Social Media und Büro-Drucker in der Kritik
Datenschutzexpert: innen warnen regelmäßig vor Facebook & Co. – obwohl man beim Metakonzern dem Thema Datenschutz durch technische Anpassung immer wieder gerecht werden möchte. Auch der Zankapfel „Cookies ablehnen“-Button bereitet Kopfzerbrechen. Nicht nur Software – auch Hardware ist von IT-Sicherheitslücken immer wieder bedroht. Dies gilt etwa auch für Büro-Drucker. So wurden zuletzt in mehr als 150 Multifunktionsdrucker-Modellen des Weltmarktführers Hewlett-Packard gravierende Sicherheitslücken entdeckt.
„Angreifer konnten die Schwachstellen nutzen, um die Kontrolle über ungeschützte Drucker zu erlangen und Informationen zu stehlen“, sagt Micha Pfisterer, Geschäftsführer der Ext-Com IT GmbH und ergänzt: „Im schlimmsten Fall können die Netzwerke so infiltriert werden, dass weiterer Schaden angerichtet wird.“ Dabei können die Hewlett-Packard-Geräte via manipulierter Schriftart-Dateien angegriffen werden. Die Dateien enthalten einen schadhaften Code, der einen automatischen Druckbefehl auslöst. Der Drucker kann dann als Ausgangspunkt genutzt werden, um weiter in das Unternehmensnetzwerk vorzudringen. Bei so einer Cyberattacke können Daten gestohlen oder verändert werden. „Selbst das Aufspielen einer Verschlüsselungssoftware sei möglich, um dann die Opfer erpressen zu können“, gibt Pfisterer zu Bedenken.
„Wer Messenger-Dienste dennoch verwendet, sollte nicht nur grob wissen, inwieweit datenschutzrelevante Bedenken bestehen, sondern bei Einsatz dieses Dienstes auch mit dem Umgang vertraut sein. Ein Beispiel: Im Standard kann derjenige, der Sie in seinen WhatsApp-Kontakten hat, anhand der Statusmeldungen und Zustellbestätigungen von Nachrichten viel über Sie erfahren.“
Micha Pfisterer - Geschäftsführer der Ext-Com IT GmbH
WhatsApp richtig nutzen
Darüber hinaus kracht es auch bei WhatsApp immer wieder im Gebälk. „Wer Messenger-Dienste dennoch verwendet, sollte nicht nur grob wissen, inwieweit datenschutzrelevante Bedenken bestehen, sondern bei Einsatz dieses Dienstes auch mit dem Umgang vertraut sein“, rät Pfisterer. „Ein Beispiel: Im Standard kann derjenige, der Sie in seinen WhatsApp-Kontakten hat, anhand der Statusmeldungen und Zustellbestätigungen von Nachrichten viel über Sie erfahren.“ Wie etwa: „Warum hast Du nicht geantwortet, ich habe doch gesehen, dass Du die Nachricht gestern gelesen hast!” ist ein häufig ausgesprochener Vorwurf. Nehmen Sie Ihren Kontakten doch einfach die Möglichkeit, Sie zu kontrollieren! Dazu tippen Sie einfach in den Einstellungen auf Account und Datenschutz. Unter Zuletzt online schalten Sie die Information aus, wann Sie WhatsApp das letzte Mal genutzt haben. Damit wissen Ihre Kontakte nicht mehr, wann Sie online waren, „und Nachrichten hätten lesen können“, so der Ext-Com Geschäftsführer. Auch Profilbild, Infos und Status kann man als Nutzer verbergen oder weiterhin auf bestimmte Benutzergruppen sogar einschränken. Im selben Einstellungsbildschirm können Sie zudem die Lesebestätigungen ausschalten. Das führt zwar selbstverständlich dazu, dass Sie selbst ebenso keine Lesebestätigungen mehr sehen können – für Ihre Kontakte tauchen jedoch an den an Sie gesendeten Nachrichten, die beiden blauen Häkchen nicht auf. „Sie haben also vermeintlich die Nachrichten nicht gelesen, folglich müssen Sie auch nicht antworten“, klärt Pfisterer auf.
„Wie man als Laie nur unschwer erkennen kann, steht da nichts von einer Pflicht dazu – sprich, eine andere „Option“ zum einfachen „Ablehnen“ neben der Einwilligung anzubieten. Die Aufsichtsbehörden meinen aber, dass das Anbieten einer einfachen Ablehnungsoption Voraussetzung für die „Freiwilligkeit“ der Einwilligung ist."
Andrea Pfisterer - Externe Datenschutzbeauftragte der Ext-Com IT GmbH
Cookies ablehnen-Button sorgt für Zündstoff
Viele von uns nutzen ihn: das Cookie-Banner, das einen „Button“ vorsieht, mit dem die Verwendung von Cookies akzeptiert werden kann, sowie einen anderen Button, mit dem die Einstellungen für Cookies „konfiguriert“ oder „eingestellt“ werden können. Das birgt immer wieder Zündstoff, wie das folgende Dokument – der Orientierungshilfe der Aufsichtsbehörden für Anbieter: innen von Telemedien ab dem 1. Dezember 2021 (PDF) der Datenschutzkonferenz (DSK), darlegt. Kurzum: Die DSK geht davon aus, dass es rechtswidrig ist, weil „regelmäßig“ keine wirksame Einwilligung vorliegen würde. Streng juristisch gesehen, referenziert die Einwilligungsregelung für Cookies in § 25 TTDSG auf die Einwilligung der DSGVO. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“ Hierzu Andrea Pfisterer, Datenschutzexpertin der Ext-Com IT GmbH: „Wie man als Laie nur unschwer erkennen kann, steht da nichts von einer Pflicht dazu“ – sprich, eine andere „Option“ zum einfachen „Ablehnen“ neben der Einwilligung anzubieten. Die Aufsichtsbehörden meinen aber, dass das Anbieten einer einfachen Ablehnungsoption Voraussetzung für die „Freiwilligkeit“ der Einwilligung sei, so die externe Datenschutzbeauftragte der Firma Ext-Com. Aber keine Panik! Denn wir meinen wie viele Expert: innen auch: Es ist freundlich und gut, wenn ein „Cookies ablehnen“-Button in einem Cookie-Banner integriert ist. Wenn das aber eine Pflicht sein soll, dann sollte es gesetzlich geregelt sein. Das ist es derzeit nicht. „Und so lange bleibt die Orientierungshilfe der DSK primär das, was sie ist. Eine Meinungsäußerung von Aufsichtsbehörden. Diese sind aber nicht verbindlich“, merkt Pfisterer abschließend an. Der Grund: Letztlich entscheiden in einem Rechtsstaat die Gerichte, nicht die Aufsichtsbehörden!
Falls Sie Fragen zu den Themen IT-Sicherheit und Datenschutz haben, rufen Sie uns einfach gerne an!
Wir sind für Sie da!
Micha Pfisterer Geschäftsführer
Haben Sie Fragen rund um die Themen
IT Service & Sicherheit?