Mac-Apps greifen Browser-Verlauf und Nutzerdaten ab
Insgesamt 6 Antivirus- und System-Tools aus dem Mac App Store haben die Browser-Historie ihrer Nutzer an Server der AV-Firma Trend Micro geschickt…
Wie der japanische Sicherheits-Software-Hersteller Trend Micro vor kurzem gestanden hat, haben mehrere seiner im Mac App Store vertriebenen Programme den Browser-Verlauf von Nutzern ausgelesen und hochgeladen.
Der Erste, der das Ganze angeblich entdeckte, war der Sicherheits-Experte Patrick Wardle von Privacy First. Er dokumentierte die gesamte Operationen dieser Sicherheits-Apps, die eigentlich dazu da sein sollten, Ad- und Malware von Mac Geräten zu entfernen. Stattdessen haben die Apps verschiedenste Daten Ihrer User nachverfolgt und gesammelt – darunter auch den Browser-Verlauf oder die gedownloadete Software. Anschließend wurden die Daten auf Server und ein passwort-geschütztes Zip File geladen.
Die Datensammlung startete sofort nach Installation der Apps. Es sieht so aus, als ob Apple nicht gerade den besten Job macht, wenn es darum geht eingereichte Apps ausreichend zu überprüfen. Folglich ist es nicht mehr wirklich nutzbringend, Applikationen von offiziellen Seiten und Stores zu beziehen.
In einer Stellungnahme schrieb Trend Micro, die Sammlung der Daten sei lediglich aus ‚Sicherheitsgründen‘ erfolgt, was man ja auch in den Datenschutzbestimmungen der Firma bei der Installation nachlesen könne.
Ein Sicherheitsforscher von Malwarebytes ist bei seiner Analyse aber auf keinerlei Hinweis auf die Datensammlung innerhalb der Apps gestoßen. Erst einige Zeit später gab es im japanischen Mac App Store für Dr. Cleaner ein Update, woraufhin die Datenschutzbestimmungen beim Start angezeigt wurden.
Der Vorwurf, dass Trend Micro die Nutzerdaten klaut und an Server in China weiterleitet, hat der Hersteller anfänglich bestritten. Mittlerweile steht aber fest, dass die Informationen danach zu den Servern der App-Entwickler wanderten, welche in China stehen. Die Anti-Malware Apps, die von der japanischen Sicherheitsfirma entwickelt wurden, wurden dabei erwischt die Daten Ihrer User zu stehlen.
Gerade erst kürzlich hat Apple’s App Store als Konsequenz einige Apps von Trend Micro entfernt (Dr. Cleaner, Dr. Antivirus, und App Uninstall).
Trend Micro hat zumindest später eingeräumt, dass es Teil des Codes der Software war, den Browser-Verlauf eines Users zurückzuverfolgen:
Im offiziellen Report nach dem Vorfall macht Trend Micro deutlich, dass sich die Firma darum kümmern und die betreffenden Produkte updaten wird. Die Nachricht folgte einer Untersuchung aller Produkte und des Datenschutzes. Laut Trend Micro hat die Firma bereits das Feature, das den Browser-Verlauf verfolgt hat, entfernt. Alle Informationen, die bisher im US-basierten AWS (Amazon Web Services) Server gespeichert wurden, wurden angeblich ebenfalls gelöscht.
Natürlich muss man auch ganz deutlich sagen, dass Trend Micro kein Einzelfall ist, wenn es um das Ausspähen von Nutzerdaten geht. Auch einer der erfolgreichsten Mac Apps hat sich bereits als Spyware entpuppt. Apple hat bei seinen Produkten auch immer die Sicherheit der User und deren Privatsphäre hervorgehoben. Gerade iOS und Mac App Stores wurden als Grundsteine vertrauensvoller Software profiliert, was nach neusten Erkenntnissen aber nicht realistisch ist. Doch dazu in einem späteren Artikel…
Großes allgemeines Umsetzungs-Defizit: Jedes dritte Unternehmen noch nicht im Ansatz auf die DSGVO vorbereitet
Da es voraussichtlich weiterhin Thema bleiben wird – vor allem wohl nach Einführung – wollen wir nun auch mal einen kleinen Beitrag zur DSGVO bringen. Man muss ja dem Trend folgen…
DSGVO – gut gemeint, aber…
Ab Ende Mai ist es soweit: Die besorgniserregende Datenschutz-Grundverordnung tritt in Kraft und wird große Auswirkungen in Form eines EU-weit geltenden Datenschutzrechts haben. Die Absicht dahinter mag ja positiv sein: Ein besserer Schutz der persönlichen Daten in Zeiten von wachsender Digitalisierung, Social Media wie Facebook, WhatsApp etc. Soweit sogut.
Für uns Unternehmen ist das alles eine reine Tortur bzgl. Verwaltungsarbeit, wenn jedes noch so kleine Detail in Form von Verarbeitungsverzeichnissen (vorher: Verfahrensverzeichnis) festgehalten werden muss. Außerdem zählen ja nicht nur die Kundendaten zu den personenbezogenen Daten. Da gibt es ja noch die Mitarbeiter und alle Geschäftspartner, sowie Personen, mit denen man schon lange nichts mehr zu tun hat. Der Anwendungsbereich der DSGVO ist enorm, weil selbst IP-Adressen zu schützen sind.
„Brauchen wir eigentlich Verfahrens-Verzeichnisse für unsere Verfahrens-Verzeichnisse??!“ (klenner.at)
Es besteht nun bald (oder eigentlich schon jetzt) ein gewaltiger Mehraufwand, da alle Prozesse und Verträge genauestens durchleuchtet, oder komplett neu organisiert, sowie umfassend dokumentiert werden müssen. Die neuen Dokumentations- und Transparenzpflichten verlangen das. Man muss sogar festhalten WIE man personenbezogene Daten erhebt. Und die paar Ausnahmen, die in der Verordnung gemacht werden, betreffen praktisch fast niemanden…
Angesichts der Dimension die das „Projekt DSGVO“ angenommen hat, ist die Zeit bis zum 25. Mai 2018 mehr als knapp bemessen. Besonders problematisch ist es oft für die kleineren KMUs unter uns, die nichtmal genügend Manpower haben, um das alles innerhalb kürzester Zeit umzusetzen.
Noch schlimmer gestaltet sich die Situation für diejenigen Unternehmen, die sich bisher noch gar nicht damit auseinandergesetzt haben – in deren Haut wir nicht stecken möchten. klenner.at hat auch schon einiges unternommen, um für die DSGVO sogut es eben geht gewappnet zu sein und in keine großen Fettnäpfchen zu tappen, sollte die Verordnung wirklich mit aller Härte durchgeboxt werden. Man weiß es ja leider nicht. Bei unzureichender Datensicherheit drohen Bußgelder bis zu 4% des gesamten weltweiten Jahresumsatzes.
Aber wie immer wollen wir auf Nummer Sicher gehen – und das nicht nur bzgl. Virenschutz oder Backups!
Datenschutz von vornherein
Hier sind die „TOMS“ (den technischen und organisatorischen Maßnahmen) wichtig, die dem Stand der Technik entsprechen müssen. Dazu gehört u.a. die Belastbarkeit der IT-Systeme. Damit hängt auch die Entwicklung von neuen Produkten, Diensten und Anwendungen zusammen, die mit den Datenschutz-Grundsätzen übereinstimmen müssen („privacy by design“). Software soll nur noch soviel Daten erheben, wie es zur Zweckerfüllung notwendig ist (Daten-Minimierung).
Interne Kommunikation im B2B – Datenschutz fängt bei den Mitarbeitern an
Die Wahl der Systeme und Anwendungen gilt es also zu beachten. Aber was heißt das? Oft kommunizieren Mitarbeiter über eine breite Palette an Lösungen, welche eigentlich nicht für den professionellen bzw. geschäftlichen Einsatz konzipiert sind. Gerade für Mitarbeiter, die keinen festen Arbeitsplatz haben oder oft unterwegs sind, sind Facebook, Whatsapp etc. willkommene Hilfsmittel im Arbeitsalltag. Einige von euch werden das sicher auch kennen.
Für die vertrauliche, interne Kommunikation muss in Zukunft definitiv eine andere Lösung gefunden werden, da hier keine Datensicherheit gewährleistet werden kann. Whatsapp und Co. Übermitteln laufend Daten zwischen Sender- und Empfängergeräten. Dabei gelangen Adressbücher, Statusanzeigen und Infos über das Nutzerverhalten direkt an Server in den USA. Das ist so ziemlich das Gegenteil von dem, was die DSGVO im Sinne hat.
Bei den gängigen Social Media Tools fehlen oft MDM (Mobile Device Management) Optionen oder Schnittstellen für entsprechende Integrationslösungen. Kurz gesagt: Ab Ende Mai sollten Mitarbeiter solche Anwendungen besser nicht mehr geschäftlich nutzen und am besten erst gar nicht auf dem Smartphone haben, insofern Sie darauf geschäftliche Daten verwalten. Arbeitgeber sollten daher über Firmen-Handys nachdenken.
Wenn man nicht ernsthaft ins Visier der Datenschützer geraten will, empfiehlt es sich als Alternative unternehmensinterne Kommunikationsplattformen einzusetzen. Es gibt professionelle Mitarbeiter-Apps, die die gesamte interne Kommunikation in einer datenschutzkonformen Anwendung bündelt, externe Systeme integriert und die Kommunikation aus privaten Social-Media-Kanälen ins Unternehmen personalisiert zurückholt.
Anforderungen an eine datenschutzkonforme Mitarbeiter-App bzw. die interne Kommunikation findet ihr unter diesem Link.Eine gute Übersicht bzw. die empfohlene Herangehensweise für Unternehmen bei diesem Thema ist in diesem Artikel von SearchSecurity beschrieben.
Cookie-Zustimmung verwalten
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktional
Immer aktiv
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Vorlieben
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiken
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.