Meldungen

„Unsere Redaktion ist unabhängig und nicht werbefinanziert. Wir berichten tagesaktuell über Digitales, Netzpolitik, Nachhaltigkeit und Verbraucherschutzthemen.“

Marriott-Hotels: Daten von 5,2 Millionen Gästen gestohlen

Erstellt am 03. April 2020, 09:00 Uhr | Kategorie: News

Persönliche Daten von Gästen der Hotelkette Marriott wurden entwendet. Bezahldaten sollen aber nicht betroffen sein.

Marriott
Bei der Hotelkette Marriott gab es erneut ein großes Datenleck. Quelle: Mighty Travels (CC BY 2.0)

#more#

Unbekannte konnten auf etwa 5,2 Millionen Kundendaten der Hotelkette Marriott zugreifen. Die Datensätze enthielten Name, Adresse, E-Mail-Adresse und Telefonnummer ebenso wie Geschlecht und Geburtstag sowie bei Geschäftskunden den Firmennamen. Informationen zu Treueprogrammen und Vorlieben für den Hotelaufenthalt wurden ebenfalls entwendet.

Bisher gebe es keinerlei Hinweise darauf, dass Passwörter, Zahlungsdaten oder Ausweisnummern gestohlen wurden, heißt es in der Mitteilung der Hotelkette.

Offenbar erfolgte der Zugriff über die Zugangsdaten zweier Mitarbeiter eines Franchise-Nehmers. Der Datendiebstahl habe Mitte Januar 2020 begonnen und wurde Ende Februar bemerkt, so Marriott. Weitere Angaben machte Marriott nicht. Die für den Zugriff genutzten Accounts seien gesperrt worden und man habe die zuständigen Behörden informiert.

Marriott informiert Betroffene per E-Mail

Nach eigenen Angaben hat Marriott betroffene Gäste per E-Mail informiert. Zusätzlich kann man über ein Online-Portal anfragen, ob die eigenen Daten entwendet wurden. In Deutschland informiert Marriott unter 0800-6644414 auch telefonisch darüber, allerdings nur auf Englisch und Französisch.

Marriott hat außerdem die Passwörter für Mitglieder seines Treueprogramms zurückgesetzt. Mitglieder müssen es bei der nächsten Anmeldung ändern.

Marriott bietet von dem Datenleck betroffenen Personen einen kostenlosen, einjährigen Zugang zu dem Dienst Experian an. Der soll prüfen, ob die entwendeten Daten missbraucht wurden. Experian war selbst jedoch schon von Datendiebstahl betroffen und hat Daten in der Vergangenheit auch weiterverkauft.

Vorsicht vor Phishing

Betroffene Kundinnen und Kunden der Hotelkette könnten nun Ziel von Spam- und Phishing-E-Mails werden. Wenn über eine vermeintlich von Marriott stammende E-Mail Daten angefragt werden, sollte man auf keinen Fall auf einen Link in der erhaltenen Nachricht klicken. Die E-Mail löscht man am besten sofort.

Großes Datenleck schon 2018

Es ist nicht das erste Mal, dass es bei der Hotelkette ein Datenleck gibt: Ende 2018 konnten Dritte die Daten von bis zu 500 Millionen Kunden einer Marriott-Tochterfirma abgreifen. Damals gehörten teilweise auch Pass- und Kreditkartennummern zu den erbeuteten Daten.

Die britische Datenschutzbehörde kündigte daraufhin ein Bußgeld von 99,2 Millionen britischen Pfund an. Marriott legte jedoch Widerspruch ein. Bisher gibt es noch keine abschließende Entscheidung der britischen Datenschützer. (js)

Betrugsversuche: Banken verschicken keine Corona-Mails

Erstellt am 01. April 2020, 14:00 Uhr | Kategorie: News

Betrüger machen sich weiterhin die Corona-Krise zu Nutze und verschicken gefälschte Mitteilungen von Banken. Gesunde Skepsis ist das beste Mittel dagegen.

Phishing-Nachricht
Beispiel für eine betrügerische Bank-Nachricht. Quelle: Public Domain

#more#

Um die Kommunikation mit der eigenen Bank auch in Corona-Krisenzeiten sicherzustellen, möge man sich doch bitte einloggen und seine Daten aktualisieren. So steht es in E-Mails oder SMS-Nachrichten, die derzeit viele Menschen erhalten. Klingt plausibel?

Vielleicht beim ersten Lesen, tatsächlich handelt es sich aber nicht um ein Schreiben der Hausbank, sondern um einen Betrugsversuch Krimineller, warnt der Bundesverband deutscher Banken. Solche Daten fragen Banken demnach niemals ab – weder per Mail oder SMS noch telefonisch.

Gute Fälschungen

Wer auf Links in solchen Mails klickt, landet auf einer gefälschten Webseite, die der Online-Präsenz der eigenen Bank sehr ähnlich sehen kann. Dort soll man Zugangsdaten und weitere persönliche Daten eingeben, die Beute der Betrüger werden.

Manchmal lassen sich solche gefährlichen Phishing-Mails auf den ersten Blick am stümperhaften Design, dem Absender oder an fehlerhafter Rechtschreibung erkennen. Vielfach weisen die Nachrichten inzwischen aber einen hohen Grad an Perfektion auf, so der Verband.

Vorsicht vor TAN-Abfrage

Skeptisch sein sollten Bankkundinnen und –kunden besonders, wenn auf einmal mehrere Transaktionsnummern (TANs) abgefragt werden – oder wenn eine TAN-Eingabe unter Androhung einer vermeintlichen Kontosperrung oder einer angeblichen Laufzeitbeschränkung des TAN-Verfahrens gefordert wird.

Ebenfalls ein Warnhinweis ist die Forderung, die eigenen Kontodaten mit einer TAN zu bestätigen. Gleiches gilt bei angefragten Testüberweisungen oder Rücküberweisungen einer vermeintlich eingegangenen Zahlung. Kunden sollten auch sonstigen Aufforderungen keine Folge leisten: Etwa, sich bei einem Demo-Konto anzumelden oder angeblich notwendige Sicherheits-Zertifikate, -Software oder -Apps zu installieren.

Bei Unsicherheit: manuell einloggen

Kann man partout nicht sagen, ob die Nachricht von der eigenen Bank stammt, schaut man am besten in seinem Online-Zugang nach. Normalerweise sind alle Nachrichten, die die Bank verschickt, auch im eigenen Online-Banking-Account hinterlegt.

Man surft per Browser also die Online-Präsenz der Hausbank an und schaut nach, ob die erhaltene Nachricht auch dort im Postfach hinterlegt ist. Wichtig: Auf gar keinen Fall einen Link in der erhaltenen Nachricht anklicken, sondern die Bankadresse manuell ansteuern und selbst in die Adressleiste des Browsers eintippen. Die E-Mail löscht man am besten sofort.

Falls weiterhin Unsicherheit besteht, sollte man bei der eigenen Bank anrufen und nachfragen.

Nach Betrüger-Kontakt Bank informieren

Auch wer glaubt, Betrügern auf den Leim gegangen zu sein, sollte keine weiteren Bankgeschäfte am Rechner erledigen und sofort seine Hausbank informieren. Die erläutert dann das weitere Vorgehen und kann den Online-Zugang zum Konto sofort sperren. (dpa / hcz)

Jugendschutz: Weniger Online-Beschwerden im Jahr 2019

Erstellt am 31. März 2020, 10:00 Uhr | Kategorie: News

Die Freiwillige Selbstkontrolle der Multimedia-Dienstleister musste im Jahr 2019 weniger Beschwerden gegen illegale Internet-Inhalte bearbeiten als noch im Vorjahr. Die Löschquote soll bei 100 Prozent liegen.

FSM
Die FSM-Hotline nimmt Beschwerden gegen illegale und jugendgefährdende Inhalte im Internet entgegen. Quelle: FSM

#more#

Bei der Beschwerdestelle der Freiwilligen Selbstkontrolle der Multimedia-Dienstleister (FSM) sind im Jahr 2019 insgesamt 5985 Meldungen eingegangen. Das entspricht einem Rückgang von 11 Prozent gegenüber dem Vorjahr, teilte die FSM mit. 3482 Beschwerden waren im Jahr 2019 begründet.

Rückgang bei Beschwerden zu Hasskriminalität

Im Bereich der Hasskriminalität wurden insgesamt 61 zulässige Beschwerden verzeichnet. Dabei ging es um die Verbreitung von verfassungswidrigen Kennzeichen (22 Fälle), Volksverhetzung (34 Fälle) sowie um die Leugnung des Holocausts oder die Verherrlichung des Nationalsozialismus (5 Fälle). Das entspricht einem Rückgang der zulässigen Beschwerden in diesem Bereich um 48 Prozent gegenüber dem Vorjahr.

Nach Angaben der FSM wurden in diesem Bereich jedoch deutlich mehr Beschwerden gemeldet. Denn es sei nicht immer sofort zu erkennen, ob Inhalte noch von der Meinungsfreiheit gedeckt sind. Daher sei immer eine sorgfältige Prüfung nötig. So würden zwar häufig Internetseiten mit rechten Inhalten gemeldet, “die jedoch nach dem Grundsatz der Meinungsfreiheit zulässig waren”.

Zudem wurden 107 Fälle von Gewaltdarstellungen gemeldet. Dazu zählten beispielsweise Videos von den Terroranschlägen in Christchurch und Halle. Außerdem gab es 125 Internetseiten, die als “weitere jugendgefährdende Inhalte” zusammengefasst wurden. Dazu zählen einerseits Internetseiten, die für Kinder und Jugendliche einer bestimmten Altersgruppe nicht geeignet sind und etwa ein anerkanntes Jugendschutzprogramm nutzen müssen. Andererseits zählen dazu aber auch Seiten, von denen eine Entwicklungsgefährdung ausgeht. Die FSM nennt als Beispiel Angebote, die Essstörungen verherrlichen.

Fast die Hälfte (47 Prozent) aller begründeten Beschwerden bezog sich auf die “Darstellung des sexuellen Missbrauchs von Minderjährigen”. Gefolgt von Pornografie mit insgesamt 1549 Beschwerden (44 Prozent).

Vollständige Entfernung bei deutschen Servern

Nach eigenen Angaben hat die FSM bei solchen Inhalten auf deutschen Servern eine Löschquote von 100 Prozent erreicht. Durchschnittlich dauerte es dabei 1,97 Tage, inklusive Wochenende und Feiertagen, bis Inhalte entfernt wurden. Das ist geringfügig schneller als noch 2018 (2 Tage).

Der FSM gehören unter anderem Unternehmen wie Facebook, Google und die Telekom an. (js)

Internet-Kriminelle nutzen Corona-Krise aus

Erstellt am 27. März 2020, 16:00 Uhr | Kategorie: News

In der Corona-Krise ist auch im Digitalen Vorsicht geboten: Kriminelle fälschen Apps, Webseiten und Mails, um Schadsoftware auf PC und Smartphone zu schleusen.

Corona-Karte
Ob echt oder Fälschung ist bei vielen Corona-Informationen nicht zu erkennen. Das machen sich Betrüger zu Nutze.

#more#

Forschungsergebnisse, bestätigte Erkrankungen, Präventions-Tipps: Der Bedarf an Informationen zum neuartigen Corona-Virus ist hoch. Doch bevor man vermeintliche Tracking-Apps herunterlädt, zweifelhafte Info-Webseiten und interaktive Karten öffnet oder auf Links oder Anhänge in alamierenden Mails klickt, gilt mehr denn je: Zwei Mal nachdenken.

Denn die Zahl der Social-Engineering-Angriffe mit Pandemie-Bezug sei bereits erheblich und werde noch weiter ansteigen, berichtet Europol.

Apps mit Schadsoftware

Tracking-Apps, die anzeigen, wo Covid-19-Erkrankte wohnen oder unterwegs sind? Das macht neugierig – und das wissen auch Kriminelle. Sie missbrauchen die aktuelle Diskussion um das Erfassen von Daten und Bewegungsmustern zum Eindämmen der Infektionswelle, um Nutzerinnen und Nutzern Malware-Apps unterzujubeln, warnt die Initiative Deutschland sicher im Netz (DsiN).

Tatsächlich werden etwa in Südkorea die Standortdaten nachweislich infizierter Menschen bereits anonymisiert veröffentlicht, damit andere wissen, welche Orte sie meiden sollten. In Österreich versucht das Rote Kreuz, ein anonymisiertes Kontakt-Management per App zu etablieren.

In Deutschland gibt es das alles noch nicht und die politische Diskussion läuft noch. Trotzdem versuchen Kriminelle, Anwenderinnen und Anwender dazu zu verführen, sich angebliche Covid-19-Tracker herunterzuladen. Das Ziel ist es, Schadsoftware wie Banking- und Verschlüsselungstrojaner auf Smartphones und Tablets zu schleusen.

Apps mit falschen Informationen

Wie auf zahllosen Internetseiten und in sozialen Netzwerken, verbreiten Kriminelle und Trolle ihre Falschmeldungen auch über Apps. Ist die Rede von vermeintlich exklusiven Informationen, sollte man gleich hellhörig werden und skeptisch sein, rät die DsiN-Initiative.

Da es gerade in Krisenzeiten wichtig ist, amtliche Meldungen so schnell wie möglich zu erhalten, sind Apps unentbehrlich. Sicher und vertrauenswürdig sind hier insbesondere die Notfall-Informations-App des Bundesamts für Bevölkerungs- und Katastrophenschutz (BBK), Nina genannt, sowie die Anwendung Katwarn des Fraunhofer-Fokus-Instituts. Und natürlich gibt es auch seriöse Apps, die speziell über Covid-19 informieren –

Manipulierte und kopierte Webseiten

Auf betrügerische Internetseiten gelangt man oft über Suchmaschinen, weil Reizwörter wie Corona oder Covid-19 Teil der Internetadresse sind. Aber auch per E-Mail kommen Links zu solchen gefährlichen Pseudo-Angeboten. Entweder infiziert sich der Rechner aufgrund einer Sicherheitslücke gleich beim Öffnen der Seite. Oder Nutzer werden dazu gebracht, einen Download zu starten.

Doch statt der erhofften Informationen, etwa einer Virus-Ausbreitungskarte, gelangt Schadsoftware auf den Rechner. Eine der am häufigsten gefälschten Corona-Karten ist die der US-amerikanischen Johns-Hopkins-Universität. Wer sie aufrufen möchte, sollte die richtige Adresse genau kennen, nämlich https://coronavirus.jhu.edu/map.html. Und auch bei der Covid-19-Fallzahlenkarte des Robert-Koch-Insituts merkt man sich die Seite https://corona.rki.de besser.

Im Netz wimmelt es nur so vor guten Fälschungen. Sie sind sogar mit akkuraten und aktuellen Zahlen befüllt. Der Hintergrund:

Malware- und Phishing-Mails

Auch Malware-Dauerbrenner wie der Verschlüsselungs-Trojaner Emotet kursieren weiter – und kommen etwa in Mails mit vermeintlichen Neuigkeiten, Warnungen und Informationen zum Corona-Virus ins Haus. Und natürlich gibt es auch ihn bereits: Einen Computervirus, den seine kriminellen Schöpfer “CoronaVirus” getauft haben.

Spam- und Phishing-Mails beinhalten oft Fake-Angebote rund um gefragte Waren wie Atemschutzmasken oder Desinfektionsmittel, versprechen bahnbrechende Neuigkeiten, verbreiten Panik wegen angeblicher Schließungen oder spielen mit der Angst der Menschen.

So kursieren etwa – natürlich jeder Grundlage entbehrende – Drohungen, dass die ganze Familie mit dem Virus infiziert werden könnte, wenn der Empfänger einen geforderten Betrag nicht zahlt. Auch die Namen von Universitäten und selbst der der WHO werden missbraucht, um gefährliche Covid-19-Post unters Volk zu bringen.

Doch so groß Angst, Interesse oder Neugierde auch sein mögen: “Prüfen Sie lieber zweimal die Absenderadresse und den Inhalt jeder E-Mail. Im Zweifelsfall klicken Sie nicht auf Links und öffnen Sie keine Anhänge”, warnt der Verband der Internetwirtschaft (Eco). Denn sonst holt man sich Schadsoftware auf den Rechner oder landet auf Seiten, die sensible Daten wie etwa Zahlungsinformationen abjagen wollen. Besser: Solche Mails gleich löschen. (dpa / hcz)

Gesichtserkennung: Datenschützer untersucht Clearview

Erstellt am 24. März 2020, 16:00 Uhr | Kategorie: News

Der Hamburgische Datenschutzbeauftragte befragt den Gesichtserkennungsdienst Clearview zu seinem Geschäftsmodell. Das Unternehmen hatte für seine Datenbank massenhaft Bilder von Menschen im Internet gesammelt.

Gesichtserkennung
Clearview will seine Gesichtserkennungssoftware hauptsächlich an Strafverfolgungsbehörden vermarkten. Quelle: EFF (CC BY 2.0, cropped)

#more#

Der Hamburgische Datenschutzbeauftragte Johannes Caspar hat ein Prüfverfahren gegen das US-Unternehmen Clearview AI eingeleitet. Grundlage dafür ist die Beschwerde eines Betroffenen, der bei Clearview Auskunft über seine Daten gefordert hatte. Daraus haben sich eine “Reihe von Fragen über das dahinterliegende Datenverarbeitungsmodell” ergeben, wie Caspar gegenüber Posteo erklärte.

Clearview AI hat Milliarden Fotos im Internet gesammelt, um eine umfassende Datenbank zur Gesichtserkennung zu erstellen. Zu den Kunden des Unternehmens zählen hauptsächlich US-Strafverfolgungsbehörden.

Man wolle das Geschäftsmodell, die Datenquellen und den genauen Umfang der Datenverarbeitung verstehen, heißt es vom Hamburgischen Datenschutzbeauftragten. Zudem hat Caspar auch eine Kundenliste des Unternehmens angefordert. Hierbei geht es um Kunden, die sich im Geltungsbereich der Datenschutzgrundverordnung (DSGVO) befinden, also nicht um US-Behörden. “Auch für die Kunden von Clearview AI gelten datenschutzrechtliche Voraussetzungen und Pflichten”, so Caspar.

Dabei will sich Caspar mit anderen europäischen Kontrollbehörden abstimmen, die Clearview AI ebenso untersuchen, berichtet die Nachrichtenseite Heise Online.

Europäische Behörden sollen zu Kunden zählen

Denn auch Privatunternehmen und europäische Polizeibehörden sollen die Software zumindest als Testversion genutzt haben. Bundesbehörden, wie das Bundeskriminalamt, sollen hingegen keinen Kontakt zu Clearview gehabt und die Software auch nicht getestet haben. Das hatte eine Frage des Bundestagsabgeordneten Dr. Konstantin von Notz (Grüne) Ende Januar 2020 an die Bundesregierung ergeben. Diese Antwort schließt den Verfassungschutz und den Bundesnachrichtendienst allerdings aus.

Konsequenzen noch nicht absehbar

Als Frist für die Beantwortung der Fragen seitens Cleaview AI habe man den 15. April 2020 gesetzt. “Die Konsequenzen des Prüfverfahrens sind nicht absehbar, da noch viele Fragen geklärt werden müssen. Es könnte aber rein theoretisch auch in einem Bußgeldverfahren münden”, so Caspar.

Laut Heise Online sieht auch der Bundesdatenschutzbeauftragte Ulrich Kelber keine gesetztliche Grundlage für den Einsatz von Clearview. Die DSGVO verbietet grundsätzlich die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung von Personen. Ausnahmen für diese Regel gibt es etwa, wenn betroffene Personen der Verarbeitung ihrer Daten zugestimmt haben.

Fotos aus sozialen Netzwerken

Clearview AI hat unter anderem in sozialen Netzwerken öffentlich zugängliche Fotos für seine Datenbank automatisiert gesammelt. Kunden können über die App Fotos hochladen und bekommen dann alle Treffer angezeigt. Dazu zählen auch der Name und andere Informationen, die zusammen mit dem gefundenen Foto veröffentlicht wurden.

Wer von Clearview erfahren möchte, ob sich auch das eigene Gesicht in der Datenbank findet, kann bei dem Unternehmen anfragen und auch verlangen, dass die Daten gelöscht werden. Allerdings fordert Clearview dafür eine Ausweiskopie. Damit würde man dem Unternehmen jedoch einen validierten Datensatz übermitteln. Zwar muss Clearview diese Daten nach der Abfrage löschen – darauf sollte man sich aber nicht verlassen. Bisher ist wenig über Clearview AI bekannt, weshalb wir zum aktuellen Zeitpunkt davon abraten, das Unternehmen mit weiteren Daten zu füttern. Auch der Hamburgische Datenschutzbeauftrage sieht die Möglichkeit, dass Clearview so an weitere Daten gelangt. (js)