Home / Aktuelles & Termine / it.sec blog

Bei unserem letzten Beitrag zum Thema Facebook & Cambridge Analytica ging man noch von ca. 50 Millionen betroffenen Facebook-Nutzern aus, deren Daten missbräuchlich verwendet wurden, mittlerweile ist die Zahl auf 87 Millionen Nutzern gestiegen. Die Daten von bis zu 310.000 Nutzern in Deutschland wurden verwendet, und das, wo nach Angaben von Facebook gerade einmal 65 deutsche Nutzer die installierte App auch genutzt hatten.

Wie das funktioniert? Die Datenschutzeinstellungen bei Facebook machen es möglich. Sobald „Freunde“ und „Freunde von Freunden“ die eigenen Informationen sehen können, greift das typische Schneeballsystem und die Verbreitung von (vermeintlich vertraulichen) Informationen steigt exponentiell. In dem Moment, wo anderen Programmen erlaubt wird, auf Facebook-Informationen zuzugreifen, wird die Gefahr noch größer, dass Daten unkontrolliert verteilt werden.

Die zuständige Ministerin ist empört: Es müsse geprüft werden, ob die Maßnahmen der DSGVO ausreichen, um die Intransparenz der sozialen Netzwerke einzudämmen und Facebook solle die Funktion seiner Algorithmen offenlegen https://katarina-barley.de/wp-content/uploads/E33.pdf. Diesbezüglich habe Facebook bereits eine „wohlwollende“ Prüfung zugesagt.

Nun muss man sich klarmachen: Facebook wird weiterhin die Daten seiner Nutzer als Einnahmequelle benötigen. Die Einführung eines Bezahlmodells ist nach eigenen Angaben keinesfalls geplant. Dass Facebook in diesem Zusammenhang die Grundlage seines Geschäftsmodells, also die Funktionsweise seiner Algorithmen freiwillig „wohlwollend“ offenlegt, scheint in diesem Zusammenhang eher unwahrscheinlich. Ohne behördlichen Zwang ist nicht davon auszugehen, dass ein Unternehmen derartige Geschäftsgeheimnisse freiwillig veröffentlicht.

Zwar ist die Einführung der DSGVO und die damit vorgegebenen Standardeinstellungen „Privacy by Design“ und „Privacy by Default“ ein guter Ansatz, europaweit für eine Eindämmung des unkontrollierten Datenaustauschs zu sorgen. Ob die Behörden den Willen und nicht zuletzt überhaupt das Personal haben, die Einhaltung dieser Vorgaben auch nachzuhalten, bleibt abzuwarten.

Facebook hat als erste Maßnahme den Zugriff anderer Apps auf die eigene Plattform zunächst gestoppt, so dass der Login mittels Facebook-Benutzerprofil bei fremden Anbietern vorerst nicht mehr möglich ist. Allerdings hat jede von Facebook freigegebene App von Fremdanbietern grundsätzlich die Möglichkeit, auf verschiedene Facebook-Schnittstellen zuzugreifen. Nun muss in jedem einzelnen Fall überprüft werden, ob der Zugriff auf diese Schnittstelle überhaupt notwendig ist oder ob ggfs. eine entsprechende Einwilligung seitens des jeweiligen Nutzers vorliegt. Eine Einwilligung muss informiert aufgrund klarer vorheriger Information erfolgen, so will es die DSGVO.

Ob diese Prüfung durch Facebook tatsächlich bis zum 25. Mai 2018, wenn die DSGVO anzuwendendes Recht in der gesamten EU ist, abgeschlossen sein wird und wie mit nachträglichen Änderungen in Nutzungsbedingungen oder in Zweckbestimmungen umgegangen wird – sei es im Text, sei es in der technischen Umsetzung, werden wir beobachten. Bis dahin - und auch generell für die Zukunft - sollte sich der Verbraucher bei Preisgabe von Daten im Rahmen der Nutzung von derartigen Diensten immer wieder bewusst machen, dass er bei der Nutzung von „kostenlosen“ Angeboten selbst das Produkt ist – und nicht etwa Kunde.

C. Lürmann
Rechtsanwältin
Consultant Datenschutz

Die Datenschutzgrundverordnung (DSGVO) gilt auch für außereuropäische Unternehmen, die auf dem Markt der Europäischen Union tätig sind und damit auch für Anbieter Sozialer Netzwerke. Die Privacy Shield-zertifizierte (vgl. unter https://www.privacyshield.gov/participant?id=a2zt0000000GnywAAC&status=Active) Facebook Inc. hat zudem Niederlassungen innerhalb der Europäischen Union. Auf die Art der Niederlassung, also ob es sich dabei um Tochtergesellschaften mit eigener Rechtspersönlichkeit, unselbständige Zweigstellen oder lediglich kleine Büros handele, ist dabei unerheblich.

Wegen der unbefugt übermittelten Daten von ca. 50 Mio. Facebook-Nutzern an Cambrigde Analytica, die diese über ein Unternehmen erhielten, das mittels einer mobilen Applikation zu vornehmlich wissenschaftlichen Zwecken sich von den teilnehmenden Facebook-Nutzern Zugriff auf deren Profile und Kontakte geben ließ, ermittelt nun auch die britische Aufsichtsbehörde für Datenschutz.

Geplant war wohl, durch gezieltes Profiling, die politische Willensbildung der Facebook-Nutzer derart zu beeinflussen, um einen Wahlerfolg Donald Trumps im Präsidentschaftswahlkampf und angeblich auch ein Abstimmungsergebnis zu Gunsten eines Austritts Großbritanniens aus der EU zu erzielen. Dabei hatte die Mehrheit der Facebook-Nutzer weder in die Übermittlung ihrer Daten durch Facebook zugestimmt noch wurden sie über die Verwendung und insbesondere über Logik, Tragweite und v.a. Auswirkungen des Profilings informiert. Trotz der sich nach Bekanntwerden des Skandals anschließenden Unschuldsbeteuerungen von Facebook, steht für den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit fest, dass es „auch künftig das Geschäftsmodell von Facebook [bleibt], Daten zu sammeln und sie gegen Geld (…) zugänglich zu machen“ (vgl. unter http://www.handelsblatt.com/politik/deutschland/datenskandal-hamburger-datenschuetzer-zweifelt-an-facebooks-demutsgesten/21121810.html). Vielmehr zeige sich erneut, dass aufgrund der Auswertung personenbezogener Daten „nicht nur das Konsumverhalten von Personen beeinflusst, sondern auch Macht über politische Entscheidungen vermittelt“ wird (vgl. unter https://www.focus.de/finanzen/news/wirtschaftsticker/konjunktur-deutsche-datenschuetzer-wollen-facebook-schnittstellen-pruefen_id_8646575.html).

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Bislang war der Datenschutz in der EU lediglich durch drei Richtlinien, die europäische Datenschutzrichtlinie (Richtlinie 95/46/EG) die ePrivacy Richtlinie (Richtlinie 2002/58/EG) und die Cookie-Richtlinie (Richtlinie 2009/136/EG), geregelt, welche zur Geltung noch in nationales Recht umgesetzt werden mussten. Während die erste eher allgemeine Regelungen zum Datenschutz enthielt, trugen die beiden späteren Richtlinien den Entwicklungen in der elektronischen Kommunikation Rechnung und ergänzten die Datenschutzrichtlinie hinsichtlich des speziellen Schutzes des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation, insbesondere im Internet.

Nicht alle Länder in der EU setzten die Richtlinie in nationales Recht um. Der Erlass der EU-DSGVO, die als Verordnung direkt in allen Ländern der EU gilt, sollte daher dafür sorgen, dass der Datenschutz europaweit für alle Bürger auf dem gleichen Niveau Anwendung findet.

Flankiert werden sollte die EU-DSGVO von dem Erlass der ePrivacy-Verordnung, die – so war der Plan – zeitgleich mit der EU-DSGVO erlassen werden soll. Denn die Schutzziele der beiden Vorschriften überschneiden sich in vielen Bereichen.

Aber daraus wird nichts: Die Interessen der digitalen Werbewirtschaft sind offenbar zu kompliziert, die Lobbyvertreter sind zu aktiv, um an diesen Interessen vorbeizukommen.

Im Fokus stehen vor allem die geplanten Artikel 5, 6, 7, 8 und 10 der ePrivacy-Verordnung, in der unter anderem die Verarbeitung von Daten auf Endgeräten geregelt wird. Zusammenfassend lassen sich die Streitpunkte wohl wie folgt auf einen Nenner bringen: Während der durch das EU-Parlament verabschiedete Vorschlag des Entwurfs die Verarbeitung personenbezogener Daten im Rahmen der Internetnutzung nur zulassen möchte, wenn die Verarbeitung aus technischen Gründen zwingend notwendig ist, und ansonsten eine ausdrückliche Einwilligung fordert, würde die Werbeindustrie gerne auf alle Daten, die Cookies, Webtracker & Co. liefern, ohne Wenn und Aber zugreifen und diese verwenden.

Dieser Konflikt wird sich bis zum 25. Mai 2018 nicht auflösen lassen, das haben nun auch die Verantwortlichen in der EU erkannt.

Der Ratspräsident der EU hat ein aktuelles Sachstandspapier vorgelegt (http://data.consilium.europa.eu/doc/document/ST-5165-2018-INIT/en/pdf), in dem neue Vorschläge für einen Kompromiss bei der Umsetzung der ePrivacy-Verordnung vorgestellt werden. Die Vorschläge lauten dabei von „Alles lassen wie es vorgeschlagen wurde“ bis hin zu „jede andere Lösungsmöglichkeit“.

Mit einer Stellungnahme der Länder wird in der zweiten Jahreshälfte 2018 gerechnet, so dass die Verordnung frühestens Ende 2018 verabschiedet werden kann.

Wir halten Sie auf dem Laufenden!

C. Lürmann
Rechtsanwältin
Consultant Datenschutz

Der Einsatz des Messenger-Dienstes WhatsApp im Unternehmen wird immer beliebter, ist es doch ein bequemes und günstiges Kommunikationsmittel.

Jedes Unternehmen (= Verantwortlicher), das veranlasst oder zulässt, dass seine Mitarbeiter mittels WhatsApp personenbezogene Daten verarbeiten, für die das Unternehmen verantwortlich ist (z.B. Beschäftigtendaten, Kontaktdaten von Geschäftspartnern), muss sicherstellen, dass dabei die Vorgaben aus der Datenschutzgrundverordnung (DSGVO) eingehalten werden.

Wenn die Mitarbeiter den Messenger-Dienst WhatsApp über ihre dienstlichen Smartphones nutzen, wird „automatisch das lokal hinterlegte Adressbuch des [Mitarbeiters] mit ausgelesen und alle diese Kontaktdaten ungefragt“ an die WhatsApp Inc. (= Anbieter des Messenger-Dienstes) übermittelt und auf deren Servern, die sich u.a. in den USA befinden, gespeichert (vgl. Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz: Nicht-öffentlicher Bereich, 2016/2017, S. 375, abrufbar unter https://tlfdi.de/mam/tlfdi/presse/3._tb_nicht-oeff._webversion_tlfdi.pdf). Zusätzlich werdenMeta-Daten (IP-Adresse, Geräte-ID, Zeitpunkt usw.)“, die anfallen, wenn der Mitarbeiter mit seinen Kommunikationspartnern chattet, an die WhatsApp Inc. übermittelt, wobei „deren weitere Nutzung völlig unklar“ sei (vgl. Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz, a.a.O., S. 376). Auch die ausgetauschten Textnachrichten und Bilder werden vom Anbieter erhoben und gespeichert, sofern die Ende-zu-Ende-Verschlüsselung nicht genutzt wird oder werden kann.

Darüber hinaus konnte nur durch eine Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit verhindert werden, dass diese Daten an die Facebook Inc. übermittelt wurden, nachdem diese 2014 die WhatsApp Inc. übernahm (vgl. https://www.datenschutz-hamburg.de/news/detail/article/oberverwaltungsgericht-bestaetigt-verbot-des-datenaustauschs-zwischen-whatsapp-und-facebook.html?tx_ttnews%5BbackPid%5D=1&cHash=d9c26b0f5befd174c7b50a4870037136).

Möchte ein Unternehmen also den Messenger-Dienst WhatsApp einsetzen, müsste es die damit verbundenen Datenübermittlungen an Dritte (u.a. WhatsApp Inc.) sowie in Drittstaaten ohne angemessenes Datenschutzniveau (u.a. USA) absichern und die betroffenen Personen, d.h. die Mitarbeiter, die WhatsApp nutzen (müssen), deren Kommunikationspartner sowie diejenigen Personen, deren Kontaktdaten sich im Adressbuch des Smartphones des Mitarbeiters befinden, vollständig i.S.v. Art. 13, 14 DSGVO informieren.

Und das dürfte dem Unternehmen nach derzeitigem Kenntnisstand kaum möglich sein.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Unternehmen kann es nur gelingen, die Vorgaben der Datenschutzgrundverordnung (DSGVO) flächendeckend einzuhalten, wenn ihre Mitarbeiter, Auszubildende, Praktikanten und Leiharbeiter, die an der Datenverarbeitung mitwirken, ausreichend zum Thema Datenschutz geschult sind.

Die gesetzliche Regelung zur Durchführung von Datenschutzschulungen sowie die Rechtsgrundlage für den Nachweis, dass solche durchgeführt wurden, findet sich in Art. 5 Abs. 2, 24 Abs. 1, Art. 38, 39 Abs. 1 lit. a), b) DSGVO. Daher sollten Unternehmen zunächst ein Schulungskonzept implementieren und in den Datenschutzschulungen die Beschäftigten über die wesentlichen Datenschutz-Themen unterrichten und entsprechend im Umgang mit personenbezogenen Daten sensibilisieren:

- Begriffe, Beteiligte und Grundsätze der Datenschutzgrundverordnung

- Zulässigkeit der Datenverarbeitung

- Informationspflichten und Rechte der betroffenen Personen

- Datenschutzbeauftragter

- Verzeichnis von Verarbeitungstätigkeiten

- Technische & organisatorische Maßnahmen

- Besonderheiten im Konzern

- Auftragsverarbeitung

- Datenübermittlung an Dritte

- Datentransfer in Drittstaaten

- Datenlöschung

- Datenschutz-Folgenabschätzung

- Melde- und Benachrichtigungspflichten

Die Datenschutz-Schulungen sollten jährlich wiederholt werden. Zusätzlich sollten spezielle Datenschutz-Schulungen für Personalwesen, Marketing & Vertrieb sowie IT angeboten werden.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Ein Grundsatz des Datenschutzes ist es, dass personenbezogene Daten irgendwann auch wieder gelöscht werden müssen.

Unternehmen sind daher grundsätzlich verpflichtet, die bei ihnen verarbeiteten personenbezogenen Daten nach Zweckwegfall bzw. nach Ablauf sich daran anschließender Aufbewahrungsfristen zu löschen (Grundsatz der Speicherbegrenzung, „Recht auf Vergessenwerden“).

Gerade bei Einsatz von Datenverarbeitungssystemen ist dies jedoch nicht immer so einfach, da man auf die Funktionen, die der Hersteller zur Löschung bereitstellt oder eben nicht bereitgestellt hat, angewiesen ist. Selbst wenn eine solche Löschfunktion vorhanden ist, bedeutet das noch nicht, dass die Daten dann auch gelöscht sind i.S.e. irreversiblen Entfernung der Daten vom Datenträger (Festplatte, Speicherchip etc.).

Unternehmen können sich auch nicht darauf berufen, dass die Löschung aufgrund technischer Gründe unmöglich oder aufgrund des Aufwands einer entsprechenden Nachrüstung unzumutbar ist. Gemäß § 35 BDSG-Neu kann die Pflicht zur Löschung zwar entfallen, wenn dies mit einem unverhältnismäßig hohen Aufwand verbunden ist. Dies gilt jedoch nur im Fall einer nicht-automatisierten Datenverarbeitung.

Daher dürfen Unternehmen nur solche Technik einsetzen, die eine datenschutzgerechte Löschung durch entsprechende Funktionalitäten erlaubt (Grundsatz von Privacy by Design). Die Pflicht zur Löschung und zur Einhaltung von Privacy by Design trifft eben denjenigen, der die Technik einsetzt und damit personenbezogene Daten verarbeitet.

Die Landesbeauftragte für Datenschutz in Schleswig-Holstein (ULD) hätte sich zwar „gewünscht, dass die Datenschutz-Grundverordnung auch die Hersteller unmittelbar zu eingebautem Datenschutz verpflichtet“, aber dies sei „immerhin für die kommende europäische e-Privacy-Verordnung so geplant“ (vgl. unter https://www.datenschutzzentrum.de/artikel/1208-Datenschutz-einbauen!-Appell-an-die-Hersteller-und-Betreiber-am-Safer-Internet-Day.html).

Man kann nur hoffen, dass Produkte, deren Einsatz Bußgelder auslösen können (Art. 83 Abs. 4 lit. a), Abs. 5 lit. a), b) DSGVO), sich zukünftig schwerer verkaufen lassen. Denn nur somit lässt sich derzeit überhaupt Druck auf Hersteller und Entwickler aufbauen, wenn sie den Markt der Europäischen Union auch weiterhin beliefern möchten.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Auch die Hardware der Beschäftigten sollte mit Bedacht und Verstand ausgewählt werden. Hacker können nun auch die Verbindung zwischen Tastatur und Computer hacken und somit eigene Befehle an den Computer senden. Mit solchen MouseJack-Angriffen können nicht nur Programme am Computer gestartet werden, sondern auch Scripte geschrieben und ausgeführt, sowie Dateien ins Internet hochgeladen werden.

Ziel der Hacker ist es, sensible Daten zu entwenden oder Schadsoftware auf Ihrem Computer zu installieren. Es sind aktuell beinahe alle gängigen Funktastaturen im 2,4-GHz-Band anfällig für einen solchen Angriff. Mit Hilfe von Updates kann auf dieses Risiko reagiert werden. Idealerweise sollten zukünftig nur noch Tastaturen angeschafft werden, die über Bluetooth oder das alt bewerte Kabel funktionieren. Bluetooth ist durch die oben beschriebenen Angriffe nicht gefährdet.

Der Angriff ist schnell und einfach durchzuführen. Benötigt wird hierfür nur ein Empfänger und eine Antenne, mit denen dann die Funksignale der Tastatur abgefangen und so die Adressen aktiver Mäuse und Tastaturen ermittelt werden können. Die Reichweite des Empfängers liegt bei bis zu 1.000 m im Freien und 50 m in geschlossenen Räumen.

Vor allem in sensiblen Bereichen wie beispielsweise der Personalabteilung sollte auf solche Funktastaturen verzichtet werden.

Dr. Bettina Kraft
Volljuristin, Senior Consultant für Datenschutz

Anfang Januar 2018 wurden drei erhebliche Schwachstellen in den meisten modernen Prozessoren veröffentlicht. Diese wurden von drei unterschiedlichen Forscherteams entdeckt (Google Project Zero, Cyberus Technology, Graz University of Technology) und sind unter den zwei Namen

  • Meltdown (CVE-2017-5754 Rogue Data Cache Load) und
  • Spectre (CVE-2017-5715 - Branch Target Injection und CVE-2017-5753 - Bounds Check Bypass)

bekannt geworden. Sie betreffen nicht nur Desktop- und Serverrechner, sondern auch Mobilgeräte. [1] [2]

Diese Schwachstellen ermöglichen es einem Angreifer potenziell den gesamten Arbeitsspeicher eines Systems auszulesen - inklusive beispielsweise Passwörtern, Krypto-Schlüsseln oder persönlichen und vertraulichen Daten.

Bei den drei Sicherheitslücken handelt es sich um Designprobleme in den Prozessoren. Daher sind sie praktisch für alle Betriebssysteme (Windows, MacOS, Linux, AIX, Android, iOS, etc.) relevant. Meltdown kann zwar durch Softwarepatches vollständig behoben werden, Spectre jedoch – zumindest mit Stand heute – nicht. Ein vollständiger Schutz vor Spectre ist durch die jetzigen Patches nicht gegeben, der Angriff wird nur erschwert, bzw. die Erfolgsquote reduziert.

Wording in Veröffentlichungen

Man liest sehr oft, dass durch aktuelle Patches ein Spectre-Angriff erschwert würde. Diese Aussage ist zwar richtig, man muss sie aber richtig lesen. Leider bleibt dann nicht mehr viel an Sicherheit davon übrig:

Ein einzelner Angriff zielt darauf ab, einen Datenblock aus dem CPU-Speicher auszulesen, der einem nicht gehört. Das dauert vielleicht einige Millisekunden. Der Erfolg eines einzelnen Angriffs ist nicht garantiert, man kann es aber immer wieder probieren, irgendwann klappt es.

Nach dem Patch sinkt die Chance, dass es klappt, was aber leider nicht mehr heisst, als dass ein Angreifer es halt ein paar mal mehr versuchen muss, bis es klappt.

Die Folge ist nur, dass man es nur schwer schaffen wird sich in kurzer Zeit (Sekunden oder Minuten) ein zusammenhängendes, vollständiges und zeitlich integres Speicherabbild des Hosts zusammenzubauen. In längerer Zeit bekommt man aber trotzdem alle möglichen Speicherfragmente zu sehen - und das kann reichen. Es ist ein wenig wie Fliegen fangen. Es ist schwer, aber irgendwann kriegt man sie schon.

Zur Darstellung der möglichen Auswirkungen haben wir verschiedene Szenarien unterschieden:

- Einzelplatz-PC bzw. Smartphones

Mit Hilfe einer der Schwachstellen kann ein Angreifer Zugriff auf Daten erhalten, auf die er sonst keinen Zugriff hätte. Hierzu muss er Code auf dem System ausführen dürfen ohne besondere Rechte dafür haben zu müssen, was im Grunde überall, z.B. durch JavaScript, oder durch eine präparierte App auf einem Smartphone, möglich ist. Dabei können Datenfragmente auch aus Speicherbereichen anderer Prozesse oder virtueller Maschinen ausgelesen werden und zu einem Gesamtbild zusammengesetzt werden. Aber auch schon einzelne Speicherfragmente können Informationen wie Passwörter, Verschlüsselungs-Keys, E-Mails oder dergleichen enthalten.

- Client-Server Architektur

Mit Hilfe von Meltdown & Spectre können nur Daten aus dem Speicher des physischen Servers ausgelesen werden, auf dem der Angriffscode ausgeführt wird. Somit besteht bei physisch dedizierten Systemen keine direkte Gefahr für Angriffe vom Client aus, solange kein Code vom Client aus auf dem Server ausgeführt werden kann. Dies ist zumindest bei Fileserver Anwendungen i.d.R. nicht der Fall. Anders sieht es aus, wenn man RDP oder Citrix (oder ssh oder anderen interaktiven) Zugriff auf einen Rechner hat.

- Virtualisierte Systeme

Bei virtualisierten Systemen muss zwischen voll-virtualisierten Systemen (z.B. VMware, Hyper-V) und para-virtualisierten (bei der Para-Virtualisierung steht dem Gastsystem lediglich ein API-Zugriff auf die Host-Hardware zur Verfügung, z.B. Xen) bzw. Betriebssystemvirtualisierung (hierbei teilen sich das Gastsystem und das Hostsystem den Kernel, z.B. Docker, Linux Container LXC) unterschieden werden.

Para-Virtualisierung und Betriebssytemvirtualisierung können sowohl durch Meltdown als auch durch Spectre angegriffen werden. Hierbei kann u.U. der gesamte Arbeitsspeicher des Hosts ausgelesen werden - und damit auch der aller virtuellen Maschinen.

Voll-virtualisierte Systeme sind für Meltdown nur dahingehend verwundbar, dass innerhalb eines virtuellen Systems Daten ausgelesen werden können, innerhalb von diesem aber wiederum aus dem gesamten dieser virtuellen Maschine zugeordneten Speicher - also auch der anderer Prozesse und Benutzer oder des Kernels.

Spectre kann theoretisch auch hier die Grenzen zwischen den virtuellen Systemen überwinden und von anderen Systemen und dem Host Daten auslesen. Google hat nach eigenen Angaben in einem PoC bereits gezeigt, dass bei einer virtuellen Maschine Daten aus dem Kernelspeicher des Hosts ausgelesen werden konnten. [2]

- Cloud

Für Cloud Anbieter, welche (Para-)Virtualisierung nutzen, gelten die gleichen Aussagen von oben für virtualisierte Systeme. Allerdings ist der Impact möglicherweise noch größer als innerhalb einer Institution: es können unter Umständen Daten von anderen Kunden ausgelesen werden. Wirklich wirksame Gegenmaßnahmen gibt es derzeit nicht.

Diesen Aspekt darf man sich getrost auf der Zunge zergehen lassen und das erste Aha-Erlebnis noch ein wenig mit Risiko- und Compliance-Aspekten nachwürzen.

Komplexität eines Angriffs

Die Schwachstellen können ausgenutzt werden, wenn ein Angreifer irgendwelchen Code auf einem System ausführen kann, ohne besondere Rechte. Dies ist aber immer der Fall (er benutzt ja Programme) und kann z.B. auch schon über den vorhandenen Webbrowser geschehen, z.B. durch JavaScript. Bei Meltdown sind nicht einmal genaue Kenntnisse des angegriffenen Prozesses notwendig, bei Spectre hingegen sind tiefgründige Kenntnisse über den eingesetzten Prozessor, dessen Branch Prediction Unit, sowie den anzugreifenden Prozess notwendig. Dieses Wissen ist derzeit nicht öffentlich verfügbar. Die vorgestellten Proof-of-Concepts wurden bisher nur unter Laborbedingungen durchgeführt. Aber eben nur "bisher".

Bis heute sind offenbar keine Exploits (Ausnutzen der Schwachstellen von einem Angreifer) in Umlauf. Da der Angriff jedoch keine Spuren hinterlässt, kann nicht mit Sicherheit gesagt werden, dass keine Angriffe stattfanden. Insbesondere durch das Bekanntwerden des Angriffs ist mit Sicherheit davon auszugehen, dass früher oder später neue Exploits entwickelt und verbreitet werden.

Das Szenario, dass nach und nach immer bessere Angriffswerkzeuge („Exploits“) öffentlich verfügbar sein werden und der Werkstudent oder die Sekretärin in ihrer Citrix-Sitzung den Serverspeicher des Virtualisierungs-Hosts per Skript in einer E-Mail auslesen können, ist nicht so sehr weit hergeholt. Aber auch Remote Angriffe per Web-Seite sind möglich.

Antivirus

Virenscanner werden vermutlich nur eingeschränkt - wenn überhaupt - in der Lage sein, Angriffe zu erkennen, da diese weitgehend dem normalen Verhalten von Programmen entsprechen. Klar es wird Heuristiken geben, aber auch klar, die kann man austricksen.

Datenschutzaspekte

Wie weit kann virtuellen oder Multiuser-Systemen überhaupt noch vertraut werden und wie teuer kann es unter der DSGVO werden, wenn man sich nicht ernsthaft mit der Lösung beschäftigt hat? Man kann die Situation durchaus so bewerten, dass ohne weitere Maßnahmen, die über bloßes Patchen hinausgehen, die Sicherheit der Datenverarbeitung nach Art. 32 DSGVO nicht mehr überall gewährleistet ist. Über den Art. 83 DSGVO kann man dann erahnen, wie teuer es werden könnte (nämlich bis zu theoretischen 10Mio. € oder 2% des weltweiten Vorjahresgesamtumsatzes des Unternehmens).

Andererseits wird kein Datenschutzbeauftragter seinen Mandanten raten können, die Datenverarbeitung vorübergehend auszusetzen, bis man alles umgebaut und die Daten nach Hardware sortiert getrennt verarbeiten kann.

Wir werden diese Frage der Einschätzung daher an die Aufsichtsbehörden für den Datenschutz richten und weiter berichten!

Fazit

Durch die Bemühungen der verschiedenen Soft- und Hardwarehersteller wurde in der Vergangenheit die Sicherheit stetig verbessert. Nun zeigen Meltdown und Spectre, dass sich die Risikolage von jetzt auf gleich ändern kann.

Meltdown und Spectre zeigen sehr grundlegende Schwachstellen auf, die auf Hardwaredesignproblemen beruhen. Wodurch, zumindest bei Spectre, das Patchen deutlich erschwert, wenn nicht gar unmöglich wird. Somit ist die eigentliche Herausforderung, das Risiko entsprechend (neu) zu bewerten und wie in einem Unternehmen alternative, kompensatorische Maßnahmen umgesetzt werden können. Spectre-Patches können u.E. derzeit nicht als wirksam angesehen werden.

Die Auswirkungen sind im Grunde so gewaltig, dass man gerne dazu tendiert sie nicht wahrhaben zu wollen. Bringt aber nix.

Aktuelle Empfehlungen

  • Die Schwachstellen sind im Rahmen des regulären Schwachstellen Managements zu bewerten und zu behandeln, also im Rahmen des jeweiligen Verfahrensrisikos. Wichtig: Rosa Brille weg und Risiken realistisch einschätzen! Wie Sie handeln bleibt immer noch Ihnen überlassen, aber machen Sie sich nichts vor!
  • Nach erfolgreichem Test sollten die vorhandenen Patches (Betriebssystem und Mikrocontroller) ausgerollt werden. Tests sind wichtig, da die Hersteller in der Eile auch schon nicht-funktionale Patches verteilt haben.
  • Im Rahmen des Risikomanagementprozesses sollten die Schwachstellen bzw. Patches zumindest für absehbare Zeit, in kurzen Abständen, etwa wöchentlich, neu bewertet werden.
  • Aktuell hilft wohl nur die hardwarebasierte Trennung von wirklich relevanten Daten. Wer bisher Medizindaten und die Parkplatzverwaltung auf derselben Hardware hatte, sollte umdenken!
  • Vendor Management: fordern Sie von Ihrem Cloud Anbieter Aussagen ein, wie er gedenkt Ihre Daten vor anderen zu schützen! Hier wird es auch rechtlich spannend, denn was er tun muss und was nicht, und was dann davon ihr Problem bleibt oder seins, das hängt von Ihrem Vertrag ab.
  • Wenn Sie personenbezogene oder hochsensible Daten bearbeiten, empfehlen wir einen noch strengeren Blick. Noch gibt es keine aufsichtsbehördliche Stellungnahme wie mit einer Situation umzugehen ist, in die man durchaus interpretieren kann, dass viele Verfahren auf absehbare Zeit nicht weiter betrieben werden dürften. Unter der Strafandrohung des BDSG war das nicht weiter schlimm. Die DSGVO wartet da mit ganz anderen Geschützen auf.

Autoren: Florian Franke, Holger Heimann, Christian Stehle

[1] https://meltdownattack.com/

[2] https://googleprojectzero.blogspot.de/2018/01/reading-privileged-memory-with-side.html

Die Verarbeitung personenbezogener Daten kann nur auf die Einwilligung der betroffenen Person gestützt werden (Art. 6 Abs. 1 lit. a), Art. 7 DSGVO), wenn diese wirksam erteilt worden ist:

  • Die betroffene Person muss ihre Einwilligung ausdrücklich erklären, durch ihre Unterschrift oder zumindest durch eine unmissverständliche Handlung.
  • Die betroffene Person muss vor Abgabe ihrer Einwilligung ausreichend über die geplante Datenverarbeitung informiert worden sein (-> Transparenz, Informationspflichten aus Art. 13 DSGVO).
  • Die betroffene Person muss vor Abgabe ihrer Einwilligung über ihr Widerrufsrecht in Kenntnis gesetzt worden sein (Art. 7 Abs. 3 DSGVO).
  • Die betroffene Person muss ihre Einwilligung freiwillig (d.h. ohne jeglichen Zwang) erteilt haben.
  • Der Verantwortliche muss beweisen können, dass die Einwilligung vorliegt (-> schriftlich, elektronisch, Archivierung).

Gerne verweisen wir auf unseren Blogbeitrag vom 15.11.2016.

Da jedoch im wirtschaftlichen Abhängigkeitsverhältnis zwischen Beschäftigtem und Arbeitgeber gerade das Kriterium der Freiwilligkeit oftmals nur unzureichend erfüllt ist, trifft § 26 Abs. 2 BDSG-Neu zusätzliche Regelungen, unter welchen Umständen Beschäftigte in die Verarbeitung ihrer Daten durch den Arbeitgeber wirksam einwilligen können:

  • Durch die Einwilligung muss der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erreichen oder zumindest müssen Arbeitgeber und Beschäftigter damit gleichgelagerte Interessen verfolgen.
  • Dem Beschäftigten dürfen keine arbeitsrechtlichen Konsequenzen oder sonstigen Nachteile für sein bestehendes Arbeitsverhältnis drohen, wenn er seine Einwilligung nicht erteilt oder die Einwilligung widerruft.
  • Die Einwilligung muss grundsätzlich in Schriftform erteilt werden.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Mit Art. 3 Abs. 2 DSGVO tritt das Marktortprinzip in Kraft. Damit gilt die Datenschutzgrundverordnung (DSGVO) zwingend auch für jedes außereuropäische Unternehmen, wenn es Waren und Dienstleistungen betroffenen Personen innerhalb der EU anbietet. Die Zahlung eines Entgelts spielt dabei keine Rolle. Daher fallen auch Anbieter Sozialer Netzwerke (= Plattformbetreiber) hierunter (vgl. unter https://www.lda.bayern.de/media/dsk_kpnr_7_marktortprinzip.pdf).

Bisher ist unklar, inwieweit neben den Plattformbetreibern auch Unternehmen und Behörden (= Inhalteanbieter), die sich auf diesen Plattformen präsentieren und hierüber Inhalte anbieten, als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO hinsichtlich der damit einhergehenden Datenverarbeitung anzusehen sind.

Die deutschen Aufsichtsbehörden haben bisher zumindest für öffentliche Stellen eine "datenschutzrechtliche Mitverantwortung" angenommen (vgl. unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/11/2017.11.02._Richtlinie-zur-Nutzung-sozialer-Netzwerke-durch-%C3%B6ff.-Stellen.pdf#). Denn auch die Inhalteanbieter leisten „einen wesentlichen Beitrag zur Realisierung des Geschäftsmodels" der Plattformbetreiber (vgl. unter https://www.datenschutzzentrum.de/artikel/983-.html).

Das Bundesverwaltungsgericht legte am 25.02.2016 dem EuGH in einem Verfahren, bei dem die Aufsichtsbehörde in Schleswig-Holstein beteiligt ist, u.a. die Frage zur diesbezüglichen datenschutzrechtlichen Verantwortung vor (vgl. unter https://www.datenschutzzentrum.de/artikel/1013-.html).

Der Generalanwalt hat in seinen Schlussanträgen zu dieser Rechtssache am 24.10.2017 festgestellt (vgl. unter https://www.datenschutzzentrum.de/artikel/1171-EuGH-Generalanwalt-Keine-Verantwortungsluecken-im-Datenschutz-bei-dem-Betrieb-von-Facebook-Fanpages.html), dass auch ein Inhalteanbieter, der solche Plattformen Sozialer Netzwerke nutzt, sich dabei nicht einfach „seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten (…) entziehen“ darf. Dies solle auch dann gelten, wenn der Inhalteanbieter selbst „keinen Zugang zu den Daten hat“ und auch die „Geschäftsbedingungen im Vorhinein vom [Plattformbetreiber] vorbereitet werden und nicht verhandelbar sind“.

Folgt der EuGH dieser Einschätzung, dann werden sich die Inhalteanbieter die Datenverarbeitungen durch die Plattformbetreiber, die in den wenigsten Fällen datenschutzrechtlichen Vorgaben entsprechen (so hatte bspw. die französische Aufsichtsbehörde im Mai 2017 ein Bußgeld gegen Facebook verhängt, https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act), zurechnen lassen müssen.

Angesichts der Bußgelder, die sich durch die Datenschutzgrundverordnung (DSGVO) drastisch erhöhen, würden Unternehmen mit der Nutzung solcher Plattformen ein hohes Risiko eingehen, wenn sie mit dem Plattformbetreiber als „gemeinsam für die Verarbeitung Verantwortliche“ auftreten. Daher bliebe wohl am Ende nur die Möglichkeit, sich gegen die Nutzung solcher Plattformen zu entscheiden, sofern die Plattformbetreiber ihre Datenverarbeitungen nicht an gesetzliche Vorgaben anpassen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse e-Privacy-Verordnung eCall-Technologie EES Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis FlugDaG Fluggastdaten Funkmäuse Funktastaturen Gemeinsam Verantwortliche Home Office Immobilienmakler Informationspflichten Informationssicherheit Inhalteanbieter IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft MouseJack-Angriffe NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Risikomanagement Risk & Compliance Management Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Verantwortlicher Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung WhatsApp Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mon Tue Wed Thu Fri Sat Sun
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30