Gregor Wortberg
Natalia Wozniak
Was ist in der KW 31 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
- Sicherheitslücke in Whatsapp für Windows
- Weiterhin Anstieg von Phishing
- Meta einigt sich mit Texas auf 1,4 Milliarden Dollar
- Apps für Olympia in der Kritik
- Problem behoben: DDoS-Angriff löste Cloud-Störung bei Microsoft aus
Empfehlungen & Lesetipps:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/phishing-ueber-kompromittierte-ms-office-365-accounts-datenschutz-news-kw-31-2024/
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge: Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz, Wir begrüßen euch wieder recht herzlich zu den wöchentlichen Datenschutzam Mirosenz, mit denen wir in gewohnter Art und Weise mit euch gemeinsam ins Wochenende starten. Heute ist Freitag, der 2. August, Redaktionsschluss, wie immer um 1 Uhr und mein Name ist Gregor Wortberg und bei mir ist. Hallo. Hallo Natalia. Ja dann freue ich mich, dass wir heute gemeinsam diese Folge begehen werden, eine neue Ausgabe, welche Themen hast du denn in dieser Woche mitgebracht? Ich habe drei Themen mitgebracht. Ich habe zum einen die Sicherheitslücke in WhatsApp für Windows. Dann habe ich eine Zahlung von Meter in Höhe von 1,4 Milliarden Dollar, Und ich habe den in dieser Woche stattgefundenen Angriff auf Microsoft Azure Dienste. Wie es der Folgentitel bereits verrät, habe ich eine Nachricht zum Fishing mitgebracht, welches äh vermehrt über kompromittierte Microsoft äh Office 365 Counts erfolgt ist Die Apps für Olympia stehen in der Kritik für umfangreiche Datenverarbeitung und dann habe ich noch eine Veröffentlichung mitgebracht, auf die wir hinweisen möchten, Dann legen wir mal los. Dann legen wir los. Alles klar. Mein erstes Thema, die Sicherheitslücke in WhatsApp für Windows. Eine Sicherheitslücke in der aktuellen Version von WhatsApp für Windows erlaubt aktuell noch, zumindest Stand heute, dass Versenden von Python und PHP-Anhängen. Wenn Sie jetzt grad genauso gucken wie ich, ähm ich hab’s vorher auch noch nie gehört. Wenn der Empfänger diese öffnet, starten die Skripte ohne jede Warnmeldung oder, ohne weitere Hinweise automatisch, Damit diese Attacke allerdings gelingt, muss Python auf dem Zielgerät des Empfängers installiert sein, Und jetzt kommen die Lösungen, warum wir das noch nie gehört haben. In erster Linie sind Softwareentwickler und Power-User anfällig für diese Sicherheitslücke, weil das wohl ein entsprechendes Programm für diese Beschäftigtengruppe ist. Risiko besteht daher insbesondere dann nach Ansicht des IT-Sicherheitsexperten in dieser Sicherheitslücke entdeckt hatte, Wenn Anhänge in öffentlichen und privaten WhatsApp Chatgruppen gepostet werden, so dass ähm mehrere Empfänger mit den anfälligen, Systemvoraussetzung, also mit dem mit mit installierten Python erreicht wurden und das Risiko einer möglichen Schadeübertragung entsprechend hoch ist. Meine Gedanken dazu sind, es ist glaube ich mittelbar vorstellbar, dass die so übertragenen Chart-Codes Dann die Systeme der Empfänger beeinträchtigen können und potentiell insbesondere wenn er sich bei den Empfängern auch um Admin handeln könnte auch auf weitere Systeme übergreifen und diese auch mit befallen könnten. Von daher, hier ist äh ja, eine gewisse Vorsicht geboten. Wie heiß in dieser Woche berichtet, ist es Cyberkriminellen gelungen, mehr als 14 Millionen Spam-E-Mails durch Ausnutzer einer Sicherheitslücke bei Proofpoint, einem Anbieter für IT-Sicherheitslösungen zu versenden. Das stellt aber nur den Re die 14 Millionen am Tag, denn seit Januar sind im Schnitt wohl mehr als drei Millionen E-Mails am Tag über diesen Weg versandt worden. Die Art der Sicherheitslücke lässt das Risiko für Empfänger der steigen, denn die E-Mails haben den Anschein legitim von einem betroffenen Unternehmen versendet worden zu sein, aktuell betroffen sein Laut dem Artikel konkret etwa Disney, Coca-Cola und IBM, also schon sehr namenhafte Unternehmen. Was ist passiert, beziehungsweise wie erfolgen diese Angriffe? Die Angriffe haben eine Schwachstelle in den E-Mail-Relace von Proofpoint ausgenutzt und äh laut dem vorliegenden Bericht wurden eigens aufgesetzte virtuelle SMTP-Server genutzt, um. Kompromittierten Office-Accounts, die genannten E-Mail-Relaise von Proof Point auszunutzen, um diese E-Mail zu verschicken. Soweit, so gut die technische Ebene, was er folgt. Diese E-Mails können dann nämlich diese ganzen Sicherheitschecks, die standardmäßig halt erfolgen, umgehen und äh landen dann nicht in den Spam-Ordner von Betroffenen. Ziel der Angriffe ist es, weitere Credentials von Betroffenen zu erhalten, also eine klassische Phishing-Attacke Die gute Nachricht ist, dass Puff bald angibt, dass das Problem bereits gelöst ist und zusätzlich hat Puffband auch noch Sicherheitstipps für Admins veröffentlicht. Warum bringen wir diese Nachricht also es unterstreicht nochmal die Relevanz von Mitarbeitersensibilisierung im eigenen Unternehmen. Es zeigt sich ja immer mehr, wie viele Phishing-Attacken erfolgen und wie kreativ dann auch letztlich da Angreifer werden und dass man auch bei vermeintlich authentischen E-Mails diese, wenn in diesem Sachzusammenhang vielleicht nicht passend sind, dann doch auch nochmal hinterfragen sollte. Ich glaube nicht nur die Angreifer werden immer besser und es gibt auch Aktualisierungen, eben bei den Vorgehensweisen. Dementsprechend äh müssen wir auch unsere Mitarbeiter immer mehr sensibilisieren auch bei der Sensibilisierung. Reicht was vielleicht vor einem Jahr noch gereicht hatte, aktuell eben nicht mehr aus, sondern muss ein bisschen tiefergehend erfolgen, die Sensibilisierung. So, ich komme zu meinem nächsten Thema, nämlich den 1,4 Milliarden Dollar und Meter. Ich habe jetzt extra nicht Bußgeld gesagt. Dazu kommen wir aber gleich. Es geht um eine frühere Facebookfunktion. Diese erkannte Nutze automatisch in den Fotos, Und zwar wurden Facebook-Freunde automatisch in hochgeladenen Fotos markiert, also vorher erkannt und dann dementsprechend markiert Hierzu wurde bereits 2022 eine Klage gegen Facebook, damals noch Facebook eingereicht, Im Bundesstaat Texas. Konkret wurden Verstöße gegen zwei Gesetze des Bundesstaates Texas vorgeworfen Es gibt ein texanisches Gesetz, was eben die Sammlung biometrischer Daten nur mit vorheriger ausdrücklicher Zustimmung des Betroffenen erlaubt, und dies sei äh trotz des jahrelangen Einsatzes dieser Funktion zur Gesichtserkennung eben nicht geschehen, so der texanische Generalstaatsanwalt. Wie ist die Vorwürfe damals, also 2022 noch als unbegründet zurück? Jetzt aktuell heißt es in einer Stellungnahme beim US-Sender CNBC. Man sei zufrieden, die Angelegenheit beigelegt zu haben und wolle weitere Investitionen in Texas inklusiver möglicher Rechenzentren ausloten. Dazu bietet Meta eine Zahlung in Höhe von 1,4 Milliarden US-Dollar. Das sind knapp 1,3 Milliarden Euro, zahlbar über 5 Jahre an. Aus der Meldung geht allerdings nicht klar hervor, ob das Verfahren auch tatsächlich äh mit der Zahlung des Betrages als abgeschlossen betrachtet werden kann oder ob es hier noch ein finales Ergebnis, in dem die Zahlung, angenommen wird, ob es das noch benötigt. Es sei allerdings nicht die erste Klage, die durch Zahlung eines hohen Geldbetrages durch Metern beigelegt wird, auch im Bundesstaat Illinois im Jahr 2020 konnte ein ähnlicher Vorfall, weil es eben auch um Gesichtserkennung und biometrische Daten ging, auch ebenfalls durch Zahlung eines Bildbetrages. Beigelegt werden. Von daher, mal schauen, wie sich das jetzt hier auch entwickelt. Persönlich finde ich sehr spannend und in Kombination mit der Ankündigung von neuen Investitionen im Bundesstaat Texas. Einer Geldsumme wird’s beendet. Aber das ist ein schöner Deal, der. Ein Schelm ist dir dabei bö. Ja genau, genau, genau. In einer unserer letzten Ausgaben haben wir die App der UEFA für die Fußball-Europameisterschaft für ihr Datenschutzniveau gelobt. Die offizielle App der olympischen Spiele beweist das Gegenteil und fällt mit umfangreichen Datenverarbeitung auf. Laut einem Bericht von Heise haben Sicherheitsforscher die App mal genauer unter die Lupe genommen. Dabei, äh ist so ein bisschen was aufgefallen, neben der genauen Standortbestimmung werden Benutzerdaten wie der Browserverlauf, E-Mail-Adressen verwendete Geräte, Kamera- und Videoaufzeichnungen, gespeicherte Fotos und Videos sowie Sensordaten gesammelt, an der Aufzählung sieht man schon, dass das natürlich ein umfassendes Bild über den Nutzer der App möglich dazu, dass die App dann wohl sogar in der Lage sein, den Ruhezustand des Handys zu verhindern und eigenständig eine Verbindung mit WLAN-Hotspot herstellt oder herstellen kann Betont wurde an der Stelle von den Sicherheitsforschern auch, dass das jetzt auch nicht gleich bedeutet, dass die Datenerhebung missbraucht würden für Datenschützer seien das allerdings Warnsignale finde ich recht passend äh zusammengefasst, kann ich auch nur so unterschreiben. Da klingelt’s ein bisschen. Und aufgefallen im ganzen Kontext der olympischen Spiele. Also es wurden mehrere Apps betrachtet. Ist auch die App des Anbieters der Pariser Verkehrsbetriebe, welche präzise Standortdaten erhebe und wohl auch mit der Security und anderen dritten teile jetzt mit Blick auf unsere Meldung in der letzten Woche, wo wir über umfangreiche auch KI-gestützte Videoüberwachung während Olympia gesprochen haben, zeigt sich einfach, welche Datenerhebung da erfolgen und was für ein Potential für eine individuelle Überwachung da letztlich auch gehoben wird. Schon sehr sehr deutlich und sehr umfangreich das Ganze. Schon Wahnsinn, Ich denke an unsere Meldung, ich weiß jetzt gar nicht, vor drei oder vier Wochen, wo wir auch über die ähm Ticket-App für die Europameisterschaft berichtet haben und gesagt haben, hier, das war jetzt ein Beispiel, so geht Datenschutz und bei der Meldung von heute für die Olympia-App, Denke ich tatsächlich genau das Gegenteil. So bitte nicht Datenschutz. Von daher hm, mal schauen, was da sich da vielleicht noch tun wird, Okay, ich komme zu meiner nächsten Meldung, nämlich den Angriff auf Microsoft und die Störung, die es diese Woche eben weltweit gab eine weltweite Netzwerkstörung am 30. Juli, die auch Teile der Cloud-Dienste beziehungsweise alle Microsoft Azure-Standorte beeinträchtigt hatte. Konkret haben Komponenten von. Azure-Front-Dore, Azure-Content-Delivery Network, unterhalb akzeptable Schwellenwerte gearbeitet, was zu intermittierenden Fehlern, Time-out Spitzen führte. Das heißt, es ging alles nicht so schnell und nicht so fließend, wie er’s eigentlich sein sollte. Nach nur rund zwei Stunden berichtete Microsoft bereits, dass die fehlerhaften Netzwerkpfade durch Konfigurationsänderungen bereits überbrückt werden konnten, Die vollständige Behebung der Probleme zog sich aber noch bis in die Abendstunden und nach circa acht Stunden, erklärte Microsoft den Vorfall für behoben. Geschuldet war das Ganze einem Überlastungsangriff, der dann die implementierten DDOS-Schutzmaßnahmen aktivierte Allerdings haben genau diese Abwehrmaßnahmen beziehungsweise ein Fehler bei derer Implementierung dazu geführt, dass sich die Auswirkungen des Angriffs sogar verstärkt haben Das berichtet Microsoft in einer Fehleranalyse auf der Azure-Statusseite, die es zu dem Vorfall gibt. Wir sehen hier also tatsächlich, wie wichtig die richtigen Toms sind, technischen, organisatorischen Maßnahmen. Hier konnte ein funktionierendes Notfallmanagement tatsächlich relativ zeitnah, Abhilfe schaffen und auch ein Inzidenzmanagement als Teil der Tom ist natürlich sehr wichtig, um aus Vorfällen zu lernen, Auch das ist bei Microsoft nun auch angedacht ein Post Inzident-Review-Bericht ist bereits angekündigt durch Microsoft. Meine Idee ist jetzt nur noch dazu, hätten hier oder eine vorherige Simulation der Abwehrmaßnahmen helfen können, um die Funktionsweise auszutesten, aber Man kann natürlich nicht auf alles vorbereitet sein, aber wie gesagt, Notfallmanagement, Inzidentmanagement sind schon so die Maßnahmen, die es in jedem Unternehmen geben sollte, weil jedes Unternehmen kann betroffen sein. Haben wir kürzlich erst bei gesehen. Zum Beispiel, Okay, wir kommen schon zu den Veröffentlichungen. Wir haben schon unsere News quasi abgeschlossen und äh zeitlich gesehen ist es vielleicht ein kleiner Nachtrag, da diese Broschüre bereits im Januar veröffentlicht wurde, aber durch eine Pressemeldung wurde sie erneut ins Gedächtnis gerufen und wir möchten daher auf die Broschüre Achtung Kamera, der sächsischen Datenschutz und Transparenzbeauftragten aufmerksam machen, Diese informiert umfassend über den Rahmen einer zulässigen Videoüberwachung und stellt dies anhand Mehrere Beispiele da für Arbeitgeber aber auch im privaten Bereich wie im Auto oder auf dem Privatgrundstück im Kleingarten für eine medizinischen Bereich, da werden viele Bereiche abgegriffen und darauf möchten wir dann hiermit hinweisen. Ich hatte grad schon angekündigt, das war’s schon für diese Woche. Ein bisschen Sommerloch und kurzere Folge heute. Kurz und knackig, aber der Sommer ist eben da. Genau, ich bedanke mich in Talia. Es hat wieder sehr viel Spaß gemacht und euch, liebe Hörerinnen und Hörer, wünschen wir ein schönes Wochenende, wenn ihr uns am Freitag hört, einen guten Start in die Woche, wenn heute Montag sein sollte und sagen bis bald. Bis bald, schönes Wochenende oder schöne Woche.
