MobileIron, WinRAR und Duolingo – Datenschutz News KW 34/2023

Transkript zur Folge:

Entschuldigung, ich muss was trinken. Hallo.
So, ich erwarte dich das nächste Mal hier vorbereitet.
Sorry.
Herzlich willkommen zum Datenschutz-Talk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit.
Heute ist Freitag, der 25. August 20023 und wir starten wieder gemeinsam mit Ihnen ins Wochenende. Wir sind einmal Heiko Gossen und.
Laura Droschinski.
Hallo Laura.
Entschuldigung, ich muss was trinken. Hallo.
So, ich erwarte dich das nächste Mal hier vorbereitet.
Sorry.
Wir hatten unseren Reaktionsschluss heute um äh neun Uhr, nein zehn Uhr, Entschuldigung. Ah Winterzeit, Sommerzeit waren wir gerade erst mal auseinanderhalten
Meine Güte. Ja und wir haben natürlich wieder etliche Themen für Sie dabei, mit denen Sie mit uns gemeinsam wieder einmal die Woche reflektieren dürfen. Wir freuen uns natürlich immer, wenn Sie auch dazu Feedback
haben, äh zögern sie nicht, uns da auch über die bekannten Plattformen Feedback zu geben oder schreiben sie uns einfach eine E-Mail an Datenschutz
Punkt DE. Da freuen wir uns natürlich auch immer
Vor allen Dingen Hinweise, Ergänzungen, Feedback können Sie auch gerne auf der in den verlinkten Folgenseite kommentieren, also auch das immer möglich.
Und damit würde ich sagen, gehen wir mal in unseren Themenüberblick, Laura, was hast denn dabei.
Ich habe einmal dabei einmal das Thema Einreiseprüfung durch künstliche Intelligenz. Ähm da scheint's wohl bald eine Neuerung zu geben.
In den USA. Eine Sicherheitslücke bei Mobile Iron hat's auf meinen Zettel geschafft, genauso wie Folgen einer Sicherheitslücke bei dem,
Sprachlernanbieter Duolingo und zu guter Letzt habe ich noch eine Information über ein neues FAQ
im Bereich beschäftigten Daten. Wie sieht's bei dir aus?
Ich würde das Thema KI auch einmal aufgreifen und zwar im Bereich von Unternehmensinternen, Chatbots, ähnlich halt den Funktionen von.
Dann habe ich auch eine Sicherheitslücke beim äh Paketierdienst Winra,
Und wir gucken einmal auf das Thema Drittstaaten Transfer nach Russland, was sicherlich auch nochmal das ein oder andere Unternehmen betreffen dürfte.
Und last but not least hätte ich noch einen Hinweis auf ein neues Video im Bereich der Datenfüchse,
Total. Dann schieß mal los. KI-gestützte Einreiseprüfung klingt interessant.
Klingt absolut interessant und Heise hat hier heute früh nämlich berichtet, dass es mögliche Anpassungen geben könnte bei der Einreisegenehmigung in die USA.
Sie berufen sich auf Informationsberichte zu einer nationalen Konsultation im Rahmen des
US-Information Freiheitsgesetz, also da kann ja hier auch Informationen bei Unternehmen oder insbesondere bei Behörden ähm angefragt werden zu Datenverarbeitung,
hier scheint laut den Dokumenten es wohl Planung zu geben, dass Behörden auch,
zukünftig ihre Fragen nach Profilen in Social Media konkretisieren könnten. Bisher war das eine freiwillige Angabe bei,
Anreiseanträgen, aber bereits bei Antragsstellungen eines Visums in die USA ist das bereits verpflichtend. Also diese Pflicht das Visums
oder bei den Anträgen dazu hat bereits äh Donald Trump in seiner Präsidentschaft eingeführt,
dieses Vorgehen ist natürlich absolut umstritten, nicht nur bei Datenschützern, denn wer möchte schon gerne, dass alle seine Postings und Kontakte durch gescreent werden,
Das US Heimatschutzministerium hat dafür bereits
oder seit einigen Jahren bereits eine private Firma beauftragt, Fivecast, die halt eben so eine künstliche Intelligenz bereits einsetzt.
Konkret muss muss bereits seit fünf Jahren durch Visumsantragsteller alle,
Usernamen bekannt gegeben werden und das war jetzt falsch, was ich gesagt habe, bin ich seit 5 Jahren, sondern die Usernamen der letzten fünf Jahre. So
Daran muss man sich auch erstmal, glaube ich, äh zurückerinnern können,
Der Dienstleister bestätigte in den Dokumenten, dass hierfür keine Daten gehackt werden, sondern diese nur aus öffentlich verfügbaren Quellen stammen, aber das ist
nur Facebook, Instagram reddet et cetera, sondern auch ähm Daten im Darknet werden eingesammelt
und auch das Heimatschutzministerium hat Möglichkeiten eigene Datenbestände, die bereits in Vergangenheit zusammengerafft wurden, zeige ich jetzt mal hochzuladen.
Die KI sucht ganz nach ganz bestimmten Stimmungslagen, wie beispielsweise Angst, Ekelfreude, Traurigkeit und
schlägt halt eben bei entsprechenden Gefühlen Alarm. Ebenso wird nach Risikobegriffen und Sätzen gesucht in mehreren Sprachen und auch äh erfolgt natürlich eine
Erkennung über Bilder und Videos. Die Kurve soll dann Ausschläge der von einer Person online geäußerten.
Dinge, also sei es jetzt mal Angst, über einen längeren Zeitraum anzeigen und ausgewertet werden. Ebenso werden Karten mit verbundenen Personen angelegt, also auch da ähm schaut man nicht nur auf die Person selbst, sondern mit wem man so in Kontakt steht.
Und äh ja, das alles in allem bietet natürlich ein sehr sensiblen Datensatz, sage ich jetzt mal so, zu jedem der einreist oder beziehungsweise gerade aktuell ein Visum beantragt.
Die Behörden begründen das natürlich mit der Gefahrenabwehr und äh dienlich der öffentlichen Sicherheit, der nationalen Sicherheit und natürlich auch dem Handel oder dem Reiseverkehr.
Aber ich sage jetzt mal so, nicht nur das kritische Gefühl bei der informationellen Selbstbestimmung ist hier natürlich betroffen.
Sondern auch beim Thema KI haben wir ja immer mehr das Thema Missverständnisse oder natürlich auch Verwechslungsgefahr, die einem dann im Falle des Falles ja auch immense Nachteile
einbringen oder Heiko, wie siehst du das?
Ich muss grad dran denken, dass ich schon ja, ich glaube, das war Mitte der Zweitausender, irgendwie so,
sieben acht um den Dreh. Äh gab's ja schon bekannte Fälle, dass halt Menschen nicht in die USA einreisen durften, weil sie sich in bestimmten Dingen kritisch geäußert hatten gegenüber den USA und das hier ist natürlich einfach nochmal die nächste Stufe und vor allen Dingen,
Das, was halt den Daten zur Verfügung steht, wird die halt immer breiter und mehr. Also von daher, ich glaube, da sollte man sich halt doch immer wieder bewusst werden.
Ähm wenn man in die USA einreisen möchte, was halt alles den Behörden dort zur Verfügung steht.
Vor allem jetzt gerade, wenn's halt eine freiwillige Angabe ist, dieser Usernamen, die jetzt ja schon anzugeben, ich glaube dem ein oder anderen ist wahrscheinlich gar nicht bekannt, wie weit das dann reicht. Also inwieweit man dann in die tiefsten Abgründe des Privatlebens auch abtauchen kann als Behörde.
Ja, aber Stichwort künstliche Intelligenz möchte ich natürlich aufgreifen. Es geht darum, dass wir ja alle jetzt in den letzten Monaten sehr,
Bekommen haben wie durch die Decke gegangen ist, ist natürlich sehr viel genutzt wird in Unternehmen und die Herausforderungen liegen in der Praxis natürlich auch darin
Dann, dass Datenschutz und auch Informationssicherheitskonform nutzen zu können
Deswegen führen einige Unternehmen jetzt eigene Chatbots äh ein, um diese auch Datenschutz konform nutzen zu können.
Wie das Handelsblatt berichtet, hat jetzt der Drogeriemarkt DM in eines Monats einen KI-Chatbot entwickelt, der auf der Technik von Open Air fußt.
Und dort letztendlich halt äh Open Air ja als Unternehmen hinter GPT ähnliche Funktionen und Möglichkeiten wohl zur Verfügung stellt für Mitarbeiter zur internen Nutzung.
Die Motivation ist laut äh dem Sprecher von DM, die letztendlich
ja es besser zu machen als äh die schlechten Beispiele, die man so mitbekommen hat. Samsung zum Beispiel war ja ein Fall, wo halt äh unternehmensinterna plötzlich halt durch äh die Nutzung der KI veröffentlicht wurden.
Und man möchte aber diesen Konflikt halt auflösen, dass man es halt nicht verbieten möchte
aber auf der anderen Seite halt trotzdem natürlich auch Datenschutz und auch die Informationssicherheit wahren möchte. Und deswegen hat man dann entsprechend sich dafür eingesetzt hier
intern eine Lösung für aufzusetzen, die man aber auf dieser Technik halt basiert.
Das Handelsblatt berichtet auch, dass andere Unternehmen hier auch schon vorangegangen sind. Bosch zum Beispiel, die verwenden die Technologie von Alpha und aber auch Siemens zum Beispiel hat einen eigenen,
bot eingeführt basierend auf der AI-Lösung äh von Open Air und auch Merk
einen äh Pharmakonzern hat hier wohl auch genau die gleichen Ideen gehabt, dass man halt die Möglichkeit schaffen möchte,
solche Tools zu nutzen und gleichzeitig aber halt dann natürlich Datenschutz und Informationssicherheit gewährleisten möchte. Aus meiner Sicht finde ich das natürlich super,
Ist natürlich ein guter Weg, aber und da möchte ich natürlich auch nochmal dran erinnern, wenn jemand so was einführt, das ist natürlich trotzdem auch grade mit Blick auf personenbezogene Daten natürlich immer noch etwas, was auch
Meines Erachtens regeln Bedarf, also auch da sollte man nicht einfach das dann offen laufen lassen, sondern gerade insbesondere halt, was die Zulässigkeit der Verarbeitung von personenbezogenen Daten angeht, muss man auch hier natürlich schauen, inwieweit
Gerichtmäßigkeit gegeben ist. Insbesondere wenn man dann so eine KI zum Anlernen auf den gesamten internen Datenbestand laufen lässt, was sicherlich
glaube ich viel Potenzial bietet
Für die Erleichterung im Arbeitsalltag, aber halt genauso natürlich viele Risiken und wie gerade das datenschutzrechtliche Zulässigkeitsthema ist ja kein einfaches bei dem Thema.
Richtig,
Also ich finde das sehr toll, wenn Unternehmen da auch eben diese Ressourcen bereitstellen, also wir wissen ja, wie schwierig es auch ist im äh auch im Datenschutzkontext, ähm dass hier auch die Bereitschaft ist, sich eben damit auch zu beschäftigen und ähm wie gesagt, grundsätzlich finde ich das auch gut, wenn's denn in den richtigen Händen liegt.
Absolut, aber ich denke, sie sehen halt vor allen Dingen viel Potenzial drin. Es wird ja jetzt nicht nur das Spielen sein, was man damit ermöglichen möchte, sondern wahrscheinlich ja auch tendenziell Effizienz, die man mit nutzen kann.
Richtig. Ich würde gerne jetzt überleiten zu unserer kleinen,
Schwachstellenecke, sage ich jetzt mal. Wir haben heute ja drei Themen mitgebracht, die sich so auf das Thema Sicherheitslücken fokussieren und die erste, die ich mitgebracht habe, ist eine Schwachstelle bei Mobile Device
Oder bei der Mobile Device Manage und Software
Mobile Iron und betroffen war jetzt hier die Berner Kantons Polizei in der Schweiz. Die haben das veröffentlicht im Laufe der Woche, die waren sogar im Schweizer Fernsehen damit und es ist hier zum Adatenabfluss
persönlicher Daten von Mitarbeitern
Bekommen ganz konkret geht es um 800 Beamte, die eben auf ihrem Smartphone diese Management-Software installiert hatten.
Abgeflossen sind, ich sage mal in Anführungsstrichen nur Name und Telefonnummer, aber natürlich ähm in der Berufsgruppe auch nicht weniger kritisch. Verantwortlich,
der Verantwortliche, also die Polizei selbst wurde bereits äh Ende Juli vom nationalen Zentrum für Cyber-Sicherheit auf die Lücke gestoßen und wie gesagt, in dem Zusammenhang wurde eben der Datenabfluss,
oder konnte der Datenabfluss nachvollziehbar gemacht werden?
Bisher gibt's keine Hinweise auf Nutzung oder Veröffentlichung der Daten ähm beispielsweise auch Veröffentlichung der Daten im Dart
aber trotzdem wird natürlich auf das Risiko des Identitätsdiebstahls hingewiesen. Die Mitarbeiter wurden hier informiert und auch sensibilisiert ähm durch
Den Arbeitgeber und ja, vielleicht auch mit Blick auf Deutschland. Hier gab's ja äh vom BSI auch bereits Ende Juli eine Warnung,
wer halt dieses System benutzt, ähm dass man hier auf jeden Fall schauen sollte, die aktuellen Versionen äh auch zu nutzen, damit die Sicherheitslücken
ausgeräumt werden können,
das war mir auch nicht mehr so präsent, dass auch die Sicherheitsbehörden beispielsweise Norwegen mitgeteilt haben, dass die Schwachstelle zu einigen Angriffen auf ihre Ministerien geführt hat. Also da ist das auch weit verbreitet.
Und ähm ja, kann man nur die Daumen drücken, dass es nicht nach schwerwiegendere Folgen hat im Nachgang.
Ja, ich glaube, es ist ein relativ weit verbreitetes Tool zur Absicherung von Mobilgeräten. Von daher sicherlich ein ein guter Hinweis, da auch noch mal zu schauen.
Und ein auch weit verbreitetes Tool wäre mein nächste Meldung, nämlich dass,
was ja gerne zum äh Verpacken, also zum zum Komprimieren
Zum Sippen, wie man auch so schön sagt, genutzt wird und das ist jetzt halt
äh letztem Wochenende klar, dass es da auch eine Sicherheitslücke, die schon länger besteht
Gibt, die ist wohl schon seit Ende April ausnutzbar und wurde wohl auch teilweise ausgenutzt und betrifft halt nicht nur dieses Tool selber, sondern diese äh Librarys, die da halt angreifbar
waren, äh wurden halt teilweise auch in anderen Programmen verwendet, so zu zum Beispiel das beliebte
Programm Toto Commander, was unter administroren auch gerne eingesetzt wird. Die haben wohl aber selber auch ein Upda,
Durchgeführt, aber die Bibliotheken werden wohl in über 400 Programmen noch eingesetzt, also das heißt, es kann durchaus sein, dass hier noch weitere Tools, die halt ähm Möglichkeiten bieten, Dateien zu End- und.
Letztendlich davon betroffen sein können. Bei Windra selber steht seit Anfang August die Version sechs
Punkt zwei drei zur Verfügung. Die sollte natürlich entsprechend eingespielt werden und ansonsten gilt wie immer halt natürlich äh ohnehin bei allen Anwendungen zu schauen, dass man immer die aktuellen Versionen hat. Vor allen Dingen aber glaube ich,
man sollte halt sich immer wieder Gedanken machen, wie man das Schwachstellenmanagement im Unternehmen aufsetzt, wenn das noch nicht da ist. Also Schwachstellenmanagement und Patchmanagement,
Ist nicht Synonym, sind zwei unterschiedliche Dinge, ganz wichtig. Beides sollte natürlich im im Unternehmen da sein und wer das vielleicht noch nicht bisher getan hat, vielleicht noch mal als kleiner Denkanstoß sich damit aktiv zu beschäftigen.
Definitiv aktiv damit beschäftigen sollte sich auch Duolingo, denn die haben ganz offensichtlich kein funktionierendes Patch-Management, weil hier herrscht eine Sicherheitslücke vorbereitet seit Januar oder seit Januar ist diese bekannt und laut
Sicherheitsforschern aus aktuellen Medienberichten zufolge ist das Leg auch dort nicht behoben.
Es geht wie gesagt um eine Sicherheitslücke, die jetzt nun dazu geführt hat, dass Hacker, Daten von rund 2,6 Millionen Dolingo-Nutzern veröffentlicht hat. Wer du Lingu nicht kennt, das ist ein Onlinedienst zum Erlernen von Sprachen,
Und ähm schon sehr weit verbreitet in weltweit haben die Anbieter oder geben an, dass der Onlinedienst Nutzer eine Nutzeranzahl von mittlerweile 72,6 Millionen hat
Das finde ich schon ordentlich,
aktive Nutzer bereits Ende März angegeben hatten und wie gesagt, Daten sind jetzt veröffentlicht worden, beispielsweise aus den Kategorien ähm,
Namen, aber auch E-Mail-Adressen und weitere interne Daten beispielsweise ähm wie die Lernanwendung genutzt wurde, welche Sprachen gelernt wurden und welche Kurse in dem Zusammenhang eben angesteuert wurden durch die Nutzer.
Dass im Hacker-Forum oder im Hacker-Foren wurden bereits die Doolingo-Daten in Vergangenheit auch angeboten zu einem.
Günstigen Preis von 1500 US-Dollarn
Fand ich jetzt eigentlich für den Umfang recht wenig, aber nichtsdestotrotz sollte man sich nicht drüber lustig machen, hier jetzt natürlich für diese 2,6 Millionen Nutzer die Gefahr der gezielten Phishing-Angriffe auf Basis dieser Daten,
Also ich ich wie gesagt, ich find's schon spannend, dass du Lingu dieses Leguel noch nicht geschlossen hat,
Vielleicht bei den Anwenderanzahlen denken die das ist nur so ein geringer Prozentsatz aber ich weiß nicht ob das die richtige Begründung dafür ist.
Ja schon krass, also das immer noch nicht zu beheben. Gut, werden wir mal schauen, ob's vielleicht dann irgendwann auch noch ein Bußgeld dafür gibt.
Die finnische Aufsichtsbehörde,
bietet einem Unternehmen die Übermittlung personenbezogener Daten nach Russland, damit mich gerne weitermachen. Die finnische Datenschutzbehörde hat Jandex LLC und Tech International BV angewiesen, die Übermittlung von personenbezogener Daten
äh an den Jango Taxidienst auszusetzen, die,
Einstweilige Anordnung, die Sie hier zu erlassen haben, tritt jetzt am 1. September in Kraft und gilt grundsätzlich bis zum 30. November,
Das sind die drei Monate, die der Aufsichtsbehörde hier für so etwas zur Verfügung stehen und nach Angaben der finnischen Datenschutzbehörde ist diese Anordnung halt aufgrund einer Gesetzesreform in Russland erforderlich.
Kurz zu Jango, das ist ein Taxidienst, der in über 20 Ländern aktiv ist, darunter auch Finnland und Norwegen und die bieten eine Mobile App an, über die man halt verfügbare Fahrliefer und auch ähm,
Großmarktdienste wohl nutzen kann und abrufen kann und,
Die sind halt Teil, wie gesagt, eines äh russischen Konzerns, die mit dann der niederländischen Niederlassung, vor allen Dingen halt für den europäischen Markt,
Die ähm Daten oder die Dienste bereitstellt, die Daten werden aber unter anderem halt auch in Datenzentren in Russland verarbeitet und die finde ich Datenschutzaufsichtsbehörde hat nun von einer Gesetzesreform in Russland erfahren, die jetzt Anfang September in Kraft treten soll.
Und die halt dem föderalen Sicherheitsdienst der russischen Föderation das Recht geben wird, die im Taxibetrieb verarbeiteten Daten auch zu erhalten.
Daher sind sie der Ansicht, dass halt Django nach der Gesetzesreform es nicht mehr möglich sein wird, personenbezogene Daten so zu schützen, wie es das EU-Recht verlangt.
Und daher entsprechend dann diese Anordnung auch erlassen hat,
Bin ich ehrlich gesagt nicht der Experte für diese Gesetzesänderung in Russland und weiß nicht, inwieweit auch
grundsätzlich halt diese Ermächtigungen für die Sicherheitsdienste in Russland natürlich erweitert werden. Aber es ist natürlich schon relativ ähnlich ja auch mit den Themen, die wir in den USA einmal disku
bezüglich Zugriffe von Sicherheitsbehörden auf Daten und letztendlich die ganze Geschichte kennen wir alle, Shrimps, eins
zwei und so weiter. Muss ich hier nicht alles wiederholen. Deswegen dringende Empfehlung für alle Unternehmen, die halt Daten in äh nach Russland übermitteln und dazu die SSCs verwenden.
Basierend natürlich dann auf den hoffentlich dazu äh zugehörigen Transfer Impact Assessments. Das glaube ich wäre jetzt der Zeitpunkt
Das nochmal zu überprüfen und zu schauen, ob die,
ob die Rahmenbedingungen, die Saveguards sozusagen die Maßnahmen, die man dort ergänzend getroffen hat, immer noch ausreichend sind.
Das kann ich nur jedem Unternehmen ans Herz legen, was Übermittlungen hat.
Besser ist, auch wenn wir nicht in Finnland sind. Ich habe als nächstes mitgebracht ein ja Orientierungs
aus Baden-Württemberg dort vom Landesbeauftragten für Datenschutz und die Informationsfreiheit und zwar ähm hat sich hier das Team damit beschäftigt, dass,
die Entscheidung oder beziehungsweise die Beantwortung der Vorlagen, Fragen des EuGHs aus Ende März zum Beschäftigten Datenschutz aufzuräumen,
Und ich finde, das ist ein ganz gelungenes Papier. Das beschäftigt sich halt eben mit den Fragen, welche Auswirkungen es durchaus für die Praxis bei,
öffentlichen Stellen, aber natürlich auch bei Unternehmen haben kann und wie hier eben die Rechtsanwendung zukünftig erfolgen könnte,
Wie ja bereits bekannt gibt's ja auch
parallel dazu eine Gesetzesinitiative zur Erstellung eines Beschäftigten Datenschutzgesetzes, äh wo ja die Datenschutz, die nationalen Datenschutzaufsichtsbehörden engen
zusammenarbeiten, wo ja auch können wir ja davon ausgehen, auch die EuGH Rechtsprechung Berücksichtigung finden soll,
Aber nichtsdestotrotz finde ich, ist es jetzt ganz schön, dass hier es hier nochmal so ein Papier gibt, wo man reinschauen kann, um sich so ein bisschen eigene Orientierung zu holen.
Dem ist so, ich glaube auch, ne, da sollte jeder nochmal reinschauen, der vielleicht jetzt verunsichert ist, inwieweit halt bestimmte Verarbeitungen, insbesondere wenn man halt auch öffentliche äh Stelle ist und entsprechend auch Landesdatenschutzrecht
natürlich einzuhalten hat, hier noch mal nachgucken kann, inwieweit jetzt bestimmte Dinge sich vielleicht ändern könnten, aber wichtiger Hinweis halt es ist halt ja erstmal noch kein,
Abschließendes Urteil von dem Verwaltungsgericht getroffen worden.
Richtig. Aber wir packen mal das Dokument natürlich in die Shownotes, genauso wie nochmal die die Aussagen des Europäischen Gerichtshofs.
Hervorragend. Ja dann möchte ich zum Schluss nochmal auf das Thema kindergerecht,
Datenschutz erklären äh aufmerksam machen. Wir haben hier schon öfters drüber berichtet, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kurz der BFDI,
aktuellen Personen von Herrn Kälber hier ja regelmäßig Videos veröffentlicht im Rahmen auch der Reihe
Und da gibt's jetzt ein neues Video, was das Thema Transparenz kinderleicht erklären soll und hier sind die Datenfüchse ähm ja auf der Recherche, wie sie ihr Seepferdchen machen können. Von daher verlinken wir die Seite natürlich nochmal auch in den Shownotes.
Und äh ja da kann jeder sich dieses Video, aber warum denn einmal ansehen.
Sehr cool. Ich mag's sehr.
Ich auch,
Ich mag auch sehr, dass wir jetzt bald Wochenende haben und wir uns alle ein wenig erholen können, damit wir wieder frisch starten können nächste Woche in eine neue Woche. Die Datenschutzwelt wieder zu verbessern.
Wir danken Ihnen ganz herzlich für Ihre Aufmerksamkeit, die natürlich auch ganz lieben Dank, Laura, für wieder eine angenehme, gemeinsame Moderation.
Danke eben. So hat's Spaß gemacht.
Und wir wünschen Ihnen alles Gute, bleiben Sie uns gewogen und auf bald.