In einem in der letzten Woche vorgestellten Strategiepapier hat die Europäische Kommission ihre Pläne für die weitere Entwicklung des Cloud-Computing vorgestellt. Im Zentrum steht die Standartisiereung der Cloud-Dienste – vor allem die Kompatibilität der verschiedenen Anbieter zu einander. Bisher versuchten die Anbieter duch eigene Systeme die Migration von Daten zu erschweren und so ihre Kunden zu binden.
Sicherheitslücke im Internet Explorer geschlossen
Microsoft hat am Freitag eine Sicherheitslücke im Internet-Explorter geschlossen. Mittels einer präparierten Internetseite war es zuvor möglich Schadcode auf den Rechner eines Nutzers zu laden. Alles was der Nutzer dazu tun musste, war die Internetseite anzusurfen. Experten sprechen von einer sogenannten "Surf-By-Infektion". Denkbar sind durch diesen Schadcode vor allem Angriffe im Bereich des Phishing, z.B. Abgreifen von Zugangsdaten zum Online-Banking oder ähnliches.
Die Lücke, die mit dem Patch augebessert wurde, bestand bei den Versionen 6 bis 9 des Internet Explorers. Zuvor war das Unternehmen kritisiert worden, weil es für das Update vergleichsweise lange gebraucht hatte. Mehrheitlich wurde im Internet empfohlen, aus Sicherheitsgründen komplett auf den Gebrauch des Internet Explorers zu verzichten.
Sicherheitslücke im Internet Explorer geschlossen weiterlesen
chipTAN comfort von Trojaner betroffen
Wie heise gestern auf seiner Internetseite meldete, hat das Sicherheitsunternehmen Trusteer einen Trojaner entdeckt, der gezielt das bisher als sicher eingestufte chipTAN-Verfahren umschifft. Der "Tatanga" genannte Trojaner verändert die Internetseite der Bank so, dass der Bankkunde zu einer "Testüberweisung" aufgefordert wird, die er mittels chipTAN bestätigen soll. In Wirklichkeit wird eine standartmäßige Überweisung an die Täter ausgeführt.
Alternativentwurf zu Datenschutz-Grundverordnung
Nachdem die EU-Kommission den Entwurf für eine neue Datenschutz-Grundverordnung veröffentlich hat, begann der Diskurs auf allen politischen Ebenen und im juristischen Schrifttum. Ende August haben die Rechtsanwälte Schneider/Härting in ihrem Blog einen ausformulieren Alternativvorschlag zur Datenschutz-Grundverordnung veröffentlicht.
Alternativentwurf zu Datenschutz-Grundverordnung weiterlesen
Keine anlasslose Prüfungspflicht seitens der Bank bei hohen Auslandsüberweisungen
Mit Urteil vom 19.01.2011 hat das Landgericht Düsseldorf festgestellt, dass eine Bank nur unter besonderen Voraussetzungen eine Warn- und Prüfpflicht für Online-Überweisungen trifft.
Der Kläger hatte im Jahr 2008 mehrere Transaktionsnummern des iTAN-Verfahrens auf einer Phishing-Seite eingegeben, obwohl die Bank prominent auf Ihrer Internetseite davor gewarnt und ausdrücklich darauf hingewiesen hatte, dass Sie niemals zur Eingabe mehrerer TANs auffordern werde. In der Folge wurde eine Überweisung in Höhe von 5000 Euro auf ein Konto bei einer griechischen Bank ausgeführt. Der Kläger war insoweit der Ansicht, dass die Bank vor der Ausfhrung der Übrweisung bei ihm hätte nachfragen müssen. Er berief sich unter anderem darauf, dass sein Dispositionskredit von 4500 Euro durch die Überweisung nachzu ausgeschöpft worden sein, und die Bank im zuvor einen Kredit in Höhe von 2000 Euro mangels Kreditwürdigkeit verwehrt hatte.
Das Gericht stellt klar, dass die Eingabe mehrerer TANs durch den Kunden trotz des Hinweises, einen Schadensersatzanspruch der Bank begründet, bezüglich dessen die Bank gegenüber dem Kunden wirksam die Aufrechnung erklärt hatte.
Eine Warnpflicht der Bank lehnte das Gericht ab, mit der Begründung, die Schnelligkeit des Zahlungsverkehrs sei gerade der Sinn des Massengeschäfts Online-Banking. Es sei der Bank nicht zumutbar, jede höhere Überweisung manuell nachzuprüfen. Nur unter besonderen Voraussetzungen sei der Bank ein solches Verhalten zumutbar. Jedenfalls ließ das Gericht die Umstände dieses Falles nicht ausreichen.
Das gesamte Urteil ist hier verfügbar. Hier finden Sie außerdem eine a-i3-Meldung zur Entscheidung der Revision.
EU-Kommission stellt Entwurf über elektronische Identifikation vor
Die Europäische Kommission hat den Entwurf einer Verordnung über die elektronische Identifikation vorgestellt. Die Neufassung soll die Signatur-Richtlinie der EU aus dem Jahr 1999 ablösen und die Nutzung von eID-Systemen vereinfachen, wie sie in verschiedenen europäischen Länden mit unterschiedlichen Smartcards (z.B. Personalausweisen oder Krankenversicherungskarten) angeboten werden.
EU-Kommission stellt Entwurf über elektronische Identifikation vor weiterlesen
BGH-Urteil zur Haftung bei Pharming im Online-Banking veröffentlicht
Der Bundesgerichtshof hat mit Urteil vom 24.4.2012 (Aktenzeichen: XI ZR 96/11) über die Haftung eines Bankkunden entschieden, der im Jahre 2009 zehn Transaktionsnummern (TAN) auf einer gefälschten Website eingegeben hatte. Ihm war in der Folge ein Schaden i.H.v. 5.000 Euro entstanden, den er nun selbst zu tragen hat.
BGH-Urteil zur Haftung bei Pharming im Online-Banking veröffentlicht weiterlesen
a-i3 warnt vor Phishing-Angriff „Steuerrückerstattung“
Seit kurzem werden im Namen des Bundeszentralamts für Steuern unter der E-Mail Adresse „buro@bund.de“ Phishingmails versendet, die den Empfänger auf eine angebliche Steuerrückerstattung in Höhe von 223,56 € hinweisen. Um diese in Anspruch nehmen zu können, soll der Empfänger ein Formular ausfüllen, welches im Anhang der Mail zu finden ist. Dort sollen die Kontaktdaten des Opfers, insbesondere seine Kreditkartennummer inklusive Gültigkeitsdatum und Sicherheitscode, eingegeben werden. Die Erstattung erfolge binnen 6 Arbeitstagen.
a-i3 warnt vor Phishing-Angriff „Steuerrückerstattung“ weiterlesen
BGH entscheidet über Haftung im Online-Banking
Der Bundesgerichtshof hat mit Urteil vom 24.4.2012 (Aktenzeichen: XI ZR 96/11) entschieden, unter welchen Voraussetzungen ein Bankkunde sich im Online-Banking bei einem Pharming-Angriff schadensersatzpflichtig macht. Nach Ansicht der Richter handelt ein Bankkunde, der auf einer gefälschten Internetseite zehn Transaktionsnummern (TAN) eingibt, fahrlässig und muss den entstandenen Schaden selbst tragen.
a-i3/BSI Symposium 2012
Am 16. und 17. April 2012 fand in Bochum das 7. interdisziplinäre Symposium der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) statt. Unter dem Oberthema „Perspektiven und Risiken der digitalen Gesellschaft – ID-Management und Datenschutz für Cloud Computing und IPv6“ wurden aktuelle Themen aus den Bereichen Infrastruktursicherheit, Identitätsmanagement und Datenschutz umfassend aus rechtlicher und technischer Perspektive beleuchtet.
zum ausführlichen Tagungsbericht …