Der Bundesnachrichtendienst (BND) belauscht angeblich seit mindestens zwei Jahren die Leitungen von 25 Internet-Providern, von deren Leitungen er am Datenknotenpunkt De-CIX in Frankfurt einige anzapft. Das berichtet das Nachrichtenmagzin Der Spiegel, der sich auf eine Anordnung zur „Beschränkung des Brief-, Post- und Fernmeldegeheimnisses“ bezieht. Dieses vom Bundeskanzleramt und Bundesinnenministerium abgezeichnete vertrauliche Schreiben zur strategischen Fernmeldeaufklärung habe der BND an den Verband der deutschen Internetwirtschaft eco verschickt. Die rechtliche Grundlage ist im G10-Gesetz geregelt.

In der Anordnung werden laut Spiegel neben ausländischen die deutschen Unternehmen 1&1, Freenet, Strato AG, QSC, Lambdanet und Plusserver genannt. Die Spähaktionen des BND richteten sich vor allem gegen Länder oder Regionen wie Russland, Zentralasien, den Nahen Osten und Nordafrika. Dort ansässige Provider würden ebenfalls aufgeführt. Der BND werte den Datenstrom nach Schlagworten zur Bereichen wie wie Terrorismus oder Proliferation aus. E-Mails und Telefonate von Deutschen seien nicht darunter. Diese seien grundsätzlich tabu.

Wie der BND vermeidet, bei der strategischen Fernmeldeüberwachung innerdeutschen Verkehr zu erfassen, ist nicht bekannt. Eine Antwort auf eine kleine Anfrage der Grünen im Bundestag wollte die Bundesregierung im September an diesem Punkt aus Gründen des „Staatswohls“ nicht geben. Auf die Frage, wie groß die vom BND erfassten Datenmengen sind, hatte die Regierung geantwortet: „Eine statistische Erfassung von Daten im Sinne der Frage fand und findet nicht statt.“ (anw)

Die Mail-Provider T-Online, GMX, Web.de, Freenet und 1und1 lassen es zu, dass ihre Kunden beim Lesen ihrer Mail beobachtet werden. Konkret passiert das über sogenannte Tracking-Pixel, die etwa beim Öffnen der Nachricht im Webmail-Frontend automatisch geladen werden. Dies verrät dem Absender, dass, wann, womit und wo ungefähr diese Mail gelesen wurde. Auch Nutzer von iPhones oder Apple Mail haben dieses Problem, berichtet c’t in der aktuellen Ausgabe.

Das Tracking funktioniert über das automatische Nachladen von Bildern aus dem Internet, das die meisten Webmailer standardmäßig einschalten. Schlimmer noch: Die Mitglieder der Aktion „E-Mail made in Germany“ T-Online, GMX, Web.de und Freenet bieten nicht einmal eine Option, das abzuschalten, versenden aber teilweise selber E-Mails mit Tracking-Bildern. Durch das Nachladen dieser unsichtbaren Bilder erfolgt beim Öffnen der Mail ein Zugriff auf den Server des Absenders. Dieser verrät ihm nicht nur, dass die Mail einen Leser gefunden hat, sondern auch dessen IP-Adresse, die sich einem Provider und einem ungefähren Ort zuordnen lässt und das verwendete Programm – also etwa Firefox 19 auf Windows 7. Und diese Informationen sind bares Geld wert.

Ausgerechnet die angeblichen „amerikanischen Datenschutz-Schlampen“ Yahoo und Google zeigen, dass es auch anders geht. Hier kann der Anwender selbst zwischen Komfort und Privatsphäre wählen; standardmäßig ist das automatische Nachladen aber abgeschaltet. Externe Elemente erscheinen dann erst, wenn der Anwender „Bilder nachladen“ anklickt. Das ist auch die Voreinstellung spezieller Mail-Programme wie Thunderbird und auch Windows Mail. Lediglich Apple Mail tanzt aus der Reihe und lädt standardmäßig alle möglichen Inhalte nach. Dort – wie auch bei iOS-Geräten muss der Anwender das selbst in den Einstellungen abschalten. Viele Mail-Apps auf Android-Smartphones laden ebenfalls bestimmte Elemente nach. Die werden allerdings derzeit nicht zum routinemäßigen Tracking eingesetzt. (ju)

Auf seiner Watchlist Internet warnt der Internet-Ombudsmann in Österreich vor dem Internet-Shop der Firma „Factory Store OHG“. Der vermeintlich aus demselben Land stammende Elektronik-Anbieter bewirbt verlockend günstige Schnäppchen unter anderem über Kleinanzeigen-Portale. Doch wer bei diesem Fake-Shop bestellt, erhält laut zahlreicher Meldungen von Geschädigten keine Ware und verliert sein Geld.

Zu den Lockangeboten gehören unter anderem besonders günstige Preise für das iPhone 5 oder die Playstation 3 mit dem aktuellen Spiel „GTA 5. Wer darauf eingeht, wird aufgefordert, den Kaufbetrag per Vorauskasse zu überweisen.

Die Watchlist Internet gibt Tipps, wie man die Vertrauenswürdigkeit eines Online-Shops prüfen kann: „Bei Anzeichen wie verdächtig günstigen Preisen, Vorauszahlung mittels Banküberweisung als einziges Zahlungsmittel und einem mangelnden oder gar fehlenden Impressum ist äußerste Vorsicht geboten“, erklärt Bernhard Jungwirth, Projektleiter „Internet Ombudsmann“.

Wer Online-Betrugsfälle vermutet, kann dies bei der Watchlist melden. Der Internet-Ombudsmann bietet außerdem eine kostenlose Beratung oder Streitschlichtung in konkreten Fällen an. Geschädigten Personen rät der Ombudsmann – wie im Fall der „Factory Store OHG“ – dringend , Anzeige bei der Polizei zu erstatten.

Internet Ombudsmann ist eine von der EU-Kommission anerkannte außergerichtliche Streitschlichtungsstelle. Sie erhält Fördermittel vom Bundesministerium für Arbeit, Soziales und Konsumentenschutz sowie von der Bundesarbeitskammer in Österreich. Die Meldung von Beschwerde-Fällen oder allgemeinen Anfragen rund um E-Commerce und verwandte Themen an den Internet Ombudsmann erfolgen über dessen Site. In Deutschland existiert ebenfalls eine Schlichtungsstelle, die nach dem Österreichischen Vorbild eingerichtet wurde. Die vom Europäischen Verbraucherzentrum nach wie vor verbreitete Adresse des deutschen Ombudsmannes ist ungültig. (rh)

Betrüger nutzen Markennamen und Logos von G Data, um Smartphone-Nutzern wertlose Premium-SMS-Abonnements zu verkaufen. Mit Hilfe von Werbung in verschiedenen Apps versuchen die Gauner, Nutzer auf Webseiten zu locken, die vorgeben, Versionen von G Datas Antivirus-Produkten für Smartphones zu vertreiben. Wer auf den Trick hereinfällt, schließt ein teures SMS-Abo ab und erhält natürlich keine Software; das kann dann bis zu 15 Euro pro Woche kosten. Das Geld wird über die Handy-Rechnung abgebucht.

Laut G Data steht hinter der Kampagne die Mobile Minded BV aus Arnheim. Der Antiviren-Hersteller aus Bochum hat nun rechtliche Schritte gegen den Missbrauch seiner geschützten Namen und Logos eingeleitet. Momentan wurde die betrügerische Werbung in Polen, Finnland, den Niederlanden und Frankreich beobachtet. G Data hält es für wahrscheinlich, dass auch deutsche Nutzer auch Ziel werden könnten.

Die Sicherheitsexperten raten betroffenen Nutzern, bei ihrem Mobilfunk-Anbieter auf die Pressemitteilung der Firma zu verweisen und eine Erstattung des Geldes zu verlangen. Oft ist dies allerdings schwierig, da die Provider auf die Anbieter des Abos als Ansprechpartner verweisen.

Bis jetzt scheinen die Betrüger nur Android-Nutzer im Fadenkreuz zu haben. Das ergibt durchaus Sinn, da diese durch die Berichterstattung über Android-Schadsoftware sensibilisiert sein dürften. Solche Premium-SMS-Dienste von vornherein zu sperren, ist zwar theoretisch möglich, gestaltet sich aber oft als schwierig. (fab)

Apples kommendes iPhone 5S soll über einen Fingerabdruck-Sensor die Identität des Nutzers feststellen. Der Hersteller bewirbt die Funktion als eine Vereinfachung, die die bisherige Eingabe einer PIN-Nummer oder eines Passwortes beim Einkauf im App Store ersetzen soll.

Doch der Hamburger Datenschutzbeauftragte Prof. Dr. Johannes Caspar warnt vor der Speicherung des Fingerabdrucks in Apples neuem iPhone 5S: „Biometrische Merkmale kann man nicht löschen. Sie begleiten uns das Leben lang. Fingerabdrücke sollte man daher nicht für alltägliche Authentifizierungsverfahren abgeben, insbesondere wenn sie in einer Datei gespeichert werden“, sagte Caspar dem Hamburger Nachrichten-Magazin Der Spiegel. Apples Argument, die Fingerabdruck-Daten würden nur verschlüsselt im Gerät gespeichert werden, hält Caspar nicht für durchschlagend. „Der normale Nutzer ist gegenwärtig kaum in der Lage zu kontrollieren, was Apps mit dem Handy machen, auf welche Daten des Geräts sie zugreifen, welche Informationen sie auslesen. Technischen Vorkehrungen zu trauen war schon vor Prism nicht ohne Risiko.“ Caspar empfiehlt weiter: „Außerdem gilt der Grundsatz der Datensparsamkeit. Wo es nicht sein muss, sollte man seine biometrischen Daten auch nicht hinterlassen. Schon gar nicht aus Bequemlichkeit.“

Apple betont derweil, dass die Fingerabdruck-Daten nicht zu den Cloud-Servern des Unternehmens übertragen würden und nur auf dem iPhone selbst gespeichert würden. Allerdings hatte das Nachrichtenmagazin Der Spiegel bereits in der vergangenen Woche gemeldet, dass der NSA-Geheimdienst auf Wunsch auf alle sensiblen Daten der Mobilfunk-Betriebssysteme iOS, Android und Blackberry zugreifen könne. (hag)

Die Empfehlungen unterteilen sich in solche für Privatanwender und für kleine Unternehmen und Selbstständige. Beide beziehen sich ausschließlich auf Microsoft Windows; Mac OS X oder gar Linux kommen nicht vor. Die Sicherheitsempfehlungen predigen nicht den maximalen Schutz ohne Rücksicht auf Kosten, Komfort oder Funktionsumfang, sondern versuchen, einen praktikablen Kompromiss für eine solide Grundsicherung zu skizzieren.

Insbesondere vermeidet es das BSI, das Geschäft mit der Angst zu fördern und verweist gezielt auf solide, aber kostenlose Lösungen wie MSE, Avira, Avast, Secunia PSI und Threatfire. Sätze wie „Die Installation einer zusätzlichen Firewall ist nicht mehr erforderlich, da das System durch die von Windows 7 bereitgestellte Firewall hinreichend gegen Angriffe über das Netz geschützt wird“ werden die Hersteller von Sicherheits-Software nicht gerne lesen.