FaceApp – Der Wolf im Schafspelz ist nicht allein

Alle, die diese Woche irgendwo im Dunstkreis von Facebook oder anderen sozialen Plattformen unterwegs waren, haben höchstwahrscheinlich Selfies von Bekannten neben AI-generierten Bildern gesehen, wie sie in ein paar Jahrzehnten aussehen werden. Unter diesen Posts sammeln sich dann nicht selten etliche Kommentare, die davor warnen, dass die Foto-Poster gerade ihre Seele an eine obskure russische Firma verkauft haben. Es ist also mal wieder Zeit für einen weiteren digitalen Internet-Buhmann, der in dieser Woche „FaceApp“ heißt.

FaceApp, dass nichts mit Facebook zu tun hat, kam 2017 für iOS und Android auf den Markt und ist vom russischen Unternehmen Wireless Lab. Nutzer können ein Selfie hochladen und dieses bearbeiten, indem z.B. der Gesichtsausdruck, das Alter oder das Geschlecht geändert werden. Und auch wenn der die App inklusive des Alterungsfilters bereits über zwei Jahre verfügbar ist, ging sie diese Woche viral, nachdem die recht drakonischen Geschäftsbedingungen bzgl. der Rechte an den bearbeiteten Fotos publik gemacht wurden.

Grob übersetzt steht dort u.a.: „Sie gewähren FaceApp eine unbefristete, unwiderrufliche, nicht ausschließliche, lizenzgebührenfreie, weltweite, voll bezahlte, übertragbare Unterlizenz zur Nutzung, Reproduktion, Änderung, Anpassung, Veröffentlichung, Übersetzung, Erstellung von abgeleiteten Werken, Verbreitung, öffentlichen Aufführung und Anzeige Ihrer Benutzerinhalte und alle Namen, Benutzernamen oder Ähnlichkeiten, die im Zusammenhang mit Ihren Benutzerinhalten in allen bekannten oder später entwickelten Medienformaten und -kanälen angegeben werden, ohne dass Sie dafür eine Entschädigung erhalten (…).“

Viele Presseberichte und Social-Media-Posts weckten aus zwei Gründen Befürchtungen in Bezug auf die App: die völlige Aufgabe der Rechte an den persönlichen Daten und das Herkunftsland Russland. Auf Anfrage des Onlineportals TechCrunch gab das Unternehmen allerdings an, dass es nur Fotos hochlade, die von den Benutzern zur Bearbeitung ausgewählt wurden, und diese möglicherweise in der Cloud speichere, da dort die Verarbeitung erfolge. Es lösche normalerweise Bilder von seinen Servern innerhalb von 48 Stunden. Außerdem würden keine Benutzerdaten nach Russland gesendet, sondern Bilder in der Infrastruktur von US-Cloud-Anbietern verarbeitet.

Wie ist der aktuelle Fall einzuordnen? Jede App, die Anwendern jegliche Rechte in den Nutzungsbedingungen verweigert, sollte die Alarmglocken läuten lassen. Die Bedingungen anderer Apps sind zwar nicht so aggressiv wie bei FaceApp, aber immer noch besorgniserregend. Zum Beispiel kann Facebook Nutzerbilder zusammen mit Daten zu anderen Aktionen, die Sie auf Facebook ausführen, für Anzeigen oder gesponserte Inhalte verwenden, obwohl der Konzern angibt, dass Sie Ihre Inhalte besitzen. Außerdem kann Facebook Bilder mit Dritten teilen, einschließlich nicht spezifizierter Dienstanbieter, die Facebook unterstützen. ‚Anwender können diese „Vereinbarung“ mit Facebook beenden, indem Sie Ihr Bild löschen. Es wird jedoch möglicherweise weiterhin angezeigt, wenn Nutzer es für Freunde freigegeben haben und es dort nicht gelöscht wurde.

Ein weiteres Beispiel sind die Datenschutzbestimmungen von Accuweather. Das Unternehmen kam in die Schlagzeilen und hat zahlreiche Benutzer verloren, nachdem Forscher herausgefunden haben, dass es Standortdaten sendet. Dieser Transfer wurde durch die Tatsache realisierbar, dass die App-Richtlinie es ermöglicht, Informationen über andere Geräte in der Nähe zu sammeln, einschließlich z.B. eines WLAN-Routers. Die Geschäftsbedingungen der App ermöglichen es außerdem, Geräte-IDs und Informationen von tragbaren Geräten wie z.B. Puls oder die Körpertemperatur abzurufen…für eine Wetter-App!

Den FaceApp-Machern wird nun vorgeworfen, dass die hochgeladenen Bilder für unbekannte Zwecke verwenden werden könnten. Aber auch das ist nicht wirklich etwas Neues, wie Fälle bei YouTube und IBM zeigen. Im aktuellen Fall scheint die für die Onlinegemeinde explosive Mischung aus zugegebenermaßen sehr krass formulierten Geschäftsbedingungen und dem Herkunftsland Russland Grund für die virale Bombe gewesen zu sein. Und auch wenn ein derart komplett verweigerter Datenschutz immer ein triftiger Grund für Kritik ist, sollte uns doch fast mehr zu Denken geben, wie wenige Personen sich die Zeit nehmen, um die Nutzungsbedingungen bekannter Apps zu lesen, unabhängig davon, aus welchem ​​Land sie stammen.

Studie: Deutschland überdurchschnittlich oft Opfer von Phishing-Attacken und Ransomware

Sophos hat kürzlich die Ergebnisse seiner weltweiten Umfrage “The Impossible Puzzle of Cybersecurity” vorgestellt. Die Erhebung bestätigt, dass IT-Verantwortliche weltweit vor der Herausforderung stehen, immer raffinierteren Cyberattacken ausgesetzt zu sein und Schwierigkeiten zu haben, mit den Angreifern mitzuhalten, um ihr Unternehmen zu schützen. Ein wichtiger Grund hierfür, so zeigt sich ebenfalls, ist eine Mischung aus mangelnder Sicherheitskompetenz im Unternehmen, fehlenden Budgets und nicht durchweg vorhandener aktueller Technologie. Befragt wurden 3.100 IT-Entscheider aus mittelständischen Unternehmen in den USA, Kanada, Mexiko, Kolumbien, Brasilien, Großbritannien, Frankreich, Deutschland, Australien, Japan, Indien und Südafrika.

Kombinierte Angriffsmethoden für maximale Wirkung. Schwachstelle: E-Mails
Die Umfrage zeigt, dass die Angriffstechniken der Cyberkriminellen unterschiedlich und oft mehrstufig sind. Diese Vielfalt der Angriffsmethoden erschwert einen effizienten Schutz von Netzwerken. So wusste einer von fünf befragten IT-Managern beispielsweise nicht, auf welche Art sein Netzwerk im letzten Jahr verletzt wurde. Diejenigen, die das Einfallstor für den bedeutendsten erfolgreichen Angriff nennen konnten, gaben an, dass hier E-Mails mit international knapp 33 Prozent die Schwachstelle Nummer Eins sind. Besonders anfällig für E-Mail-Kompromittierungen zeigte sich Deutschland – hier lag die Quote sogar bei 48,6 Prozent. Anders bei Schwachstelle Nummer zwei: Gaben insgesamt 30 Prozent der befragten IT-Manager weltweit an, dass Ihr Unternehmen über Websites mit Schadware infiziert wurde, bestätigten dies in Deutschland lediglich 17 Prozent, was den niedrigsten Wert überhaupt repräsentiert.

Deutschland überdurchschnittlich oft Opfer von Phishing Attacken und Ransomware
Von allen IT-Verantwortlichen, die insgesamt zugaben, Opfer eines Cyberangriffs geworden zu sein, vermeldeten 53 Prozent, von einer Phishing-E-Mail getäuscht worden zu sein. Hiermit rangierte Phishing in sämtlichen untersuchten Ländern auf Platz 1 der Attacken. 41 Prozent gaben zudem weltweit an, einen Datenverlust erlitten zu haben und 30 Prozent waren einer Ransomware-Attacke zum Opfer gefallen. Im Gegensatz zu diesen internationalen Zahlen zeigte sich für Deutschland ein etwas anderes Bild: hier wurde angegeben, im letzten Jahr sogar zu 67 Prozent von Phishing-E-Mails betroffen gewesen zu sein und auch die Zahlen für Ransomware-Angriffe waren mit 38,4 Prozent höher als im internationalen Vergleich. Anders sieht es dagegen beim Verlust von Daten aus – hier stehen den international genannten 41 Prozent „nur“ knapp 30 Prozent verlorene Daten in Deutschland gegenüber.

 Noch nicht im Blick: Supply-Chain-Attacken
75 Prozent der befragten IT-Manager betrachten Software-Exploits, nicht gepatchte Schwachstellen und / oder Zero-Day-Bedrohungen als höchstes Sicherheitsrisiko und 50 Prozent sehen Phishing als Gefahr Nummer Eins. Lediglich 16 Prozent der IT-Manager haben Supply-Chain-Attacken als ein Risiko für die IT-Sicherheit im Blick. Demgegenüber steht eine hohe Wahrscheinlichkeit, dass Cyberkriminelle diesen sensiblen Bereich zu ihrem Repertoire an Angriffsvektoren hinzufügen werden.

Was ist aus den Ergebnissen abzuleiten? Cyberkriminelle suchen grundsätzlich nach einem Einfallstor in Unternehmen und wir beobachten, dass Supply-Chain-Attacken auf ihrer Methodenliste neuerdings an oberster Stelle stehen. Auch IT-Manager sollten Supply-Chain-Attacken als Sicherheitsrisiko priorisieren. Supply-Chain-Angriffe sind eine weitere effektive Möglichkeit für Cyberkriminelle, automatisierte Angriffe durchzuführen, bei denen sie ein Unternehmen aus einem größeren Pool von potenziellen Opfern auswählen und sich dann mithilfe von „hand-to-keyboard“ Techniken aktiv in diese spezifische Organisation hacken, um unentdeckt ihr Ziel zu erreichen.

Mangel an Sicherheitskompetenz, Budget und aktueller Technologie
Die befragten IT-Manager gaben an, dass durchschnittlich 26 Prozent der Zeit ihres Teams für die Verwaltung der Sicherheit aufgewendet wird. Gleichzeitig stimmen 86 Prozent darin überein, dass die Sicherheitskompetenz insgesamt verbessert werden könnte und 80 Prozent wünschen sich zudem ein stärkeres Team, das Sicherheitsvorfälle erkennt, untersucht und darauf reagiert. Die Rekrutierung von Experten erweist sich dabei ebenfalls als ein Problem: 79 Prozent der internationalen IT-Entscheider bestätigen, dass die Rekrutierung von Mitarbeitern mit den erforderlichen Cybersicherheitskompetenzen eine Herausforderung darstellt.

In Bezug auf die ihnen zur Verfügung stehenden finanziellen Mittel sind 66 Prozent der Meinung, dass das Budget für Cybersicherheit (einschließlich Personal und Technologie) die Anforderungen nicht abdeckt. Das Vorhandensein aktueller Technologien ist ein weiteres Problem. 75 Prozent der international befragten IT-Verantwortlichen sind sich einig, dass die Aktualisierung der Cybersicherheitstechnologie eine Herausforderung für das Unternehmen darstellt.

Um den Überblick zu behalten, von wo Bedrohungen ausgehen, ist spezielles Fachwissen erforderlich. Hier stehen IT-Manager vor verschiedenen Herausforderungen: Zum einen ist es schwer, Mitarbeiter mit der entsprechenden Expertise zu rekrutieren und zum anderen steht ihnen häufig kein geeignetes Sicherheitssystem zu Verfügung, mit dem sie schnell und effizient auf Angriffe reagieren können. Wenn Unternehmen ein Sicherheitssystem einsetzen, bei dem die verschiedenen Komponenten zusammenarbeiten, um Informationen auszutauschen und automatisch auf Bedrohungen zu reagieren, können IT-Sicherheitsteams erfolgte Angriffe schnell aufarbeiten und ihr Unternehmen besser gegen künftige Angriffe schützen.

Kampf der Giganten: Apple tritt gegen Anmelde-Services von Facebook und Google an

Die Apple World Wide Developers Conference (WWDC) wartete mit einigen Überraschungen auf. Eine davon war ein neues Feature, das die Anmeldung für Apps und Websites privater gestalten soll: “Sign In with Apple”. Der neue Anmelde-Service soll unerwünschte Nebenwirkungen anderer Lösungen unterbinden. Bisher meldet man sich für Dutzende von Konten auf Websites mit einer Mail-Adresse und einem Passwort an. Kurze Zeit später wurde man auch schon mit einer Flut von Junk-Mails vom fleißigen Marketing-Team der Website überschüttet. Um dieser lästigen Flut Herr zu werden, nutzen viele eine Wegwerf-Mailadresse. Was aber wenn man einige wenige der Mails aber lesen möchte? Und was passiert, wenn die Dummy-Adresse in Zukunft von jemand anderem verwendet wird? Woher weiß der Nutzer, ob sein Passwort überhaupt sicher ist?

Eine Möglichkeit, dieses Problem zumindest augenscheinlich zu lösen, ist ein Single-Sign-On-Service von einem der beiden großen Anbieter – Google oder Facebook. Wenn man auf einer Website eine Schaltfläche “Mit Google anmelden” oder “Mit Facebook anmelden” entdeckt, kann man die Google- oder Facebook-ID für eine schnelle Registrierung oder Anmeldung mit einem Klick verwenden, ohne dass ein Passwort erforderlich ist – sofern man einen Google- oder Facebook-Account hat. Doch auch hier gibt es Tücken. Unternehmen und deren meist nicht weitläufig bekannten Partnerunternehmen, die Single-Sign-On-Service anbieten, wissen am Ende mehr über Sie als Ihre Großmutter – Privacy ade.

Technische Lösungen für die Registrierung und Anmeldung für Web-Seiten oder Apps sind so gestaltet, dass ein Anbieter oder dessen Partner die maximalen Vorteile für Kommunikation, Marketing und Vertrieb erhalten. Bei diesem Ansatz sind die Bedürfnisse von Anwendern zweitrangig, hier geht es nur ums Geschäft. Daher sollten Anwender, welche sich heute über klassische oder Single-Sign-On-Services registrieren oder anmelden, sich schon im Vorfeld über die Privatsphäre Gedanken machen und aktiv darüber entscheiden, was man preisgeben möchte. Darüber hinaus ist das Erstellen von guten Passwörtern essenziell, denn sonst haben Cyber-Kriminelle extrem leichtes Spiel, in eine ganze Reihe von Seiten und Apps des Benutzers einzudringen.

Mehr Privacy durch neue Option von Apple
Apple will es nun anders machen. Die Idee ist es, die Registrierung und Anmeldung auf Websites so einfach wie möglich zu gestalten, ohne persönliche Daten angeben zu müssen. Das geht so: Sobald eine Website oder eine mobile App die Anmeldung via Apple unterstützt, kann man sich für ein Konto registrieren, indem man sich mit dem Gerät authentifiziert, beispielsweise via FaceID oder TouchID. Genau wie bei Facebook und den Social Sign-In-Funktionen von Google kann man sich mit einem Klick bei einem Dienst anmelden oder registrieren. Apple fungiert dann als Proxy und verwaltet Anmeldeinformationen für Websites oder Apps.

Im Gegensatz zu den Anmeldefunktionen von Google und Facebook konzentriert sich Apple bei der Anmeldung jedoch nicht nur auf den Komfort, sondern auch auf die Privatsphäre. Die Anmeldefunktion sendet Drittanbieter-Apps keine persönlichen Daten. Darüber hinaus besteht die Möglichkeit eine E-Mail-Adresse zu verwenden, die von Apple zufällig erstellt und verwaltet wird. Damit muss der Nutzer weder seine Haupt-Mailadresse oder eine Fake-Mailadresse angeben. Wenn die App nach der Registrierung beginnt Mails an diese Adresse zu senden, leitet Apple diese an die echte Mailadresse des Anwenders weiter. Der große Unterschied: Die von Apple generierte Mailadresse kann jederzeit gelöscht werden, ohne sich von der App abmelden zu müssen.

Was steckt aus technischer Seite dahinter?
Derzeit hat Apple noch nicht mitgeteilt, ob die neue Funktion auf einem Industriestandard-Service beruht oder ob der Konzern einen Alleingang anstrebt. Sowohl Google als auch Facebook verwenden OAuth 2.0, einen Industriestandard für die Online-Authentifizierung von der IETF (Internet Engineering Task Force) für ihre Single-Sign-On-Dienste. Apple hat jedoch mit Web Authentication (WebAuthn) experimentiert, einem weiteren passwortfreien Anmeldeverfahren, das von der FIDO (Fast IDentity Online)- Allianz unterstützt wird. WebAuthn in Verbindung mit der Version 2 eines anderen Protokolls, namens Client to Authenticator Protocol (CTAP), bildet den FIDO 2-Standard, der auch die Zwei-Faktor-Authentifizierung optimiert. Mit diesem kann man sich via USB-Schlüssel und ohne Passwort in browserbasierte Anwendungen einloggen.

Die Apple-Funktion wird vermutlich eine weitere Option zur Registrierung und Anmeldung sein. Entwickler, die eine Registrierung oder Anmeldung eines Drittanbieters über Facebook oder Google unterstützen, haben dann kaum eine andere Wahl, als die neue Funktion hinzuzufügen und so ihre direkte Beziehung zum Benutzer zu beenden. Die Folge: Online-Inhalte und Dienstleister könnten gezwungen werden, ihre Monetarisierungsmodelle zu überdenken. Vielleicht ist das keine schlechte Sache. Und für viele Nutzer, die es satthaben, ihre Privatsphäre bei der Anmeldung für Online-Dienste zu gefährden, scheint die neue Apple-Lösung eine gute Option zu werden.