Datenschutz - Privacy - Digitale Selbstverteidigung

📲 🚆 Hier kommt ausnahmsweise im Kleingedruckten mal was halbwegs Positives ... ( #Bahncard #Digitalzwang )

Zumindest mal eine verbindliche Aussage für alle, die den #DBSchnüffelNavigator nicht nutzen können bzw. wollen.

\#DBApp #AppZwang #Bahncard #DBTracking #CustomROM #Datenschutz

/cc @schmittlauch @ueckueck @digitalcourage @kuketzblog @Bundesverband @datenschutz

Hi Leute,

nach der Suche nach einem sicheren (mobilen) Betriebssystem, nach LineageOS etc. sind wahrscheinlich viele von euch auch bei GrapheneOS gelandet.

Das Problem bezieht sich auf alle Custom Androids, aber nicht viele werden in Zukunft noch Sicherheitsanforderungen bestehen.

Das Problem: Google schafft sein Sicherheits-Framework "SafetyNet" ab, welches lückenhaft war, jedoch bisher die Nutzung etlicher Apps auch auf Custom Androids möglich gemacht hat (auch wenn das das Vortäuschen eines veralteten Geräts war...)

Ab jetzt werden Apps die "Play Integrity" verwenden, um zu bestimmen, ob dein Gerät sicher ist oder nicht.

Wichtig: Das ist freiwillig. Apps können es einbauen, aber auch andere Checks verwenden.

Und: noch verwenden viele Apps SafetyNet. Jetzt ist der Moment, wo neue Systeme eingebaut werden, jetzt wird Code geschrieben.

Und dieser muss sichere Androids, die nicht von Google verifiziert sind, erlauben!

GrapheneOS verwendet eigene Methoden, welche sicherer sind und auf Hardware-Attestierung basieren. Sie erklären, wie man dies implementieren kann, und so ohne Abhängigkeit von Google die Integrität des Betriebssystems nachweisen kann.

Banken sind in komplexen Abhängigkeitsbeziehungen, viele sind Tochterfirmen anderer Banken. Stellt also sicher, dass eure Bitte an höchster Stelle ankommt! Das ist bei sogenannten "Ökobanken" oft die Volksbank, deren SecureGoPlus z.B. die Atruvia entwickelt.

Verwendet gerne Teile meines Anschreibens, in dem ich meine Bank gebeten habe, GrapheneOS zu unterstützen. Über Verbesserungen freue ich mich natürlich auch.

Gerne können wir eine Liste mit Kontaktwegen zusammentragen. Berichtet bitte eure Ergebnisse im verlinkten Repository.

Text

Sehr geehrte Damen und Herren,

Google hat in Android die Nutzung der "SafetyNet"-Verifikation eingestellt¹, was bedeutet, dass Apps nun auf "Play Integrity" umstellen werden, um die Sicherheit des Gerätes zu attestieren, was dann als Voraussetzung für die Nutzung von Apps verwendet wird.

Dies ist ein großes Problem für die Nutzer*innen von GrapheneOS², einer auf Sicherheit und Privatsphäre optimierten Version von Android. GrapheneOS baut auf dem Code des Android Opensource Project (AOSP) auf, erweitert dessen Sicherheitsfunktionen jedoch drastisch.³

Ohne die zahlreichen Funktionen aufzulisten, ist es somit mindestens so sicher wie "Google certified" Versionen von Android, wobei sie einige erhebliche Sicherheitsfunktionen ergänzen.

Ein Ausschnitt:

• gehärteter Memory Allocator
• Schutz vor Auslesen des Encryption Keys durch auto-reboot
• Verbesserung der App-Sandbox mit weiteren Berechtigungen
• Verbesserung der Nutzung mehrerer Nutzerprofile, welche einen "cold state" (verschlüsselte Daten ohne Schlüssel im RAM) ohne einen Neustart erlauben
• verified & measured Boot mit gesperrtem Bootloader und vollen Sicherheitsfunktionen (deswegen momentan ausschließlich auf Google Pixel Geräten verfügbar)
• Hardware Attestation mit dem Auditor⁴
• Secure App spawning ohne die Verwendung einer Zygote, was die Sicherheit stark erhöht

Ich möchte sicherstellen, dass ich dieses sichere Betriebssystem weiterhin mit ihrer Bank verwenden kann, da für mich Sicherheit kompromisslos ist. Zudem steht sie für mich nicht im Gegensatz zu angemessenem Datenschutz, was GrapheneOS sehr gut demonstriert.

Um GrapheneOS in ihrer Sicherheitsverifizierung zu erlauben, können sie folgende Methode anwenden:

https://grapheneos.org/articles/attestation-compatibility-guide

Ich hoffe sehr, ihre Apps weiterhin verwenden zu können.

Mit freundlichen Grüßen,

Links:

¹ developer.android.com/privacy-and-security/safetynet/deprecation-timeline

² grapheneos.org

³ grapheneos.org/features

⁴ attestation.app

🧐 "Studie von Verbraucherorganisation: Facebook-Nutzer als Ware - Fast 200.000 Firmen [u.a. Amazon, Etsy, Paypal] geben einer Studie zufolge persönliche Nutzerdaten an Facebook weiter. Die Betroffenen können das nur auf Umwegen herausfinden" (taz)

taz.de/Studie-von-Verbrauchero…

"Das Online-Netzwerk Facebook sammelt pro Nut­ze­r:in persönliche Daten von mehreren tausend Unternehmen. Das ist das Ergebnis einer Studie der US-Verbraucherorganisation Consumer Reports.

Die Organisation hat dafür die Daten von 709 Facebook-Nutzer:innen ausgewertet, die diese für diesen Zweck gespendet haben. Grundlage dafür war, dass Nut­ze­r:in­nen sich die personenbezogenen Daten, die jeweils von ihnen bei Facebook gespeichert sind, bei der Plattform herunterladen können. Untersucht wurden dabei die Daten der vergangenen drei Jahre.

Im Durchschnitt wurden die Daten je­de:r Stu­di­en­teil­neh­me­r:in demzufolge von 2.230 Unternehmen an Facebook gesendet. Insgesamt wurden in der Studie knapp 200.000 Unternehmen gefunden, die persönliche Daten ihrer Nut­ze­nden an Facebook weitergeben. Spitzenreiter war ein Fall, bei dem zu einem Nutzer Daten von rund 48.000 Firmen gefunden wurden. Die Stu­di­en­au­to­r:in­nen vermuten, dass es sich hier um eine Person handeln muss, die für die Werbebranche besonders interessant ist.

Da die Nut­ze­r:in­nen mit ihrem #Datenspenden freiwillig einem Aufruf folgten, ist das Ergebnis nicht repräsentativ – im Durchschnitt aller Nutzenden kann die Zahl höher oder niedriger liegen. Dennoch weist sie zumindest auf die Größenordnung hin, in der Facebook Daten sammelt.

Consumer Reports zufolge ist diese Art des Trackings, also der digitalen Nachverfolgung, für die Nut­ze­r:in­nen in der Regel unsichtbar. Der Facebook-Mutterkonzern Meta setzt daneben auch Tracking ein, das die Nut­ze­r:in­nen – gegebenenfalls mit ein paar technischen Kenntnissen – erkennen und verhindern können. Zum Beispiel, wenn Inhalte von #Facebook bei anderen Webseiten eingebunden sind.

Meta sieht Firmen in der Pflicht

Nut­ze­r:in­nen können selbst die Informationen über die eigenen gespeicherte Daten herunterladen. Zu finden ist die Funktion im Bereich „Einstellungen“ – eine Anleitung von Facebook findet sich hier.

Dabei könnte aber einer der Kritikpunkte der #Verbraucherschutzorganisation zum Tragen kommen: Denn die Firmennamen, die in der Studie gefunden wurden, sind nicht unbedingt solche, die Nut­ze­r:in­nen üblicherweise kennen dürften. Sondern kleine, außerhalb der Branche unbekannte #Datenhändler. Darüber hinaus hätten sich jedoch auch bekannte Unternehmen gefunden: unter anderem Amazon, Etsy, Paypal und in den USA große Einzelhändler wie Walmart und Macy’s.

Ein Meta-Sprecher verwies auf Anfrage darauf, dass laut den Nutzungsbedingungen die zuliefernden Firmen dafür verantwortlich seien, die Erlaubnis zu der entsprechenden #Datenverarbeitung und -weitergabe einzuholen. Meta selbst biete „eine Reihe von Transparenz-Tools an“, mit Hilfe derer die Nut­ze­r:in­nen dabei unterstützt werden sollten, die Datenverarbeitung zu verstehen."

\#Datenschutz #Tracking #Plattformökonomie #Überwachungskapitalismus @taz #taz @tazgetroete @taz @datenschutz

"Eine Enthüllung in den Niederlanden zeigt die Risiken durch den weltweiten Datenhandel – auch für die nationale Sicherheit. Demnach standen detaillierte Standortdaten von potentiell Millionen Niederländer*innen zum Verkauf, darunter Angehörige des Militärs. (...) BNR berichtet, mit welch simplen Schritten es gelang, konkrete Personen hinter den Daten auszumachen. Hierfür mussten bloß öffentlich verfügbare Informationen miteinander kombiniert werden: an welchen Orten Menschen schlafen und an welchen Orten Menschen arbeiten. Ersteres lasse sich durch öffentliche Register wie das Grundbuchamt herausfinden, letzteres über LinkedIn.

Nutzer*innen sollen Einwilligung selbst gegeben haben

Die genaue Herkunft der Daten konnte BNR nicht herausfinden. Den Datenhändlern zufolge stammen sie aus Apps, denen Nutzer*innen eine Erlaubnis zur Verwendung von Standortdaten erteilt haben. Dazu können etwa Fitness- oder Navigations-Apps gehören. Vergangenes Jahr haben wir in unserer Xandr-Recherche gezeigt, dass Wetter-Apps eine enorm wichtige Quelle für Standortdaten sind. (...)"

Man sollte ja meinen, man hätte aus Piratenzeiten was gelernt. Aber so…

Schlangen an meiner Brust!

> Aus Sicht der Kläger verspricht Google den Nutzern, im Inkognito-Modus des Chrome-Browsers keine Daten zu sammeln, halte sich jedoch nicht an dieses Versprechen. Denn über Webseite-Plug-ins wie Ad Manager und Analytics sammelt Google unbestritten auch die Daten von Nutzern, die im Inkognito-Modus ihres Browsers surfen. Nach Darstellung der Kläger kombiniert Google zudem diese Daten mit dem bestehenden Nutzerprofil, um besser passende Werbung anzeigen zu können.

> Was die Sicherheitsforscher nun vorstellten, war ein massiver Implementierungsfehler. Bei insgesamt acht Krankenkassen wurden von Dienstleistern dieselben S/MIME-Keys vergeben. Dadurch wurde die Verschlüsselung unter den Beteiligten aufgehoben – und jeder der Beteiligten hätte für die anderen Krankenkassen mit gleichem Key auch Nachrichten signieren können. "Das ist der GAU in der PKI" (der Public Key Infrastructure), erläuterte Schinzel. Den Sicherheitsforschern zufolge hatten einmal drei Krankenkassen denselben im September 2021 ausgestellten Schlüssel, bei einem zweiten Schlüssel fünf. 28 Prozent der Bürger seien über diese acht Krankenkassen versichert gewesen.

CCC-Seite zum Vortrag: KIM: Kaos In der Medizinischen Telematikinfrastruktur (TI)

Direkter Video-Download: 1080p | 576p - Dauer: 1 Stunde

🚆 💳 🔚 Gibt es eigentlich nun sowas wie ein Sonderkündigungsrecht für die Bahncard ? (da sie fortan ja nur noch via Google- oder Apple-Geräte nutzbar sein soll?)

Wir haben gerade die Rechnung für das nächste Jahr erhalten, aber unter diesen Umständen werden wir sie wohl dann nicht nutzen können.

"ab Mitte kommenden Jahres wird ein nicht unerheblicher Teil davon von einer App abhängig sein, die nur über die Plattformen der jeweiligen Anbieter wie Apple und Google zu bekommen ist, an der es einiges an Kritik in Sachen Datenschutz gibt – und die natürlich nur auf einem entsprechenden Endgerät läuft." ( @tazgetroete @taz , siehe auch feddit.de/comment/5581631

\#Bahncard #AskFedi #Digitalzwang #Datenschutz #TeamDatenschutz @datenschutz // cc @bfdi @Bundesverband @digitalcourage

Kommentarbeitrag von FrauTux:

"Mit Erschrecken habe ich neulich im Fediverse diesen Link zu LinkedIn und einem Statement des CIO der Bundesagentur für Arbeit gefunden.

Stolz wird verkündet, dass ab Januar 2024 die Bundesagentur für Arbeit Microsoft Office 365 ausrollen wird und das keine 21 Wochen nach Bekanntgabe des Angemessenheitsbeschlusses zwischen den USA und der EU.

Dabei werden zusätzich noch namentlich alle Kollegen verlinkt, die das Thema vorangetrieben haben inkl. der Deutsche Rentenversicherung Bund.

Ein Nutzer hat daraufhin bei Frag den Staat eine Anfrage gestellt, in dem er einen Bericht über die im Rahmen dieses Einführungsprojekts durch die BA durchgeführte Datenschutzfolgenabschätzung nach Art. 35 DSGVO fordert. Die Bundesagentur für Arbeit hat Stand heute noch keine Stellungnahme dazu bezogen, jedoch kann dieser Anfrage per RSS-Feed gefolgt werden.

Die DSK hat mehrfach Microsoft Office 365 als bedenklich eingestuft und auch der Datenschützer Max Schrems hat schon mehrfach durchblicken lassen, dass es vermutlich eine dritte Runde geben wird, um auch diesen Beschluss wieder zu stoppen.

Das Problem dabei: Nutzer können sich dem nicht entziehen - außer sie wandern aus, aber selbst dann werden Daten in der Microsoft Cloud landen.

Die Bundesagentur für Arbeit speichert die Daten nahezu aller Bürger in Deutschland, unabhängig davon, ob sie erwerbstätig sind (Zahlung der gesetzlichen Arbeitslosenversicherung über die Lohnabrechnung) oder nicht und entsprechend gemeldet sind. Auch hier gibt es keine Alternative, an die sich Bürger/unfreiwillige Kunden wenden könnten.

Gerade wenn man für so viele Daten verantwortlich ist, wissend, dass es keine Alternative gibt und die Leute dafür mehr oder weniger auch noch Steuern zahlen, sollte man nicht unbedingt eine Software wählen, vor der mehrfach gewarnt wurde, die auf rechtlich wackeligen Beinen steht und die Daten in ein Drittland außerhalb der EU weiterleitet - zumal die Daten bei der Bundesagentur für Arbeit sehr sensibel sein können (Passnummer, Sozialversicherungsnummer, Bewerbungsunterlagen etc.)."

via @kuketzblog@social.tchncs.de : https://social.tchncs.de/@kuketzblog/111617347281941097

"Die geplante schwarz-rote Koalition in Hessen hat sich auf ein umfassendes Überwachungspaket verständigt. Sie will damit unter anderem Sicherheitsbehörden wie Polizei und Geheimdiensten "in engen Grenzen und mit richterlicher Anordnung" den "Zugang zu bestehenden privaten audiovisuellen Systemen" gestatten. (...) Starten wollen die Koalitionäre zudem einen Angriff auf Verschlüsselung: (...) Alle Erkenntnisse in die Polizei-Cloud

Geprüft wird auch die Einrichtung einer zentralen "Servicestelle zur Entsperrung beweisrelevanter Datenträger und IT-Systeme", um die gewonnenen Erkenntnisse in die Polizei-Cloud einzustellen. Im Kampf vor allem gegen organisierte Kriminalität und Online-Hetze soll die Polizei zeitgerecht und automatisiert – auch mithilfe von Künstlicher Intelligenz (KI) – große Datenmengen auswerten dürfen. Dafür soll das seit Jahren umkämpfte Projekt Hessendata, das auf der Palantir-Software "Gotham" basiert, oder ein "vergleichbares Analysewerkzeug" zum Einsatz kommen. Die Rechtsgrundlage für solche Instrumente soll ferner erweitert werden, um "vorhandene IP-, Maut- und sonstige Verkehrsüberwachungsdaten zur Verbrechensverfolgung" nutzen zu können. Für eine Vorratsdatenspeicherung von IP-Adressen will sich die Koalition auf Bundesebene starkmachen.

Zudem möchte die Regierung dem Vertrag zufolge auf eine "bundeseinheitliche Strategie zum Datenschutz in Schulen" hinwirken, damit dieser "nicht zur Digitalisierungsbremse wird". So soll etwa "eine Positivliste für Software bereitgestellt werden".

Sie will sich ferner über den Bundesrat dafür einsetzen, dass Unternehmen, Behörden und Vereine weiterhin "unentbehrliche Angebote" von Social-Media-Plattformen, Standardsoftware oder Konferenzsystemen nutzen können. (...)"

"Über die BigBrotherAwards: Spannend, unterhaltsam und gut verständlich wird dieser Datenschutz-Negativpreis an Firmen, Organisationen und Politiker.innen verliehen. Die BigBrotherAwards prämieren Datensünder in Wirtschaft und Politik und wurden deshalb von Le Monde „Oscars für Datenkraken“ genannt."

"Ihre Nominierungen für die BigBrotherAwards nehmen wir gerne entgegen. Nennen Sie uns Organisationen, Institutionen, Verbände oder Personen, die Ihres Erachtens für die Verleihung eines BigBrotherAwards in Frage kommen." via @digitalcourage@digitalcourage.social : https://digitalcourage.social/@digitalcourage/111571801868601960

geteilt von: https://anonsys.net/objects/bf69967c-1265-736f-3687-23e375309270 Crosspost von !ankuendigungen@feddit.de

> Neue Commnunity: Datenschutz - Privacy - Digitale Selbstverteidigung 🔐 > > \#neuHier #Vorstellung > > Da es mW noch keine offene deutschsprachige Community gibt zum Thema #Datenschutz, habe ich nun diese gegründet: > 👉 !datenschutz@feddit.de > > Inhaltlich kann es um Alles rund um #Datenschutz #Privacy #DigitaleSelbstverteidigung gehen, was Euch interessiert - bspw. Austausch zu (deutschsprachigen) News und Artikeln oder eigene Fragen zu stellen und zu diskutieren, > > Es ist eine Lemmy -Community auf #feddit.de. Ihr könnt die Community auch von #Mastodon , #Friendica #Akkoma etc. aus abonnieren. Und ihr könnt damit auch ohne Lemmy-Account Beiträge darin erstellen, indem Ihr den Community-Account [ät]datenschutz@feddit.de taggt. > Achtet nur bitte darauf, dass in der Überschrift (= erster Absatz in Mastodon, Akkoma) keine Hashtags, Tags oder Links vorkommen. Ausführlicher hier. > > Wenn Ihr auf Lemmy aktiv seid, könnt ihr Euch gerne auch noch als Co-Mods melden. > > Damit aber erst einmal: 🧡lich willkommen in der neuen Community! Ich bin gespannt auf Eure Beiträge. > > @ankuendigungen #TeamDatenschutz > > Es gibt außerdem noch u.a. folgende Communitys für ähnliche Themen: > \- "PrivatsphäreImNetz" : Eine Linksammlung zu deutschsprachigen Artikeln über: Chatkontrolle (...), biometrische Überwachung, (...) Gesundheitsdatensammlung, Staatstrojaner, Tracking, … auch sehr interessante Inhalte, aber keine "offene" Community, d.h. hier können nur die Mods einen Post erstellen > \- Dann gibt es noch so einige englischsprachige Communitys zum Thema Privacy bspw. u.a. lemmy.ml/c/privacy , lemmy.world/c/privacy , programming.dev/c/privacy , lemmy.one/c/privacyguides ...

taz: 🚆 🕵️ "Änderungen bei der Deutschen Bahn: Bahncard ohne Karte (...) Statt der bisherigen roten Kunststoffkarte sollen Kun­d:in­nen künftig nur noch einen digitalen Beleg in der App der Deutschen Bahn erhalten." taz.de/Aenderungen-bei-der-Deu…

Die Kund\*innen der DB sollen nun also ausgerechnet zur Nutzung der App gezwungen werden, gegen die weiterhin eine Klage wegen unzulässiger Datenweitergabe läuft.

Habt Ihr die DB-App bei Euch installiert? Würdet und könnt Ihr sie installieren, um die Bahncard weiter nutzen zu können? Wird die DB tatsächlich die #Bahncard nur noch für Menschen mit Smartphone bzw. mit Smartphone mit #Google oder #Apple anbieten können?

taz.de/Datenschutz-Klage-gegen… "Der Datenschutzverein @digitalcourage wirft der Deutschen Bahn vor, Kun­d:in­nen in ihrer Buchungsapp in unzulässiger Weise zu tracken – und hat nun [Oktober 2022] vor dem Landgericht Frankfurt Klage eingereicht. „Bereits beim Aufruf der App werden jede Menge Daten über das Nutzungsverhalten erfasst“, erklärt Peter Hense, Rechtsanwalt für IT- und Datenschutzrecht, der die Kläger vertritt. Laut der Klageschrift stellt die Anwendung direkt nach dem Öffnen eine Verbindung zum US-Anbieter Adobe her „zur Analyse und Tracking von Nutzerverhalten“. Später gingen Daten an weitere Unternehmen, unter anderem #Optimizely und Google."

siehe dazu auch den Talk vom ccc2023: media.ccc.de/v/camp2023-57089-…

Über die Klage ist mW noch nicht entschieden: "Die höchstrichterliche Rechtsprechung sowie die Handlungsempfehlungen und Sanktionspraxis der europäischen und deutschen Datenschutz-Aufsichtsbehörden haben bereits deutlich gemacht: Tracker, die nicht abgewählt werden können, dürfen nur verwendet werden, wenn sie objektiv unbedingt erforderlich sind. Es genügt nicht, dass ein Anbieter diese Tracker lediglich dringend einsetzen möchte, weil sie irgendwie zum Geschäftsmodell gehören. Der nächste Schritt in unserer Klage wird die Verhandlung sein. Ein Termin wurde bisher noch nicht bekannt gegeben." kuketz-blog.de/update-klage-ge… @kuketzblog

\#Digitalzwang #Datenschutz #DeutscheBahn @datenschutz @tazgetroete @taz

🔐 "Datenschutz – leicht erklärt. Ein Angebot zur Sensibilisierung von Schüler\_innen" der Initiative „#Datenschutz geht zur #Schule ” des BvD e.V. (...) @bvd unter Mitwirkung des @lfdi u.a. https://www.baden-wuerttemberg.datenschutz.de/datenschutz-leicht-erklaert/

Viel Material für Schulen: Arbeitsblätter + Videos auf dem #Peertube-Kanal der @lfdi\_pressestelle : https://tube.bawü.social/c/lfdi/videos

Hat jemand aus dem #FediLZ das schon eingesetzt und kann von den Erfahrungen berichten?

@datenschutz

🎶 📲 "Was macht Spotify mit meinen Daten? Alle Welt nutzt Spotify. Aber wie nutzt der Streamingdienst dich? Wie macht er deine Daten zu Geld?" (Fluter 2017 (!) \> Wie sieht es 2023 aus? fluter.de/was-macht-spotify-mi…

Aktuell wird #Spotify v.a. wegen neuer Regeln zu Ungunsten kleinerer Musikschaffender kritisiert ("Spotify will Songs mit unter 1.000 Aufrufen pro Jahr künftig nicht mehr vergüten." DLF Kultur) share.deutschlandradio.de/dlf-… In dem Fluter-Artikel hieß es dazu auch bereits: "Künstler beklagen kümmerliche Ausschüttungen und Intransparenz der Einnahmenverteilung", aber auch #Datenschutz war und ist ein weiterer großer Problempunkt von Spotify. In dem o.g. Artikel von Fluter wird es sehr anschaulich dargestellt, wie die Situation 2017. Wie sieht es aktuell mit dem #Datenschutz bei Spotify aus? Kennt Ihr neuere Quellen?

\#Datenschutz @datenschutz