Angesichts der Ausbreitung des Corona-Virus ist die momentane Lage vor allem durch Unsicherheit geprägt. Weltweit ergreifen Staaten alle sich bietenden Möglichkeiten, um ein besseres Bild der Situation zu bekommen. Einige Nationen, vor allem in Asien, setzen dabei auf das umfassende Tracking von Mobiltelefonen. Aus Sicht des Datenschutzes stellen sich hierzu verschiedene Fragen. Es mag sein, dass Bewegungsprofile generell Aufschluss über die Mobilität einer Gesellschaft geben können. In diesem Sinne hat auch der Bundesdatenschutzbeauftragte eine anonymisierte Auswertung von Mobilfunkdaten bereits durchgewunken. Wäre eine solche Maßnahme mit Personenbezug geeignet, um zuverlässig die Ausbreitung eines Virus in der physischen Wirklichkeit abzubilden? Schon aus technischen Gründen sind Zweifel angebracht. Erstens sind die Abfragen von Mobilfunkzellen in Bezug auf den Standort nicht ausreichend genau, um eine ansteckungsrelevante Distanz von 1,50 m abzubilden. Dies gilt wohl auch bei Nutzung von GPS, welches zwar im Meterbereich genauer arbeitet, aber dennoch nicht den physischen Kontakt zwischen zwei Personen abbilden kann, zumal es als satellitengestütztes System innerhalb von Gebäuden nicht zuverlässig funktioniert. Hinzu kommt die Frage, wie es sich bei Funklöchern, eingeschaltetem Flugmodus oder leerem Akku verhält.
Spätestens unter Berücksichtigung des damit verbundenen Aufwands stellt sich die Frage, ob es zur Zeit nicht sinnvollere, medizinische und hygienische Maßnahmen gibt, die den gewünschten Zweck besser erreichen können, als die Erstellung eingriffsintensiver Bewegungsprofile.
Gegen die freiwillige Installation einer entsprechenden App mit Personenbezug ist aus Sicht des Datenschutzes bei ausreichender Information der Nutzer nichts einzuwenden. Hierbei würde man versuchen, mittels (eingeschaltetem) Bluetooth-Nahbereichsfunk Aufschlüsse über Kontakte zu möglicherweise Infizierten zu erhalten. Diese könnten auch im Nachhinein genutzt werden, um gefährdete Kontaktpersonen ggf. in Quarantäne zu nehmen.
Fraglich ist aber, ob die technische Umsetzung in kurzer Zeit gut und sicher gelingen kann. In einem anderen Zusammenhang scheint dies nicht der Fall zu sein. Das Computermagazin c`t hat in der COVID-19-App der Telekom insbesondere in puncto Verschlüsselung schwerwiegende Sicherheitslücken aufgedeckt. Hierdurch waren unbefugte Zugriffe auf den Server möglich.
Gerade wenn es sich um sensible personenbezogene Daten handelt sind jedenfalls hohe Anforderungen an den Datenschutz und die informationstechnische Sicherheit von Apps zu stellen!
Auch die Aufsichtsbehörden haben hierzu bereits Stellung bezogen.
Wir wünschen allen direkt und indirekt von „Corona“ Betroffenen viel Kraft und Durchhaltevermögen!
Florian S.
Ass. Jur. | M.A.
Consultant für Datenschutz
Aufgrund des Auftretens des Coronavirus (COVID-19) erleben wir aktuell die schwerwiegendste Beeinträchtigung des öffentlichen wie auch wirtschaftlichen Lebens seit vielen Jahrzehnten. Wo Firmen den Betrieb nicht ganz einstellen schicken sie Mitarbeiter überstürzt ins oft nicht vorhandene Homeoffice. Wegbrechende Nachfrage und die veränderten Arbeitsbedingungen zwingen die Firmen zur Einleitung organisatorischer und technischer Notfallmaßnahmen. Kurz, vielerorts herrscht dieser Tage das Chaos.
Die Krise ruft selbstverständlich auch Cyberkriminelle auf den Plan, die sich die Unsicherheit der Menschen zunutze machen. Eine aktuelle Studie hat einen enormen Anstieg in den Registrierungszahlen von in Verbindung mit Corona stehenden Domains festgestellt, von denen viele offensichtlich für Phishing-Kampagnen verwendet werden. Die Studie berichtet ebenfalls von zahlreichen Cyberangriffen, bei denen COVID-19 als Aufhänger verwendet wurde.
Sensibilisieren Sie Ihre Mitarbeiter! Nachfolgende Beispiele zeigen die Vorgehensweise von Cyberkriminellen auf:
- Anfang Februar wurde eine E-Mail-Kampagne beobachtet, bei der verschiedenste Industrie-, Logistik-, oder Pharma-Unternehmen vor durch das Coronavirus verursachten Problem in Lieferketten gewarnt wurden. Details sollten dabei in einem angehängten Word-Dokument enthalten sein, bei dessen Öffnen sich Malware installierte.
- Mit dem Auftreten von Corona in Italien Anfang März waren Kriminelle mit einer E-Mail-Kampagne zur Stelle, bei der ein Dokument mit wichtigen Gesundheitsinformationen als Träger für einen Banking-Trojaner namens Trickbot Verwendung fand.
- Ein weiterer Banking-Trojaner wird in den letzten Wochen über verschiedenste Webseiten verbreitet, die Benutzer mit Informationen über das Coronavirus anlocken. Beispielsweise kann schon die Betrachtung eines Videos auf einer solchen Webseite genügen, um sich mit der Malware zu infizieren.
Auch das BSI meldet die ersten Fälle von COVID-19-Abzocke in Deutschland. So wurden in einer E-Mail-Kampagne Kunden der Sparkasse anlässlich Corona-bedingter Filialschließungen zur Überprüfung ihrer Kontaktdaten aufgefordert. Dabei war das Ziel, die Kunden auf eine manipulierte Seite zu locken, auf der die Kriminellen ebendiese Daten sammelten.
Wichtig:
Unternehmen und deren Mitarbeiter müssen nun trotz der angespannten Situation angesichts Corona einen kühlen Kopf bewahren und besondere Vorsicht walten lassen. Dies gilt insbesondere für
- den Umgang mit E-Mails oder Dateien aus ungewöhnlichen Quellen,
- dem Aufsetzen improvisierter Homeoffice-Lösungen und
- dem Konsum von Informationen über das Coronavirus.
Um es gar nicht erst so weit kommen zu lassen, empfehlen wir Unternehmen, ihre Mitarbeiter jetzt für das Thema zu sensibilisieren. Dies kann beispielsweise im Rahmen von kurzen Mitarbeiterschulungen oder simulierten Phishing-Kampagnen geschehen.
Die it.sec bietet Ihnen dazu in Kürze einen kostenlosen Webcast an, welches Sie zur Sensibilisierung ihrer eigenen Mitarbeiter verwenden können. Wir werden es gesondert auf unserer Homepage veröffentlichen.
Sollten Sie für Ihr Unternehmen individuelle Schulungen, zugeschnitten auf Ihre konkreten Anforderungen benötigen, kontaktieren Sie uns gerne unter nachfolgenden Kontaktdaten:
Dr. Dominic Breuker
Tel.: +49 731 20589-0
E-Mail: pentests@it-sec.de
Ihr Team der it.sec GmbH