Der eine oder andere wird es vermutlich bereits auf anderen (Boulevard-)Medien mitbekommen haben, es gibt erneut ein größeres Datenleck. Nachdem Anfang des Jahres bereits eine ganze Reihe von Politikern und Prominenten Opfer eines Datenlecks wurden und ihre teils persönlichen Informationen frei im Internet zugänglich waren, kursiert aktuell eine Datenbank mit über 1.1 Millionen eindeutigen Kombinationen aus E-Mail-Adressen und Passwörten im Netz. Aufmerksam gemacht hat auf diesen Pool der Sicherheitsforscher und Microsoft Regional Director Troy Hunt auf seinem Blog, wo er berichtet, dass es sich bei den Daten offenbar um eine Zusammenstellung verschiedener Phishing- und Hacking-Angriffe der vergangenen Jahre handelt. Zusammengefasst in einer Datenbank stellen diese Informationen natürlich eine extrem wertvolle Quelle für potenzielle Angreifer dar.

Der Leak ist ein weiteres sehr gutes Beispiel dafür, dass man in der heutigen Zeit schlecht beraten ist, auf verschiedenen Diensten dieselbe Kombination aus E-Mail Adresse und Passwort zu verwenden. Allzu einfach ist es für Angreifer mit den Informationen aus der angesprochenen Datenbank, auf diese Dienste zuzugreifen. Aus diesem Grunde kann ich jedem nur dazu raten, entweder seine Passwörter regelmäßig zu ändern oder einen Passwort-Manager wie 1Password zu verwenden. Auch die Wichtigkeit der Aktivierung einer Zwei-Faktor-Authentifizierung (wenn möglich) kann nicht stark genug betont werden.

Der oben angesprochene Troy Hunt betreibt übrigens auch die Webseite Have I been Pwned?, auf der man seine E-Mail Adresse eingeben kann und automatisch geprüft wird, ob sich diese gemeinsam mit einem zugehörigen Passwort in der Datenbank befindet. Sollte dem so sein, gilt es möglichst schnell, seine Passwörter zu ändern. Und zwar überall, wo man diese E-Mail Adresse als Anmeldenamen verwendet. Wie gesagt, am besten überall auf einen unterschiedlichen Wert.

Wenn Apple keinen guten Jahresanfang 2019 hatte, dann muss man Facebook wohl ein schlechtes Jahr 2018 attestieren. Vor allem der Umgang mit Nutzerdaten und die vorausgehende die Datensammelwut des sozialen Netzwerks stehen immer wieder in der Kritik. Nun schaltet sich das Bundeskartellamt ein und will Facebook bei genau diesem Datensammeln einschränken. Wie Reuters berichtet, stehen insbesondere verschiedene Technologien und Strategien im Fokus der Bestrebungen. Die Kartellwächter haben vier Jahre lang ermittelt und werfen Facebook vor, seine dominierende Marktposition zu nutzen, um Nutzerdaten zu sammeln, ohne dass diese dem zugestimmt hätten oder davon wissen.

Dem Bericht zufolge will das Bundeskartellamt in den kommenden Wochen auf Facebook zugehen und einen Maßnahmenkatalog präsentieren. Darin angesprochen wird wohl vor allem der Umgang mit Daten aus Drittanbieter-Apps, aber auch aus hauseigenen Apps wie WhatsApp oder Instagram. Bei Facebook gibt man sich bereits jetzt kämpferisch und hat angekündigt seine Maßnahmen und Position zu verteidigen.

Das Thema Datenschutz steht aktuell mal wieder ganz oben auf der Agenda. Grund hierfür ist natürlich der aktuelle Megaleak an privaten Daten von Politikern, Journalisten und Prominenten in Deutschland. Auch wenn dies wohl eher nicht der Grund für eine kleine Guerilla-Aktion von Apple anlässlich der kommende Woche in Las Vegas stattfindenden Consumer Electronics Show (CES). Ganz in der Nähe des Veranstaltungsortes, dem Las Vegas Convention Center, hat Apple ein riesiges Plakat installieren lassen, auf dem man das bekannte Motto "What happens in Vegas, stays in Vegas" aufnimmt und in den Slogan "What happens on your iPhone, stays on your iPhone" umwandelt. (via Engadget)

Hiermit spielt man natürlich auf die Verarbeitung von Nutzerdaten an, die bei Apple wann immer es geht direkt auf dem Gerät und nicht in der Cloud stattfindet. Entsprechend findet man auf dem Plakat auch die URL zu Apples Datenschutz-Webseite. Apple selbst wird auch in diesem Jahr, anders als die Konkurrenten um Amazon, Samsung oder Google, nicht offiziell auf der CES vertreten sein, dürfte mit dem Plakat jedoch jede Menge Medienvertreter und Nutzer erreichen und somit dennoch eine gewisse Präsenz haben.

Die New York Times sorgt am heutigen Tag mit einem interessanten Bericht über den Umgang mit Ortsdaten von Nutzern für Aufsehen. So untersuchte die Zeitung eine Reihe von Apps dahingehend, welche Bewegungs- und Ortsdaten diese von ihren Nutzern erfassen und wie diese anschließend weiterverarbeitet werden. Auf diese Weise konnte man beispielsweise eine eindeutige Person identifizieren und deren Tagesablauf nachverfolgen. Eine andere iOS-App verschickt die gesammelten Daten gleich auch noch an 40 verschiedene (Werbe-)Unternehmen.

Grundsätzlich sollten Ortsdaten anonym und damit nicht an eine bestimmte Person gebunden verarbeitet werden. Die NYT fand nun heraus, dass dies aber mitnichten bei allen Apps der Fall ist. Unter anderem konnte man aus den Daten eines Smartphones ermitteln, dass die zugehörige Person ihr Haus in New York stets um 07:00 Uhr morgens verlässt, um zu einer 14 Meilen entfernten Schule zu fahren, wo sie jeden Schultag bis zum späten Nachmittag blieb. Dieses Muster trifft auf lediglich eine bestimmte Person zu: Lisa Magrin, eine 46 Jahre alte Mathelehrin. Die betreffende App ermittelte ihren Standort teilweise alle zwei Sekunden (im Schnitt alle 21 Minuten) und auch wenn der Name von Frau Magrin in der Datenbank nicht auftaucht, war es für die Journalisten der NYT ein Leichtes, die zu ihr führenden Verbindungen zu knüpfen.

In einem anderen Fall scheint das Smartphone zu einem Kind zu gehören. So geht aus den mitgeschnittenen Daten hervor, dass dieses auf dem Weg zur Schule stets an einem Spielplatz Halt machte, dort ein paar Minuten verblieb und anschließend das Schulgebäude betrat, wo es sich zwischen 08:00 und 15:00 Uhr aufhielt.

Erschütternd ist dabei vor allem, dass die 20 untersuchten Apps nicht allgemeine Bereiche erfasste, wo sich die Nutzer aufhielten, sondern spezifische Positionen. Die Apps wurden bereits im Vorfeld von Wissenschaftlern als potenziell riskante Apps identifiziert und die Untersuchtungen der New York Times bestätigten diesen Eindruck. 17 dieser Apps verschicken exakte Positionsdaten der Nutzer an zusammen ca. 70 Unternehmen. Besonders negativ sticht dabei WeatherBug unter iOS hervor, von wo aus Daten an gleich 40 Unternehmen gesendet werden.

Zudem bemängelt die NYT, dass in den meisten Fällen der Umgang mit den aufgezeichneten Geodaten nur unzureichend dargelegt wird. Eine App namens "theScore" beispielsweise spricht lediglich davon, dass man die Ortsdaten benötige, "to recommend local teams and players that are relevant to you". Die App verschickt diese Daten jedoch (auch) an 16 unterschiedliche Werbeunternehmen. Selbst die "Weather Channel"-App, die wohlgemerkt von einer IBM-Tochter betrieben wird, erklärt dem Nutzer, dass der Zugriff auf die Geodaten benötigt wird, um lokale Wetterinformationen anzuzeigen. Dennoch werden diese Informationen auch direkt brühwarm für einen Hedgefunds ausgewertet, den IBM auf seiner Webseite bewirbt.

Wer mal wieder richtig schlechte Laune bekommen möchte, kann sich den ganzen Artikel auf der Webseite der New York Times zu Gemüte führen. Und wie immer gilt: Wo Geld im Spiel ist, spielt die Moral keine Rolle...

Dass Apple bereits vor einiger Zeit den Datenschutz und die Privatsphäre seiner Nutzer als echtes Kaufargument für seine Produkte erkannt hat, ist sicherlich kein Geheimnis. Mit einem Update der hauseigenen Webseiten zu diesem Thema unterstreicht Apple dies jedoch noch einmal deutlich. Dabei nimmt man vor allem Bezug auf die neu Implementierten Maßnahmen in diese Richtung in iOS 12 und macOS Mojave. Unter anderem benötigen inzwischen sämtliche neuen und aktualisierten Apps im AppStore eine Datenschutzerklärung. Zudem bringen iOS 12 und macOS Mojave Apple neue "Intelligent Tracking Prevention" mit, durch die die vorinstallierten Safari-Browser in den beiden Systemen die ausdrückliche Genehmigung des Nutzers benötigen, um Webseiten das Tracking und die Verwendung von Cookies zu erlauben.

Hinzu gesellen sich jede Menge weitere Details zu Apples Privatsphäre-Maßnahmen in seinen Systemen, wie die Ende-zu-Ende Verschlüsselung oder auch die oft diskutierte Differential Privacy. In der kommenden Woche wird Apple CEO Tim Cook zudem eine Rede auf der International Conference of Data Protection and Privacy Commissioners in Brüssel halten, um die eigene Position in Sachen Datenschutz noch einmal zu verdeutlichen.

Das Thema Datenschutz steht auf Apples Agenda ziemlich weit oben, wie man auch immer wieder öffentlich betont. Passend hierzu wird Apple CEO Tim Cook bei der diesjährigen International Conference of Data Protection and Privacy Commissioners in Brüssel die Keynote der Session "Debating Ethics: Dignity and Respect in Data Driven Life" am 24. Oktober halten. Dies gab der European Data Protection Supervisor bekannt. Die Session in der Cook seine Keynote gibt, soll den Startschuss zu einer globalen Diskussion geben, in welche Richtung sich digitale Technologien entwickeln sollten.

Passenderweise kommt die Ankündigung zu Cooks Keynote zu einer Zeit, in der die US-Regierung über eine Datenschutzverordnung nach dem Vorbild der euopäischen DSGVO nachdenkt, wie TechCrunch anmerkt. Cook hatte in der Vergangenheit bereits des Öfteren angemerkt, dass es sehr wichtig sei, dass die Unternehmen des Silicon Valley eng mit der Regierung zusammenarbeiten, um einen einheitlichen Datenschutz für die Nutzer zu gewährleisten. Es darf davon ausgegangen werden, dass Cook diese und ähnliche Aussagen auch auf seiner Keynote wiederholen wird.

In Europa ist die DSGVO inzwischen in Kraft getreten. Auch wenn man über verschiedene Inhalte und Auswüchse der Grundverordnung geteilter Meinung sein kann, geht sie grundsätzlich sicherlich in die richtige Richtung. Nun sollen ähnliche Schritte auch in den USA auf den Weg gebracht werden, weswegen sich am kommenden Mittwoch die Mitglieder des Information Technology Industry Council (ITI) in San Francisco treffen werden, um darüber zu beraten, wie man künftig mit dem Thema Datenschutz, aber auch mit Regierungsanfragen zu Nutzerdaten umgehen will.

Zu den teilnehmenden Unternehmen gehören laut Axios neben Apple auch Facebook, IBM, Microsoft, Intel, Qualcomm, Samsung, Dropbox und weitere Schwergewichte der Technologie-Industrie. Laut ITI CEO Dean Garfield verspüre man aktuell eine wachsende Wahrnehmung, dass das Thema Datenschutz deutlich mehr Gewicht beigemessen werden sollte.

Die US-Regierung erwägt bereits eine US-Version der DSGVO, wobei es sich laut Medienberichten nicht um eine 1-zu-1 Kopie handeln soll. Grundsätzlich sollen die Nutzer aber mehr Kontrolle über ihre Daten erhalten und auch darüber, was mit ihnen geschieht. Dies sollte im Idealfall sogar im Gesetz verankert werden.

Am kommenden Freitag tritt nun endgültig die neue DSGVO der EU in Kraft und man merkt an allen Ecken und Enden des Internets hektische Betriebsamkeit bei den verschiedensten Anbietern, um noch die letzten Anforderungen zu erfüllen. Inzwischen bietet nun auch Apple eine einfache Möglichkeit an, die eigenen gespeicherten Daten auf den Apple-Servern einzusehen und eine Kopie von ihnen abzurufen. Musste man hierzu bislang den Weg über ein spezielles Kontaktformular wählen, reicht es kündtig aus, die seit heute geschaltete Privacy-Webseite anzusurfen. Auch eine für das iPhone optimierte Version dürfte in Kürze folgen.

Auf dieser Webseite meldet man sich mit seiner Apple ID an und hat anschließend verschiedene Option zum Fortfahren. So kann man über das neue Formular wählen, ob man seine Daten korrigieren, diese abrufen, den Account deaktivieren oder ihn gar komplett löschen möchte.

Entscheidet man sich für den Abruf der Daten, kann dies bis zu sieben Tage Zeit in Anspruch nehmen. Apple nutzt diese Zeit nach eigener Aussage unter anderem um sicherzustellen, dass die Anfrage auch tatsächlich von dem eigentlichen Nutzer stammte. Der Nutzer kann an dieser Stelle detailliert festlegen, welche Informationen er gerne abrufen möchte. Dabei gelten laut Apple die folgenden Regeln:

Dein Download wird enthalten:

• App-Nutzungs- und Aktivitätsdaten als Tabellenkalkulationen oder Dateien im JSON-, CSV-, XML- oder PDF-Format.
• Dokumente, Fotos und Videos in ihrem Originalformat.
• Kontakte, Kalender, Lesezeichen und Mail im VCF?, ICS?, HTML- und EML?Format.

Dein Download wird nicht enthalten:

• App-, Buch-, Film-, TV-Sendung- oder Musik-Käufe.
• Den Apple Online Store-Transaktionsverlauf und Marketingmitteilungsverlauf. Erfahre, wie du Kopien dieser Daten erhalten kannst.

Mit der Bereitstellung der neuen Funktion erfüllt Apple einer der Anforderungen der DSGVO. Aktuell steht der Service für alle Apple Accounts zur Verfügung, die innerhalb der EU, Island, Liechtenstein, Norwegen und der Schweiz registriert sind. In den kommenden Monaten wird er aber auch für alle anderen Accounts angeboten.