In dieser Ausgabe von AdGuards Digest: Google sperrt das Konto des Vaters für medizinische Fotos seines Kindes, DuckDuckGo öffnet seinen sicheren E-Mail-Dienst, Telegram verwirrt Nutzer:innen mit seiner Umfrage, Google verbietet werbeblockierende VPN-Apps und der beliebteste Passwortmanager der Welt wird gehackt.

Google löscht Konto eines Mannes für nie stattgefundenen Kindesmissbrauch

Google hat einen Mann bei der Polizei angezeigt, weil er ein Foto der Genitalien seines Sohnes an einen Arzt geschickt hatte, berichtet die New York Times. Das Unternehmen weigerte sich, das Konto des Vaters wieder einzurichten, selbst nachdem eine polizeiliche Untersuchung ihn entlastet hatte.

Der Vater schickte die Fotos auf Ersuchen des Kinderarztes während der Covid-19-Pandemie, als persönliche Arztbesuche eingeschränkt waren. Die KI kennzeichnete die Bilder, auf denen der Penis des Jungen zu sehen war, als CSAM (Child Sexual Abuse Material). Gemäß dem Standardverfahren wurden die Bilder dann von einem Moderator geprüft und an die Polizei weitergeleitet. Als die Polizei das gesamte Google-Konto des Mannes (seine Internetsuchen, seinen Standortverlauf, seine Nachrichten, Dokumente, Fotos und Videos) durchkämmte, stellte sie fest, dass kein Verbrechen vorlag. Google blieb jedoch bei seiner Entscheidung, das Konto des Vaters zu sperren. Mehrere Einsprüche, die der Vater bei Google eingelegt hatte, waren vergeblich.

Der Mann verlor daraufhin nicht nur den Zugriff auf seine E-Mails, sondern auch auf sein Telefon (er nutzte den Telekommunikationsdienst von Google).

Die Geschichte zeigt einmal mehr, dass Google bei der Überwachung zu weit geht. Das Scannen von Bildern wurde als notwendiges Übel angepriesen, um Kinder zu schützen, und menschliche Moderatoren sollen falsch-positive Bilder aussortieren. Wie wir jedoch sehen können, funktioniert das System nicht reibungslos. Wenn man bei Google in Ungnade gefallen ist, gibt es kaum noch Hoffnung, denn eine Klage gegen den Tech-Giganten dürfte sehr aussichtslos sein.

Der E-Mail-Dienst von DuckDuckGo ist ab sofort für jedermann zugänglich

Ab sofort kann sich jeder für den datenschutzfreundlichen E-Mail-Dienst von DuckDuckGo anmelden. Er leitet Nachrichten an eine @duck.com-Adresse weiter, entfernt Tracker und sendet die Mails sauber an die reguläre Adresse zurück. Als zusätzlichen Bonus können die Nutzer:innen sehen, welche Tracker DDG aus ihren E-Mails entfernt hat (falls vorhanden). Der Dienst war ursprünglich über eine Warteliste verfügbar und ist jetzt in die offene Betaphase eingetreten.

Foto: Erik Mclean/Unsplash

Man kann mit dem Dienst auch eine unbegrenzte Anzahl von „Wegwerf“-Adressen einrichten — Nachrichten von diesen Adressen werden ebenfalls auf Tracker gescannt und an Ihre normale E-Mail weitergeleitet. Darüber hinaus wird DDG unsichere HTTP-Links zu HTTPS umwandeln, um Nutzer:innen vor Phishing zu schützen. Es ist auch möglich, ein DDG-E-Mail-Konto zu verwenden, um direkt auf die Nachrichten zu antworten.

Tracker können Ihre ein- und ausgehenden Mails ausspionieren, Ihren Standort verfolgen und Sie mit Werbung bombardieren, daher begrüßen wir jede Lösung, die hilft, sie loszuwerden. Dieser Dienst, bei dem der Schutz der Privatsphäre an erster Stelle steht, scheint viele Vorteile zu haben, und wir können keine Nachteile erkennen. Unser Rat lautet also: Probieren Sie es aus.

Telegram fragt die Deutschen, welche Daten es mit der Polizei teilen soll

„Wir, das Telegram Team, bitten dich, uns deine Meinung mitzuteilen, wie die Daten der deutschen Telegram-Nutzer mit den deutschen Behörden, einschließlich der deutschen Polizei (BKA), geteilt werden können (oder nicht)“ — solch eine Frage stellte Telegram deutschen Nutzer:innen. Die Nutzer:innen sollten selbst ihren Schicksal bestimmen und Telegram sagen, ob es Nutzerdaten mit den Strafverfolgungsbehörden teilen sollte und wenn ja, unter welchen Umständen.

In einer kürzlich durchgeführten Telegram-Umfrage wurden die Deutschen gebeten, sich für eine der drei Datenschutzoptionen zu entscheiden. Die erste Option hätte den aktuellen Stand der Dinge bestätigt und Telegram erlaubt, weiterhin IP-Adressen und Telefonnummern von Terrorverdächtigen an die Polizei weiterzugeben, aber nur mit einem Gerichtsbeschluss. Die zweite Option, die Telegram als „völlig neu“ bezeichnete, hätte es Telegram erlaubt, IP-Adressen und Telefonnummern von Verdächtigen in „schweren Verbrechen“ weiterzugeben, unabhängig davon, ob ein Gerichtsbeschluss vorliegt. Bei der dritten Option wäre Telegram unter keinen Umständen in der Lage gewesen, Daten an die Strafverfolgungsbehörden weiterzugeben — diese Option hätte Telegram näher an den datenschutzorientierten Messenger Signal gebracht.

Foto: Dima Solomin/Unsplash

Nach vorläufigen Ergebnissen, über die deutsche Medien berichteten, stimmte die Mehrheit der Teilnehmer (39 %) für die Beibehaltung des Status quo — dafür, dass Telegram Daten von Terrorverdächtigen nur und nur bei Vorliegen eines Gerichtsbeschlusses weitergeben kann. 37 % wählten die strengste Option der Nichtweitergabe, während 20 % die Weitergabe der Daten von Verdächtigen ohne Gerichtsbeschluss befürworteten. Über 2,2 Millionen Telegram-Nutzer:innen mit deutschen Telefonnummern nahmen an der Umfrage teil.

Telegram ist seit langem stolz darauf, ein datenschutzorientierter Messenger zu sein. Und obwohl die Chats in Telegram standardmäßig nicht Ende-zu-Ende-verschlüsselt sind (dafür müssen die Nutzer:innen den geheimen Chat-Modus aktivieren), hat der Messenger behauptet, niemals private Kommunikation oder Kontakte mit Dritten geteilt zu haben. Es ist zwar unklar, ob Telegram nach der Umfrage irgendwelche Änderungen an den Richtlinien vornimmt, aber es scheint, als würde es das Wasser testen. Wir für unseren Teil hoffen, dass Telegram sich nicht auf eine schiefe Bahn begibt, die zu weniger Privatsphäre und mehr Datenweitergabe führt.

US-Regierung verklagt Unternehmen, das präzise Geolokalisierungsdaten verkauft

Die US-Regierungsbehörde hat dem Datenhändler Kochava vorgeworfen, die Privatsphäre der Nutzer:innen nicht geschützt zu haben. Das Unternehmen verkaufte nämlich an Dritte feinkörnige Standortdaten, die von „Hunderten Millionen mobiler Geräte“ gesammelt worden waren. Dadurch konnten Nutzer:innen identifiziert werden, darunter auch solche, die eine Abtreibung oder eine Behandlung ihrer Drogensucht suchten.

Nach Angaben der Bundeshandelskommission (Federal Trade Commission) machte Kochava seinen Kund:innen das Tracking leicht und in einigen Fällen sogar kostenlos. Auf seiner Website bot das Unternehmen eine große kostenlose Stichprobe von Daten an, die in den sieben Tagen vor der Anfrage nach einem Abonnement gesammelt worden waren. Diese Probe ermöglichte es der Kommission, das Mobilgerät und die Wohnadresse der Person zu identifizieren, die eine Abtreibungsklinik besucht hatte. In der Klage wird gefordert, dass Kochava den Verkauf von „sensiblen“ Geolokalisierungsdaten einstellt und die bereits gesammelten Daten löscht. Der Datenhändler hat seinerseits erklärt, dass er sich an die einschlägigen Datenschutzgesetze hält.

Foto: Maxim Hopman/Unsplash

In den USA gibt es derzeit kein Bundesgesetz zum Schutz der Privatsphäre, obwohl mehrere Bundesstaaten eigene Gesetze erlassen haben — das ist die eine Seite des Problems. Die andere Seite ist jedoch das Geschäft mit dem Datenverkauf selbst. Ob die Daten, die gesammelt und verkauft werden, aus Sicht der Regierung „sensibel“ oder nicht sensibel genug sind, ist zweitrangig. Das Problem ist, dass diese Daten oft ohne das Wissen der Nutzer:innen gesammelt und an jeden verkauft werden, der bereit ist, sie zu kaufen. Diese Daten können für eine Vielzahl von Zwecken, einschließlich gezielter Werbung, verwendet werden. Ironischerweise ist die US-Regierung selbst dafür bekannt, dass sie Telefonstandortdaten in großen Mengen von Datenmaklern kauft.

Werbung kann nicht vorbei! Google geht härter gegen werbebehindernde VPN-Apps vor

Google hat bestätigt, dass VPN-Apps, deren Kernfunktionalität in der Bereitstellung virtueller privater Netzwerkdienste besteht, nicht zur „Manipulation von Anzeigen, die sich auf die Monetarisierung von Apps auswirken können“, verwendet werden dürfen. Das Verbot der Anzeigenbeeinflussung ist in der aktualisierten Richtlinie für Entwickler:innen des Google Play Store enthalten. Die Richtlinie soll am 1. November in Kraft treten.

Es wird jedoch nicht erwartet, dass die Aktualisierung für bestehende Anwendungen ein großes Ärgernis darstellt. DuckDuckGo, das die VPN-Funktionalität von Android nutzt, um den Netzwerkverkehr zu filtern und Tracker in seinem auf Datenschutz ausgerichteten mobilen Browser zu blockieren, erklärte gegenüber The Register, dass es nicht erwartet, von der neuen Richtlinie betroffen zu sein.

Foto: Joshua Earle/Unsplash

Tatsächlich bringt die aktualisierte Richtlinie von Google kaum etwas Neues auf den Tisch. Google verbietet bereits Werbeblocker-Apps aus seinem Play Store, erlaubt aber In-Browser-Werbeblocker und Browser-Plug-ins, die Werbung zusätzlich blockieren. Wenn überhaupt, würde die aktualisierte Richtlinie wieder einmal das Offensichtliche bestätigen: Google nutzt seine dominante Position auf dem Markt, um Werbeblocker einzuschränken.

Passwortmanager mit 33 Millionen Nutzer:innen wird gehackt

LastPass, der weltweit beliebteste Passwortmanager, ist Ziel eines Angriffs geworden. Wie das Unternehmen mitteilte, verschafften sich die Angreifer über ein kompromittiertes Entwicklerkonto Zugang zu „Teilen der LastPass-Entwicklungsumgebung“. In einem Blogbeitrag erklärte LastPass, dass die Angreifer zwar Teile des Quellcodes und geschützte technische Informationen gestohlen haben, aber nicht die Master-Passwörter der Kunden. Die Passwörter der Nutzer:innen werden in einem verschlüsselten Tresor gespeichert — so wie man eine Kombination braucht, um einen physischen Tresor zu öffnen, braucht man ein Master-Passwort, um auf den Passwortmanager zuzugreifen.

Das Unternehmen betonte, dass LastPass aufgrund seines „Null-Wissen“-Modells die Master-Passwörter der Kund:innen weder kennen noch darauf zugreifen kann.

LastPass erstellt und speichert automatisch generierte Passwörter für Konten im Namen der Benutzer:innen und erspart ihnen so die Mühe, sich Passwörter zu merken und sich manuell bei Websites anzumelden. Im Allgemeinen ist die Verwendung eines Passwortmanagers eine gute Möglichkeit, Ihre Passwörter sicher und gleichzeitig leicht zugänglich zu halten.