Schlagwort: Kuketz IT-Security Blog

Ostertage: Eier suchen und Artikel wünschen!

Über die Osterfeiertage dürft ihr mir mal wieder eure Artikelwünsche einsenden. Einfach kurz eine E-Mail tippen oder direkt auf Mastodon antworten. Sofern euer Artikelwunsch gut passt mache ich daraus einen Blog- oder Microblog-Beitrag. Ich wünsche schöne Feiertage und melde mich…

AFWall+: Digitaler Türvorsteher – Take back control! Teil4

1. Firewall Im letzten Teil der Artikelserie »Take back control!« haben wir uns mithilfe von Magisk Root-Rechte auf unserem Android-System verschafft. Dieser Schritt war notwendig, da Apps wie AFWall+ und AdAway Root-Rechte zwingend voraussetzen. An dieser Stelle sollten wir uns…

Zu Verkaufen: Xiaomi Redmi Note 4 mit LineageOS 15.1

Verkaufe ein Xiaomi Redmi Note 4 mit offiziellem LineageOS (Build vom 10.04.2019). Optisch sowie auch technisch ist das Gerät einwandfrei in Ordnung. Es handelt sich um ein Testgerät von mir, dass grundsätzlich nur auf dem Schreibtisch lag und ab und…

Google Data Collection: Eine fundierte Analyse

Wer sich einmal vor Augen führen möchte, in welchem Ausmaß Google Daten sammelt und verarbeitet, der sollte unbedingt einen Blick auf die Forschungsergebnisse Google Data Collection werfen. Ein paar Zitate: Overall, even in the absence of user interaction with Google’s…

Chrome, Edge, Safari und Opera: Browser mit wenig Privatsphäre

Hyperlink Auditing wird seit jeher zum Nutzer-Tracking verwendet. Wenn ihr auf einen Link klickt, schickt das ping-Attribut eine Information an eine andere Seite, dass ihr den Link angeklickt habt: <a href=“link-zu-einer-seite.html“ ping=“http://tracking-anbieter.com“>Hyperlink-Auditing</a> In Zukunft wird man das Hyperlink-Auditing in Chrome,…

GNU/Linux: Notebook Power Saving mit powertop

Für GNU/Linux gibt es unterschiedliche Ansätze, um die Akkulaufzeit eures Geräts im Akkubetrieb zu optimieren. Ich mache das mit powertop Folgendermaßen: Alles vom Laptop abziehen (USB-Geräte, Monitor, Stromkabel, etc.) powertop –calibrate (dauert ca. 5 Minuten) powertop –html=powerreport.html Monitor bzw. externe…

Neues Notebook, Bürokratie, Backend & ct-Artikelserie

Ich bitte meine aktuelle Abwesenheit zu entschuldigen. Aufgrund diverser Umstellungen schaffe ich es gerade nicht neue Beiträge für den Blog zu schreiben. Ab nächster Woche sieht es wieder besser aus. Was mich aktuell beschäftigt: Umstieg auf neues Notebook Bürokratiewahnsinn mit…

Nextcloud: iOS-App mit Google-Tracking?

Bereits Ende März ist die Android Client-App für Nextcloud durch einen Google-Firebase-Tracker in der App aufgefallen. Das Exodus-Ergebnis sollte man natürlich mit Vorsicht genießen, da Exodus nicht prüft, ob Google-Firebase auch tatsächlich aktiv ist. In der Vergangenheit hatten allerdings schon…

Wann kann man Software guten Gewissens empfehlen?

Eine Frage die mich immer wieder umtreibt ist diese: Wann kann man Software guten Gewissens empfehlen? Christian Pietsch von Digitalcourage hat dazu folgende Ideen geäußert: 1.) Voll empfehlen sollten wir Software nur dann, wenn sie reproduzierbar gebaut wurde. Das ist…

Vivy und Co.: Krankenkassen warnen vor Debakel bei Digitalisierung

Dem Tagesspiegel liegt ein internes Papier von mehr als 90 deutschen Krankenkassen vor. Der Tagesspiegel schreibt: Bei den gesetzlichen Krankenkassen wächst der Widerstand gegen die Digitalisierungs-Vorgaben von Gesundheitsminister Jens Spahn. Der Zeitdruck, den der CDU-Politiker bei der Einführung der elektronischen…

TK-App: Fitnessprogramm der TK mehr als fragwürdig

Über die TK-App können Versicherte am TK-Bonusprogramm teilnehmen – also Gesundheitsdaten abliefern und dafür Punkte sammeln. Die Rahmenbedingungen für das Fitnessprogramm sind allerdings mehr als fragwürdig. Für die Teilnahme am Fitnessprogramm benötigt ein Versicherter Folgendes: Schrittzählung über die Apple Health…

Entwarnung: Das Kuketz-Forum wieder nicht gehackt

Gestern war das Forum nicht erreichbar und ein großer Grafikbanner mit »You have been hacked« begrüßte die Besucher. Wer auf das Datum geschaut hat, der wusste relativ schnell, dass es sich hierbei um einen Aprilscherz handelte. Dennoch erhielt ich Unmengen…

Blog | Forum: Visuelle Darstellung externer Links

Sowohl auf dem Blog als auch im Forum werden externe Links nun mit einem Icon gekennzeichnet – es befindet sich hinter der URL. Beispiel ein Link zur Wikipedia: Wikipedia. Ihr könnt nun also direkt am Link erkennen, ob ihr externen…

c’t: Artikelserie Firefox-Sicherheitskompendium nächster Teil

In der c’t Ausgabe 8/2019 wird das Firefox-Sicherheitskompendium fortgesetzt. Es handelt sich hierbei um eine Aufbereitung der Artikelserie »Firefox-Kompendium« aus dem Jahr 2018 für die c’t. Auszug aus dem zweiten Teil: Zwei Add-ons gegen Website-übergreifendes Tracking: Decentraleyes vermeidet Anfragen an…

Kommentar: Endlose CAPTCHA-Schleifen für Tor-Nutzer

Tor-Browser-Nutzer kennen das Problem schon lange: CAPTCHAs. Auf Reddit hat dazu jemand einen treffenden Kommentar hinterlassen: You should not be solving many CAPTCHAs. You can expect to encounter lots of CAPTCHAs if you use Tor but in general you should…

Magisk: Bei der Macht von Root – Take back control! Teil3

1. Root-Rechte Durch die Installation von LineageOS haben wir uns von den herstellereigenen Android-Systemen losgesagt. Doch allein der Wechsel zu einem alternativen Betriebssystem schützt uns nicht zwangsläufig vor dem ungewollten Abfluss sensibler Daten. Vielmehr bedarf es weiterer Anpassungen des Systems…

Android Root: Banking-Apps verweigern den Dienst

Einige Apps prüfen vor dem Start, ob euer Android-System gerootet ist und verweigern anschließend den Dienst. Insbesondere Banking-Apps haben solche Root-Erkennungsmechanismen integriert, da viele Banken gerootete Android-Geräte pauschal als »Sicherheitsproblem« einstufen. Leider ist das zu kurzsichtig und wird den individuellen…

Firefox Lockbox: Android-App mit Adjust-Tracker

Gestern hat Mozilla Firefox Lockbox für Android vorgestellt. Es handelt sich um einen Passwort-Manager mit 256-Bit-Verschlüsselung und Synchronisation. Leider ist die Android-App nicht frei von Trackern: Unmittelbar nach dem Start werden an die Analysefirma Adjust (Hauptfirmensitz San Francisco, USA) eine…

Google Classroom: Die Datenkrake in der Schule

Vor ein paar Tagen erhielt ich die besorgte E-Mail eines Lehrers, der mich auf folgenden Beitrag aufmerksam machte: Ausgerechnet beim Ministerinnen-Besuch fällt das W-Lan aus. Im Beitrag wird mehrfach Google Classroom genannt. Was ist Google Classroom? Google Classroom ist eine…

Barspende: Anonyme Blog-Unterstützung

Wer den Kuketz-Blog gerne unterstützt, dabei aber vollständig anonym bleiben möchte, der kann dies nun auch per Barspende tun. Ihr lasst einfach den Absender weg und adressiert an folgende Adresse bzw. Postfach: Mike Kuketz Postfach 11 08 25 76058 Karlsruhe,…

LineageOS – Take back control! Teil2

1. Befreiung aus der Umklammerung Mit der Artikelserie »Take back control!« sollt ihr als Anwender Schritt für Schritt die Herrschaft und Kontrolle über euer Android-Gerät bzw. eure Daten zurückgewinnen. Ein erster Schritt in Richtung Unabhängigkeit ist der Wechsel des herstellereigenen…

Intimarzt-App: Geschlechskrankheiten anonym diagnostizieren?

Vor ein paar Tagen startete das Online-Angebot für Geschlechtskrankheiten Intimarzt.de. Entwickelt wurde das Angebot in Zusammenarbeit von Ärzten und Wissenschaftlern des Universitätsklinikum Heidelberg, des Deutschen Krebsforschungszentrums und des Nationalen Centrums für Tumorerkrankungen. Die technische Umsetzung geht auf die Firma Smart…

ASN-Skript: Neue Version 0.7.7 mit Android-Support

Das beliebte Skript zum Blockieren von Datensammlern wie Google und Facebook via ASN-Quellen wurde von maloe geupdatet. In der Beta-Version 0.7.7 wurde die Kompatibilität zu FreeBSD und Android ergänzt. Im Wiki findet ihr unter »ASN IPFire Script and Android« Hinweise,…

c’t: Artikelserie Firefox-Sicherheitskompendium startet

In der c’t startet mit der Ausgabe 7/2019 das Firefox-Sicherheitskompendium. Es handelt sich hierbei um eine Aufbereitung der Artikelserie »Firefox-Kompendium« aus dem Jahr 2018 für die c’t. Auszug: Wer beim Surfen Wert auf Sicherheit und Privatsphäre legt, muss seinen Browser…

Nacharbeiten: Pi-hole in Kombination mit PiVPN

Wenn ihr einen aktuellen Pi-hole in Kombination mit PiVPN benutzt, dann sind ein paar Nacharbeiten notwendig. Das Pi-hole-Projekt hat in der Version 4.x ein paar Änderungen vorgenommen, die eine Anpassung der Konfiguration notwendig machen. Folgendes solltet ihr anpassen damit Pi-hole…

Pi-hole, Unbound & Hyperlocal: Keine Werbung – Größtmögliche Unabhängigkeit

1. Einführung Das Internet ist dezentral – zumindest wünsche ich mir das. Viele kleine vernetzte Einheiten und man kann sich überall etwas holen, je nachdem, was man gerade braucht. Doch wir haben zunehmend mit immer größer werdenden, zentralen Entitäten mit…

Raspberry Pi: Pi-hole- und PiVPN-Beitrag aktualisiert

Das Interesse an einem Pi-hole in Kombination mit einem PiVPN scheint weiterhin groß zu sein. Per E-Mail erreichen mich dazu immer wieder Anfragen. Da die Beiträge aus dem Jahr 2017 stammen, waren Teile der Anleitungen nicht mehr auf dem aktuellen…

Deutscher Bundestag App: Absturzberichte gehen an Microsoft

Seit ein paar Tagen steht die App »Deutscher Bundestag« (Android & iOS) zur Verfügung: Direkt aus dem Parlament: Diese App liefert laufend aktualisierte Informationen über Themen, Abgeordnete und Ausschüsse des Deutschen Bundestages. Ich war neugierig und habe mir gleich mal…

comdirect bank AG: Bequemlichkeit first – Sicherheit second

Gerade bekam ich von einem Leser einen Hinweis, dass die comdirect bank AG ihren Kunden einen neuen Benachrichtigungsdienst per E-Mail anbietet. Dazu muss man allerdings zunächst die »-Mail-Benachrichtigung Nutzungsbedingungen« akzeptieren. Diese lauten: Bitte nehmen Sie vor Nutzung unseres E-Mail Benachrichtigungsdienstes…

Kuketz-Blog: Aktuelle Spendeninfos Monat März 2019

Anbei die aktuellen Spendeninfos vom 01.03.2019: Spender mit Dauerauftrag: 421 Monatliches Spendenaufkommen: ca. 1630,- € Höchste monatliche Spende mit Dauerauftrag: 20,- € Häufigste monatliche Spendensumme: 5,- € Höchste einmalige Spende im vergangenen Monat (kein Dauerauftrag): 300,- € Bereits mit einer kleinen…

Android ohne Google: Take back control! Teil1

1. Android ohne Datenkrake(n) Die Artikelserie »Your phone your data« aus dem Jahr 2014 hat einen großen Anteil an der Erfolgsgeschichte dieses Blogs. Viele tausende von Menschen wollten damals erfahren wie man sich von Google befreit und wieder die Herrschaft…

Telekom-Mail: Passwort-Vergessen-Funktion zu auskunftsfreudig

Einer Leser schreibt mir: Die Telekom bietet für das Login zum E-Mail-Konto eine „Passwort vergessen?“-Funktion an. Dort kann man nun nicht nur testen, ob eine E-Mail-Adresse tatsächlich existiert, sondern erfährt gleich noch, welche weiteren Mail-Adressen dazu gehören. Auch wenn viele…

Gutjahr: Geh bitte mit positivem Beispiel voran!

Richard Gutjahr lässt seinem Frust freien Lauf und schreibt im Beitrag »Regiert und REGULIERT endlich!: Facebook, Google, Twitter – Eure verlogene Firmenpolitik widert mich an! Seine Forderungen gegen Ende des Beitrags sind gut und richtig. Allerdings sollte Richard sich vielleicht…

Waldorf-Frommer: Massenabmahnungen als Geschäftsmodell

Zunächst einmal möchte ich mich für die vielen Zuschriften und der regen Teilnahme im Forum zum Thema »Waldorf-Frommer: Abmahnung wegen Urheberrechtsverletzung erhalten« bedanken. Bisher habe ich von dieser »Abmahnindustrie« nur am Rande etwas gehört. Da ich nun selbst betroffen bin,…

Apple: Datenschutzrichtlinie teilweise rechtswidrig

Tim Cook ist ja nach außen hin immer wieder bemüht, Apple einen datenschutzfreundlichen Anstrich zu verleihen. Meldungen wie diese, führen uns dann wieder die Realität vor Augen: In der Datenschutzrichtlinie von 2011 hatte sich Apple weitgehende Rechte zur Nutzung der Kundendaten eingeräumt.…

Empfehlungsecke: Mullvad-VPN als Empfehlung hinzugefügt

Nachdem mich immer wieder Fragen von Lesern erreichen, die einen VPN-Anbieter suchen, bin ich die letzten Tage auf der Suche gewesen. Ich habe diverse VPN-Anbieter verglichen, mir unter anderem die Webseiten, Werbeversprechen angeschaut und grob auch Android-Apps (via Exodus Privacy)…

Rheinland-Pfalz: Eklatante Schieflage im Bereich mobile Endgeräte

Der Landesrechnungshof Rheinland-Pfalz hat in seinem Jahresbericht 2019 über den Einsatz mobiler Endgeräte (Smartphones und Tablets) in der Landesverwaltung informiert. Die Ergebnisse sind mehr als gruselig: Die Landesverwaltung setzte 2017 fast 2.000 mobile Endgeräte (Smartphones und Tablets) ein. Es wurden…

Waldorf-Frommer: Abmahnung wegen Urheberrechtsverletzung erhalten

Gut gelaunt habe ich heute Mittag den Briefkasten geöffnet. Darin befand sich ein DIN-A4 Couvert der (Abmahn-)Kanzlei Waldorf-Frommer aus München. Titel: Abmahnung wegen Urheberrechtsverletzung Am 15.01 soll von unserem Anschluss ein urheberrechtlich geschütztes Werk von »Sony Music Entertainment Germany GmbH«…

Empfehlungsecke: Thunderbird als E-Mail-Client

In der Empfehlungsecke habe ich das Thema »Thunderbird« ergänzt. Auszug: Die Verwaltung der E-Mail-Kommunikation ist über einen lokalen Client nicht nur komfortabler, sondern auch sicherer als der Zugriff über das Webinterface beim Anbieter. Für den E-Mail-Client Thunderbird von Mozilla gibt…

Conversations: Entfernung Google-Firebase-Analytics-Tracker

Die neueste Version des Signal-Messengers (v. 4.33.5) beinhaltet Google Firebase Analytics Klar ist aber: Der Tracker ist nicht aktiv. Auch Conversations hat bereits den Wechsel von Google Cloud Messaging (GCM) zu Firebase Cloud Messaging (FCM) vollzogen, geht allerdings einen anderen…

Empfehlungsecke: VPN-Anbieter sind oftmals nicht nötig

In der Empfehlungsecke habe ich das Thema »VPN-Anbieter« ergänzt. Dort wird erklärt, für welche Anwendungsszenarien ein VPN im Privatumfeld sinnvoll sein kann und wozu eher nicht. Auszug: Leider fallen viele Anwender auf diese haltlosen Werbeversprechen rein und wiegen sich in…

Gadgetbridge: Quelloffene Fitness-Tracker-App

Im Rahmen eines größeren Projekts für eine Krankenkasse prüfe ich gerade das weit verbreitete Xiaomi Mi Band 2 Fitnessarmband. Unter anderem verwendbar als Schlaftracker, Aktivitätstracker und Pulsmesser. Die offizielle App von Xiaomi (Mi Fit) aber auch andere Lösungen wie Notify…

iOS: Google-Dienste vermehrt in iOS-Apps zu finden

Manche iOS-Nutzer haben sich ja bewusst für den Kauf eines iPhones entschieden, um Google damit zu entgehen. Aktuell teste ich vermehrt Apps auf der iOS-Plattform. Dabei wird immer deutlicher: Die App-Entwickler greifen zunehmend auf Google-Dienste zurück und binden diese in…

Messenger Signal: Google-Firebase-Analytics-Tracker

Die neueste Version des Signal-Messengers (v. 4.33.5) beinhaltet Google Firebase Analytics. Aber eines gleich vorweg: Der Tracker ist nicht aktiv. Google wird die alten GCM-APIs demnächst abschalten. Das zwingt Entwickler zum Wechseln. Beim erzwungenen Umstieg von Google Cloud Messaging (GCM)…

Sparkasse: sBroker bewertet iTAN-Verfahren als »sicher«

Ein Leser wandte sich mit einem Hinweis an mich: Ich bin gerade etwas verärgert. Das iTAN-Verfahren wurde ja bekanntlich aufgrund der Sicherheitsproblematik abgeschafft. Ich habe ein Depot bei sBroker. Diese habe ich angeschrieben, weil sie das iTAN-Verfahren weiter beibehalten, da…

Empfehlungsecke: Windows 10 datensparsamer Nutzen

In der Empfehlungsecke habe ich das Thema »Windows 10« ergänzt. Dort wird erklärt, wie ihr die Datensammelwut des Systems reduziert. Auszug: Langfristig sollten sich Anwender, denen die Privatheit ihrer Daten am Herzen liegt, zu Linux wechseln. Auch hier ist nicht…

Vorlage: Kommt ins Fediverse zu Mastodon!

Mit einem offenen Brief an den Bundesdatenschutzbeauftragen Ulrich Kelber habe ich dazu beigetragen, dass dieser nun aktiv auf Mastodon (@ulrichkelber@bonn.social) mitwirkt. Daher habe ich mir überlegt: Warum sollten wir das Vorhaben nicht ausweiten und weitere Institutionen, Politiker, Unternehmen und Co.…

ProtonVPN: Google CrashLytics mit an Bord

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt. Der Nutzer wird über diese Verwendung seiner personenbezogenen Daten in der Datenschutzerklärung nicht informiert. Gerade im sensiblen…

LineageOS: Sicherheitskritische System-Updates erkennen

Für Geräte die offiziell von LineageOS unterstützt werden gilt: We take security very seriously: that’s why we deliver security updates every month to all our supported devices. Mindestens einmal im Monat erhaltet ihr also Security-Updates. Bei den meisten Geräten geschieht…

Elektronische Gesundheitsakte: Das gefährliche Spiel mit den Gesundheitsdaten

1. Digitale Gesundheitsdaten Geht es nach dem Willen des Gesetzgebers sollen alle Krankenkassen bis zum Jahr 2021 ihren Versicherten eine elektronische Patientenakte (ePA) anbieten. Die ePA ist im Grunde genommen nichts anderes als eine zentrale Datenbank, in der Behandlungsdaten, Allergien,…

Chrome-Add-on: Password Checkup übermittelt Domainname

Google hat ein Add-on (Password Checkup) veröffentlicht, mit dem sich beim Login zu einem Account prüfen lässt, ob die Zugangsdaten kompromittiert sind. Die Nutzung von Chrome und einem Google-Konto reicht eigentlich schon aus, um aus Datenschutzperspektive zu sagen: Nein danke,…

Leserhinweis: Mastodon-Beiträge verfolgen

Meinen Mastodon-Account nutze ich regelmäßig für kleine Informationshäppchen. Es ist allerdings nicht notwendig, einen Mastodon-Account zu besitzen, um die Toots zu verfolgen – es sei denn, ihr möchtet mitdiskutieren. Ihr könnt dem Account auch ganz bequem mittels RSS-Feed folgen. Mitmachen:…

Leserheinweis: Mastodon-Beiträge verfolgen

Meinen Mastodon-Account nutze ich regelmäßig für kleine Informationshäppchen. Es ist allerdings nicht notwendig, einen Mastodon-Account zu besitzen, um die Toots zu verfolgen – es sei denn, ihr möchtet mitdiskutieren. Ihr könnt dem Account auch ganz bequem mittels RSS-Feed folgen. Mitmachen:…

Kuketz-Blog: Aktuelle Spendeninfos Monat Februar 2019

Anbei die aktuellen Spendeninfos vom 05.02.2019: Spender mit Dauerauftrag: 415 Monatliches Spendenaufkommen: ca. 1610,- € Höchste monatliche Spende mit Dauerauftrag: 20,- € Häufigste monatliche Spendensumme: 5,- € Höchste einmalige Spende im vergangenen Monat (kein Dauerauftrag): 200,- € Bereits mit einer kleinen…

Spieleplattform Steam: E-Mail-Server können kein TLS

Ein Leser schrieb an den Steam-Support folgende E-Mail: Als ich meine E-Mail Adresse von @mailbox.org zu @secure.mailbox.org ändern wollte, war dies leider nicht möglich. Die Endung @secure.mailbox.org garantiert eine Transportverschlüsselung zwischen Ihrem und meinem E-Mail Server/Provider und verweigert ansonsten den…

Passwort-Wechseltag: Lasst es einfach!

Seit Jahren wird am 1. Februar dazu aufgerufen, die eigenen Passwörter zu ändern. Fakt ist: Das ständige Wechseln von Passwörtern bringt keinen messbaren Sicherheitsgewinn. Die Probleme liegen doch woanders: Viel zu wenig Menschen nutzen überhaupt »sichere« Passwörter bzw. nutzen für…

Browser Add-ons: Wie Antiviren-Hersteller ihre Nutzer ausspionieren

Nach meiner Stichprobe der Add-ons Avira Browser Safety und Avast Online Security habe ich die Tests mal ausgeweitet. Diese Firefox-Add-ons übermitteln die besuchten URLs an den Hersteller: Bitdefender TrafficLight for Firefox (Bitdefender) Online Security Pro (Comodo) Emisoft Browser Security (Emisoft)…

AVG Secure VPN: Weitere VPN-App mit haufenweise Trackern

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt. Der Nutzer wird über diese Verwendung seiner personenbezogenen Daten in der Datenschutzerklärung nicht informiert. Gerade im sensiblen…

Browser-Addon: Avira Browser Safety übermittelt besuchte Webseiten

Das Firefox-Add-on Avira Browser Safety (v. 2.6.6.19961) übermittelt eure besuchten Domains direkt an Avira: POST /api/query?session=mK4bgDbSG5TannGu7GTo HTTP/1.1 Host: v2.auc.avira.com User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0 Accept: */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Content-Type: application/json;charset=UTF-8 Content-Length: 90 Cookie: language=en;…

paydirekt | Giropay: Ergänzung in der Empfehlungsecke

Ich habe die beiden Online-Bezahlverfahren paydirekt und Giropay in der Empfehlungsecke unter dem Thema »Bezahlen im Internet« ergänzt: Wenn ein Online-Shop keine Vorkasse anbietet bzw. beim Kauf per Lastschrift oder Rechnung eine Bonitätsprüfung durch Auskunfteien vornimmt, könnt ihr in »Notfällen« auf…

AppCensus: Analyse des Android-Netzwerktraffics

Herkömmliche Android-Apps aus dem Google Play Store sind meist mit Trackern- und Werbebibliotheken von Drittanbietern vollgestopft. Mit der Einbindung dieser Drittanbieter geht allerdings ein unkalkulierbares Risiko für die Sicherheit und insbesondere die Privatsphäre eines Nutzers einher. Mit Online-Tools wie Exodus…

Android: (System-)Apps ohne Root löschen

Häufig ist auf herkömmlichen Android-Geräten eine Menge an Bloatware vorinstalliert – also Apps die man nicht braucht und gerne loswerden möchte. Viele Nutzer glauben man bräuchte dazu Root-Rechte. Dem ist allerdings nicht so. Ihr müsst lediglich den sog. Developer-Mode (Entwickleroptionen)…

Avast SecureLine VPN: 14 Tracker in einer App!

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt. Der Nutzer wird über diese Verwendung seiner personenbezogenen Daten in der Datenschutzerklärung nicht informiert. Gerade im sensiblen…

Datenschutz: Android vs. iOS

Mich erreicht sehr oft die Frage, welches System beim Schutz der Privatsphäre die Nase vorn hat. Diese Frage lässt sich nicht mit einem Satz beantworten, sondern ist relativ vielschichtig, da wir auch noch das Thema Sicherheit miteinbeziehen müssen. Aber der…

VyprVPN: No-Logging-Versprechen wertlos?

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt. Der Nutzer wird über diese Verwendung seiner personenbezogenen Daten in der Datenschutzerklärung nicht informiert. Gerade im sensiblen…

CyberGhost VPN: Android-App verseucht mit Trackern

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt. Der Nutzer wird über diese Verwendung seiner personenbezogenen Daten in der Datenschutzerklärung nicht informiert. Gerade im sensiblen…

Bitwarden: Schwächen bei Sicherheit und Datenschutz

Bitwarden ist eine Open-Source-Lösung für die Verwaltung von Passwörtern bzw. Zugangsdaten. Entweder man erstellt ein Online-Konto in der Bitwarden-Cloud oder kann Bitwarden auf der eigenen Infrastruktur hosten – gerade für Teams, die sich diverse Zugangsdaten teilen, mag dies interessant sein.…

WhatsApp: Antwortschreiben BfDI bezüglich geschäftlicher Nutzung

Ein Leser hat sich mit der Frage nach der Nutzung von WhatsApp, im geschäftlichen Umfeld, an den Bundesbeauftragten für Datenschutz gewandt. Das Antwortschreiben stelle ich euch als Download zur Verfügung. Zitat letzte Seite: Aufgrund meiner Bedenken sollten die nutzenden Stellen…

Empfehlungsecke: Passwort-Manager

In der Empfehlungsecke habe ich das Thema »Passwort-Manager« ergänzt. Dort wird erklärt, weshalb es sinnvoll ist einen Passwort-Manager zu nutzen. Auszug: Unsichere oder mehrfach verwendete Passwörter sind oftmals ein Einfallstor für Datenmissbrauch und -diebstahl. Daher ist es ratsam, für jeden…

NordVPN ändert nach Beschwerden die Datenschutzerklärung

Nachdem ich herausgefunden hatte, dass die NordVPN-App bei der Registrierung die E-Mail-Adresse an den Drittanbieter (Iterable Inc.) übermittelt, sind bei NordVPN offenbar einige (Nach-)Fragen und Beschwerden eingegangen. Von vier Lesern habe ich jetzt schon die Reaktion des NordVPN-Services vorliegen. Nach…

DuckDuckGo: Datenschutz nur auf dem Papier?

Das Datenschutzversprechen von DuckDuckGo ist simpel: DuckDuckGo does not collect or share personal information. That is our privacy policy in a nutshell. The rest of this page tries to explain why you should care. Es werden also keine persönlichen Daten…

Betriebliche Kommunikation: WhatsApp verstößt gegen DSGVO

Die Landesbeauftragte für den Datenschutz Niedersachsen betont in einem Merkblatt zur WhatsApp-Nutzung in Unternehmen: Die LfD Niedersachsen hat bereits mehrfach öffentlich betont, dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt. Interessant ist auch…

Android: NordVPN übermittelt E-Mail-Adresse an Tracking-Anbieter

Viele Nutzer schwören auf VPN-Dienstleister, um bspw. ihre Privatsphäre im Internet zu schützen oder Geo-Sperren zu umgehen. Ich warne schon lange vor VPN-Diensten, die einem »100%ige Anonymität« versprechen bzw. ihre Nutzer nur unzureichend darüber aufklären, wo die Grenzen der versprochenen…

Bundesdatenschutzbeauftragter Kelber nun auf Mastodon!

Nach meinem offenen Brief an den Bundesdatenschutzbeauftragten Ulrich Kelber ist dieser nun tatsächlich auf Mastodon vertreten! Seine Antwort auf meinen offenen Brief: Done 🙂 Sehr geehrter Herr Kuketz, ich hatte das schon länger geplant und jetzt ist es, dank Ihres…

ClickToPray: Auch Facebook und Co. beten mit

ClickToPray ist eine offizielle Gebets-App aus dem weltweiten Gebetsnetzwerk des Papstes. Dreimal am Tag erhält man einen »Gebetsimpuls« von ein bis drei Sätzen, der dabei helfen soll, Gott wieder in den Mittelpunkt des Alltags zu rücken. Bisher bin ich immer…

Android: 5 Tipps für mehr Online-Privatsphäre und -Sicherheit

1. Digitale Hilflosigkeit Jeder Datenleak hinterlässt Spuren und sorgt bei den meisten Anwendern für eine stetig wachsende Verunsicherung, gefolgt von einem Gefühl der Hilflosigkeit. Das ist gefährlich, weil Hilflosigkeit oftmals in Resignation endet. Es sieht daher beinahe so aus, als…

Es wird Zeit: Abschied von KeePassX zu KeePassXC

Es ist an der Zeit KeePassX abzulösen, da die (Weiter-)Entwicklung eingeschlafen ist. Die letzte Version 2.0.3 stammt vom 8. Oktober 2016 – und auch auf GitHub ist kein Lebenszeichen mehr zu spüren. Ich empfehle daher den Umstieg zu KeePassXC –…

CDU/CSU: Nichts gelernt aus dem Politiker-Leak

Nach der Veröffentlichung persönlicher Daten von Politikern und Promis überschlagen sich einige Partei-Politiker nun wieder mit abstrusen Forderungen, die die eigentliche Problematik überhaupt nicht berücksichtigt. Insbesondere die CDU/CSU-Bundestagsfraktion zieht (mal wieder) die falschen Schlüsse und möchte nun die »Möglichkeiten der…

Neu: Kuketz-Blog als Search-Plugin im Browser hinzufügen

Auf dem Kuketz-Blog befinden sich mittlerweile viele Inhalte – insgesamt würden alle Beiträge zusammengenommen wohl mehrere Bücher füllen. Daher ist es essentiell, den Inhalt auch Durchsuchen zu können. Ab sofort müsst ihr dazu den Kuketz-Blog nicht mehr direkt öffnen, sondern…

Einsatz von WhatsApp und Facebook an Berliner Schulen ist rechtswidrig

Auszug aus dem »Leitfaden zum Umsetzen der Datenschutzgrundverordnung an Berliner Schulen«: So gilt beispielsweise für die Nutzung von Facebook und WhatsApp: Hier werden Daten an Anbieter in einem Drittland übertragen, eine Überprüfung oder Bewertung der dortigen Bestimmungen ist der Schule…

Offener Brief an den Landesdatenschutzbeauftragten (Baden-Württemberg) Brink

Nach meiner E-Mail / offenen Brief an den Bundesdatenschutzbeauftragen habe ich soeben ebenfalls eine E-Mail / offenen Brief an »meinen« Landesdatenschutzbeauftragen von Baden-Württemberg (Stefan Brink) versendet: Sehr geehrter Herr Brink, in der vorliegenden E-Mail wende ich mich mit einer Anregung…

DNS over TLS (DOT) in Android, Routern und Pi-hole

Ich erhalte immer mal wieder Hinweise bzw. die Bitte, zu beschreiben, wie sich DNS over TLS (DOT) in Android, Routern oder dem Pi-Hole »aktivieren« lässt. Mein Stand dazu ist Folgender: Android: Ab Android P wird der DNS-Datenverkehr über einen verschlüsselten…

Offener Brief an den Landesdatenschutzbeauftragten (Baden-Würrtemberg) Brink

Nach meiner E-Mail / offenen Brief an den Bundesdatenschutzbeauftragen habe ich soeben ebenfalls eine E-Mail / offenen Brief an »meinen« Landesdatenschutzbeauftragen von Baden-Würrtemberg (Stefan Brink) versendet: Sehr geehrter Herr Brink, in der vorliegenden E-Mail wende ich mich mit einer Anregung…

Offener Brief an den Bundesdatenschutzbeauftragten Kelber

Ich habe soeben eine E-Mail / offenen Brief an den Bundesdatenschutzbeauftragten Ulrich Kelber versendet: Sehr geehrter Herr Kelber, in den letzten Tagen habe ich in den Medien mit Interesse Ihre Position zu unterschiedlichen (Datenschutz-)Themen verfolgt: Abschaffung der Vorratsdatenspeicherung Warnung vor…

Android: Miserabler Datenschutz bei Tagebuch-Apps

Was ist das Hauptmerkmal eines Tagebuchs? Es ist privat, da es oftmals persönliche oder sensible Informationen beinhaltet, die man ungern mit anderen Teilen möchte. Wer diesen Anspruch an ein Tagebuch in die digitale Welt überträgt, der wird schnell enttäuscht, wie…

DKB begründet die Entfernung des Facebook-Trackers

Im Dezember 2018 hat die DKB auf Kritik reagiert und den Facebook-Tracker beim Logout aus dem Online-Banking-Bereich entfernt. Ein Leser hat mir eine Antwort der DKB zukommen lassen, worin die Entfernung des Trackers begründet wird: Sehr geehrter Herr XY, zunächst…

Blokada: Tracking und Werbung unter Android unterbinden

1. Datensammelwut Die meisten Apps aus dem Google Play Store beinhalten Software-Bausteine von Drittanbietern, die dem Nutzer Werbung einblenden oder seine Aktivität auf Schritt und Tritt verfolgen. Als normaler Nutzer hat man allerdings keinen Einblick in die App bzw. sieht…

Entscheidung: Android-Gerät für Artikelserie gewählt

Für die Neuauflage der Artikelserie »Your phone – Your data!«  möchte ich unter anderem den Unlock- und Root-Vorgang (optional) an einem Gerät demonstrieren. Gestern habe ich daher nach Empfehlungen und Tipps gefragt – die meisten Einsender bestätigten mir im Grunde…

Toniebox: Kinderfreundliches Bedienkonzept – und der Datenschutz?

Am Wochenende kam mir bei Freunden eine Toniebox in die Hände. Wer nicht weiß was das ist: Toniebox ist ein würfelförmiges Tonabspielgerät für Kleinkinder, mit stark vereinfachter Bedienung. Das Gerät arbeitet ohne direkten Tonträger. Audioinhalte wie Musik oder Hörspiele werden…

Kommentar: Veröffentlichung von persönlichen Politikerdaten

1. Datenleak Es ist also passiert. Persönliche Daten wurden im Netz veröffentlicht – keine Neuigkeit eigentlich, wenn man die einschlägigen Newsticker verfolgt. Auch wir Datenschützer haben uns irgendwie daran gewöhnt. Na ja, schon wieder. Aber wir haben es euch doch…

Kuketz-Blog: Aktuelle Spendeninfos Monat Januar 2019

Mit einem grandiosen Abschluss verabschieden wir das Jahr 2018 – es kamen Spenden in Höhe von 3133,- € zusammen! Anbei die aktuellen Spendeninfos vom 07.01.2019: Spender mit Dauerauftrag: 400 Monatliches Spendenaufkommen: ca. 1570,- € Höchste monatliche Spende mit Dauerauftrag: 20,- €…

Neuauflage: Your phone – Your data!

In diesem Jahr wird es wie bereits angekündigt eine Neuauflage der Artikelserie »Your phone – Your data!« geben. Seit dem Jahr 2014 hat sich so einiges im Android-Universum verändert. Das Ziel von damals lautete: Das hochgesteckte Ziel des Projekts »Your phone…

Librefox: Firefox mit Fokus auf Sicherheit und Privatsphäre

Librefox ist ein Open-Source-Projekt, dessen Ziel sich in einem Satz zusammenfassen lässt: Verbesserung der Privatsphäre und Sicherheit von Firefox, ohne eine weiteren Fork zu produzieren, der schlecht gewartet wird. Der Browser ist für Windows, macOS und Linux verfügbar und lässt…

Techniker Krankenkasse: Antwort bezüglich Ada-Health-Integration

Die TK hat mir auf meine E-Mail bzw. den zugrundeliegenden Blog-Beitrag geantwortet: Hallo Herr Kuketz, vielen Dank für Ihre Mail. Wir haben den Beitrag auf Ihrem Blog gelesen und möchten Ihnen eine erste schnelle Rückmeldung vor den Feiertagen geben. Bei…

Ada Health: Gesundheits-App mit Facebook-Tracker

Ich warne nun schon seit geraumer Zeit vor der Integration von Trackern oder anderen Drittquellen in Gesundheits-Apps. Überall wo (hoch-)sensible Daten verarbeitet werden, haben Tracker nach meiner Auffassung nichts zu suchen. Ein Leser hat mich nun auf den Artikel »Der…

Kuketz-Blog: Veränderungen an den RSS-Feeds

Ich habe ein paar Änderungen an den RSS-Feeds vorgenommen – alle RSS-Feeds sind nun Fulltext. Weiterhin habt ihr nun folgende 3 Optionen: Option 1: Alle Beiträge in einem Feed Wenn du alle Beiträge vom Blog und Microblog innerhalb eines RSS-Feeds…

Microsoft-Blacklist: Undelivered Mail Returned to Sender

Gestern Abend hatte ich auf Mastodon Folgendes geschrieben: Microsoft lehnt grundsätzlich E-Mails ab, die von meinem E-Mail-Server stammen. Mit dem Problem bin ich allerdings nicht alleine, wie ich nach einer Recherche feststellen konnte. Daher lasse ich seit Monaten keine Registrierung…

DKB-Bank: Entfernung vom Facebook-Tracker

Die DKB-Bank hat offenbar (doch noch) reagiert und den Facebook-Tracker beim Logout vom Online-Banking entfernt. Von mindestens einem Leser weiß ich, dass er die zuständige Datenschutzaufsichtsbehörde kontaktiert hat, da Kunden über den Facebook-Tracker nicht mal in der Datenschutzerklärung informiert wurden.…

Umgang mit Daten im Privatleben – Datensouveränität Teil3

1. Datenschutz nicht überflüssig Wie wichtig die Privatsphäre eines jeden Einzelnen ist, muss ich den Lesern dieses Blogs nicht erklären. Dennoch haben es diverse Protagonisten – allen voran den großen Tech-Konzernen – über die Jahre geschafft, dem Nutzer zu suggerieren,…