Archiv für Januar 2010

HealthVault (“Gesundheitstresor”) heißt die elektronische Patientenakte von Microsoft, mit der jeder Patient selbst seine individuelle Patientenakte führen kann. Nachdem Microsoft in den USA und Kanada im Gesundheitswesen bereits Fuß gefasst hat, kann der Software-Riese nun auch darauf hoffen, im deutschen Gesundheitswesen Marktanteile zu gewinnen.

Wirklich sicher für Patientenakten? Der Tresor "HealthVault" von Microsoft

Gestern vereinbarten Microsoft und die Siemens IT Solutions and Services eine Kooperation. Wie heise online berichtet, soll die Siemenstochter die Software HealthVault exklusiv vertreiben und für die Plattform und Datenintegration sorgen.

Mit Microsoft HealthVault können Patienten ihre individuelle Krankheitsgeschichten selbst dokumentieren und Ergebnisse aus ärztlichen Befunden verschlüsselt auf einem Server speichern. So soll es dann möglich sein, behandelnden Ärzten per Passwort Einblick in die selbst geführte Patientenakte zu gewähren.

Laut Siemens, so heise online, sei das System sehr sicher, da der Dienst in gesicherten Datenzentren betrieben werde, die Anwenderdaten zu speichern. Diese könne der Nutzer über eine verschlüsselte Internet-Verbindung abrufen.

Wird nur noch von gut 25% der Teilnehmer genutzt, das Testangebot der Barmer GEK

Die Bereitschaft der Patienten, ihre Akten selbst zu führen, ist in Deutschland noch relativ gering. Hierzulande bieten die Unternehmen ICW und Vita-X mit Microsofts HealthVault vergleichbare Software-Produkte an.

Von den ursprünglich 3.000 Patienten, die 2007 an einem Feldtest der Barmer Ersatzkasse zum Führen der eigenen Patientenakte teilnahmen, nutzen aktuell nur noch 800 Patienten diese Möglichkeit.

Ob als Teilnehmer an sozialen Netzwerken, als Kunde im Online-Shop oder Passagier einer Fluggesellschaft, jeder (auch der Autor dieser Zeilen) hinterlässt täglich Daten, die irgendwo gespeichert und weiterverarbeitet werden.

Damit niemand mit den privaten Daten Unfug treibt, gibt es in der Bundesrepublik Deutschland in den einzelnen Bundesländern, aber auch auf Bundesebene entsprechende Gesetze: Auf Landesebene sind dies die so genannten Landesdatenschutzgesetze und auf Bundesebene das Bundesdatenschutzgesetz (BDSG).

Jedes Jahr am 28. Januar ist Europäischer Datenschutztag

Über die Einhaltung der Landesgesetze wachen die jeweiligen Landesbeauftragten für den Datenschutz und auf Bundesebene zeichnet der derzeitige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, dafür verantwortlich, dass neue Gesetzesvorhaben nicht im Widerspruch zu den Bürgerrechten stehen.

Der Datenschutz ist nicht nur in Deutschland, sondern auch auf EU-Ebene ein wichtiges Thema. Daher findet seit dem 28. Januar 2007 einmal jährlich der Europäische Datenschutztag statt.

Er geht zurück auf die Unterzeichnung der Europäischen Datenschutzkonvention, in der sich die unterzeichnenden Staaten zur Achtung der Rechte und Grundfreiheiten bei der automatisierten Speicherung und Weiterverarbeitung von persönlichen Daten verpflichten.

Der eigene Datenschutz geht jeden an

An jedem Europäischen Datenschutztag, so auch gestern, führen alle mit dem Datenschutz beauftragten Organisationen in den jeweiligen EU-Ländern und auch hierzulande Veranstaltungen zu verschiedenen Aspekten des Datenschutzes durch. Dabei wollen Politiker und Experten nicht unter sich bleiben.

Haben Sie also gestern die Gelegenheit zum Mitdiskutieren wahrgenommen bzw. den aktuellen Stand des Schutzes Ihrer eigenen Daten überprüft?

Der Datenschutz in Europa und besonders der der eigenen Daten geht Alle an!

Ende letzter Woche haben die europäischen Innenminister auf ihrem informellen Treffen im spanischen Toledo beschlossen, einen zweiten Anlauf zum Aufbau eines Systems, mit dessen Hilfe Daten von Flugpassagieren gesammelt und ausgewertet werden sollen, beschlossen. Dies meldet das Nachrichtenportal heise.de.

Hintergrund ist der vereitelte Anschlag auf eine US-Amerikanische Passagiermaschine im Dezember 2009. Gegen die erste Initiative auf EU-Ebene hatte Ende 2008 vor allem die Bundesregierung Wiederstand geleistet.

“Wenn man das machen will, dann jetzt”, so Bundesinnenminister Thomas de Maizière am Rand der Tagung. Nun ginge es nicht mehr darum, ob die so genannten Passenger Name Records (PNR) beschlossen, sondern wie sie durchgeführt werden.Gleichzeitig forderte der Minister strengere Datenschutzbestimmungen.

Dieser Forderung schließe sich, so der Bericht weiter, auch Bundesjustizministerin Sabine Leuthheuser-Schnarrenberger (FDP) an. Widerstand rege sich auch im Europäischen Parlament. So hätten Grüne und Sozialdemokraten Widerstand gegen das Vorhaben angekündigt und auch Manfred Weber, Vize-Fraktionschef der konservativen Europäischen Volkspartei (EVP) sei skeptisch.

Genüber der Financial Times Deutschland sagte er, für den Rat werde es sehr schwierig, mit diesem Vorschlag eine Mehrheit der Abgeordneten zu bekommen. Zudem sollten sich die Eu-Innenminister eher auf die Vernetzung ihrer Behörden konzentrieren.

Das PNR-Projekt sieht die Aufteilung der zu speichernden Daten in 19 Kategorien wie Namen, Telefon- Konten- Kreditkartennummernund und den Essenswünschen an Bord vor.

Bevor ich im August letzten Jahres für zehn Tage in die USA flog, schaffte ich es in der Hektik der Reisevorbereitungen nur knapp, mich beim amerikanischen Heimatschutzministerium (Department of Homeland Security) per Online-Formular anzumelden.

Hätte ich das Online-Formular nicht ausgefüllt, so hätte mich die Fluggesellschaft trotzdem noch mitnehmen und mir während des Fluges ein grünes Formular aushändigen können, dass ich sozusagen als Ersatz für das Online-Formular hätte ausfüllen können. Doch damit ist es nun vorbei.

Wer nicht am ESTA-Verfahren (Electronic System for Travel Authorization) teilnimmt, kann die Hoffnung, trotzdem noch im Flieger mitgenommen zu werden, begraben. Noch sei die Übergangsphase zur vollständigen Einführung des ESTA-Online-Fragebogens nicht abgeschlossen, so der Sprecher des Hamburger US-Konsulats. Deshalb müssten Passagiere manchmal trotz bereits elektronisch übermittelter Daten im Flugzeug zusätzlich ein grünes Formular ausfüllen. Dies habe dann lediglich technische Gründe.

Bei Reisen in die USA unbedingt zu beachten: das ESTA-Verfahren

Von dieser Regelung sind Reisende aus solchen Ländern betroffen, die am so genannten “Visa Waiver Program” der USA teilnehmen. Ohne Visum kann man sich dann bis zu 90 Tage im Land der unbegrenzten Möglichkeiten aufhalten.

Wer es aber vor seiner geplanten USA-Reise, aus welchen privaten oder geschäftlichen Gründen  auch immer, nicht schafft, rechtzeitig seine Einreisegenehmigung per Online-Formular zu beantragen, guckt in die Röhre, muss seinen Flug umbuchen und zahlt am Ende drauf.

In allen 32-Bit-Versionen des Betriebssystems Windows befindet sich eine Sicherheitslücke, durch die ein am System angemeldeter Angreifer die Nutzungsrechte für installierte Programme missbrauchen kann.

Wie der Nachrichtendienst golem.de meldet, seien 64-Bit-Versionen von Windows nicht von dieser Sicherheitslücke betroffen. Bis zur Beseitigung des Sichereitslecks beim nächsten Patchday mitte Februar, solle man den NT Virtual Dos Mode (NTVDM) abschalten, falls dieser nicht benötigt werde. Mit dieser Maßnahme könne man einen möglichen Angriff zwar nicht verhindern, aber erschweren.

Visa beabsichtigt, das Bezahlen mit seinen Kreditkarten sicherer zu machen. Wie die “Zeit Online” meldet, soll ab April ein als “Visa Alert” bezeichneter Service eingeführt werden. Erfolgt mit der Visakarte eine Zahlung, so erhält der Kunde eine SMS.

Mehr Sicherheit durch Zahlungsinformationen per SMS: VISA

“Visa Alert” soll vor allem dazu dienen, den Missbrauch von Karten schneller entdecken und verfolgen zu können. Etwa 950 000 Visa-Kunden seien bundesweit von den aktuellen Problemen mit Kreditkarten betroffen. Visa arbeite an einer Lösung.

Die Polizei sucht nach wie vor nach dem Mann, dessen Laptop am Mittwoch vergangener Woche bei einer Sicherheitskontrolle auf dem Münchner Flughafen einen Bombenalarm auslöste.

Wie die “Welt” berichtet, handelt es sich bei dem Reisenden um einen Mann mittleren Alters, der trotz der Videoaufzeichnungen am Security-Checkpoint nicht identifiziert werden konnte. “Wir suchen den Mann zwar, aber ich möchte betonen, dass das nicht strafrechtlich relevant ist“, sagte der Sprecher der Flughafenpolizei, Albert Poerschke, gegenüber dem Deutschen Depeschendienst (ddp).

Als das Notebook des flüchtigen Mannes im Terminal zwei des Münchner Flughafens am Security-Checkpoint kontrolliert wurde, hatte der Sprengstoffdetektor Alarm geschlagen. Hierauf wollte eine Angestellte der Sicherheitsfirma den Laptop einer zusätzlichen Kontrolle unterziehen, doch der Reisende ergriff das Gerät und tauchte in der Menschenmenge unter.

Bislang ist jedoch unklar, ob der Mann nach draußen flüchtete oder ein Flugzeug bestieg. Normalerweise müssen Flugpassagiere beim Passieren der Sicherheitsschleuse bereits im Besitz einer gültigen Bordkarte sein.

Ob die Sicherheitspanne diese Woche mit einem Körperscanner vermieden worden wäre?

Eine erste Spur führte nach Spanien. Auf dem Madrider Flughafen kontrollierte die Grenzpolizei jedoch ergebnislos eine aus München kommende Maschine.

Nach der Panne auf dem Münchner Flughafen fordern Politiker und Polizeivertreter gleichermaßen Konsequenzen: Im Interview mit dem Deutschlandfunk sagte Bundesinnenminister Thomas de Maiziere (CDU), er nehme den Vorfall „sehr ernst“.

Nach der Untersuchung „sämtlicher Umstände dieses Vorgangs mit allen Beteiligten”, so der Minister weiter, müssten„gegebenenfalls Konsequenzen“ gezogen werden. Bei Fehlern „struktureller Art“, könnte dies auch für andere deutsche Flughäfen gelten.

Josef Scheuring, Vorsitzender der Gewerkschaft der Polizei und zuständig für die Bundespolizei, forderte in der “Süddeutschen Zeitung” eine generelle Überprüfung der Sicherheitsmaßnahmen auf deutschen Flughäfen: „Wenn man jemanden kontrolliert, muss man ihn auch festhalten können.“

Aus der Entfernung könne er den Vorfall auf dem Münchner Flughafen nur schwer beurteilen. Entweder sei am Schalter zu wenig Sicherheitspersonal anwesend gewesen oder die Angestellten der Sicherheitsfirma seien mangelhaft ausgebildet.

Die US-Bundespolizei FBI hat zwischen 2002 und 2006 rechtswidrig auf bis zu 2200 Datensätze zu Telefongesprächen zugegriffen und ausgewertet. Dies berichtet heise online unter Berufung auf einen entsprechenden Artikel in der Washington Post. Den Journalisten, so der Bericht, seien entsprechende Hinweise per Briefpost und E-Mail zugespielt worden.

FBI-Ermittler hätten die im Rahmen der National Security Letters bestehende Pflicht der Telekommunikationsunternehmen, bei Gefahr im Verzug auch ohne entsprechende schriftliche Anfragen Verbindungsdaten herauszugeben, ausgenutzt. Zwar hätten die Ermittler schriftliche Autorisierungen nachgereicht, doch habe es sich bei den Dokumenten um Blanko-Vollmachten gehandelt.

FBI verstößt gegen den ECPA

Unter anderem sei das FBI so unerlaubt auch an Verbindungsdaten von Journalisten der Washingten Post und der New York Times gelangt. Dem Bericht zufolge habe eine FBI-Justiziarin den Verstoß der Behörde gegen das Fernmeldegesetz Electronic Communications Privacy Act eingeräumt. 2007 sei die rechtswidrige Informationsbeschaffung eingestellt worden.

Das US-Justizministerium hat dem FBI wiederholt vorgeworfen, die im Rahmen der National Security Letters bestehenden Befugnisse zur Terrorbekämpfung missbraucht, mehr Informationen als zulässig gesammelt und auch ohne bestehende Vollmachten Erkundigungen über Verdächtige eingeholt zu haben.

Microsoft hat angekündigt, noch vor dem 9. Februar ein Sicherheitspatch für den Internet Explorer zu veröffentlichen.

Derzeit weisen fast alle Versionen des Browsers eine Sicherheitslücke auf, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Wochenende und das französische Pendant des BSI diese Woche dazu veranlasste, vor der Nutzung des Programms bis zur Veröffentlichung eines Patches durch Microsoft zu warnen.

Soll heute ein Sicherheitspach erhalten: der Internet Explorer

Mittlerweile hat das BSI seine Warnung, wir berichteten, auch auf weitere Microsoft-Produkte wie Outlook, Outlook Express, Windows Mail, Windows Live Mail, das Hilfesystem und die Sidebar erweitert.

Wer Outlook und Outlook Express sowie Microsoft Windows Mail oder Microsoft Windows Live Mail nutze, so die Empfehlung des BSI, solle zum Anzeigen von E-Mails die “Eingeschränkte” Zone nutzen. Das ausführen aktiver Skripte solle man unterbinden und HTML-E-Mails im nur-Text-Modus anzeigen lassen.

Laut Golem.de will Microsoft heute, am 21. Januar bis um 09:00 Uhr MEZ den genauen Termin für die Veröffentlichung des Patches bekannt geben.

Seitdem das BSI vor der Nutzung des Internet Explorers abgeraten hat, verzeichnen Anbieter alternativer Browser wie Opera und Mozilla steigende Download-Zahlen aus Deutschland.

Sicherheitsexperten haben bei Ruf-Jugendreisen ein Datenleck aufgedeckt. Wie der Nachrichtendienst heise.de berichtet, sei hiervon die Online-Community von Ruf-Jugendreisen betroffen. So soll es möglich gewesen sein, personenbezogene Details aus Profilen von rund 50.000 Nutzern auszulesen.

Kürzlich entdeckt und schnell reagiert: Datenleck bei Ruf-Jugendreisen

Vor einer Woche seien den Betreibern des Blogs Netzpolitik.org entsprechende Hinweise auf das Datenleck zugegangen. Hierauf habe Netzpolitik.org die Firma Ruf-Jugendreisen kontaktiert, auf die Sicherheitslücke hingewiesen und mit einer Kopie der Datenbank versorgt.

Der Reiseveranstalter habe unverzüglich reagiert und die Community-Website in der Nacht zum Samstag vom Netz genommen. Ruf sei nach eigenen Angaben “ein nicht unerheblicher wirtschaftlicher Schaden” zugefügt worden, da “in großem Umfang Daten manipuliert wurden”. Bislang ist nicht bekannt, wie lange der Zugriff auf die Datenbank möglich war.

Bei dem Datenklau, so Netzpolitik.org, seien hierfür übliche Methoden wie das so genannte Cross-Site-Scripting und die SQL Injection zum Einsatz gekommen. Da die Passwörter der zumeist jugendlichen Nutzer unverschlüsselt in der Datenbank hinterlegt waren, sei es auch möglich gewesen, die E-Mails zu lesen und an weitere personenbezogene Daten wie E-Mail-Adressen, Pseudonyme, etc. zu gelangen.

Die Sicherheitslücke bei Ruf-Jugendreisen weise Parallelen mit dem im Dezember 2009 durch den Chaos Computerclub (CCC) publik gemachten Sicherheitsproblem des Schülernetzwerks haeft.de auf.