß bei ihrer Argumentation um: Nur durch die Erhebung der Daten sei ja eine Kreditwürdigkeitsprüfung auf leichtem Wege möglich und finanzschwächere Menschen würden davon profitieren.

Die Verbraucherschützer halten genau dieses Argument eher für eine Farce, denn die Interessen seien ganz andere. Vielmehr liege es nahe, dass es vielen Menschen erschwert werde, Verträge abzuschließen. Dies könne eintreten, wenn Menschen oft den Vertrag wechseln, um etwa Rabatte mitzunehmen. Das Erheben solcher Positivdaten sehen die Verbraucherschützer seit jeher kritisch. Sie sollen eigentlich belegen, dass jemand, der etwa seine Rechnungen immer pünktlich bezahlt, einen besseren Score erhält. Ob tatsächlich so verfahren wird, ist aber häufig intransparent. Denn die Auskunfteien legen ungern offen, was sie etwa mit Daten zu Vertragsabschlüssen überhaupt anstellen.

Ob und welche Schritte nun konkret folgen, ist leider offen. Möglicherweise werden die Verbraucherschützer vor Gericht ziehen, denn aktuell sieht es nicht danach aus, als ob sich ohne rechtliche Schritte etwas ändert.

Produkt	Preis
OPPO Find X3 Lite 5G Smartphone, 6,4 Zoll 90 Hz AMOLED Display, 64 MP…	349,00 EUR	Bei Amazon ansehen
OPPO A94 5G Smartphone, 48 MP Vierfachkamera mit Ultra Nacht Video, 6,43 Zoll…	293,99 EUR	Bei Amazon ansehen
OPPO A54 5G Smartphone, 48 MP KI-Vierfachkamera mit Ultra Nacht Video, 6,5 Zoll…	196,00 EUR	Bei Amazon ansehen
Oppo A16s 64GB schwarz Dual SIM	167,99 EUR	Bei Amazon ansehen

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

QNAP behebt Sicherheitslücke im Media-Streaming-Addon

Nutzer eines QNAP mit aktiviertem Media-Streaming-Addon sollten einmal nachschauen, dass ihr System auf dem aktuellen Stand ist. In einer aktuellen Mitteilung informiert man über eine Sicherheitslücke mit dem Schweregrad „Hoch“, abgelegt unter CVE-2021-34362. Das Gute: Die Lücke ist mittlerweile geschlossen. Ausgenutzt würde sie eine Remotecodeausführung ermöglichen. Um die Sicherheitslücke zu beheben, empfehle man, das Media-Streaming Addon auf die neueste Version zu aktualisieren.

Folgende Versionen sind sicher:

QTS 5.0.0: Media Streaming Zusatzmodul 500.0.0.3 (2021/08/20) und später

QTS 4.5.4: Media Streaming-Zusatzmodul 500.0.0.3 (2021/08/20) und später

QTS 4.3.6: Media-Streaming-Zusatzmodul 430.1.8.12 (2021/08/20) und später

QTS 4.3.3: Media Streaming Zusatzmodul 430.1.8.12 (2021/09/29) und später

QuTS hero h5.0.0: Media-Streaming-Zusatz 500.0.0.3 (2021/08/20) und später

Gesichtserkennung an Schulen in Großbritannien soll Kantinenkäufe beschleunigen

In Großbritannien werden nun an einigen Schulen Kameras zur Gesichtserkennung in Kantinen getestet, wie die Financial Times berichtet. Dadurch möchte man das Bezahlen beschleunigen und lange Warteschlangen vermeiden. Allerdings wird das Ganze zum Teil auch kritisch gesehen. Laut den Test-Schulen in North Ayrshir hätten allerdings 97 % der Eltern ihre Zustimmung zu dem System gegeben.

Ein Pilotprojekt gab es auch schon 2020 in der Kingsmeadow Community School in Gateshead. Neun Schulen in North Ayrshire testen das System zur Bezahlung via Gesichtserkennung nun nochmals aus. Das System sei auch hygienischer, als mit Kartenzahlungen oder Fingerabdruckscannern zu arbeiten. Zudem erreiche man durch die reine Gesichtserkennung eben ein höheres Tempo. Auf letzteres komme es an, denn man müsse in 25 Minuten ca. 1.000 Schüler mit einer Mahlzeit versorgen. Durch das neue System brauche man pro Schüler / Transaktion nun nur noch 5 Sekunden.

Das System gleiche verschlüsselte Faceprint-Vorlagen, die lokal auf Servern in den Schulen gespeichert seien, ab. Dadurch sei die Missbrauchsgefahr für die Daten minimiert. Zudem sei es zuvor oft vorgekommen, dass die Schüler z. B. ihre PIN zum Bezahlen des Essens vergessen hätten. Teilweise sei es auch zu PIN-Diebstählen gekommen. Das werde ebenfalls mit dem neuen System vermieden.

Ob so ein System nun außerhalb des Testballons breiter etabliert werden könnte, ist derzeit offen. Kritiker wünschen sich eine breitere Debatte um das Thema und gesetzliche Regelungen, welche den Einsatz der Gesichtserkennung verbindlich beschränken. Sie sind der Meinung, dass es nicht notwendig sei, so ein System wie an Flughäfen nun an Schulen zu implementieren. Die Suche nach weniger kritischen Bezahlungsmethoden sei geboten.

ID Wallet: Weitere Blamagen um den „digitalen Führerschein“ kommen ans Tageslicht

Quelle: BMVI

Unser Bundesminister für Verkehr und digitale Infrastruktur, Andreas Scheuer, wollte sich mit dem ID Wallet zum voraussichtlichen Ende seiner Amtszeit nochmal profilieren. Als Resultat ist ihm wohl ein ähnlicher Flop gelungen, wie anno dazumal mit dem PKW-Maut-Desaster. So hatte ich schon darüber gebloggt, dass es seitens der Sicherheitsforscherin Lilith Wittman scharfe Kritik an der technischen Basis des ID Wallets gegeben hatte. Jetzt sind noch weitere Blamagen ans Licht gekommen.

Generell fing es schlecht an: Die App wurde veröffentlicht und kurz darauf schon wieder aus den Stores entfernt. Der Spiegel hat nun tiefer recherchiert und ist auf weitere Missstände gestoßen. So sei die Vergabe für die Entwicklung intransparent gewesen und die Sicherheit wurde unzureichend geprüft. Grundlegend sei die gesamte Ausrichtung fragwürdig. Der Chaos Computer Club (CCC) hatte da ja bereits bemängelt, dass es für Angreifer möglich gewesen wäre, eine Subdomain des Betreibers zu übernehmen und sich als dieser auszugeben, um zahlreiche Angriffsszenarien durchzuführen.

Im ID Wallet sollten ja nicht nur Dokumente wie der Führerschein und später auch der Personalausweis digital verwahrt werden, auch das Einchecken in Hotels oder bei Veranstaltungen hätte damit möglich sein können. Allerdings ergab sich hier eine Gefahr des Identitätsdiebstahls, den Wittman ausführlich bemängelte. Allerdings sind das noch nicht einmal alle Probleme: Nicht nur die Sicherheit des ID Wallets sei mangelhaft, der Vergabeprozess lässt die Augenbrauen hochziehen, wie die Antwort auf eine Anfrage der Linken ergeben hat.

So habe es gar keine klassische Projektausschreibung gegeben. Stattdessen habe die Bundesregierung sich entschieden, einen bestehenden Rahmenvertrag mit der System Vertrieb Alexander GmbH (SVA) zu nutzen. In dem war die Esatus AG als Unterauftragnehmer tätig, dessen Tochter, die Digital Enabling GmbH, schließlich das ID-Wallet entwickelte. Anke Domscheit-Berg, die netzpolitische Sprecherin der Linken, hält das für „maximal intransparent“.

Viele dürften da auch eher erschrocken sein, dass die noch amtierende Bundesregierung nach der Kritik am ID-Wallet weitere Gespräche führt, um eventuell dauerhaft die Verantwortung für das Gesamtökosystem der digitalen Identitäten an die Projektpartner zu übergeben. Da wäre dann ein Joint-Venture angedacht, das zu 50 % privat und zu 50 % in öffentlicher Hand wäre. Sollte man dann die „Arbeitsqualität“ des ID Wallets fortführen, würde sicherlich mancher Leser des Blog zurecht alle weiteren Projekte des Bundes in Richtung digitaler Identität abschreiben.

Außerdem sei ein Problem solcher Public-private-Partnerships (PPP) laut Domscheit-Berg, dass häufig die Risiken einseitig auf den öffentlich Partner abgewälzt würden, während das privatwirtschaftliche Unternehmen auf Kosten der Steuerzahler Profit mache. Zumal solche Konstellationen schwer zu kontrollieren seien. Generell seien das ID Wallet sowie mögliche weitere Zusammenarbeiten ein Fehler. Denn Daten aus staatlichen Dokumenten sollten nicht in irgendeiner Form der Kontrolle und Verantwortung privater Unternehmen überlassen werden.

Domscheit-Berg fragte auch nach, ob das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesdatenschutzbeauftragte die App vor der Veröffentlichung überprüft hätten. Das treffe aber nur auf den digitalen Hotel-Check-In zu. Hier sei dann Überarbeitungsbedarf attestiert worden. Das BSI habe auch Dokumentation zum digitalen Führerschein erhalten, sei aber nicht für eine Prüfung beauftragt worden, da es hier nicht zuständig sei. Auch der Bundesdatenschutzbeauftragte berate die Bundesregierung zwar generell, führe aber keine derartigen Prüfungen durch.

Letzten Endes klingt das alles wie ein Scheuer-Projekt, das nach einem Regierungswechsel hoffentlich komplett neu angegangen wird. Ich selbst sehe hier leider ein Musterbeispiel dafür, was beim Thema Digitalisierung in Deutschland falsch läuft. Leider steht da wohl der Profilierungsgedanke Einzelner mehr im Vordergrund, als ein fachgerecht durchgeführtes IT-Projekt. So erschüttert man das Vertrauen der Bürger in die digitale Infrastruktur des Bundes leider weiterhin.

#	Produkt	Preis
1	Lenovo ThinkPad T450s Business Notebook, Intel i7 2 x 2.6 GHz Prozessor, 12 GB Arbeitsspeicher,…	649,00 EUR	Bei Amazon ansehen
2	Lenovo ThinkPad T460s Business Notebook, Intel i5 2 x 2.4 GHz Prozessor, 8 GB Arbeitsspeicher,…	549,00 EUR	Bei Amazon ansehen
3	Lenovo ThinkPad X270 12,5 Zoll Ultrabook – Intel Core i5-6300U 2,4 GHz 8 GB DDR4 256 GB SSD HDMI…	349,00 EUR	Bei Amazon ansehen
4	Lenovo ThinkPad T420 14 Zoll, Intel Core i5, 2.5GHz, 8GB RAM, 500GB HDD, DVD Multi, WLAN, UMTS,…	370,00 EUR	Bei Amazon ansehen
5	Lenovo ThinkPad L560 15,6 Zoll 1920×1080 Full HD Intel Core i5 256GB SSD Festplatte 8GB Speicher…	449,00 EUR	Bei Amazon ansehen

Netatmo Presence: Probleme nach dem Firmware-Update

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte – gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.