Und weiter geht es mit hanebüchenen Geschichten aus dem kalifornischen Menlo Park. Dort befindet sich der Firmensitz des weltweit größten sozialen Netzwerks Facebook, welches in letzter Zeit mal wieder mit jeder Menge Datenschutz-Stories aufwarten kann. Den neuesten Streich der dortigen Experten hat nun Business Insider ans Tageslicht gebracht. So hat Facebook offenbar die E-Mail Kontakte von 1,5 Millionen seiner Nutzer ohne deren Wissen oder gar deren Einwilligung durchforstet, um auf diese Weise einen besseren Einblick in ihre sozialen Verknüpfungen zu bekommen. Begonnen haben soll diese Praxis im Mai 2016, wenn ein neuer Nutzer einen Account auf Facebook erstellt hat.

In einem Statement gegenüber den Kollegen gab Facebook inzwischen zu Protokoll, dass der Upload der Kontaktdaten auf die Unternehmensserver unbeabsichtigt geschah und es sich hierbei um einen Bug handelte. Man habe aber immerhin keinen Zugriff auf die E-Mails der betroffenen Nutzer gehabt.

We estimate that up to 1.5 million people's email contacts may have been uploaded. These contacts were not shared with anyone and we're deleting them. We've fixed the underlying issue and are notifying people whose contacts were imported. People can also review and manage the contacts they share with Facebook in their settings.

Man weiß ja eigentlich schon gar nicht mehr so recht, was man zu den immer neuen Datenschutz-Stories von Facebook noch sagen soll. Klar, es sind naturgemäß Unmengen von Daten, die dort verwaltet werden und Bugs können bei IT-Systemen immer auftreten. Allerdings ist es schon erschütternd, mit welcher Sorglosigkeit bei Facebook offenbar mit den Nutzerdaten umgegangen wird. Der medienwirksame Skandal rund um Cambridge Analytica war da definitiv nur die Spitze des Eisbergs.

Das Thema Datenschutz liegt Apple bereits seit einiger Zeit am Herzen. Immer wieder betont man in Cupertino, dass dort eben nicht der Nutzer das Produkt sei, mit dessen Daten man Geld in der Werbebranche verdient. Diese Haltung wird nun auch noch einmal in einem neuen Werbeclip zum iPhone verdeutlicht, welches man auf YouTube veröffentlicht hat. Zum ersten Mal auf Sendung geht es in den USA während des March Madness, der College-Meisterschaftsrunde im Basketball. In dem 45-sekündigen Video mit der Tagline "Privacy Matters" geht es in verschiedenen augenzwinkernden Szenen auf Situationen ein, in denen die Nutzer verzweifelt versuchen, im Alltag ihre Privatsphäre zu schützen. Mit Blick auf den Schutz der digitalen Daten erklärt Apple dazu:

"If privacy matters in your life, it should matter to the phone your life is on. Privacy. That's iPhone."

Auf ähnliche Art und Weise hatte Apple bereits während der CES in Las Vegas, auf der man selbst nicht anwesend war, mit großflächigen Plakaten zum Thema Datenschutz für das iPhone geworben. Nicht wegdiskutieren darf man dabei, dass Apple selbhst erst kürzlich von einem schweren Bug in FaceTime heimgesucht wurde, der durchaus auch dem Thema Datenschutz zugeordnet werden kann. Allerdings war dies eben ein Bug und nicht wie bei anderen Unternehmen das bewusste Abgreifen von Daten, um diese zu monetarisieren.

YouTube Direktlink

Der eine oder andere wird es vermutlich bereits auf anderen (Boulevard-)Medien mitbekommen haben, es gibt erneut ein größeres Datenleck. Nachdem Anfang des Jahres bereits eine ganze Reihe von Politikern und Prominenten Opfer eines Datenlecks wurden und ihre teils persönlichen Informationen frei im Internet zugänglich waren, kursiert aktuell eine Datenbank mit über 1.1 Millionen eindeutigen Kombinationen aus E-Mail-Adressen und Passwörten im Netz. Aufmerksam gemacht hat auf diesen Pool der Sicherheitsforscher und Microsoft Regional Director Troy Hunt auf seinem Blog, wo er berichtet, dass es sich bei den Daten offenbar um eine Zusammenstellung verschiedener Phishing- und Hacking-Angriffe der vergangenen Jahre handelt. Zusammengefasst in einer Datenbank stellen diese Informationen natürlich eine extrem wertvolle Quelle für potenzielle Angreifer dar.

Der Leak ist ein weiteres sehr gutes Beispiel dafür, dass man in der heutigen Zeit schlecht beraten ist, auf verschiedenen Diensten dieselbe Kombination aus E-Mail Adresse und Passwort zu verwenden. Allzu einfach ist es für Angreifer mit den Informationen aus der angesprochenen Datenbank, auf diese Dienste zuzugreifen. Aus diesem Grunde kann ich jedem nur dazu raten, entweder seine Passwörter regelmäßig zu ändern oder einen Passwort-Manager wie 1Password zu verwenden. Auch die Wichtigkeit der Aktivierung einer Zwei-Faktor-Authentifizierung (wenn möglich) kann nicht stark genug betont werden.

Der oben angesprochene Troy Hunt betreibt übrigens auch die Webseite Have I been Pwned?, auf der man seine E-Mail Adresse eingeben kann und automatisch geprüft wird, ob sich diese gemeinsam mit einem zugehörigen Passwort in der Datenbank befindet. Sollte dem so sein, gilt es möglichst schnell, seine Passwörter zu ändern. Und zwar überall, wo man diese E-Mail Adresse als Anmeldenamen verwendet. Wie gesagt, am besten überall auf einen unterschiedlichen Wert.

Wenn Apple keinen guten Jahresanfang 2019 hatte, dann muss man Facebook wohl ein schlechtes Jahr 2018 attestieren. Vor allem der Umgang mit Nutzerdaten und die vorausgehende die Datensammelwut des sozialen Netzwerks stehen immer wieder in der Kritik. Nun schaltet sich das Bundeskartellamt ein und will Facebook bei genau diesem Datensammeln einschränken. Wie Reuters berichtet, stehen insbesondere verschiedene Technologien und Strategien im Fokus der Bestrebungen. Die Kartellwächter haben vier Jahre lang ermittelt und werfen Facebook vor, seine dominierende Marktposition zu nutzen, um Nutzerdaten zu sammeln, ohne dass diese dem zugestimmt hätten oder davon wissen.

Dem Bericht zufolge will das Bundeskartellamt in den kommenden Wochen auf Facebook zugehen und einen Maßnahmenkatalog präsentieren. Darin angesprochen wird wohl vor allem der Umgang mit Daten aus Drittanbieter-Apps, aber auch aus hauseigenen Apps wie WhatsApp oder Instagram. Bei Facebook gibt man sich bereits jetzt kämpferisch und hat angekündigt seine Maßnahmen und Position zu verteidigen.

Das Thema Datenschutz steht aktuell mal wieder ganz oben auf der Agenda. Grund hierfür ist natürlich der aktuelle Megaleak an privaten Daten von Politikern, Journalisten und Prominenten in Deutschland. Auch wenn dies wohl eher nicht der Grund für eine kleine Guerilla-Aktion von Apple anlässlich der kommende Woche in Las Vegas stattfindenden Consumer Electronics Show (CES). Ganz in der Nähe des Veranstaltungsortes, dem Las Vegas Convention Center, hat Apple ein riesiges Plakat installieren lassen, auf dem man das bekannte Motto "What happens in Vegas, stays in Vegas" aufnimmt und in den Slogan "What happens on your iPhone, stays on your iPhone" umwandelt. (via Engadget)

Hiermit spielt man natürlich auf die Verarbeitung von Nutzerdaten an, die bei Apple wann immer es geht direkt auf dem Gerät und nicht in der Cloud stattfindet. Entsprechend findet man auf dem Plakat auch die URL zu Apples Datenschutz-Webseite. Apple selbst wird auch in diesem Jahr, anders als die Konkurrenten um Amazon, Samsung oder Google, nicht offiziell auf der CES vertreten sein, dürfte mit dem Plakat jedoch jede Menge Medienvertreter und Nutzer erreichen und somit dennoch eine gewisse Präsenz haben.

Die New York Times sorgt am heutigen Tag mit einem interessanten Bericht über den Umgang mit Ortsdaten von Nutzern für Aufsehen. So untersuchte die Zeitung eine Reihe von Apps dahingehend, welche Bewegungs- und Ortsdaten diese von ihren Nutzern erfassen und wie diese anschließend weiterverarbeitet werden. Auf diese Weise konnte man beispielsweise eine eindeutige Person identifizieren und deren Tagesablauf nachverfolgen. Eine andere iOS-App verschickt die gesammelten Daten gleich auch noch an 40 verschiedene (Werbe-)Unternehmen.

Grundsätzlich sollten Ortsdaten anonym und damit nicht an eine bestimmte Person gebunden verarbeitet werden. Die NYT fand nun heraus, dass dies aber mitnichten bei allen Apps der Fall ist. Unter anderem konnte man aus den Daten eines Smartphones ermitteln, dass die zugehörige Person ihr Haus in New York stets um 07:00 Uhr morgens verlässt, um zu einer 14 Meilen entfernten Schule zu fahren, wo sie jeden Schultag bis zum späten Nachmittag blieb. Dieses Muster trifft auf lediglich eine bestimmte Person zu: Lisa Magrin, eine 46 Jahre alte Mathelehrin. Die betreffende App ermittelte ihren Standort teilweise alle zwei Sekunden (im Schnitt alle 21 Minuten) und auch wenn der Name von Frau Magrin in der Datenbank nicht auftaucht, war es für die Journalisten der NYT ein Leichtes, die zu ihr führenden Verbindungen zu knüpfen.

In einem anderen Fall scheint das Smartphone zu einem Kind zu gehören. So geht aus den mitgeschnittenen Daten hervor, dass dieses auf dem Weg zur Schule stets an einem Spielplatz Halt machte, dort ein paar Minuten verblieb und anschließend das Schulgebäude betrat, wo es sich zwischen 08:00 und 15:00 Uhr aufhielt.

Erschütternd ist dabei vor allem, dass die 20 untersuchten Apps nicht allgemeine Bereiche erfasste, wo sich die Nutzer aufhielten, sondern spezifische Positionen. Die Apps wurden bereits im Vorfeld von Wissenschaftlern als potenziell riskante Apps identifiziert und die Untersuchtungen der New York Times bestätigten diesen Eindruck. 17 dieser Apps verschicken exakte Positionsdaten der Nutzer an zusammen ca. 70 Unternehmen. Besonders negativ sticht dabei WeatherBug unter iOS hervor, von wo aus Daten an gleich 40 Unternehmen gesendet werden.

Zudem bemängelt die NYT, dass in den meisten Fällen der Umgang mit den aufgezeichneten Geodaten nur unzureichend dargelegt wird. Eine App namens "theScore" beispielsweise spricht lediglich davon, dass man die Ortsdaten benötige, "to recommend local teams and players that are relevant to you". Die App verschickt diese Daten jedoch (auch) an 16 unterschiedliche Werbeunternehmen. Selbst die "Weather Channel"-App, die wohlgemerkt von einer IBM-Tochter betrieben wird, erklärt dem Nutzer, dass der Zugriff auf die Geodaten benötigt wird, um lokale Wetterinformationen anzuzeigen. Dennoch werden diese Informationen auch direkt brühwarm für einen Hedgefunds ausgewertet, den IBM auf seiner Webseite bewirbt.

Wer mal wieder richtig schlechte Laune bekommen möchte, kann sich den ganzen Artikel auf der Webseite der New York Times zu Gemüte führen. Und wie immer gilt: Wo Geld im Spiel ist, spielt die Moral keine Rolle...

Dass Apple bereits vor einiger Zeit den Datenschutz und die Privatsphäre seiner Nutzer als echtes Kaufargument für seine Produkte erkannt hat, ist sicherlich kein Geheimnis. Mit einem Update der hauseigenen Webseiten zu diesem Thema unterstreicht Apple dies jedoch noch einmal deutlich. Dabei nimmt man vor allem Bezug auf die neu Implementierten Maßnahmen in diese Richtung in iOS 12 und macOS Mojave. Unter anderem benötigen inzwischen sämtliche neuen und aktualisierten Apps im AppStore eine Datenschutzerklärung. Zudem bringen iOS 12 und macOS Mojave Apple neue "Intelligent Tracking Prevention" mit, durch die die vorinstallierten Safari-Browser in den beiden Systemen die ausdrückliche Genehmigung des Nutzers benötigen, um Webseiten das Tracking und die Verwendung von Cookies zu erlauben.

Hinzu gesellen sich jede Menge weitere Details zu Apples Privatsphäre-Maßnahmen in seinen Systemen, wie die Ende-zu-Ende Verschlüsselung oder auch die oft diskutierte Differential Privacy. In der kommenden Woche wird Apple CEO Tim Cook zudem eine Rede auf der International Conference of Data Protection and Privacy Commissioners in Brüssel halten, um die eigene Position in Sachen Datenschutz noch einmal zu verdeutlichen.

Das Thema Datenschutz steht auf Apples Agenda ziemlich weit oben, wie man auch immer wieder öffentlich betont. Passend hierzu wird Apple CEO Tim Cook bei der diesjährigen International Conference of Data Protection and Privacy Commissioners in Brüssel die Keynote der Session "Debating Ethics: Dignity and Respect in Data Driven Life" am 24. Oktober halten. Dies gab der European Data Protection Supervisor bekannt. Die Session in der Cook seine Keynote gibt, soll den Startschuss zu einer globalen Diskussion geben, in welche Richtung sich digitale Technologien entwickeln sollten.

Passenderweise kommt die Ankündigung zu Cooks Keynote zu einer Zeit, in der die US-Regierung über eine Datenschutzverordnung nach dem Vorbild der euopäischen DSGVO nachdenkt, wie TechCrunch anmerkt. Cook hatte in der Vergangenheit bereits des Öfteren angemerkt, dass es sehr wichtig sei, dass die Unternehmen des Silicon Valley eng mit der Regierung zusammenarbeiten, um einen einheitlichen Datenschutz für die Nutzer zu gewährleisten. Es darf davon ausgegangen werden, dass Cook diese und ähnliche Aussagen auch auf seiner Keynote wiederholen wird.