Embed Size (px)
Citation preview
Privacy and Security in Information Systems GroupProf. Dr. Dominik HerrmannO0o-Friedrich Universität Bamberg
Safety
Vertraulichkeit
TechnischerDatenschutz
Schwächen in heutigenSystemen identifizieren
DatenschutzfreundlicheSysteme gestalten
VerfügbarkeitIntegrität
SecurityArbeitsgebiete
Weiterbildung
Beispiele
Privacy
Recht auf Datenauskunft
Transparenz mit PrivacyScore
Security
Tippfehler bei Paketverwaltung
Frühere Buchungen:Bonn 01/16 78 €Florenz 08/16 99 €
Datenübermittlung
Anwender Anbieter
DatenschutzrechtAnspruch auf Auskun; und Löschung
BDSG § 34 f. und Art. 15 DSGVO
Weitergabe?
Wie reagieren Anbieter auf Auskunftsanfragen?Evaluation von 120 Webseiten und 150 Apps
RegistrierungPaul MeierVogt-Kölln-Str. 3022527 Hamburg
[email protected]: 0151-21512491geb. am 05.03.1981
informelle Anfrage Sehr geehrte Damen und Herren,
ich würde mich gerne darüber informieren, welche Daten Sie über mein Profil [email protected] gespeichert haben und wie diese verwendet werden. BiQe lassen Siemir diese InformaSonen zeitnah zukommen.
Mit freundlichen GrüßenPaul Meier
Sender: Paul Meier <[email protected]>An: Datenschutzbeau[ragter (sonst: Kunden-Support)Sender: Paul Meier <[email protected]>An: Datenschutzbeau[ragter (sonst: Kunden-Support)
Wie reagieren Anbieter auf Auskunftsanfragen?Evaluation von 120 Webseiten und 150 Apps
RegistrierungPaul MeierVogt-Kölln-Str. 3022527 Hamburg
[email protected]: 0151-21512491geb. am 05.03.1981
informelle Anfrage
formale Anfrage
Sehr geehrte Damen und Herren,
ich würde mich gerne darüber informieren, welche Daten Sie über mein Profil [email protected] gespeichert haben und wie diese verwendet werden. BiQe lassen Siemir diese InformaSonen zeitnah zukommen.
Mit freundlichen GrüßenPaul Meier
Sender: Paul Meier <[email protected]>An: Datenschutzbeau[ragter (sonst: Kunden-Support)
keine akzeptableAntwort innerhalb1 Woche?
Hiermit fordere ich Sie gem. § 34 BDSG auf … mir Auskunft zu erteilen, welche Daten über mich bzw. mein Profil [email protected] bei Ihnen gespeichert sind und zu welchem Zweck (§ 34 I-III BDSG i.V.m. § 6 II, § 28 Abs. 4) …
Für die Erledigung setze ich Frist auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie zuständige Aufsichtsbehörde gem. § 38 BDSG einzuschalten.
Sender: Paul Meier <[email protected]>An: Datenschutzbeauftragter (sonst: Kunden-Support)Sender: Paul Meier <[email protected]>
An: Datenschutzbeauftragter (sonst: Kunden-Support)
Wie reagieren Anbieter auf Auskun0sanfragen?Evalua&on von 120 Webseiten und 150 Apps
RegistrierungPaul MeierVogt-Kölln-Str. 3022527 Hamburg
[email protected]: 0151-21512491geb. am 05.03.1981
informelle Anfrage
formale Anfrage
Sehr geehrte Damen und Herren,
ich würde mich gerne darüber informieren, welche Daten Sie über mein Profil [email protected] gespeichert haben und wie diese verwendet werden. Bitte lassen Siemir diese Informationen zeitnah zukommen.
Mit freundlichen GrüßenPaul Meier
Sender: Paul Meier <[email protected]>An: Datenschutzbeauftragter (sonst: Kunden-Support)
keine akzeptableAntwort innerhalb1 Woche?
Hiermit fordere ich Sie gem. § 34 BDSG auf … mir Auskun\ zu erteilen, welche Daten über mich bzw. mein Profil [email protected] bei Ihnen gespeichert sind und zu welchem Zweck (§ 34 I-III BDSG i.V.m. § 6 II, § 28 Abs. 4) …
Für die Erledigung setze ich Frist auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie zuständige Aufsichtsbehörde gem. § 38 BDSG einzuschalten.
Sender: Paul Meier <[email protected]>An: Datenschutzbeau\ragter (sonst: Kunden-Support)
Fake-Anfrage
Sehr geehrte Damen und Herren,
ich würde mich gerne darüber informieren, welche Daten Sie über mein Profil [email protected] gespeichert haben und wie diese verwendet werden. Bitte lassen Siemir diese Informationen zeitnah zukommen.
Mit freundlichen GrüßenPaul Meier
Sender: Paul Meier <[email protected]>An: Datenschutzbeauftragter (sonst: Kunden-Support)
keine akzeptableAntwort innerhalb1 Woche?
!
Fake-Anfrage
nicht erreichbar verweigert
0.16
keine Reaktion (0.43) Auskunft verweigert (0.30)
unvollständig
unvollständig (0.28) 0.07keine ReakCon (0.31) 0.050.01
Konto verschwunden
0.02
unvollständig keine Reaktion (0.23) 0.080.080.01
OK (0.18) 0.07
informelle Anfrage
formale Anfrage
OK (0.28)
OK (0.43)
Ergebnisse für Datenauskun? bei Webseiten
Beispiele
Transparenz durch PrivacyScore.org
Top20Cities
Known
Trackers
ThirdParty
Servers
ThirdParty
Cookies Web:HTTPS Mail:STARTTLS
Hamburg 40 81 49 noredirection minorissues
Berlin 22 37 17 minorissues noTLS1.2
Leipzig 6 10 5 noredirection minorissues
München 5 11 3 enforcesHTTP! minorissues
Bremen 4 13 3 minorissues noTLS1.2
Dresden 3 8 4 noredirection minorissues
Düsseldorf 2 3 3 certificateissue checktimedout
Hannover 2 3 1 minorissues minorissues
Köln 2 3 1 enforcesHTTP! minorissues
Stuttgart 1 7 2 noredirection minorissues
Bielefeld 1 2 0 noredirection minorissues
Bonn 1 1 0 checktimedout minorissues
Duisburg 0 4 0 noredirection checktimedout
Essen 0 2 1 minorissues minorissues
Wuppertal 0 2 0 minorissues minorissues
Münster 0 0 0 minorissues noTLS1.2
Dortmund 0 0 0 noTLS1.2 minorissues
Nürnberg 0 0 0 noTLS1.2 minorissues
Bochum 0 0 0 minorissues minorissues
Frankfurt 0 0 0 minorissues minorissues
adnxs.com googlesyndication.commxcdn.net adsafeprotected.comtealiumiq.com youtube.commookie1.com adform.net criteo.comadtech.de google-analytics.comgstatic.com truste.com oms.eutiqcdn.com adnet.de mathtag.comrefinedads.com stickyadstv.comgoogleapis.com smartadserver.comdoubleclick.net theadex.com m6r.eu mpnrs.com adition.com fqtag.com2mdn.net intelliad.de ioam.demeetrics.net turn.com fonts.comcloudfront.net mp-success.comcontent-recommendation.net […]
Betriebdurch
Media-agentur
Wie verbreitet ist Tracking auf Webseiten von Kommunen?(November 2017)
14Aug
27Okt
Delta
Piraten 0 0 –
Linke 0 1
Die PARTEI 0 0 –
CDU 1 1 –
Grüne 1 2
SPD 1 0 J
FDP 2 2 –
AFD 4 4 –
CSU 5 38
NO. OF KNOWN TRACKERS
Änderungen im Zeitverlaufnachvollziehbar machen(in Entwicklung)
Security in der So-ware-Entwicklung:
Tippfehler bei der Paketverwaltung
Typosqatting bei Paketmanagern
Studie mit 214 PaketnamenInstallationsmeldung per HTTP-Request; Warnhinweis für Entwickler auf Konsole
Unterschätztes Problem>19.000 Installationen44 % als root, 25 mil/gov
Software-Repositorysz.B. PyPi (Python)
Jeder darf Pakete mit beliebigen Namen hoch-laden; diese sind sofort verfügbar; Schadcodebei Installation und zur Laufzeit ausführbar.Ausnutzen von Tippfehlern und Irrtümernreqeusts request req7ests
urllib json bs4
sudo pip install requests
in stdlib enthalten!
sudo pip install beautifulsoup4
import bs4 from BeautifulSoup
Konzept für sicheres Software-Repository:� Blacklisting von irreführenden Namen� Entwickler vor Paketen mit niedriger
Reputation warnen
Privacy and Security in Information Systems GroupProf. Dr. Dominik Herrmann
https://www.uni-bamberg.de/psi/
PrivacyUnaufdringliche techn. Lösungen
Anreize durch Transparenz
Mitarbeiterdatenschutz
Open Data für Smart Cars(Schweiz)
SecuritySicherheit im Bereich DevOps
Cyber-Defense-Strategien für D(Heinrich-Böll-SMNung)
Ethik für die Digitale Gesellscha=
