Wenn es um das Thema Datenschutz in Deutschland geht, gilt Hamburgs oberster Datenschützer Johannes Caspar als harter Hund. Dies könnte künftig (erneut) auch Facebook zu spüren bekommen. Dort strebt man ja bekanntermaßen aktuell den Datenaustausch zwischen dem sozialen Netzwerk als Mutterkonzern mit der Tochter WhatsApp an. Diverse Nutzer haben hierzu schon ihren Unmut kundgetan und sind zu alternativen Messengern gewechselt. Die schiere Marktdurchdringung von WhatsApp dürfte aber wohl dafür sorgen, dass die App auch weiterhin mit Abstand Marktführer bleibt.

Während das EU-Recht den Nutzern bereits ein Widerspruchsrecht zu einem Datenaustausch zwischen Facebook und WhatsApp einräumt, strebt Johannes Caspar nun ein Dringlichkeitsverfahren nach DSGVO Artikel 66 noch vor dem 15. Mai an, also dem Tag an dem die neuen Datenschutzrichtlinien von WhatsApp in Kraft an, um die inzwischen knapp 60 Millionen deutschen WhatsApp-Nutzer vor dem Datenaustausch und den damit verbundenen Konsequenzen zu schützen (via Bloomberg). Caspar erklärt dazu:

"WhatsApp wird mittlerweile von fast 60 Millionen Menschen in Deutschland genutzt und ist bei weitem die am weitesten verbreitete Social-Media-Anwendung, sogar vor Facebook. Umso wichtiger ist es sicherzustellen, dass die hohe Anzahl von Nutzern, die den Dienst für viele Menschen attraktiv macht, nicht zu einer missbräuchlichen Nutzung der Daten führt."

Facebook kündigte bereits an, sich mit den Aussagen von Caspar zu beschäftigen und die "Missverständnisse rund um die neuen Datenschutzbestimmungen" ausräumen zu wollen. Man bekenne sich auch weiterhin dazu, den Nutzern eine sichere und geschützte Kommunikationsplattform anzubieten:

"Durch das Akzeptieren der aktualisierten Nutzungsbedingungen von WhatsApp stimmen die Benutzer keiner Erweiterung unserer Fähigkeit zu, Daten mit Facebook zu teilen, zu. Das Update hat keine Auswirkungen auf die Privatsphäre ihrer Nachrichten mit Freunden oder der Familie, wo immer sie sich auf der Welt befinden."

Anfang des Jahres hatte Facebook die geplanten Änderungen an den Datenschutzbestimmungen von WhatsApp publik gemacht, die dem Messenger künftig das Recht einräumen werden, sich enger mit der Konzernmutter Facebook zu vernetzen und dadurch auch mehr Daten dorthin weiterzugeben. Ursprünglich sollte diese neue Richtlinie ab dem 08. Februar in Kraft treten und Nutzer, die ihnen nicht zustimmen könnten den Dienst anschließend nicht mehr nutzen. Allerdings ruderte man nach der massiven Kritik zumindest ein Stück weit zurück und verschob das Inkrafttreten der neuen Richtlinien bis zum 15. Mai, um den Nutzern mehr Zeit zu geben, um die neuen Bedingungen zu akzeptieren.

Die Meldungen zu ins Internet durchgesickerten Nutzerdaten von verschiedenen sozialen Netzwerken und ähnlichen Plattformen wollen einfach nicht abreissen. Nachdem bereits mehrere hundert Millionen Nutzer von Facebook und LinkedIn betroffen waren, ist nun auch die aktuell stark gehypte audio-basierte Social-Network-App Clubhouse betroffen. Von dort sollen nun die Daten von 1,3 Millionen Nutzern abgegriffen worden und in einem Hacker-Forum veröffentlicht worden sein, wie CyberNews berichtet. Die dort angebotene SQL-Datenbank enthält offenbar diverse Daten der Nutzer, wie unter anderem die User ID, den Namen des Nutzers, den Benutzernamen, Twitter- und Instagram-Handles oder auch wer den Nutzer zu Clubhouse eingeladen hatte. Passwörter oder E-Mail Adressen sollen hingegen nicht enthalten sein.

Ähnlich wie bei den LinkedIn-Daten sollen auch die Clubhouse-Daten nich durch einen Angriff erbeutet worden, sondern aus den Profilen der Nutzer zusammengesammelt und aggregiert worden sein. Dies beteuern die Betreiber der App auch auf Twitter. Dennoch auch an dieser Stelle noch einmal der Hinweis, dass persönliche Daten leider nun mal der Preis sind, den man zahlen muss, wenn man soziale Netzwerke nutzen möchte. Dabei ist es dann auch nicht wichtig, wie Personen, die diese Personen eigentlich nicht erhalten sollen, an diese Daten gelangen.

Es war zu erwarten, dass Google, Facebook und Co. gegen Apples mit iOS/iPad 14.5 und tvOS 14.5 kommende Abfrage zum Nutzer-Tracking, die sogenannte "App Tracking Transparency" (ATT), Sturm laufen würden, da sie ihre Felle in Sachen Verkauf von Werbung und persönlichen Daten davonschwimmen sehen. Allein die Tatsache das die beiden Internetkonzerne gegen die neuen Abfragen wettern zeigt eigentlich schon, dass man sich durch die Einblendung des Popups ertappt fühlt und man sich sehr wohl darüber bewusst ist, dass ein Großteil der Nutzer das Tracking eigentlich nicht möchte. Zumal das Tracking mit den Abfragen ja nicht per se unterbunden wird, der Nutzer bekommt lediglich die Gelegenheit, hierüber zu entscheiden. Nun gibt es zu den erwarteten Auswirkungen auch erstmals Zahlen.

So berichtet das Branchenmagazin AdWeek, dass erwartet wird, dass wohl bis zu 68% und damit mehr als zwei Drittel aller iOS-Nutzer den anfragenden Apps wohl die Erlaubnis zum Tracking verweigern werden. Der Chef-Analyst des Marketingunternehmens Epsilon, Loch Rose, erklärt vollkommen zurecht, dass niemand genau wisse, was passieren wird, wenn die "App Tracking Transparency" aktiv wird. Es wird jedoch davon ausgegangen, dass der Umsatz mit In-App Werbung um bis zu 50% einbrechen wird.

Das Datenleck bei Facebook, welches erst kürzlich die persönlichen Daten von über 500 Millionen Nutzern frei zugänglich ins Internet gespült hatte und inzwischen unter anderem eine SMS-Spam Welle nach sich zog, ist gerade mal ein paar Tage her, da gibt es möglicherweise bereits das nächste Problem. Betroffen ist dieses Mal das Berufsnetzwerk LinkedIn, wo offenbar ebenfalls Daten aus über 500 Millionen Profilen abgegriffen wurden und nun im Internet zum Verkauf angeboten werden, wie Cyber News berichtet. Wie groß der Schaden in diesem Fall ist, muss noch abgewartet werden. Einem LinkedIn-Statment gegenüber Gizmodo soll es sich bei den Daten lediglich um solche handeln, die ohnehin öffentlich in den Profilen der betroffenen Nutzer einsehbar gewesen sind:

"While we're still investigating this issue, the posted dataset appears to include publicly viewable information that was scraped from LinkedIn combined with data aggregated from other websites or companies. Scraping our members' data from LinkedIn violates our terms of service and we are constantly working to protect our members and their data."

Gestern veröffentlichte LinkedIn dann noch ein weiteres Statement zu dem Thema auf seiner Webseite, in dem man betont, dass keine privaten Daten entwendet wurden und es auch keinen Einbruch in die LinkedIn-Systeme gab.

"We have investigated an alleged set of LinkedIn data that has been posted for sale and have determined that it is actually an aggregation of data from a number of websites and companies. It does include publicly viewable member profile data that appears to have been scraped from LinkedIn."

So oder so, die beiden Vorfälle um Facebook und LinkedIn zeigen einmal mehr ein grundsätzliches Problem der schönen modernen Welt auf. Daten sind die neue Währung und jeder Nutzer sollte sich genau darüber im Klaren sein, wenn er seine Daten auf irgendwelchen Plattformen angibt. Andererseits geht es heutzutage eben auch nicht mehr ohne. Insofern werden wir wohl auch weiterhin ein Stück weit mit derartigen Vorfällen leben müssen.

Erst kürzlich wurde bekannt, dass die persönlichen Daten von über 500 Millionen Facebook-Nutzern frei zugänglich in einem Hacker-Forum aufgetaucht sind. Die ersten negativen Auswirkungen hiervon bekommen die betroffenen Nutzer nun teilweise zu spüren. Derzeit rollt mal wieder eine Spam-Welle per SMS durchs Land, die nicht nur nervt, sondern im schlimmsten Fall auch weitere negative Konsequenzen nach sich ziehen kann. Die von Facebook erbeuteten Daten enthielten in vielen Fällen neben der E-Mail Adresse, dem Geburtsdatum und verschiedenen angegebenen Orten auch Mobilfunknummern von Nutzern. Und genau hierauf zielen nun in vielen Fällen die Spam-SMS.

Ist man hiervon zuletzt stärker betroffen, kann man auf der Webseite Have I Been Pwned überprüfen, ob die eigenen Mail-Adressen oder auch die eigene Mobilfunknummer bei einem Datenleak abgegriffen wurde. Möchte man seine Mobilfunknummer prüfen ist es wichtig, diese im internationalen Format einzugeben, also mit einem vorangestellten "+49" und ohne die führende "0" der Vorwahl.

Die aktuelle Spam-Welle per SMS hat als Inhalt so gut wie durchgängig eine angebliche Paketankündigung, gepaart mit der Aufforderung, einen enthaltenen Link anzuklicken, um seine Angaben zu vervollständigen. Klickt man den Link an, landet man auf einer Malware-Seite, wo weiteres Ungemach droht. Dabei sind diese SMS eigentlich recht leicht zu erkennen. So wird als Absender stets eine Nummer angezeigt und nicht wie üblich der Name des Paektdienstleisters, wie DHL oder Hermes. Auch die enthaltenen Links sollten einem bei näherem Hinsehen suspekt vorkommen. Es gilt also mal wieder, neben Vorsicht auch gesunden Menschenverstand walten zu lassen, den Link im Zweifel nicht anzuklicken und auf den sich öffnenden Webseiten auf keinen Fall Kontoinformationen oder Passwörter einzutippen.

Wirklich wehren kann man sich gegen die Spam-SMS leider nicht, man kann allerdings bestimmte Nummern immerhin blockieren. Hierzu tippt man bei der geöffneten SMS einfach auf die Nummer in der oberen Leiste und dort dann auf "Info". Anschließend muss man nochmal auf "Info" und im Screen danach auf "Anrufer blockieren". Die Bundesnetzagentur bietet zudem die Möglichkeit, auf einer entsprechenden Webseite die Nummern zu melden und somit blockieren zu lassen. Das Problem ist dabei allerdings, dass dies natürlich nur für die jeweils aktuelle Nummer gilt und bei diesen Spam-Attacken oftmals Bots am Werk sind, die die Nummern auch recht schnell wechseln können.

Darüber hinaus hat man die Möglichkeit, in den "Einstellungen" unter "Nachrichten" die Option "Unbekannte Absender filtern" zu aktivieren, die allerdings nur bei iMessage-Nachrichten greift. Erhält man bei aktivierter Funktion eine Nachricht von einem unbekannten Absender, wird diese in eine eigene Liste ausgelagert und ist so leichter zu erkennen.

Hat man einen Link in der SMS bereits angeklickt, könnte das Kind bereits in den Brunnen gefallen sein. Auch wenn nicht ganz klar ist, was dabei im Einzelfall passieren kann, können die Auswirkungen bis zu einer kompletten Übernahme des Geräts durch den Angreifer reichen. Dies dürfte allerdings beim iPhone aufgrund von Apples Sicherheitsmaßnahmen, wie beispielsweise dem Sandboxing eher nicht der Fall sein. Sollten dennoch anschließend ungewöhnliche Anzeichen auf dem iPhone darauf hindeuten das etwas nicht stimmt, hilft nur noch ein Zurücksetzen des Geräts und das Einspielen eines (hoffentlich vorhandenen) Backups von vor dem Anklicken des Links.

Noch schlimmer ist es natürlich, wenn man auf einer Malware-Seite bereits Zahlungsangaben gemacht hat oder Passwörter eingegeben hat. In diesem Fall sollten schnellstmöglich sämtliche Passwörter geändert werden, die hiervon betroffen sein könnten. Eine Kreditkarte lässt sich im Ernstfall bei der jeweiligen Ausgabestelle sperren.

Apple bereitet weiter spürbar den bevorstehenden Start von iOS/iPadOS 14.5 vor, bei dem eine der großen Neuerungen die zwingende Umsetzung der "App Tracking Transparency" sein wird. Nach der Erinnerung an die Entwickler, die ATT künftig auch in ihren Apps umzusetzen, wurde nun das "A Day in the Life of your Data" Dokument aktualisiert, in dem Apple darlegt, wie Apps mit den Nutzerdaten umgehen. Die Neuerungen befassen sich dabei vor allem damit, wie Entwickler und Werbetreibende auch künftig Methoden nutzen können, um die Effektivität ihrer Einblendungen zu messen. Dabei handelt es sich um Apples SKAdNetwork-Framework und das sogenannte"Private Click Measurement".

Über das SKAdNetwork-Framework kann so beispielsweise ermittelt werden, wie oft eine App installiert wurde nachdem hierzu ein Werbebanner eingeblendet wurde, ohne dass dabei persönliche Daten der Nutzer geteilt werden müssten. "Private Click Measurement" hingegen erlaubt das Messen der Reichweite von Werbebannern, die auf Webseiten führen. Auch hier wird der Zugriff auf die persönlichen Daten der Nutzer auf ein Minimum reduziert. "Private Click Measurement" wird mit iOS 14.5 und iPadOS 14.5 zur Verfügung stehen, das in den kommenden Tagen erwartet wird.

Satte sechs Betaversionen hat Apple dem kommenden Update auf iOS/iPadOS bereits spendiert und man benötigt keine wahrsagerischen Fähigkeiten um vorherzusagen, dass die finale Version wohl nicht mehr lange auf sich warten lassen wird. Dies bekräftigt auch noch einmal eine Erinnerung, die Apple in der vergangenen Nacht an seine Entwickler gerichtet hat. Darin wird nun noch einmal eindringlich darauf hingewiesen, dass Apple mit iOS 14.5, iPadOS 14.5 und tvOS 14.5 nun endgültig seine "App Tracking Transparency", also die zwingend erforderliche Abfrage der Trackingerlaubnis umsetzen wird. Apple schreibt dazu:

Make sure your apps are ready for iOS 14.5, iPadOS 14.5, and tvOS 14.5. With the upcoming public release, all apps must use the AppTrackingTransparency framework to request the user's permission to track them or to access their device's advertising identifier. Unless you receive permission from the user to enable tracking, the device's advertising identifier value will be all zeros and you may not track them.

When submitting your app for review, any other form of tracking -- for example, by name or email address -- must be declared in the product page's App Store Privacy Information section and be performed only if permission is granted through AppTrackingTransparency. You'll also need to include a purpose string in the system prompt to explain why you'd like to track the user, per ?App Store? Review Guideline 5.1.2(i). These requirements apply to all apps starting with the public release of iOS 14.5, iPadOS 14.5, and tvOS 14.5.

As a reminder, collecting device and usage data with the intent of deriving a unique representation of a user, or fingerprinting, continues to be a violation of the Apple Developer Program License Agreement.

Vor allem der letzte Absatz darf dabei durchaus als Warnung verstanden werden, dass Apple sämtliche Versuche, die ATT zu umgehen wohl streng sanktioniert werden. Die Veröffentlichung der finalen Version der kommenden Updates dürfte nun nicht mehr lange auf sich warten lassen.

Wenn es um das Thema Datenschutz geht, ist iOS das mit Abstand sicherere System im Vergleich mit Android. Dies wird dieser Tage mal wieder deutlich anhand der mit iOS 14.5 anstehenden Einführung der sogenannten "App Tracking Transparency", gegen die unter anderem Facebook, teilweise aber auch Google bereits Sturm gelaufen sind. Allerdings hat man beim Suchmaschinengiganten inzwischen wohl auch eingesehen, dass die Nutzer immer datenschutzbewusster werden und wird demnächst eine Maßnahme einführen, die es bei Apple schon seit iOS 9 aus dem Jahr 2015 gibt.

Wie die Kollegen von XDA-Developers berichten, arbeitet Google aktuell an Veränderungen an seiner "Developer Program Policy", die es künftig eiinschränken wird, welche Apps auf die komplette Liste von installierten Apps auf einem Android-Gerät zugreifen dürfen. Wie die Kollegen von Ars Technica ergänzen, lassen sich aus den installierten Apps verschiedene Rückschlüsse auf die Präferenzen des Nutzers ziehen, wie unter anderem zum Thema Dating oder auch zu politischen Einstellungen. Künftig wird Google die Liste der installierten Apps als "persönliche und sensible Daten" einstufen und ab dem 05. Mai die oben genannten Einschränkugen umsetzen.

Apple hatte eine ganz ähnliche Maßnahme mit iOS 9 eingeführt, als man entdeckte, dass Apps wie unter anderem Twitter und Facebook eine Inter-App Kommunikations-API dazu missbraucht hatten, um zu erfahren, welche Apps ein Nutzer installiert hat und hierauf basierend ihre Werbung zu personalisieren.