Cookie-Banner? Brauchen wir nicht!

Cookie-Banner? Brauchen wir nicht!

Cookie-Banner nerven! Sie gleichen einem Beipackzettel und blockieren mobile erstmal alles. Viele stimmen einfach zu oder gehen wieder weg. Nutzer sind genervt, Seitenbetreiber frustriert. Beiden kann geholfen werden!

Viele halten Cookie-Banner für unverzichtbar. Doch das stimmt nicht! Der Artikel 6, Absatz 1 DSGVO gibt Webseitenbetreibern das Recht, Nutzerdaten zu verarbeiten. Nicht immer ist eine Einwilligung nötig. Mitunter wird sie zum Fallstrick. Nehmen wir einen typischen Fall und vergleichen Absatz 1 lit. a), b) und f) mit §15 Abs. 3 TMG:

  • Ein Nutzer kommt erstmals auf eine Seite. Er ist (noch) kein Kunde. Gemäß lit. a) ist die Verarbeitung seiner Daten rechtmäßig, wenn er deren Zweck aktiv zustimmt. Laut DSK Positionspapier vom 16. April 2018 Seite 4 ist das erforderlich, wenn „Tracking- Mechanismen, die das Verhalten des Nutzers nachvollziehbar machen“ und die „Erstellung von Nutzerprofilen“ erfolgt.  Nicht alle Seiten tun das. Vielen haben aber Cookie-Banner, die dem Nutzer diverse Einstellungen abnötigen. Stimmt er genervt allem zu, ist das Ziel verfehlt. Lehnt er pauschal ab, ist jedwede Verarbeitung blockiert.
  • Bei einem Webshop ist ein Webseitenbesuch eine vorvertragliche Maßnahme, aus der ein Vertrag erfolgen kann. Hier greift Absatz 1 lit. b): Der Seitenbetreiber darf Daten ungefragt erheben, weil der Nutzer „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“. So erklärt es Erwägungsgrund 47. Es ist keine aktive Einwilligung nötig, unabdingbar ist jedoch eine hinreichende Information in der Datenschutzerklärung.
  • Lit. f) erlaubt dem Seitenbetreiber die Datenerhebung aus berechtigtem Interesse. Er darf ohne Einwilligung Nutzerdaten verarbeiten, sofern nicht „die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen“. Das wäre z.B. der Fall, wenn Nutzerdaten missbraucht werden könnten oder wenn „eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss“, sagt Erwägungsgrund 47. Gemeint sind Webanalyse und Social Media Plugins, die oft auf eigene Rechnung fleißig mitsammeln. Das geht auch anders.
  • § 15 Abs. 3 TMG steht dem nicht entgegen, mehr noch: Laut DSK Positionspapier vom 16. April 2018 ist dieser Absatz nichtig, da die DSGVO ab dem 25. Mai 2018 Vorrang hat.

Es gibt also durchaus Möglichkeiten, ohne Einwilligung Nutzerdaten zu verarbeiten. Neben Logfile-Analysen und digital Fingerprints erlauben lit. b) und f) auch eine Datenverarbeitung mithilfe von „Cookies“.
Wer sein Cookie-Banner loswerden oder reduzieren möchte, muss sich folgende Fragen beantworten:

  • Welche Nutzerdaten erhebe ich, welche brauche ich wirklich?
  • Werden die Daten und Grundrechte der Betroffenen ausreichend geschützt?
  • Wie ist das Tracking-Tool konfiguriert?
  • Werden Social Media Plugins via Zwei-Klick-Lösung oder Shariff Button aktiviert?
Cookiehinweis blockiert Bildschirm
Cookie-Banner nerven und frustrieren (Motive: pixabay)

Cookie-Banner? Brauchen wir nicht!

Am Institut für Datenschutz und Datensicherheit (kurz: IDD GmbH) checken wir, inwieweit die Datenverarbeitung auf der Website den Grundsätzen von Art. 6 Abs. 1 lit. b) und f) entspricht. Zudem prüfen wir, wie Marketing- und Tracking-Tools eingesetzt werden. Viele Unternehmen aktivieren viel, nutzen aber wenig. Sie gehen unnötige Risiken ein, obwohl „mildere Mittel“ voll ausreichen.

Risiken für die Betroffenen bestehen auch, wenn Webseiten unzureichend gesichert sind. Dann können Nutzerdaten abgegriffen werden, die weit über die Cookie Debatte hinausgehen. Deshalb geht unser Service noch einen Schritt weiter: Mit automatisierten PEN-Tests nehmen wir ganze Webanwendungen unter die Lupe und testen, ob sie sich durch Kriminelle austricksen lassen.

Möchten auch Sie Ihr Cookie-Banner reduzieren oder bestenfalls ganz loswerden? Dann kontaktieren Sie uns. Wir unterstützen Sie, damit Sie eine nutzerfreundliche und sichere Webseite anbieten können.

Cyberangriff per E-Mail

(K)ein Cyberangriff per Phishing-mail – Wir testen Mitarbeiter

Immer mehr Cyberattacken auf Unternehmen! Besonders raffiniert: Social Engineering via Phishing-Mails!
Worauf Mitarbeiter reinfallen, testen wir am IDD.

Wie bringt man unbescholtene Mitarbeiter dazu, dass sie geltende Sicherheitsstandards missachten, Cyberkriminellen die virtuelle Tür öffnen und die Hacker bei der Arbeit auch noch unterstützen?
Das gelingt, indem Kriminelle emotional aufgeladene Situationen konstruieren, die im Arbeitsalltag jederzeit passieren könnten. Beliebte Werkzeuge sind E-Mails oder Telefonanrufe. Erste Namen, Positionen, Nummern und Adressen liefert die Firmenwebsite selbst. Dann braucht es nur noch ein Szenario, das das Opfer anspricht.

Wie Hacker Mitarbeiter manipulieren

Cyberkriminelle nutzen schamlos unsere Hilfsbereitschaft aus. Sie machen ihre Opfer neugierig, neidisch, ängstlich oder versetzen sie in Panik. So gehen wir auch vor! Unsere IT-Sicherheitsberater entwickeln fiktive Testszenarien, mit denen sich reale Hacker Zugang zu vertraulichen Informationen oder ganze Systeme erschleichen könnten, vorausgesetzt, das Opfer spielt mit. Um möglichst viele Mitarbeiter auszutricksen, gehen wir stufenweise und in Variationen vor:

Ein einfacher Test fragt z.B. wie Mitarbeiter mit falsch zugestellten E-Mails umgehen. Löschen, weiterleiten oder lesen? Viele lesen, was nicht für sie bestimmt ist. Als Social Engineering Attacke haben sich Bewerbungsmails schon vielfach bewährt. Sie wecken Neugier wie Neid und die Dateianhänge wirken ganz normal. Die Klickraten sind gut, denn gerade in Bewerbermails lassen sich diverse Fallstricke verstecken: gefährliche Links, gefälschte E-Mail-Adressen oder Social Media Buttons. Ein Klick genügt und schon öffnet das Opfer eine schadhafte Datei oder landet auf einer bösartigen Website, die von der echten kaum zu unterscheiden ist. Unbemerkt wird ein Software Download auslöst, die sich ungefragt auf dem Rechner installiert.
Wer sich so nicht ködern lässt, der braucht sozialen Druck. Echte Kriminelle erzeugen häufig Panik, damit das Opfer handelt ohne nachzudenken. Attacken basieren auch auf Unvorsicht und Nachlässigkeit. Hacker hören zu und kommen so an interne Informationen.

Mitarbeiter mit Hacker Methoden fit machen

Wir tarnen uns als IT-Kollege und informieren die Kollegen: Ein IT-Sicherheitsproblem sei aufgetreten, man überprüfe die Login-Daten des Mitarbeiters. So eine Nachricht erzeugt Angst, Unsicherheit und appelliert an die eigene Hilfsbereitschaft. Solch eine Nachricht funktioniert umso besser, je dringender das Problem und je mehr der Adressat mit in Verantwortung gezogen wird. Hat die Mail wohlmöglich eine Chefsignatur, kontrolliert kaum einer die Adress- Syntax.

Durch diese Art der Beeinflussung (Social Engineering) führen Opfer Handlungen aus, die geltenden Sicherheitsstandards widersprechen.  Firewalls, Spamfilter und Autoresponder fangen zwar einen Großteil der Fake E-Mails ab, aber wirklich gute und kreative Social Engineer Angreifer kommen durch.

Wie gehen Ihre Mitarbeiter damit um? Lassen sie sich leicht manipulieren oder handeln sie grundsätzlich richtig? Welche Emotionen greifen, wie viel Druck ist nötig? Wie ausgeklügelt muss der Angriff sein, um potenzielle Opfer zu überlisten?
Das und mehr prüfen wir. Unsere kreativen IT-Sicherheitsberater erfinden Social Engineering Cyberattacken, die unterschiedliche Mitarbeitertypen ansprechen. Wir messen die Reaktionen und werten sie aus: Wie oft wurde die falsche Mail munter weitergeleitet, wurde sie ernsthaft beantwortet? Wie oft wurden Dateianhänge geöffnet oder manipulierte Links geklickt? Wurden sensible Daten weitergegeben?

Sind Sie gegen alle Tricks gefeit? Warten Sie nicht, bis echte Kriminelle das herausfinden. Kontaktieren Sie besser die Experten vom Institut für Datenschutz und Datensicherheit. Wir testen und schulen auch Ihr Unternehmen, denn das ist der beste Schutz vor Social Engineering Cybercrime.

Sichere Website

Ist Ihre Website sicher? Wir checken das!

Sichere Webseiten schaffen Vertrauen und bringen Umsatz. Unsichere Internetseiten verursachen Millionenschäden, kosten Kunden und mitunter die Reputation.
Ist Ihre Website ausreichend vor Angriffen geschützt? Wir finden es heraus mit einem IDD Website Pentest!

Unternehmen, die auf Website Security setzen, gewinnen an Ansehen, Rankings und Kunden. Umgekehrt laufen Firmen Gefahr, sich übers Internet mehrfach zu schaden, wenn sie eine unsichere Seite betreiben.

Die Zeit drängt: 15% mehr Cybercrime meldete das „Bundeslagebild Cybercrime 2019“ des BKA gestern. Bereits 2018 waren laut bitkom research 3 von 4 der befragten Unternehmen Opfer einer Cyberattacke. In 21% der Fälle wurden sensible Daten gestohlen.

Am Institut für Datenschutz und Datensicherheit in Bremen (kurz: IDD GmbH) sind daher Pentests Teil der Website Security Checks.
Unsere Website Scans beschränken sich nicht nur auf die Überprüfung von Cross-Site Scripting, SQL- und Code-Injection Manipulationen. Bei unserem Test werden aktuell bis zu mögliche 400 Angriffsszenarien durchgespielt und in Risiko-Stufen kategorisiert.
Damit geben wir unseren Kunden eine Zustandsbeschreibung und eine Hilfestellung, was zu tun ist. Indem wir die Tests wiederholt durchführen, können wir die Seiten immer wieder auf neue Bedrohungen hin überprüfen.

Webseiten DSGVO-konform absichern

Es muss nicht gleich die große Cyberattacke sein. Schon die normale Informationssuche wird zum Imagegau, wenn der Browser die Webseite als „nicht sicher“ einstuft. Weil Google 2016 genau damit drohte, ließen Betreiber ihre Websites auf HTTPS umstellen. Doch einmal handeln reicht nicht!
Was als SSL-Verschlüsselung begann, entwickelt sich mit jeder Transport Layer Security (TLS) laufend weiter. Hier heißt es am Ball bleiben, darum prüfen Website Pentester nicht nur, ob TLS installiert wurde, sondern auch welche Version auf der Seite aktiv ist.
Gemäß Art. 32 DSGVO ist stets der Seitenbetreiber verantwortlich, wenn personenbezogenen Daten nicht sicher übermittelt werden. Damit haben sich die gesetzlichen Anforderungen verschärft, denn die Bedrohung wächst:
Am 30.04.2020 meldete die G DATA CyberDefense 30% mehr Cyberangriffe im März 2020 als im Vormonat. Der millionenfache Einsatz privater Rechner im Homeoffice ist wohl eine gute Gelegenheit. Das zeigt auch eine aktuelle Umfrage im Digitalbarometer 2020 des BSI: Danach ist jeder 10. Nutzer ohne Schutz im Netz aktiv.

Schutz vor CSRF-Attacken auf Unternehmen

Cyberkriminelle haben vielfach Unternehmen im Visier. Welche, das belegen globale Angriffsdaten der NTT Ltd., die heise.de am 10.06.2020 veröffentlichte: Danach bevorzugen Hacker in Deutschland Technologiefirmen und das Verarbeitende Gewerbe. In 48% der Fälle greifen sie Webseiten und Content-Management Systeme an, in dem sie z.B. websiteübergreifende Anfragen fälschen.

Diese CSRF-Attacken (Cross-Site-Request-Fogerty) geschehen häufig über sog. Man-in-the-Middle Manipulationen, d.h. der Angreifer hackt sich zwischen zwei Kommunikationspartner. Er hört bzw. liest mit oder schlimmer noch: Er täuscht vor, der jeweils andere zu sein. Auf diese Weise kann er ganze Datenpakete abgreifen, umleiten und manipuliert zurückspielen. Die Methode zieht, da jeder 3. Befragte dem BSI 2020 vom einem Account Fremdzugriff berichten konnte.

Die IDD Website Pentests scannen genau, wie und wo diese Art der Anfragefälschung möglich ist. Sie dokumentieren alle Funde und sprechen Handlungsempfehlungen aus, wie diese Lücke geschlossen werden kann. Die Berichte liefern Seiteninhabern, betriebsinternen Datenschützern, Marketing- und IT-Abteilungen strukturierte Hilfen, wie sie gemeinsam die eigene Website sicher machen und dadurch die Kundenzufriedenheit steigern, ihre Reputation im Netz schützen und nachhaltig fördern.

Möchten auch Sie Ihre Website mal gründlich checken lassen? Dann kontaktieren Sie uns einfach und ganz unverbindlich. Wir beraten Sie gerne.

Corona-Warn-App Datenschutz

Corona-Warn-App – Wie lassen sich Skeptiker überzeugen?

Soll die Corona-Warn-App erfolgreich sein, müssen 60% der Bundesbürger mitmachen. Skeptiker befürchten einen unkontrollierten Datenfluss. Daher hat das Bremer Institut für Datenschutz und Datensicherheit (IDD GmbH) diesen genau analysiert.

Die Corona-Warn-App wurde von namenhaften Unternehmen im Auftrag der Bundesregierung entwickelt. Beteiligt waren zum Beispiel die Deutsche Telekom, SAP, das Helmholtz-Institut und der Chaos Computer Club. Letzterer hatte den Schutz vor Missbrauch im Blick.

Die Corona-Warn-App soll Infektionsketten unterbrechen und registriert alle Kontakte im Umkreis von 2 Metern, die sich in der Nähe aufhalten und ebenfalls die App via Bluetooth aktiviert haben. Dazu muss sie aber ständig mitlaufen. Skeptiker befürchten nun, dass – wie bei Goolge – dabei permanent Daten über den Smartphonenutzer versendet werden. Sind diese Ängste berechtigt? Dieser Frage ist Dietmar Niehaus, Ingenieur, Datenschützer und Geschäftsführer des Instituts für Datenschutz und Datensicherheit in Bremen (IDD GmbH) nachgegangen:

Welche Daten erzeugt die Corona Warn-App?

Die Corona-Warn-App hat einen ID-Code, der alle 20 Minuten neu erstellt wird. Das sind 72 ID-Codes pro Tag und somit 1008 in 14 Tagen. Nach 14 Tagen wird jeder Code gelöscht. Und das passiert permanent. Es werden somit laufend 1008 Datensätze mit ID-Codes auf dem Smartphone gespeichert. Nur die „eigene“ Corona-Warn-App kennt auch die eigenen ID-Codes.

Ist ein anderer App-Nutzer in der Nähe, tauschen beide Corona-Warn-Apps die aktuellen ID-Codes aus und speichern die fremden in der eigenen-Warn-App. Diese werden ebenfalls nach 14 Tagen gelöscht. Wer innerhalb von 14 Tagen 200 Personen begegnet, hat somit 1008 eigene und 200 fremde ID-Codes in seiner Coroan-Warn-App gespeichert. Die fremden IDs lassen sich keiner Person zuordnen. Sie werden auch nicht angezeigt. Keiner erkennt daraus, wem er wo alles begegnet ist.

Was passiert im Ernstfall?

Wer positiv auf Corona getestet wurde, erhält vom Arzt bzw. zuständigem Labor einen QR-Code, mit dem sich der Nutzer als Corona-infiziert in seine App eintragen kann. Die Corona-Warn-App überträgt dann alle 1008 ID-Codes an einen zentralen Server. Der zentrale Server kennt aber den betroffenen Nutzer nicht. Er kennt nur die 1008 ID-Codes, kann sie aber niemandem zuordnen. Das Gesundheitsamt erfährt von einer Infektion nicht durch die Corona-Warn-App, sondern wegen der Meldepflicht vom Arzt.

Diese 1008 ID-Codes des einzelnen Infizierten werden einmal pro Tag von jeder installierten Corona-App abgerufen. Damit werden allen fremden IDs verglichen, die schon in der eigenen App gespeichert sind. Bei einem Treffer wird die eigene App rot und empfiehlt einen Corona-Test. Der Nutzer erfährt nicht, wer ihn gefährdet hat. Umgekehrt weiß niemand, wer den Treffer ausgelöst hat. Beide Seiten können selber entscheiden, was sie jetzt tun.

Aber die Corona-Warn-App kann noch mehr: Sie gibt grundsätzliche Empfehlungen, aber der Nutzer entscheidet, wie er damit umgeht. Wer zum Beispiel zu viele Kontakte hatte, bekommt ein gelbes Feed-Back von der App. Dann ist zu überlegen, ob Kontakte reduziert, Risikopersonen gemieden, mehr Wert auf Abstand gelegt werden sollte oder alles beim Alten bleibt. Das unterliegt der eigenen Verantwortung.

Skeptiker können beruhigt sein, denn die Corona-Warn-App gibt somit nur Daten weiter, wenn er oder sie das möchten. Niemand erfährt vom eigenen Zustand.

Dennoch sieht der Datensicherheitsexperte auch Risiken:

Eigentlich gibt es nur zwei Risiken, die sich aber in Grenzen halten. Zum einen muss die Bluetooth-Schnittstelle ständig aktiviert sein. Dies bietet Hackern eine Angriffsfläche. Dazu müssen sich die Übeltäter aber in meiner Nähe aufhalten und das über eine gewisse Zeit. So greifen sie aber erfahrungsgemäß nicht an. Das Risiko ist somit begrenzt.
Wer in der geöffneten Bluetooth Schnittstelle ein Problem sieht, der sollte sich fragen, ob sie nicht aus anderen Gründen sowieso häufig geöffnet ist, Stichwort: Earphones.

Kritisch sieht Datenschützer Niehaus die möglichen Nachteile, die den Warn-App-Verweigerern entstehen könnten: Es darf nicht sein, dass – wie in Südkorea – auch in Deutschland zum Beispiel die Nutzung öffentlicher Verkehrsmittel, Restaurantbesuche oder der Zutritt zum Arbeitsplatz davon abhängig gemacht werden, dass die Corona-Warn-App installiert und aktiv ist. Der Erfolg der Corona-Warn-App beruht schließlich auf der Freiwilligkeit der Nutzer.

Ein weiteres Problem sind technische Hürden:
So funktioniert die App nicht auf allen Smartphones, sondern erst ab iPhone 6S bzw. Android 6. Zudem ist die deutsche Warn-App im Urlaub nur begrenzt einsetzbar. In Europa existieren viele unterschiedliche Corona-Warn-Apps. Die haben ein gemeinsames Ziel, mehr aber nicht. Zudem behindern sie sich teilweise. So kann ein Urlauber in Holland mit der deutschen Corona-Warn-App nicht auf die Server in Deutschland zugreifen und umgekehrt.

Wie ist es nun um den Datenschutz bestellt?

So ist es in Ländern in Südostasien üblich, dass die Daten zentral von der Regierung ausgewertet und sogar mit anderen Daten abgeglichen werden. Dies hat zum Beispiel in Singapur dazu geführt, dass nur 25 % der Bürger die App installiert haben. In Deutschland ist das anders. Die deutsche Corona-Warn-App arbeitet anonym. Der Nutzer hat die volle Kontrolle über seine Daten und die Nutzung ist freiwillig. Jeder kann seine Corona-Warn-App jederzeit löschen und dadurch alle Datenspuren beseitigen.

Ausblick und Zusammenfassung

Die deutsche Corona-Warn-App ist eine Meisterleistung deutscher Ingenieurkompetenz. Sie arbeitet gut und ist sehr, sehr datenschutzfreundlich konzipiert und umgesetzt. Die App ist zudem als OpenSource programmiert. Dies bedeutet, dass sie theoretisch weltweit kostenlos verwendet werden kann. Es wäre sogar sinnvoll, wenn andere Nationen diese Software übernehmen und einsetzen. Dadurch würden Reisen für alle sicherer werden. Da Corona vor den Grenzen nicht halt macht, sollte die Corona-Warn-App das auch nicht tun.