Google speicherte G Suite-Passwörter seit 2005 im Klartext

Google speicherte G Suite-Passwörter seit 2005 im Klartext

Eine Reihe von Business-Passwörtern für die G Suite ist ohne Verschlüsselung im Klartext gespeichert worden. Seit 2005 lagen diese Passwörter auf internen Servern, allerdings in einer verschlüsselten Infrastruktur. Google gibt an, dass es keine Hinweise auf unrechtmäßige Nutzung gibt und fordert Betroffene doch zum Wechseln der Passwörter auf.
Nach Facebook nun Google
Vor wenigen Monaten war publik geworden, dass Facebook Passwörter im Plain Text gespeichert hatte, die theoretisch für Mitarbeiter einsehbar waren. Jetzt hat Google in einem Blogpost darüber informiert, dass Passwörter von G Suite-Kunden, also Unternehmenskunden, ebenfalls im Plain Text gespeichert waren. Und das seit 2005, als man bei der Implementierung einen Fehler machte. Dabei wurden Kopien von nicht gehashten Passwörtern gespeichert. Das Problem ist nach Googles Aussagen lange behoben und für einen Missbrauch der Passwörter gibt es keine Anzeichen.
Auch im Januar 2019 wurden versehentlich einige Passwort-Sets ohne Hashing gespeichert. Doch blieben diese nur für den Zeitraum von 14 Tagen in der verschlüsselten Infrastruktur der G Suite vorhanden. Aktuell arbeitet Google mit den Entwicklern zusammen, um betroffene User ausfindig zu machen und ihnen nahezulegen, ihre Passwörter zu ändern.
In einer weiterführenden Erklärung zeigt der Konzern, wie die Passwörter von Kunden gehasht werden, sodass Google die tatsächlichen Passwörter im Normalfall nicht kennt. Das ist etwa auch der Grund, warum das Unternehmen im Falle des vergessenen Passworts nicht angeben kann, wie dieses lautet. Dafür ist mit der Methode des Hashings aber mehr Sicherheit verbunden. Denn es ist relativ einfach ein Passwort zu scramblen, also zu verschlüsseln, während die Entschlüsselung fast unmöglich ist.
Weitere Reaktionen von Google
Domain-Administratoren der G Suite hatten zuletzt die Möglichkeit, Passwörter einzustellen und wiederherzustellen, da dies ein gewünschtes Feature war. Das Tool hierfür war in der Admin Console verortet, wo die Admins auch händisch Passwörter für die G Suite-Nutzer hochladen oder einstellen konnten. Damit sollte neuen Nutzern der Einstieg erleichtert werden. Diese Funktion, um Passwörter wiederherzustellen, ist jedoch von nun an nicht mehr existent.
Aus Sicherheitsbedenken hat Google die Administratoren der G Suite weiterhin angewiesen die betroffenen Passwörter zu ändern, falls das nicht geschehen ist. Accounts, deren Passwörter ungehasht gespeichert waren und die diese noch nicht geändert haben, werden einem Reset unterzogen. Selbst wenn aber Dritte an ein Passwort der Kunden gelangen, wird die Sicherheit des Kontos noch immer geschützt, da Google auch automatisch verdächtige Logins wahrnimmt. Zudem gibt es Zwei-Faktor-Verifikationsoptionen, bei denen ein potentieller Hacker neben dem Passwort auch das entsprechende Mobilgerät oder einen Security Key bräuchte. Die Security Keys setzt Google übrigens auch bei den Accounts der eigenen Mitarbeiter ein.
Folgenlose Fehler?
Schließlich entschuldigt sich Google für den Fehler:
Here we did not live up to our own standards, nor those of our customers. We apologize to our users and will do better.
Der Vorfall zeigt, dass die Sicherheitsmaßnahmen der Vergangenheit nicht immer ausreichend waren, um sich gegen den Missbrauch von Daten zu schützen. Die Möglichkeiten, die Google, aber auch andere Player inzwischen bieten, um einen Login abzusichern, sind heute aber sehr viel umfassender. Auf diese sollten User, Unternehmen wie Privatpersonen, unbedingt zurückgreifen. Damit wird die Gefahr eines unerwünschten Kontenzugriffs minimiert. Bemerkenswert ist, dass Google hier transparent Bericht erstattet. Leider können wir als Nutzer nie genau wissen, welche Daten von uns tatsächlich in Sicherheit sind. Ein Grund mehr, sich auch gut zu überlegen, welche Daten preisgegeben werden und wie diese gesichert werden sollten. Das Bewusstsein ist ein wichtiger Faktor für den Datenschutz. Für Google und Co. sind – womöglich – folgenlose Fehler immerhin eine Lehre, die die künftige Sicherheit der Nutzerkonten optimieren dürfte.

Adobe Summit – B2E als Revolution und Customer Experience als Währung

Adobe Summit – B2E als Revolution und Customer Experience als Währung

B2E – Business to Everyone. Das ist die revolutionäre Marschrichtung, die Steve Lucas von Marketo für Adobe beim Summit in London präsentiert. Damit verweist er auf Digitalkultur, die bekannte Systeme und Muster aufbrechen möchte, um die Kundenerfahrung zu optimieren. Die Customer Experience wird als das ultimative Ziel für Marken stilisiert und in Kombination mit dem Trust der Nutzer als neue Währung ausgerufen. Daten und Technologie bleiben die Basis, auf der eine optimale Kundenreise aufgebaut werden kann. Dafür präsentiert Adobe starke Lösungen und wichtige Partnerschaften.
Die perfekte Customer Experience als heiliger Gral 
Der Adobe Summit EMEA 2019 in London stand klar im Zeichen der Kundenerfahrung. Das wurde wieder und wieder von den Verantwortlichen bestätigt. Abhay Parasnis, Executive VP und CTO bei Adobe, erklärte bei der Keynote auf der Bühne vor 6.000 Anwesenden:
Leaders and laggards are divided by the ability to focus on the customer experience.
Um zu erkennen, wie wichtig die Kunenerfahrung für jegliche Marken ist, waren auf der Bühne im eindrucksvollen ExCel in den Docklands von London neben den zentralen Marketingverantwortlichen Adobes wie etwa Paul Robson, Präsident für den EMEA-Raum, auch Vertreter weltberühmter Marken zugegen. So erklärte die CIO von Unilever, Jane Moran, dass es Zeit für eine Hyper-Personalisierung und die Kundenanpassung der Massen sei. Wie aber treibt man die Customer Experience voran, so ein vages Konstrukt, das tatsächlich auf sehr vielen Elementen fußt? Auf jeden Fall muss die Ästhetik der Marketingmittel stimmen. Das untermauert Adobe selbst mit dem Aufbau des Summit und einem beinah ansteckenden Trailer zu den eigenen Produkten. Ein sehr schönes und treffendes Zitat hierzu liefert dann aber der CEO von illycaffè‏, Massimiliano Pogliani: 
Aesthetics should always go with ethics – otherwise it’s just cosmetics.
Weise Worte, denen er folgen lässt, dass die Optionen des Digitalen erlauben, jeden Tag etwas Neues zu kreieren.

Offering the greatest coffee experience to the world, enhanced by the best available technologies, is part of our mission. #LIVEHAPPilly#[email protected]@AdobeSummitpic.twitter.com/Nt8Jn7jPP7
— illycaffè (@illycaffe) May 15, 2019

Möglichkeiten und Hürden
Möglichkeiten und Hürden also. Wie beides im Kontext der vielzitierten Customer Journey effektiv kombiniert werden kann, reißt dann die VP für Platform Engineering bei Adobe, Anjul Bhambhri, an. Vier Punkte sind für die Experience wichtig:
die Data Pipeline
Echtzeit-Profile für Kunden
AI und Machine Learning
die Application Delivery
Bhambhri meint, dass sich, da die Kundeninteraktionen sich schließlich in Echtzeit ändern können, auch die an sie gerichteten Segmente in der Customer Journey in entsprechend schnell verändern lassen müssen. Ash Roots vom Partner BT erkannte diesen stetigen Wandel auch als Konstante an nud schob dabei gleich eine Analogie zum Segeln ein, wo immer andere Prämissen das Rennen der besten Boote beeinflussten. Nur mit einer raschen Anpassung lässt sich der optimale Zyklus einer Customer Journey mit eben solchen Interaktionen erreichen: entdecken, ausprobieren, kaufen, benutzen, erneuern.
Der optimale Customer Experience-Zirkel für Marken, © Niklas Lewanczik Eine Änderung des Mindset ist nötig
Um das Marketing für Marken in jeglichen Bereichen, B2B und B2C, zu einer starken Kundenerfahrung hinzuführen, braucht es laut Steve Lucas, CEO von Marketo, das seit letztem Jahr ebenso wie Magento zu Adobe gehört, ein Umdenken. Denn die Verantwortlichen im B2B-Bereich sind in ihrer Empfänglichkeit für Kampagnen per se nicht anders als im B2C-Bereich. Daher plädiert Lucas für die Ausrichtung B2E – Business to Everyone.
Das heißt auch, dass man bestehende Systeme und Muster überdenken muss. Sie determinieren bisher den Umgang mit der Kundenerfahrung; aber warum kann nicht die gewünschte Customer Experience bestimmen, wie die Systeme überhaupt aussehen müssen? Hier spricht sich Lucas für eine Anpassung aus. B2E ist der „North Star“ für Marketo und damit Adobe. Lucas verweist auch auf die Kooperation von Microsoft, Adobe und LinkedIn bei der Account-Based Experience (ABX), um Account-basierte Profile von Nuztern in der Adobe Experience Cloud, mitsamt Marketo Engage und Microsoft Dynamics 365, zur Verfügung zu haben.

What an incredible two days at #AdobeSummit EMEA! Check out our 5 key learnings: pic.twitter.com/e9H45WzKmT
— Experience Cloud (@AdobeExpCloud) May 16, 2019

Das Mindset zu verändern bedeutet ebenso, Prozesse vereinfachen und für mehr Menschen zugänglich machen zu können. Beth Burns von BT zeigt im Praxisbeispiel, wie sicher verschlüsselte First Party-Daten, aus einer E-Mail-Liste zum Beispiel, ganz simpel über Adobes Cloud genutzt werden können, sodass sich damit Nutzer via Social Media und im In-App-Bereich ansprechen lassen.
Das Layout personalisiert und ganz schnell ändern
Konkreter werden Peter Sheldon und Mathieu Hannouz von Adobe, die Echzeit-Veränderungen in der mobilen App präsentieren, für die es keinerlei Kenntnis eines Entwicklers bedarf. So demonstriert Hannouz am Beispiel der Seite und App von Zadig & Voltaire in der Experience Cloud, wie Templates in Sekundenschnelle ausgetauscht werden, während sich Titel, Beschreibung, Bilder usw. automatisch angleichen. Dabei erstaunt, dass das Layout je nach Kunde individuell mit speziellen Segmenten versehen wird.
Die Templates lassen sich je nach Audience anpassen, © Adobe Summit Die „Magic of Technology“, die Tatiana Mejia, Head of Product Marketing & Strategy, im Press Roundtable zu AI-Themen rund um Sensei benennt, ist das wundervolle Instrument, das zum Erreichen einer einzigartigen Customer Experience genutzt wird. Es entwickelt sich jedoch immer weiter. Dass Kreativität und Daten aneinander gebunden sind, bestätigt uns Toccara Baker, Senior Product Marketing Manager, EMEA bei Adobe, im Gespräch. Der Weg zur Customer Journey ist dabei ein Zyklus: ein starkes Creative überzeugt einen Nutzer, der etwa auf Instagram damit konfrontiert wird (via Advertising Cloud), und dieser meldet sich zum Testen bei Adobe an und erstellt eine Adobe ID. In diesem Moment wechselt sein Status gewissermaßen von unbekannt zu bekannt – und die Kreativität kann auf die konkreten Nutzerdaten zurückgreifen und im nächsten Schritt individuellere Kundenerlebnisse liefern.
Adobes Lösungen für die beste Customer Journey
Beim Summit wurden vonseiten Adobes natürlich zahlreiche und teils sehr aufsehenerregende Partnerschaften und Neuerungen vorgestellt. So soll die Adobe Experience Platform als erstes Modell seiner Art und als Customer Experience Management-Plattform umfassend dabei helfen, Echtzeit-Kundenprofile zu erstellen. In Kooperation mit Marketo Engage und dem neuen Partner Software AG soll das Customer Experience Management optimiert werden. Beim Summit wurde verkündet, dass die webMethods Integrations- und API-Management-Services der Software AG in die Experience Platform Adobes integriert werden. Auf diese Weise lassen sich Datensilos entfernen und dank KI und Machine Learning die Echtzeit-Profile erstellen. Integrierte SAP-Lösungen helfen ebendalls bei der Stärkung der CX, wenn beispielsweise ein neuer Datenkonnektor zwischen Marketo Engage und SAP-Lösungen das Kundenverhalten (etwa wichtige besuchte Websites, geöffnete E-Mails, Teilnahme an einer Veranstaltung etc.) und andere Marketingdaten nahtlos mit Vertriebsaktivitäten und Pipeline-Daten synchronisiert.
Die Adobe Experience Platform ist nun verfügbar.
So soll die Adobe Experience Platform funktionieren (bei einem Klick aufs Bild gelangt ihr zur größeren Ansicht), © Adobe Experience Platform Weitere wichtige Ankündigungen betreffen Magento Commerce. Mit diesen sollen jegliche Handelsunternehmen mehr Kunden als zuvor ansprechen können. Denn Magento Commerce integriert den Amazon Sales Channel und den Google Shopping Ads Channel bei den eigenen Lösungen. Nutzer können also etwa vom Magento Admin aus Google-Werbekampagnen verwalten oder mehr potentielle Käufer erreichen, indem Produktkataloge nahtlos bei Amazon integriert und ein Datenfluss in beide Richtungen etabliert wird. Zudem ermöglicht Magento die bereits erwähnten deutlich einfacheren und schnelleren Veränderungen bei Websites und Apps, die über einen Zugriff auf die Experience Cloud möglich sind. Die Funktionen der Magento Commerce sind in die Experience Cloud Adobes integriert, sodass die Kunden darauf zugreifen können. Andersherum können Magento Commerce-Kunden aber nun auch vereinfacht auf Adobe Analytics zurückgreifen.
Große Kunden, aber die gleichen Anforderungen für alle
Ein namhafter Kunde von Adobes Customer Experience Management-Lösungen ist inzwischen auch Prada, wie auf dem Summit bekanntgegeben wurde. Die Prada Group möchte mit den Experience Cloud-Lösungen rund um Marketing- und Multi-Channel-Kommunikation die Kundenerfahrung im Einzelhandelsnetzwerk optimieren, online und offline. Paul Robson kommentiert hierzu:
Die Prada Group steht für Innovation und Kreativität und unsere Partnerschaft wird eine zentrale Rolle in der globalen digitalen Strategie der Gruppe spielen. Die Kundenbedürfnisse und -erwartungen entwickeln sich ständig weiter. Luxusmarken sind führend bei der Schaffung einer größeren kanalübergreifenden Personalisierung und der Bereitstellung ansprechender Kundenerlebnisse, die letztendlich Vertrauen und Loyalität auf globaler Ebene aufbauen.
Tatsächlich sind vor allem die ganz großen Marken Partner und Kunden von Adobe. Wie wichtig die personalisierte, KI- und datengetriebene Customer Experience aber ist, hatte schon Adobes jüngst veröffentlichter Experience Index angedeutet. Vier von zehn Kunden in Deutschland haben einen Online-Kauf wegen einer schlechten Kundenerfahrung schon abgebrochen. Fast jeder Zweite ist mit dem Kundenservice in zentralen Branchen nicht zufrieden.
Adobe macht es eigens vor
So können sich Marken allgemein vom Adobe Summit 2019 EMEA in London die Botschaft herausfiltern: stellt die Customer Experience ins Zentrum. Natürlich möchte Adobe dabei Hilfestellung leisten, und die KI Sensei liefert hierzu eindrucksvolle Optionen – die womöglich sogar manchem Fotodesigner Arbeit streitig machen könnten. Die Lösungen der Clouds sind dank starker Partner wie Magento und Marketo, nun auch Software AG, ein Anlaufpunkt, der sich für Marken rentieren kann.
Doch nicht jede Marke hat das Budget, um all diese Lösungen umfassend zu nutzen, auch dieser Realität muss man angesichts der pompösen Vorstellungen ins Auge blicken. Vielleicht reicht es mitunter, herauszufinden, welche Lösung am nützlichsten ist und daher die Investition rechtfertigt. Eine Investition in die Zukunft der Customer Experience ist schließlich für Marken so oder so unerlässlich. Es gibt neue Lösungen, neue Technologie-Ansätze und sogar ganz neue Marketing-Glaubenssätze – B2E. Aber am Ende muss doch der Kunde überzeugt sein. Adobe demonstriert: sie wissen, wie es geht. Nun ist es an der Branche, dieser Ausrichtung, mithilfe Adobes oder ohne, zu folgen.

Facebook wehrt sich gegen die von Mitgründer Chris Hughes geforderte Zerschlagung

Facebook wehrt sich gegen die von Mitgründer Chris Hughes geforderte Zerschlagung

Chris Hughes gründete Facebook mit Mark Zuckerberg und empfindet Verantwortung, obwohl er nicht mehr für das Unternehmen arbeitet. Jetzt erklärt er öffentlich, dass eine Zerschlagung desselben notwendig sei. Facebook hingegen möchte nicht als Opfer des eigenen Erfolgs stilisiert werden und lehnt die Gedankenspiele ab.
„It’s time to break it up“
Chris Hughes war vor 15 Jahren an der Gründung des längst größten und finanzstärksten sozialen Mediums überhaupt beteiligt. Bereits 2007 verließ er das Unternehmen und unterstützte Barack Obama im US-Präsidentschaftswahlkampf. So ist Hughes keineswegs die Person, die Facebook noch immer in- und auswendig kennt. Doch mit einem Rückblick auf die Anfänge gibt er nun an, dass das Unternehmen zu groß und zu mächtig geworden sei. In einem Bericht der New York Times wird deutlich, dass Hughes die Idee, dass Industrien von wenigen Megaunternehmen kontrolliert werden, ablehnt.
In Bezug auf Facebook prangert er an, dass das Unternehmen Wettbewerber kauft, ehe sie zu groß werden – WhatsApp und Instagram sind inzwischen extrem wichtig für das Unternehmen. Außerdem kopiere man zahlreiche Features wie die Stories von Snapchat. Doch vor allem fürchtet der Mitgründer des Unternehmens eine Gefahr für die Demokratie:
When companies become empires, people are stripped of power.
Und so glaubt Hughes nicht, dass Mark Zuckerberg diese Problematik allein lösen kann. Deshalb fordert er Interventionen vonseiten der Regierung. Eine Zerschlagung von Facebook sei ein guter Schritt, um den Wettbewerb neu zu beleben, etwa wenn die Federal Trade Commission (FTC) sich dafür einsetze, dass die Zukäufe von WhatsApp und Instagram quasi rückgängig gemacht werden. Zusätzlich fordert Hughes eine neue Regierungsabteilung, die die Überwachung der Tech-Unternehmen bewerkstelligt. Eine Regulierung der Unternehmen durch sich selbst sei nicht angemessen. Er wolle in einem Land leben, wo David es mit Goliath aufnehmen kann. Doch das funktioniert nur, wenn den Megaunternehmen Einhalt geboten wird.
Der immense Einfluss Facebooks
Mit 2,1 Milliarden täglich aktiven Nutzern ist das Soziale Netzwerk die unübertroffene Nummer eins der Social Media. Facebook hat in den vergangenen Jahren massive Kritik einstecken müssen, hat Datenskandale erlebt und ist immer wieder wegen eines Ungleichgewichts von Marktmacht und Verantwortungsbewusstsein medial angegangen worden. Außerdem hat die große Macht der Plattform einen Einfluss auf so manche Wahl oder politische Entwicklung gehabt, der im Nachhinein für Negativschlagzeilen sorgte.
Doch trotz immer wieder auftretender Probleme wächst das Unternehmen: mehr Nutzer, mehr Umsatz, mehr Macht. Seit Monaten schon fordert auch die US-Senatorin Elizabeth Warren eine Zerschlagung Facebooks, aber auch Amazons und Googles:
Today’s big tech companies have too much power – too much power over our economy, our society, and our democracy. They’ve bulldozed competition, used our private information for profit, and tilted the playing field against everyone else. And in the process, they have hurt small businesses and stifled innovation. That’s why my Administration will make big, structural changes to the tech sector to promote more competition—including breaking up Amazon, Facebook, and Google.
Die Marktdominanz Facebooks wird von Chris Hughes auch in seinem Bericht in der New York Times ausführlich untermauert; sie ist nicht von der Hand zu weisen. Hughes weist aber auch darauf hin, dass Mark Zuckerberg selbst sehr mächtig ist; er wird im Unternehmen nicht reguliert und kann nicht gefeuert werden. Man kann Zahlen über Zahlen anführen, aber allein die Tatsache, dass die meisten von uns Facebook nutzen, obwohl wir unsere Daten womöglich preisgeben und damit eine Supermacht der Tech-Branche weiter stärken – und den Wettbewerb eingrenzen –, spricht Bände.
Hughes führt an, dass eine Zerschlagung von großen Unternehmen keineswegs Neuland ist. Er übernimmt Verantwortung dafür, nicht früher eine Warnung verlautbart zu haben. Aber jetzt zeichnet er eine düstere Alternative, sollte es keine Bemühungen geben, das Social Network zu zerschlagen:
The alternative is bleak. If we do not take action, Facebook’s monopoly will become even more entrenched. With much of the world’s personal communications in hand, it can mine that data for patterns and trends, giving it an advantage over competitors for decades to come.
Facebook wehrt sich gegen die Idee
Das Unternehmen selbst bezog recht schnell Stellung zu den Aussagen seines ehemaligen Mitarbeiters und Mitgründers. Man begrüße mehr Verantwortung, die Abkopplung von WhatsApp und Instagram ginge aber zu weit. So wird Facebooks Nick Clegg, VP Global Affairs and Communication, bei The Verge zitiert:
Facebook accepts that with success comes accountability. But you don’t enforce accountability by calling for the breakup of a successful American company. Accountability of tech companies can only be achieved through the painstaking introduction of new rules for the internet. That is exactly what [CEO] Mark Zuckerberg has called for. Indeed, he is meeting government leaders this week to further that work.
Demnach möchte Facebook ebenso mehr Regularien, die von der Regierungseite kommen. Die Frage ist jedoch, welche Macht Zuckerberg und Facebook bereits haben, um auch auf derlei etwaige Regularien einen Einfluss zu nehmen. Immerhin hatte Zuckerberg dieses Jahr bereits erklärt, dass eine Regulierung des Internets unumgänglich sei. Regulatoren und Regierungen sollten demzufolge aktiver die Entwicklungen im Internet überwachen und einschränken, falls nötig. Auch Apples Tim Cook hatte zuletzt verlauten lassen, dass er keinen anderen Weg sehe als Technologie zu regulieren.
Die Stimmen, die für eine Zerschlagung der größten Tech Player sprechen, mehren sich. Dass die betroffenen Unternehmen eine solche ablehnen, ist nur zu gut nachvollziehbar. Doch wer sollte die Verantwortung übernehmen? Chris Hughes hofft auf eine Intervention der FTC und eine neue Regulierungseinheit der Regierung. Eine Form der Regulierung von außen sieht auch Zuckerberg als nötig an. Wann aber kommt der Punkt, an dem diese Möglichkeit unweigerlich eintreten muss? Sind wir als Nutzer schon in einer so großen Abhängigkeit, dass tatsächlich die Demokratie in Gefahr ist? Klar ist, dass Daten und die Algorithmen, die mit ihnen arbeiten, in der Lage sind, die Leben der Menschen auf digitaler Ebene nachzuzeichnen und zu beeinflussen. Diese Macht sollte in naher Zukunft nicht bei einigen wenigen Unternehmen liegen. Facebook beispielsweise kontrolliert den Messaging-Markt sowie soziale Plattformen bereits in unerhörtem Maße. Die auch politische Macht, die Facebook, Google, Amazon, Apple und Co. erlangen könnten, wenn sie ihre Monopolstellungen weiter ausbauen, ist dystopisch. Vielleicht ist die Zeit für eine Zerschlagung gekommen; denn vielleicht ist die Chance dazu irgendwann vertan.

Privatsphäre weiter eingeschränkt? Posts bei Facebook händisch mit Label versehen

Privatsphäre weiter eingeschränkt? Posts bei Facebook händisch mit Label versehen

Millionen von Facebook Posts wurden im vergangenen Jahr von insgesamt 260 Arbeitern im indischen Hyderabad manuell überprüft und anschließend in bestimmte Kategorien eingeordnet. Während so das Posting-Verhalten analysiert wird, fragen sich Datenschützer, ob ein solcher Einblick der Prüfer in die Daten der Nutzer überhaupt legitim ist. Immerhin gibt es hunderte Content Labeling-Projekte von Facebook.
Nutzer haben keine Chance zum Opt-out
Beunruhigend bei den Labeling-Projekten Facebooks, an denen hunderte Arbeiter an verschiedenen Orten der Welt beteiligt sind, ist besonders, dass hierbei nicht vornehmlich Posts auf unangemessene Inhalte hin gescannt werden, sondern hinsichtlich des Posting-Verhaltens analysiert. Wie Reuters berichtet, sollen die Prüfer Post Content kategorisieren, damit Veränderungen des aktiven Nutzungsverhaltens auf der größten Social Media-Plattform überhaupt erkannt werden. Auf diese reagiert Facebook dann mit seinen immer neuen Tools und Features. Einzuordnen sind die Inhalte von Beiträgen in fünf Kategorien, die fragen:
Was wird im Post gezeigt? (etwa die Person selbst, ein Tier, Essen, die Natur etc.)
Was ist der Anlass für den Post? (ein Geburtstag, eine alltägliche Umgebung oder Aktivität usw.)
Wird etwas Bestimmtes ausgedrückt? (ein Gefühl, eine Meinung oder ein Gedanke)
Warum wurde der Post verfasst? (um eine Aktivität zu planen, ein Update zum eigenen Leben zu geben, etwas Lustiges zur Unterhaltung zu posten oder etwas Inspirierendes oder Spirituelles zu teilen)
Wie lässt sich das Post Setting beschreiben? (zuhause, bei der Arbeit, in der Schule, beim Sportevent, draußen oder in öffentlichen Verkehrsmitteln usw.)
Dass Facebook das Verhalten auf seiner Plattform analysiert, ist naheliegend. Allerdings wirft diese Form der händischen Vergabe von konkreten Labels Fragen hinsichtlich der Privatsphäre auf. Denn die Nutzer haben keine Möglichkeit zum Opt-out, ihre Daten aus Posts werden überprüft. Und dabei erhalten die zahlreichen Prüfer aus den Labeling-Programmen einen privaten Eindruck bestimmter Nutzer.
Wie sehr greift das Labeling in die Privatsphäre ein?
Nun ist fraglich, ob die Praktik einerseits DSGVO-konform, andererseits auch moralisch vertretbar ist. In Bezug auf die DSGVO ist zunächst keine klare Antwort möglich. Denn obwohl es vonseiten der Nutzer keine Einwilligung für die konkrete Prüfung der Beiträge gibt, steht in Facebooks Datenrichtlinie eindeutig beschrieben, wie Nutzerdaten erhoben werden.
Deine Nutzung. Wir erfassen Informationen darüber, wie du unsere Produkte nutzt, beispielsweise über die Arten von Inhalten, die du dir ansiehst bzw. mit denen du interagierst, über die von dir genutzten Funktionen, über die von dir durchgeführten Handlungen, über die Personen oder Konten, mit denen du interagierst, und über die Zeit, Häufigkeit und Dauer deiner Aktivitäten. Zum Beispiel protokollieren wir, wenn du unsere Produkte gerade nutzt bzw. wann du diese zuletzt genutzt hast, und welche Beiträge, Videos und sonstigen Inhalte du dir in unseren Produkten ansiehst. Wir erfassen auch Informationen darüber, wie du Funktionen wie unsere Kamera nutzt.
Mit den erhobenen Daten möchte Facebook Services und Produkte verbessern, Messungen und Analysen bereitstellen – besonders für Werbekunden –, die Sicherheit und Integrität der Plattform fördern und die Kommunikation mit den Nutzern optimieren. Außerdem sollen derlei Daten auch für die Forschung genutzt werden. Laut der DSGVO bedarf es jedoch bei der Verarbeitung personenbezogener Daten eines klaren Zwecks. Ob die Angaben in der Datenrichtlinie die Labeling-Projekte direkt abdecken, darf zumindest zur Diskussion gestellt werden. Umso mehr, da die Prüfung durch Dritte vonstatten geht. Zudem wird eine manuelle Prüfung nicht eigens erwähnt. Im bei Reuters beschriebenen Falle der Arbeiter in Hyderabad ist eine Firma namens Wipro Ltd für die Analyse zuständig. Da Facebook weltweit gut 200 solcher Projekte führt, werden auch zahlreiche weitere Drittfirmen an der Auswertung der Posts bei Facebook beteiligt sein.
Facebook gibt an, dass die Rechtsabteilung und das Team für die Datensicherheit alle Labeling-Arbeiten absegnen müssen. Auch ein Auditing-System soll es hierfür geben. Hinsichtlich der Analysen durch Dritte verweist Facebook aber ebenfalls auf die eigene Datenrichtlinie:
We make it clear in our data policy that we use the information people provide to Facebook to improve their experience and that we might work with service providers to help in this process.
Wie das Labeling-Projekt operiert
Nach Informationen von Reuters wurden Wipro von Facebook vier Millionen US-Dollar zugewiesen, woraufhin die Firma 260 Arbeiter mit der Prüfung der Facebook-Beiträge betraute. Diese Prüfer wurden über die Ziele der Analyse nicht unterrichtet. Dabei wird jedes Content Item durch zwei sogenannte Labeler geprüft. Bis zu 700 solcher Content Items werden täglich von den Arbeitern gelabelt – wodurch diese einen tiefen Einblick in die Posting-Strukturen der User erhalten.
Projekte wie jenes in Hyderabad gibt es auch in Rumänien oder auf den Philippinen. Die bei diesen Labeling-Projekten analysierten Posts können öffentliche, aber auch privat geteilte sein. Aus Sicht des Datenschutzes ist es demnach bedenklich, wenn potentiell sehr private Inhalte händisch geprüft und in vorgegebene Kategorien eingeordnet werden. Immerhin erhalten somit Menschen, die auch nur vorübergehend über Dritte für Facebook arbeiten, Einsicht in private Datensätze. Andererseits müssten sich die Nutzer Facebooks darüber im Klaren sein, dass ihre Daten keineswegs wirklich privat bleiben können, sobald sie bei der Plattform auftauchen.
Diese Diskussion ist beinah so alt wie das Netzwerk selbst. Von Interesse ist jedoch die Art und Weise, wie die Inhalte kategorisiert werden. Denn diese fünf Kategorien geben Facebook ein besseres Bild vom Nutzungsverhalten; aber eben auch den Prüfern. Facebook selbst gibt an, künftig dank KI und Machine Learning noch weniger Prüfungen outsourcen zu wollen. Das würde die Voraussetzungen für die Dateneinsicht zwar ändern, doch die Vorstellung einer tatsächlichen Privatsphäre kann bei Facebook nur eine illusorische sein. Damit müssen sich Nutzer längst abfinden. Angesichts der immensen Nutzerzahlen des Sozialen Netzwerks, die sogar weiter steigen, scheint dieser Prozess jedoch schon weit fortgeschritten zu sein.

Google ermöglicht bald automatische Löschung von Locationdaten

Google ermöglicht bald automatische Löschung von Locationdaten

Für all jene, die ihre Locationdaten und Angaben zur Aktivität bei Google nicht dauerhaft gespeichert wissen wollen, führt die Suchmaschine nun Kontrollen ein, die eine automatische Löschung erlauben. Damit lassen sich die eigenen Daten noch simpler verwalten.
Automatische Löschung nach einem bestimmten Zeitraum möglich
Die Daten aus der Standorthistorie der Nutzer oder aus deren Web- und App-Aktivitäten erlauben es Google, seine Dienste und Angebote immer weiter zu optimieren und auch zu personalisieren. Dennoch fordern viele User, dass es einfachere Kontrollen geben soll, um im Google Account die betreffenden Daten für eine Löschung vorzusehen. Bisher existieren bereits übersichtliche Optionen, um beispielsweise den Standortverlauf zu verwalten. Dabei können solche Aspekte bei den Aktivitätseinstellungen mit simplen On-/Off-Kontrollen reguliert werden.
Doch nun gab Google bekannt, dass darüber hinaus Auto-Delete-Kontrollen für die Standortdaten und die Web- und App-Aktivitäten eingeführt werden. Das GIF präsentiert, wie das Ganze funktioniert.

Set it and forget it: Rolling out soon to your Google Account, new auto-delete controls will make it even easier to manage your Location History and activity data → https://t.co/IkOP6srCjA pic.twitter.com/DIzQ4yJZrA
— Google (@Google) May 1, 2019

Demnach können drei Optionen angewählt werden:
die Daten erhalten, bis sie manuell gelöscht werden
die Daten 3 Monate lang erhalten und ältere automatisch löschen
oder die Daten 18 Monate lang erhalten und ältere automatisch löschen
In den kommenden Wochen sollen diese Optionen für die beiden genannten Bereiche ausgerollt werden. Der Speicherung verschiedener Daten können Nutzer in ihren Konten durch eine Deaktivierung einen Riegel vorschieben. Mit den neuen Kontrollen soll die Datenverwaltung also noch simpler werden.
Ob die nach einiger Zeit automatisch gelöschten Daten wirklich für immer vegessen sind, können wir dabei aber nicht nachvollziehen, sondern müssen uns auf Googles Wort verlassen. Immerhin zeigte sich letztes Jahr, dass Google auch mit ausgeschalteten Locationdaten Geräte tracken konnte. Wer aber einen umfassenden und personalisierten Service bei Google erwartet, etwa beim Assistant, muss mit Google verschieden Daten teilen. Darin liegt die Crux und Nutzer müssen sich hier wahrlich entscheiden, welche Aspekte ihnen im digitalen Alltag wichtiger sind. Dass sie jedoch die Option haben, sich zu entscheiden, spricht trotz allem für Google.

Massiver Leak – Millionen Nutzerdaten Facebooks auf Amazon Servern gespeichert

Massiver Leak – Millionen Nutzerdaten Facebooks auf Amazon Servern gespeichert

Wie das Cyber Risk Team von UpGuard kürzlich berichtete, waren Nutzerdaten von Facebook gegenüber Dritten öffentlich zugänglich. Eines dieser Datensets umfasste hierbei 146 Gigabyte, in denen gut 540 Millionen Daten hinterlegt waren. Kommentare, Namen, Likes, Interaktionen und noch viel mehr wurden in dieser Datenbank hinterlegt und waren öffentlich im Internet abrufbar. Ein weiteres Backup einer in Facebook integrierten App namens „At The Pool“, hinterlegt im Speicherdienst Amazon S3 Bucket, war ebenso öffentlich. Neben Interessen, Musik, Bildern und Derartigem, wurden hier ebenso Passwörter hingelegt. Aller Wahrscheinlichkeit nach nur für die angegebene App, Nutzer, die ihre Passwörter doppelt verwenden, laufen nichtsdestotrotz Gefahr. Erneut stellen sich Fragen bezüglich der Vertrauenswürdigkeit Facebooks. Wie sicher sind meine Daten? Wie wichtig ist Facebook meine Sicherheit?
Passwörter für alle
„At The Pool“ ist zwar nicht die größte aufgedeckte Datenbank, jedoch mitunter die gefährlichste. Sie enthält etwas, womit nahezu jeder zu arbeiten weiß: klaren Text. Abgespeichert und zugänglich waren E-Mail-Adressen, Passwörter, Nutzernamen und Weiteres in der Richtung, klar gelistet und verzeichnet von über 22.000 Nutzern.
Gelistet und verzeichnet: Problemlos hatte UpGuard auf diese Tabelle Zugriff (mit einem Klick zur Großansicht). Wenn auch „At The Pool“ seit 2014 inaktiv sein mag, ist der öffentliche Zugang zu all diesen Daten absolut verantwortungslos, zumal nicht klar ist, wie lange genau diese bisher öffentlich zugänglich waren. Daten sind vertraulich zu handhaben und den Nutzern garantieren zu können, die gespeicherten Daten nicht öffentlich zugänglich zu machen, ist von höchster Wichtigkeit. Ihnen liegt ein eigenständiges Monetarisierungspotential zugrunde, da sie Grundlage für Prozesse wie Targeting sind und es Unternehmen erleichtern, bestimmte Zielgruppen zu erreichen. „Erreichen“ ist hierbei das Stichwort. Der Gedanke, dass jeder dies tun kann, wenn nicht Schlimmeres, und Zugriff aufs eigene Profil bekommt, da die hinterlassenen Daten nicht ordnungsgemäß behandelt wurden, ist für jeden Nutzer der absolute Albtraum.
Daten als Sammelware
Mehrfach bereits zeigte der Social Media-Gigant, dass dieser Albtraum bei ihm schnell Wahrheit werden kann. Vor wenigen Wochen erst stand Facebook in der Kritik, aufgrund abgespeicherter Passwörter, die für diverse Mitarbeiter lesbar waren. Besonders schlimm ist dies unter Berücksichtigung, dass Facebook bis vor Kurzem noch nach E-Mail-Passwörtern zur Verifikation des Accounts fragte, wie der Twitter-Nutzer originalesushi zuletzt festsellte.

Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you’re practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019

Nach großer Kritik diesbezüglich entfernte das Social Network diese Funktion letztendlich und gab an, keines der angefragten Passwörter weiter hinterlegt zu haben. Ob dies der Wahrheit entspricht, bleibt fraglich, denn auch der zuvor genannte Leak ist kein Einzelfall. Wie bereits erwähnt, speicherte Facebook bereits mehrfach Passwörter im Klartext ab. UpGuard zufolge liegt dies an einer schier zu großen Anzahl an Daten. Facebook ist schlichtweg nicht mehr fähig, diese Unmengen adäquat zu kontrollieren. Es sei unausweichlich, dass weitere Leaks folgen und noch mehr Daten öffentlich zugänglich werden. Nutzer des Netzwerks müssen sich dessen bewusst sein, denn somit laufen auch ihre Daten Gefahr öffentlich zu werden.
Mangelnde Glaubwürdigkeit
Bereits am 10. Januar kontaktierte UpGuard Cultura Colectiva, die Besitzer der 146 Gigabyte Cloud. Erst gestern, am 3. April, folgte eine Reaktion seitens Facebooks. Drei Monate, in denen das Netzwerk diese 540 Millionen Daten öffentlich ließ.Viel redet Facebook über den Wert der Sicherheit der Daten, wenn jedoch in solch einem Szenario erst nach drei Monaten eine Reaktion folgt, lässt diese sich infrage stellen – und die Glaubwürdigkeit Facebooks bröckelt. Wie sicher die eigenen Daten sind, ist niemals wirklich transparent. Dementsprechend gilt ein unausgesprochenes Vertrauensverhältnis zwischen Plattform und Nutzer. Wie auch in diesem Fall, bestätigt sich zu häufig, dass es schwierig ist, dieses Vertrauensverhältnis aufrechtzuerhalten.
Facebook mag die Verantwortung ihrer Daten teils über Dritte verwalten, wie auch in den hier genannten Leaks, wenn sich jedoch mangelnder Umgang mit diesen im Hinblick auf den Datenschutz offenbart, wird Facebook hierfür von der Öffentlichkeit zur Rechenschaft gezogen. Den Dritten kann das Netzwerk scheinbar nicht immer vertrauen, alleine kriegt es die Daten jedoch nicht mehr verwaltet. Wenn Facebook jedoch so viel Wert auf die Daten der Nutzer legt, wie in diversen Interviews angegeben, muss hierfür eine Lösung gefunden werden.