Zum Inhalt springen

Massenüberwachung als olympische Disziplin – DS News KW 10-2023

    Moderation:
    avatar
    Laura Droschinski
    avatar
    Gregor Wortberg

    Was ist in der KW 10 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
    Wir geben einen kurzen Überblick der aktuellen Themen:

    Empfehlung:

    • Veranstaltungstipp: Fachtag Datenschutz trifft Medienkompetenz

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    Twitter: https://twitter.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener

    Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/massenuberwachung-als-olympische-disziplin-ds-news-kw-10-2023

    #TeamDatenschutz #TeamInfoSec #DSTalk

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Transkript zur Folge:

    Guter Witz.
    Sehr trocken vorgeschlagen, ihr Wort weg.
    Herzlich willkommen zum Datenschutz-Talk. Ihrem Podcast für die Themen Datenschutz und Informationssicherheit.
    Einer weiteren Ausgabe unserer wöchentlichen Datenschutz News. Wir haben den zehnten März zweitausenddreiundzwanzig unser Redaktionsschluss war wie immer um zehn Uhr. Mein Name ist Laura Troschinski und an meiner Seite Gregor Wortberg. Hallo lieber Gregor.
    Hallo Laura.
    Schön, dich zu sehen.
    Ja, ich freue mich auch. Es ist sogar die zehn KW. 1. März, zehn Uhr Redaktionsschluss und die zehnte KW.
    Wahnsinn. Das hätten wir mal im Titel verarbeiten müssen, finde ich.
    Eine vertane Chance.
    Sag mal, was hast du heute aufm Zettel?
    Ja, ich habe ein paar Nachrichten äh mitgebracht natürlich. Einmal gibt's wieder ein paar Neuigkeiten zu Valentier.
    WhatsApp reagiert auf den Druck der EU-Kommission und dann habe ich noch eine Meldung zu Angriffen im Gesundheitswesen mitgebracht und äh eine Empfehlung für eine Veranstaltung des Berliner Datenschutzbeauftragten.
    Was hast du denn mitgebracht diese Woche?
    Ich habe einmal mitgebracht eine Nachricht aus Frankreich und eine, ja, in meinen Augen ganz spannende Videoüberwachung, die da geplant ist im Rahmen von Olympia zweitausendvierundzwanzig. Dann mein Lieblingsthema TikTok hat's natürlich auch wieder die Woche geschafft.
    Dürfen auch nicht viel, ja.
    Darf auf gar keinen Fall fehlen und äh zu guter Letzt hätte ich noch zwei Sicherheitslücken, auf die ich gerne im Rahmen der Folge eingehen würde.
    Dann möchtest du starten.
    Einfach mal. Ja gerne
    Ich hätte es angekündigt äh paran hier äh steht da im Fokus zwar im Einsatz von der bayrischen Polizei, um das schon mal so ein bisschen zu spoilern. Das äh bayerische Staatsministerium des Inneren für Sport und Integration. Wir wollen einen ganzen Namen nennen, hat die geplante Einführung der
    verfahrensübergreifenden Recherchen und Analyseplattformen Vera durch das Fraunhofer Institut für sichere Informationstechnologie prüfen lassen.
    Einen Hintergrund.
    Ist dann halt eben insbesondere, dass diese Software vom US-Anbieter Palanti entwickelt wurde und ähm für soll als übergeordnetes Suchsystem über alle polizeilichen Datenbanken hinweg eingesetzt werden,
    äh somit unterm Strich eine effizientere Arbeitsweise ermöglichen, uns den Ermittlern etwas leichter machen,
    Der Einsatz von Volant hier im Zusammenhang mit Polizeibehörden. Ähm der Stadt Hamburg und und auch in Hessen hat in der Vergangenheit ja bereits für Aufmerksamkeit
    gesorgt, da auch das Bundesverfassungsgericht äh diesen in den gegebenen Konfigurationen als verfassungswidrig eingestuft hat. Ähm besondere Bedenken ähm gibt es bei Palantier
    ähm um das auch noch mal aufzugreifen aufgrund des befürchteten Informationsabflusses an den Hersteller und gegebenenfalls halt auch an ähm US Strafverfolgungsbehörden, insbesondere,
    da das Unternehmen auch so als Start-up noch im Start-up ähm Status ja auch Geld vom CIA erhalten.
    Habe in der Vergangenheit. In vorliegender Untersuchung konnte das Fraunhof-Institut keine sogenannte Vektor identifizieren, ähm durch welcher ein unzulässiger Informationsabschluss möglich sei.
    Das LKA beschreibt, dass ähm neben Quellcode-Untersuchungen und an unter anderem auch umfangreiche Pentrationstests durchgeführt wurden.
    Die Prüfungsergebnisse bestätigen das LKA in seiner Einschätzung, äh dass ein Betrieb der Software ohne Sicherheitsbedenk möglich sei.
    Schlechte Nachricht, der Bericht ist vor dem Hintergrund enthaltener sensibler Informationen zur IT-Infrastruktur der Polizei Bayern, äh sowie äh von Geschäftsgeheimnissen, von parlamentier äh als Verschlusssache eingestuft wurden und äh werde damit,
    nicht veröffentlicht. Schade, wäre ich jetzt mal neugierig gewesen.
    Absolut. Valentin ist natürlich genau das richtige Stichwort, um auch mal wieder Werbung in eigener Sache zu machen, nämlich für unsere wunderbaren Themen folgen, denn,
    Anfang des Jahres war es glaube ich oder Gregor,
    genau unser lieber Kollege Heiko mit äh Philipp von gesprochen und eine, ich finde eine ganz nette Themenfolge aufgenommen ähm hier mit Schwerpunkt Verzeichnis von Verarbeitungstätigkeiten, aber natürlich,
    Philipp Futter und Wolf auch so ein bisschen Einblick in das Unternehmen und genau, wer noch nicht reingehört hat, an dieser Stelle auf jeden Fall sei da noch mal der Hinweis gestattet.
    Ich bin dran, oder? Ich kann direkt Wäsche machen.
    Du kannst direkt weitermachen.
    Mit meiner ersten Nachricht,
    Und zwar ähm kommt diese aus Frankreich, wie ja schon äh zur Einführung gesagt und im französischen Parlament wurde nun ein Gesetzentwurf gebilligt, der einen breiten Einsatz von Kameras zu intelligenten Videoüberwachung in Echtzeit während der Olympischen Spiele
    2024 in Paris vorsieht
    Mit dem Ansatz will jetzt nun die Regierung es den Sicherheitsbehörden ermöglichen verdächtiges Verhalten unbeaufflistigste
    Gepäckstücke oder auch große Menschenansammlungen im alarmierenden Ausmaß zu erkennen.
    Wenig überraschend haben sich im Vorhinein circa siebenunddreißig, nicht circa, es sind siebenunddreißig.
    Wir haben nochmal nachgezähl.
    37 Zivilgesellschaftliche Organisationen zusammengetan, hier beispielsweise in den Reihen ähm ist European Digital Rights,
    Amnesty International und Watch und diese haben ihre massiven Bedenken im Rahmen eines Brandbriefes geäußert zu diesem Vorhaben. Sie sehen die Grundsätze, wie die Notwendigkeit und die Verhältnismäßigkeiten
    achtet und sehen inakzeptable Risiken für die Grundrechte sowie das Recht auf Privatsphäre, die Versammlungs- und Vereinigungsfreiheit und das Recht auf mich
    Diskriminierung. Zwar wurde von den Vorantreibern des Entwurfs behauptet, dass du dass die algorithmischen Kamerasysteme keine biometrischen Daten verarbeiten
    Jedoch sei dies höchst unwahrscheinlich.
    Beispielsweise nämlich um bestimmte verdächtige Ereignisse in öffentlichen Räumen zu erkennen, müssten sie zwangsläufig physiologische Merkmale und Verhaltensweisen von Personen wie Körperhaltunggang, Bewegung, Gesten erfassen und auswerten,
    Die Bürgerrechtler befürchten nun, dass eben im Rahmen dessen der Weg für eine biometrische Massenüberwachung geebnet wird, weil sie auch eben sehen, dass seltenst,
    diese außergewöhnlichen Maßnahmen tatsächlich wieder zurückgenommen werden. Kleiner Funfact am Rande, diese Überwachung ist auch geplant für,
    Bis zum vierundzwanzigsten Dezember zweitausendvierundzwanzig, also meines Wissens gehen die Olympischen Spiele nicht ein halbes Jahr.
    Eigentlich zwei Wochen, glaube ich.
    Das ist übrigens schon der verkürzte Zeitraum. Ursprünglich war die Überwachung selber für ein Jahr geplant, also man hat das schon auf ein halbes Jahr runter reduziert, aber nichtsdestotrotz. Von außen hin doch ein bisschen eigenartig.
    Vielleicht kommt der letzte beim Marathon ein bisschen später ans Ziel. Gucken.
    Guter Witz.
    Sehr trocken vorgetragen, Herr. Darüber hinaus wird hier natürlich auch ähm die Gefahr gesehen, dass die Überwachung als neue Normalität empfunden werden könnte. Jetzt muss er sagen, wenigstens ist durch diesen,
    sondern durch den Rechtsausschuss bereits abgestimmt worden, dass beispielsweise die Öffentlichkeit über die Standorte der Kameras besser informiert werden soll.
    Neben Cybersicherheitsagenturen auch die Datenschutzbehörde kühlen zum Einsatz kommen soll. Also sie soll hier für die weiteren Schritte des Vorhabens mit einbezogen werden und ich sage jetzt mal,
    Atlässt vielleicht hoffen.
    Die Hoffnung stirbt zuletzt, ne? Ja. Machen wir's einfach so. Ich glaube, wir haben nur Klassiker dabei. Äh WhatsApp darf äh in dieser Folge natürlich auch wieder nicht fehlen, aber
    Vielleicht mal mit einer guten Nachricht. Und zwar äh hat sich das US-Unternehmen ähm gegenüber dem Druck ja kann man auch schon sagen, gegenüber dem Druck der EU-Kommission.
    Sowie dem Netzwerk der Mitgliedsstaaten für die Zusammenarbeit im Verbraucherschutz äh verpflichtet mehr Transparenz in seine Nutzungsbedingungen zu bringen und auch in dessen in deren Anwendung. Ähm insbesondere sollen geplante Änderungen besser
    erläutert werden und Nutzer ähm soll auch die Möglichkeit gegeben werden, äh auf gleicher Ebene und im gleichen Aufwand, Einwilligungen oder Ablehnungen.
    Durchführen zu können und äh zudem soll dann auch erläutert werden, ähm ja wann eine Ablehnung überhaupt dazu führe, ähm dass der äh Dienst nicht mehr äh genutzt werden könne.
    Hat ja auch immer so ein bisschen für Kritik gesorgt, dass dass Nutzer ja so ein bisschen ja fast belästigt worden sind,
    endlich in die neuen Nutzungsbedingungen zu einzuwilligen. Äh jedes Mal wenn die App geöffnet wurde, kam das Pop-up, wenn man's dann noch nicht getan hat. Ähm WhatsApp bekräftigte jetzt in einer Mitteilung auch
    zudem auch noch an ähm einem weiteren äh Kritikpunkt beziehungsweise dazu Bezug genommen, dass keine personenbezogenen Daten und andere Metaunternehmen wie zum Beispiel Facebook
    zu Werbezwecken geteilt werden würden,
    insbesondere äh diese Intransparenz hat in der Vergangenheit, er hat ja auch zu erhöhter Kritik geführt und äh dem Unternehmen ja auch das Bußgeld in Höhe von 225 Millionen Euro durch die irische Datenschutzaufsichtsbehörde.
    Mit sich gebracht, nach sich gezogen. Die Reaktionen auf diese Mitteilung aus den europäischen Gremien Gremien fallen durchaus
    Spalten aus. Einerseits äh werden die auch getroffenen Zusagen natürlich begrüßt, andererseits wird bemängelt, dass die Lösung äh für die dass diese Lösung für die Zukunft bereits betroffene Personen äh in der Vergangenheit keine Abhilfe schaffe und das Unternehmen,
    ein bisschen milde, ohne angemessene Strafe davongekommen sei.
    Sie sehen jetzt nicht, liebe Zuhörerinnen und Zuhörerinnen, was Herr Wodberg tut. Er zog mir den Schultern.
    Was sagt man dazu? Also es ist glaube ich ein Thema, was uns noch weiter beschäftigen wird und wo es immer wieder neue Runden geben wird.
    Definitiv. Ja, TikTok, ne?
    Du, nächster Klassiker.
    Klassiker ist das Stichwort. Ich habe ja schon gesagt, ich habe aber wieder Nachrichten von TikTok mitgebracht und zwar ein Berichten
    nach zu urteilen von Heise ähm möchte TikTok zukünftig die Daten seiner europäischen Nutzer in Europa speichern. Das ist nun eine Reaktion des Konzerns auf die weitreichenden Sicherheitsbedenken
    uns alle wenig überraschen, jedenfalls diesen Podcast hören und die ähm Planung sieht nun vor, dass zwei weitere Rechenzentren in Betrieb genommen werden sollen, sodass die Speicherung nicht mehr wie bisher in Singapur und in USA erfolgt.
    Speicherorte sollen bis Ende 2024 ihr Land und Norwegen sein, also der Umzug soll bis dahin abgeschlossen sein der Daten.
    Des Weiteren ist der Einsatz eines unabhängigen Partners von TikTok geplant, der den Datenfluss und den Zugang zu Information überwachen soll. Dieser wird
    jedoch namentlich noch nicht genannt. Ob das
    nun wirklich alle Bedenken ähm auf allen Ebenen ausräumt in Bezug auf eine mögliche Datenspionage der chinesischen Behörden ist nicht anzunehmen. Ähm ganz im Gegenteil, die Daten der europäischen Nutzer werden nicht ausschließlich in Europa bleiben,
    dies bei einem global agierenden Dienst nicht möglich wäre, was ja eben TickTick auch schon in dieser Form bestätigt hat.
    Schafft man sich nämlich die äh TikTok-Lösung der amerikanischen Nutzerdaten an, wird zwar auch hier der Softwarekonzern Oracle zur Überwachung der Datenströme eingesetzt, jedoch hat
    ja auch hier im letzten Jahr bestätigt, dass dennoch die Mitarbeiter in China die Verarbeitung der US-Nutzerdaten möglich machen können,
    Also deswegen am Ende äh ist der Zugriff dann trotzdem nicht eingeschränkt.
    Darüber hinaus haben wir jetzt ja auch schon hier mehrfach über die Verbote der App äh in unterschiedlichen Instanzen gesprochen, wie beispielsweise bei der EU-Kommission. Dem verboten
    angeschlossen hat sich auch zwischenzeitlich oder haben sich zwischenzeitlich die Ministerien in Dänemark. Das ist also die nächste Nachricht hier ist hier wurde ebenso den Mitarbeitern
    Nutzung der App auf ihren Dienstgeräten untersagt aufgrund der massiven Sicherheitsbedenken.
    Updates gibt's auch aus den USA beziehungsweise ja was heißt Updates aber hier geht's auf jeden Fall weiter, denn auch hier ähm wird in den Parlamenten weiter an dem Vorhaben festgehalten ein Gesetzesentwurf auf den Weg zu bringen, der grundsätzlich ein härteres Vorgehen bis hin zu Verbo
    von riskant eingestuften Apps vorsehen soll. TikTok wird ja auch dazugehören. Auch da ähm amerikanische Regierung hat ja auch schon die Nutzung der App,
    Bei ihren Mitarbeitern untersagt, aber das soll dann halt wirklich ähm ja flächendeckend auf nationaler Ebene auch zukünftig möglich sein.
    Ja, wenn du schon von möglichen Verboten äh sprichst, dann denke ich, ist einfach meiner Meinung nach auch eine Sache, die verboten werden sollte und irgendwie mögliche
    möglichst unterbunden werden sollte. Das sind Rensonware Angriffe und ähm da haben wir ja schon häufiger drüber berichtet und das nimmt,
    meines Erachtens auch immer skrupellosere Züge an,
    von zwei Beispielen berichten von Attacken. Insbesondere ist dieses und ich finde zum Teil auch so ein bisschen geschmacklos natürlich. Wenn die Gesundheit betroffener Person beeinträchtigt wird,
    Also vorliegend, wenn dieser Attacken in Krankenhäusern gelten. Das ist jetzt zweimal der Fall gewesen. In Kanada hat die Cyber Gang V,
    eine mit der gegen das Network in Pennsylvania durchgeführt.
    Das ist nicht das schlimm genug ist, ähm habe ich ja gerade schon gesagt, aber als Druckmittel, um die in der Höhe unbekannten Forderungen Nachdruck zu verleihen, wurden bereits erste Daten unter anderem
    Bilder von Brustkrebspatientinnen veröffentlicht. Ähm da kann man sich jetzt auch nochmal dazu ausmalen, was das vielleicht auch in den betroffenen Personen dann noch auslösen, welche Schäden das auch wirklich nach sich ziehen,
    kann,
    so stehen lassen und äh das Moral dann auch vielleicht nicht unbedingt das höchste Gut ist, zeigt noch der Angriff äh der Gruppe Ramsem House, äh auf eines der größten
    Krankenhäuser Barcelonas in Folge mussten da 150 nicht dringende Operationen sowie 3.000 geplante Untersuchungen,
    abgesagt werden. Da halt auch da die IT des Krankenhauses nicht mehr einsatzfähig gewesen ist.
    Die Presseabteilung des Krankenhauses hat dann mitgeteilt, dass alles schriftliche, alle schriftlichen Aufgaben nur mehr auf Papier erledigt werden gleich nochmal,
    back to the roots, ein bisschen oldschool und ähm das äh dringende Fälle dann an andere Krankenhäuser in der Stadt weitergeleitet werden. Da kann man halt dann froh sein, dass es eine Großstadt ist und da ist, dass es da genügend Alternativen gibt.
    Man hofft, äh dass dann in den nächsten Tagen ähm eine Lösung dabei ist, dass der Notfallplan, so der Krankenhausdirektor, sei für mehrere Tage sichergestellt, also da ist dann schon aber auch Eile geboten.
    Ja das ist echt unfassbar, wie skrupellos da mittlerweile die Cyber Gangs vorgehen. Wir haben uns ja schon in der Vorbereitung einig. Das ist ähm,
    man sich nicht ausmalen, welche Wege da gegangen werden. Damit das jetzt gar nicht passiert, muss man natürlich immer ein bisschen auch ein Auge auf die Sicherheitslücken haben.
    Ich habe jetzt ein äh Update mitgebracht zu einer Sicherheitslücke, die Microsoft World betrifft, denn hier hat's ja in Vergangenheit eine eben
    solche Sicherheitslücke geben, die sich auf Dokumente im Rich Text Format,
    Hier ist es ähm Angreifern halt eben möglich über eben diese Dokumente auf Daten zuzugreifen.
    Diese ähm Lücke wurde bereits im Februar zwar durch Microsoft geschlossen. Nur damals hat Microsoft sich nicht zu den Gründen geäußert oder ähm wie es dazu gekommen ist. Und ich habe jetzt dieses Update nochmal mitgebracht, da,
    Der Entdecker der Schwachstelle nun eine Sicherheitsmeldung veröffentlicht hat, der eben so diesen Beispielcode enthält,
    der das ausnutzende Lücke demonstriert. Das ist natürlich als sehr kritisch äh einzustufen, denn ähm dieser verfügbare Proof of Concept Code ähm steigert nun natürlich die Wahrscheinlichkeit, dass Cyberkriminelle den Angriff in ihren
    Kasten aufnehmen werden. Also es sind Angriffswellen mit manipulierten Dateianhängen denkbar und die Sicherheitslücke kann natürlich auch
    durchaus vom Angreifern genutzt werden für sogenanntes Beer-Fishing-Attacken, um eben ja gezielt Mitarbeiter von Unternehmen zu kontaktieren und zu versuchen.
    Auf den Rechnern einzubrechen und sensible Informationen zu erhalten.
    Also hier die IT-Verantwortlichen sollten die Office Installation in ihrem zuständigkeitsbereich also nochmal zügig auf den aktuellen Stand bringen, falls das noch nicht passiert ist, weil wie gesagt jetzt einfach davon aus zu
    ist, dass durch diese genau Schwachstellenbeschreibung eben auch viele weitere Tätigkeiten anzunehmen sind.
    Als Nächstes habe ich mich noch für eine Sicherheitslücke entschieden und zwar für Android-Geräte, einfach da diese, ja, weit verbreitet sind. Auch hier sollte man schauen, dass das Patch-Level auf dem aktuellen Stand ist und zwar von März diesen Jahres.
    Angreifer können hier eben verwundbare Smartphones und Tablets attackieren und Google gibt halt eben jetzt an, dass,
    den Updates nun in die Android Version elf, zwölf, zwölf L und 13 betreffen und hier eben diese Sicherheitsprobleme gelöst werden sollten zukünftig.
    Punkt,
    Mehr habe ich dazu gar nicht zu sagen, weil ich gucke ja gar keine Details zu diesen Schrosstellen herausgibt, aber nichtsdestotrotz ähm finde ich immer, ist es doch wertvoll, darauf hinzuweisen.
    Ja, definitiv. Ähm immer gut seine Systeme da auf dem neuesten Stand zu halten und mögliche Sicherheits äh Lücken zu schließen und dementsprechend sensibilisiert zu sein und,
    Da sind sie eine Sensibilisierung doch äh auch notwendig ist und Kompetenzen zu schärfen. Das hat sich auch der Berliner Beauftragte für Datenschutz und Informationsfreiheit gedacht.
    Der lädt nämlich gemeinsam ähm mit dem Jugendnetz Berlin ähm zum Fachtag ein mit dem Titel Datenschutz trifft Medienkompetenz.
    Diskutiert wird darüber wie auch in der Arbeit mit Kinder und Jugendliche eine gute und zeitgemäße Medienarbeit unter Beachtung des Datenschutzes gelingen kann.
    Also Datenschutz ist Zukunftssache. Das habe ich jetzt selber mal so zusammengefasst. Die Veranstaltung findet am 30. März statt. Anmeldung ist bei direkt beim Berliner Beauftragten,
    Datenschutz und Informationsfreiheit möglich.
    Finde ich schön. Ich mag immer, wenn äh Zielgruppe, insbesondere Kinder sind um der Früh früh zu intervenieren.
    Ja neben dem bekannten Pixie-Büchern sind solche Veranstaltungen auch wirklich eine schöne Sache.
    Auf jeden Fall. Sehr schön. Ich glaube, wir sind am Ende angelangt, oder?
    Wieder eine gemischte Tüte war's. Uns bleibt nicht viel mehr als mal wieder fürs Zuhören, uns zu bedanken, lieber Gregor, dir. Vielen Dank für deine Unterstützung heute.
    Dank Laura.
    Liebe Zuhörerinnen und Zuhörer, wir wünschen ihnen jetzt einen guten Start in das Wochenende oder,
    Erfolgsgemüse auch. Einen guten Start in die neue Woche, falls ihr uns am Montag hören. Wir freuen uns natürlich, wenn sie uns auf den gängigen Social Media Kanälen besuchen oder uns ein Feedback hinterlassen oder eine Bewertung und ich sage bis zum nächsten Mal.