Die iOS-App "Mail" enthält nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) schwerwiegende Sicherheitslücken. Angreifern ist es aktuell möglich, durch das Senden einer E-Mail an ein iPhone oder iPad, die darauf enthaltenen E-Mails zu Lesen, zu Verändern oder zu Löschen.
Dazu BSI-Präsident Arne Schönbohm:
"Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet."
Aktuell wir das Löschen der App „Mail“ empfohlen. Zum Abrufen und Lesen von E-Mails sollte bis zur Schließung der Sicherheitslücke auf andere Apps oder Webmail zurückgegriffen werden.
Das angekündigte iOS-Update sollte schnellstmöglich eingespielt werden, sobald es von Apple zur Verfügung gestellt wurde.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Angesichts der Ausbreitung des Corona-Virus ist die momentane Lage vor allem durch Unsicherheit geprägt. Weltweit ergreifen Staaten alle sich bietenden Möglichkeiten, um ein besseres Bild der Situation zu bekommen. Einige Nationen, vor allem in Asien, setzen dabei auf das umfassende Tracking von Mobiltelefonen. Aus Sicht des Datenschutzes stellen sich hierzu verschiedene Fragen. Es mag sein, dass Bewegungsprofile generell Aufschluss über die Mobilität einer Gesellschaft geben können. In diesem Sinne hat auch der Bundesdatenschutzbeauftragte eine anonymisierte Auswertung von Mobilfunkdaten bereits durchgewunken. Wäre eine solche Maßnahme mit Personenbezug geeignet, um zuverlässig die Ausbreitung eines Virus in der physischen Wirklichkeit abzubilden? Schon aus technischen Gründen sind Zweifel angebracht. Erstens sind die Abfragen von Mobilfunkzellen in Bezug auf den Standort nicht ausreichend genau, um eine ansteckungsrelevante Distanz von 1,50 m abzubilden. Dies gilt wohl auch bei Nutzung von GPS, welches zwar im Meterbereich genauer arbeitet, aber dennoch nicht den physischen Kontakt zwischen zwei Personen abbilden kann, zumal es als satellitengestütztes System innerhalb von Gebäuden nicht zuverlässig funktioniert. Hinzu kommt die Frage, wie es sich bei Funklöchern, eingeschaltetem Flugmodus oder leerem Akku verhält.
Spätestens unter Berücksichtigung des damit verbundenen Aufwands stellt sich die Frage, ob es zur Zeit nicht sinnvollere, medizinische und hygienische Maßnahmen gibt, die den gewünschten Zweck besser erreichen können, als die Erstellung eingriffsintensiver Bewegungsprofile.
Gegen die freiwillige Installation einer entsprechenden App mit Personenbezug ist aus Sicht des Datenschutzes bei ausreichender Information der Nutzer nichts einzuwenden. Hierbei würde man versuchen, mittels (eingeschaltetem) Bluetooth-Nahbereichsfunk Aufschlüsse über Kontakte zu möglicherweise Infizierten zu erhalten. Diese könnten auch im Nachhinein genutzt werden, um gefährdete Kontaktpersonen ggf. in Quarantäne zu nehmen.
Fraglich ist aber, ob die technische Umsetzung in kurzer Zeit gut und sicher gelingen kann. In einem anderen Zusammenhang scheint dies nicht der Fall zu sein. Das Computermagazin c`t hat in der COVID-19-App der Telekom insbesondere in puncto Verschlüsselung schwerwiegende Sicherheitslücken aufgedeckt. Hierdurch waren unbefugte Zugriffe auf den Server möglich.
Gerade wenn es sich um sensible personenbezogene Daten handelt sind jedenfalls hohe Anforderungen an den Datenschutz und die informationstechnische Sicherheit von Apps zu stellen!
Auch die Aufsichtsbehörden haben hierzu bereits Stellung bezogen.
Wir wünschen allen direkt und indirekt von „Corona“ Betroffenen viel Kraft und Durchhaltevermögen!
Florian S.
Ass. Jur. | M.A.
Consultant für Datenschutz
Ein IT-Mitarbeiter hatte ohne Wissen seines Arbeitgebers eine Sicherheitslücke bei einem Kunden-Unternehmen entdeckt und ausgenutzt.
Hierfür bediente er sich der Kundendaten (Namensangaben von Ansprechpartnern etc.), die sein Arbeitgeber auf eigenen Systemen gespeichert hatte.
Beweggrund des IT-Mitarbeiters war wohl, dem Kunden die Sicherheitsmängel deutlich zu machen. Vielleicht gut gemeint, aber leider auch ein Verstoß gegen die DSGVO. Denn bei jeder Datenverarbeitung ist die Zweckbindung einzuhalten. Und Zweck der Daten war nicht, Sicherheitslücken aufzudecken oder sogar auch noch auszunutzen. Weder der Arbeitgeber noch der Kunde, die für die Daten datenschutzrechtlich verantwortlich sind, hatten eine solche Erlaubnis erteilt.
Folge der unbedachten Aktion war die fristlose Kündigung. Das Arbeitsgericht erachtete die Kündigung auch als gerechtfertigt, da der IT-Mitarbeiter „gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen“ habe.
Dies zeigt einmal mehr, wie wichtig es ist, dass Unternehmen ihre Mitarbeiter im Umgang mit personenbezogenen Daten durch regelmäßige Awareness-Maßnahmen sensibilisieren und sie mit den rechtlichen sowie vertraglichen Vorgaben insbesondere bei der Verarbeitung von Kundendaten vertraut machen.
S. Kieselmann
Senior Consultant Datenschutz
Dipl.sc.pol.Univ.
Dass Office-Dokumente, die per E-Mail eingehen, nicht vorbehaltlos vom Anwender geöffnet werden dürfen, da sie Schadsoftware beinhalten können, ist mittlerweile schon bekannt. Doch dieses Mal ist nicht die bei Hackern beliebte Makro-Funktion das Problem, sondern die sogenannte Power-Query-Funktion.
Mit dieser Power-Query-Funktion ist es nun möglich, dass Daten in dem Excel aus externen Quellen geladen werden. Dies klingt im Grunde nicht schlecht, da damit Preise oder sonstige Daten immer aktuell gehalten werden können. In den Einstellungen ist es auch möglich diese Aktualisierungsrate zu präzisieren. Dabei kann angegeben werden, ob die Datei nur beim Öffnen aktualisiert werden soll oder ob auch während des Bearbeitens der Datei eine Hintergrundaktualisierung laufen soll.
Die Sicherheitslücke der Power-Query-Funktion ist für einen Angreifer nicht schwierig auszunutzen. Beim Einbinden der externen Quellen, kann ein Angreifer einfach auf eine Schadsoftware verlinken. Je nach Schadsoftware oder Motiv könnte ein Angreifer versuchen, den Computer zu übernehmen, wichtige Daten zu löschen oder zu verändern.
Die Power-Query-Funktion basiert auf dem sogenannten Dynamic Data Exchange (DDE) Protokoll. Da Microsoft schon vor längerer Zeit bemerkte, dass DDE genutzt werden kann, um Schadsoftware zu übertragen, wurde Microsoft Excel 2016 mit einem Sicherheitsmechanismus versehen. Ab Excel 2016 muss der Benutzer einen Doppelklick auf die Zelle durchführen, um das Aktualisieren der externen Daten zu ermöglichen. Dieser Sicherheitsmechanismus konnte jedoch schon ausgehebelt werden. Ein Angreifer muss dafür eine ältere Excel-Version mit der schadhaften Power-Query-Funktion generieren und verschicken. Excel 2016 öffnet diese älteren Versionen ohne Probleme, jedoch ohne Sicherheitsmechanismus. Die Bestätigung bzw. der Doppelklick des Benutzers wird bei älteren Versionen nicht benötigt und die Aktualisierung bzw. die Ausführung der Schadsoftware wird automatisch vorgenommen.
Von Microsoft wird die Power-Query-Funktion nicht als Sicherheitslücke angesehen. Somit wird laut Mimecast derzeit kein Fix angeboten, sondern nur ein Workaround, um der potenziellen Schadsoftware aus dem Weg zu gehen.
Der Workaround von Microsoft empfiehlt die Deaktivierung der Power-Query-Funktion. Dafür gibt es zwei Möglichkeiten. Eine Möglichkeit wäre es die Funktion über die Benutzeroberfläche zu deaktivieren. Zweite Variante wäre die DDE-Funktion in der Registry zu deaktivieren. Genaue Vorgehensweise für die Deaktivierung kann direkt im offiziellen Workaround nachgelesen werden.
Kathrin Hufnagl
IT Security Consultant