Die iOS-App "Mail" enthält nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) schwerwiegende Sicherheitslücken. Angreifern ist es aktuell möglich, durch das Senden einer E-Mail an ein iPhone oder iPad, die darauf enthaltenen E-Mails zu Lesen, zu Verändern oder zu Löschen.
Dazu BSI-Präsident Arne Schönbohm:
"Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet."
Aktuell wir das Löschen der App „Mail“ empfohlen. Zum Abrufen und Lesen von E-Mails sollte bis zur Schließung der Sicherheitslücke auf andere Apps oder Webmail zurückgegriffen werden.
Das angekündigte iOS-Update sollte schnellstmöglich eingespielt werden, sobald es von Apple zur Verfügung gestellt wurde.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Angesichts der Ausbreitung des Corona-Virus ist die momentane Lage vor allem durch Unsicherheit geprägt. Weltweit ergreifen Staaten alle sich bietenden Möglichkeiten, um ein besseres Bild der Situation zu bekommen. Einige Nationen, vor allem in Asien, setzen dabei auf das umfassende Tracking von Mobiltelefonen. Aus Sicht des Datenschutzes stellen sich hierzu verschiedene Fragen. Es mag sein, dass Bewegungsprofile generell Aufschluss über die Mobilität einer Gesellschaft geben können. In diesem Sinne hat auch der Bundesdatenschutzbeauftragte eine anonymisierte Auswertung von Mobilfunkdaten bereits durchgewunken. Wäre eine solche Maßnahme mit Personenbezug geeignet, um zuverlässig die Ausbreitung eines Virus in der physischen Wirklichkeit abzubilden? Schon aus technischen Gründen sind Zweifel angebracht. Erstens sind die Abfragen von Mobilfunkzellen in Bezug auf den Standort nicht ausreichend genau, um eine ansteckungsrelevante Distanz von 1,50 m abzubilden. Dies gilt wohl auch bei Nutzung von GPS, welches zwar im Meterbereich genauer arbeitet, aber dennoch nicht den physischen Kontakt zwischen zwei Personen abbilden kann, zumal es als satellitengestütztes System innerhalb von Gebäuden nicht zuverlässig funktioniert. Hinzu kommt die Frage, wie es sich bei Funklöchern, eingeschaltetem Flugmodus oder leerem Akku verhält.
Spätestens unter Berücksichtigung des damit verbundenen Aufwands stellt sich die Frage, ob es zur Zeit nicht sinnvollere, medizinische und hygienische Maßnahmen gibt, die den gewünschten Zweck besser erreichen können, als die Erstellung eingriffsintensiver Bewegungsprofile.
Gegen die freiwillige Installation einer entsprechenden App mit Personenbezug ist aus Sicht des Datenschutzes bei ausreichender Information der Nutzer nichts einzuwenden. Hierbei würde man versuchen, mittels (eingeschaltetem) Bluetooth-Nahbereichsfunk Aufschlüsse über Kontakte zu möglicherweise Infizierten zu erhalten. Diese könnten auch im Nachhinein genutzt werden, um gefährdete Kontaktpersonen ggf. in Quarantäne zu nehmen.
Fraglich ist aber, ob die technische Umsetzung in kurzer Zeit gut und sicher gelingen kann. In einem anderen Zusammenhang scheint dies nicht der Fall zu sein. Das Computermagazin c`t hat in der COVID-19-App der Telekom insbesondere in puncto Verschlüsselung schwerwiegende Sicherheitslücken aufgedeckt. Hierdurch waren unbefugte Zugriffe auf den Server möglich.
Gerade wenn es sich um sensible personenbezogene Daten handelt sind jedenfalls hohe Anforderungen an den Datenschutz und die informationstechnische Sicherheit von Apps zu stellen!
Auch die Aufsichtsbehörden haben hierzu bereits Stellung bezogen.
Wir wünschen allen direkt und indirekt von „Corona“ Betroffenen viel Kraft und Durchhaltevermögen!
Florian S.
Ass. Jur. | M.A.
Consultant für Datenschutz
Ein IT-Mitarbeiter hatte ohne Wissen seines Arbeitgebers eine Sicherheitslücke bei einem Kunden-Unternehmen entdeckt und ausgenutzt.
Hierfür bediente er sich der Kundendaten (Namensangaben von Ansprechpartnern etc.), die sein Arbeitgeber auf eigenen Systemen gespeichert hatte.
Beweggrund des IT-Mitarbeiters war wohl, dem Kunden die Sicherheitsmängel deutlich zu machen. Vielleicht gut gemeint, aber leider auch ein Verstoß gegen die DSGVO. Denn bei jeder Datenverarbeitung ist die Zweckbindung einzuhalten. Und Zweck der Daten war nicht, Sicherheitslücken aufzudecken oder sogar auch noch auszunutzen. Weder der Arbeitgeber noch der Kunde, die für die Daten datenschutzrechtlich verantwortlich sind, hatten eine solche Erlaubnis erteilt.
Folge der unbedachten Aktion war die fristlose Kündigung. Das Arbeitsgericht erachtete die Kündigung auch als gerechtfertigt, da der IT-Mitarbeiter „gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen“ habe.
Dies zeigt einmal mehr, wie wichtig es ist, dass Unternehmen ihre Mitarbeiter im Umgang mit personenbezogenen Daten durch regelmäßige Awareness-Maßnahmen sensibilisieren und sie mit den rechtlichen sowie vertraglichen Vorgaben insbesondere bei der Verarbeitung von Kundendaten vertraut machen.
S. Kieselmann
Senior Consultant Datenschutz
Dipl.sc.pol.Univ.