Security-by-Design › fileadmin › Bibliothek › ... · 2018-11-23 · Zusammengefasst von Prof. Dr.-Ing. Jana Dittmann Digitalisierung aber sicher! Security-by-Design ist das

Zusammengefasst von Prof. Dr.-Ing. Jana Dittmann

Security-by-Design

Prof. Dr.-Ing. Jana Dittmann

Otto-von-Guericke Universität Magdeburg, AG Multimedia and Security

Ein Beitrag zur Digitalen Agenda für das Land Sachsen-Anhalt

7 Querschnittsziele: Verbraucherschutz, Datenschutz und

Informationssicherheit

Das Fundament der Digitalisierung- Informationsmaterial mit Hilfestellungen -

Teil 1: Überblick und Teil 2: Auswahl an Technikgrundlagen

Digitalisierung aber sicher!

Diese Zusammenfassung stellt eine allgemeine unverbindliche Information aus Sicht der Informatik dar. Die Inhalte sind exemplarisch ausgewählt, um allgemein den Handlungsbedarf sowie Gestaltungsmöglichkeiten zu motivieren. Die angegeben Werkzeuge sind Beispiele zur Illustration und bedürfen ebenfalls einer geeigneten Konfiguration. Obwohl die Informationen mit größtmöglicher Sorgfalt erstellt wurden, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität, insbesondere kann diese Zusammenfassung nicht den besonderen Umständen des Einzelfalles Rechnung tragen und stellt keine Rechtsberatung im Einzelfall dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt vorher einen Rechtsanwalt. Eine Verwendung liegt daher in der eigenen Verantwortung des Lesers. Die Benutzung erfolgt ausschließlich auf eigenes Risiko. Jegliche Haftung wird ausgeschlossen. Alle Rechte, auch der auszugsweisen Vervielfältigung, liegen bei den angegeben Urhebern bzw. angegeben Referenzen.Die mit [AMSL-OVGU] gekennzeichneten Inhalte sind im Rahmen der Lehre und/oder Forschung an der Universität entstanden, welche dort auch weiter genutzt werden. Für die angegebene Werkzeuge/Tools/Tests kann ebenfalls keine Haftung bei Schäden erfolgen, die Nutzung erfolgt auf eigenes Risiko. Achtung: Konfiguration oftmals erforderlich! Lesen Sie deshalb vorher die Hinweise und Informationen dazu entsprechend.


Digitalisierung aber sicher!Security-by-Design ist das Fundament der Digitalisierung. Das Thema ist in der

Digitalen Agenda für das Land Sachsen Anhalt unter Punkt 7 Querschnittsziele: Verbraucherschutz, Datenschutz und Informationssicherheit zu finden.

Die vorliegende Zusammenfassung dient zum Einstieg in das Thema und zeigt die verschiedenen Fragestellungen exemplarisch auf. Es ist als Informationsmaterial mit Hilfestellungen zu verstehen. Im Teil 1 wird ein Überblick gegeben, im Teil 2 wird eine Auswahl an Technikgrundlagen aufgezeigt.

Für Rückfragen oder ein Gespräch stehen wir gern zur Verfügung:

Arbeitsgruppe Advanced Multimedia and Security

Institut für Technische und Betriebliche Informationssysteme

Otto-von-Guericke-Universität Magdeburg

Universitätsplatz 2

39106 Magdeburg

Tel.: +49 391 67-58965

Fax.: +49 391 67-48110

Digitale Agenda für das Land Sachsen-Anhalt7 Querschnittsziele: Verbraucherschutz, Datenschutz und Informationssicherheit


Security-by-Design

Teil 1: Überblick

Was heißt es?

Warum ist das wichtig?

Wie setze ich das eigentlich um?

Welche Probleme gibt es dabei?


Beispiele


Was heißt es?





Beispiele


„Bei der Gestaltung der Digitalisierung müssen für uns stets die Menschenwürde, die Unverletzlichkeit der Persönlichkeitsrechte und die digitale Souveränität eines jeden Einzelnen im Mittelpunkt stehen.

Deshalb betrachten wir in allen Digitalisierungsprozessen auch die Sicherheit der Datenspeicherorte und der Datenübertra-gungsinfrastruktur als ein hohes Gut und werden die öffentliche Debatte über ethisch-moralische Grenzen der Digitalisierung in den kommenden Jahren konstruktiv begleiten.

Datenschutz und Informationssicherheit sind aus unserer Sicht zentrale Faktoren, um die gesellschaftliche Akzeptanz des digitalen Wandels zu bewahren, Digitalisierung damit erfolgreich zu gestalten. Insbesondere Unternehmen sollten Datenschutz als Wettbewerbsvorteil begreifen.“


https://digital.sachsen-anhalt.de/fileadmin/Bibliothek/Politik_und_Verwaltung/StK/Digital/DigitaleAgenda_Sachsen-Anhalt_Lesefassung.pdf, website request 15.10.2018


„2. FAMILIE IM DIGITALEN WANDEL

...

Verstecktes Marketing soll möglichst aufgehoben werden.

Eltern müssen z.B. durch Weiterbildungsangebote befähigt werden, Aufklärungsarbeit zu leisten.

Familien müssen gemeinsam lernen, sich altersgerecht mit Medien auseinanderzusetzen und ihre Privatsphäre besser schützen. Hierfür braucht es entsprechende niedrigschwellige Angebote.

“

Digitale Agenda für das Land Sachsen-AnhaltDigicamp 2018 - Digitale JUGENDAGENDA

https://digital.sachsen-anhalt.de/fileadmin/Bibliothek/Politik_und_Verwaltung/StK/Digital/Veranstaltungen/2018/Digitale_Jugendagenda.pdf, website request 22.10.2018


„3. DIGITALE INFRASTRUKTUR

...

Open Source soll als einmalige Gelegenheit für eine freie Gesellschaft stärker gefördert werden.

...

“




„4. DEMOKRATIE DIGITAL

...

Es soll ausreichende finanzielle Unterstützung für analoge und digitale Beteiligungsprojekte zu vielfältigen Themen – nicht nur zur Digitalisierung – geben.

...

“




„5. WISSENSCHAFT 4.0

...

Ethische Fragen der Digitalisierung sollen wissenschaftlich erforscht und breit diskutiert werden.

…

Digitale Phänomene mit Auswirkungen auf die Lebenswelt junger Menschen, insbesondere Cybermobbing, sollen sozialwissenschaftlich und psychologisch besser erforscht werden.

“




„6. WIRTSCHAFT 4.0

...

Sichere digitale Zahlungsmethoden (Kryptowährung) müssen eingeführt werden.

..-

“




„8. MEDIEN IM DIGITALEN WANDEL

...

Ein reflexiver und quellkritischer Umgang

mit Informationen und Nachrichten aus dem

Internet muss gefördert werden.

..-

“




Design Implementierung Konfiguration Update


Digitale Agenda für das Land Sachsen-AnhaltSecurity-by-Design

Gewünschter Soll-Zustand:

Häufiger Ist-Zustand:

[AMSL-OVGU]


Wissen schützt

AnbieterschutzHerstellerschutzKundenschutz

...

[AMSL-OVGU]


Was heißt es?





Beispiele


Praxisfall: Attacken auf deutsche Industrie verursachten 43 Milliarden Euro Schaden – bitkom, 13.09.2018https://www.bitkom.org/Presse/Presseinformation/Attacken-auf-deutsche-Industrie-verursachten-43-Milliarden-Euro-Schaden.html

https://www.bitkom.org/Presse/Pressegrafik/2018/180912-Wirtschaftsschutz-Datendiebstahl2-PG.png

https://www.bitkom.org/Presse/Anhaenge-an-PIs/2018/Bitkom-PK-Wirtschaftsschutz-Industrie-13-09-2018-2.pdf

Website request 14.9.2018

„7 von 10 Industrieunternehmen wurden Opfer von Sabotage, Datendiebstahl oder Spionage in den vergangenen zwei

Jahren“

Beispiele



„62 Prozent meinen, die neuen Datenschutzregeln werden zu einheitlicheren Wettbewerbsbedingungen in der EU führen.

46 Prozent sehen in der DS-GVO einen Wettbewerbsvorteil für europäische

Unternehmen.“


https://www.bitkom-research.de/epages/63742557.sf/de_DE/?ObjectPath=/Shops/63742557/Categories/Presse/Pressearchiv_2018/Kaum_Fortschritt_bei_der_Umsetzung_der_DatenschutzGrundverordnung

Beispiele


Herausforderung: Current Threat Landscape

Siehe in

https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2017

ETL Web App

https://www.etl.enisa.europa.eu, accessed November 2017

Beispiele


Praxisfall: Der Kunde im Zentrum

Abb. 11: Der Kunde im Zentrum – oder ”Engaging the consumer“

Interne Kundendaten

Trans-aktionen

Externe Kundendaten

Soziales

Korrespondenz

Geo-Informationen

KundenProfitabilitäts-

Metriken

Inter-aktionen

Verhalten

Wie reagiert er?Wie könnte er reagieren? (Predictive Behavior)

Mit welchen Personen,

Gruppen, Diensten interagiert er?

Wie „lohnenswert“ ist er? Wo befindet er sich?

Wie bewegt er sich?

Mit wem kommuniziert er? Wie? Worüber?

Wie ist sein soziales Verhalten?

Status? Peergruppen?

Was kauft er? Welche Geschäftsbeziehungenund Abschlüsse gibt es?

...

Kunde

Kreis-Bild motiviert nach: IBM Big Data & Analytics Hub, http://www.ibmbigdatahub.com/blog/engaging-insurance-consumer , letzter Zugriff 15.05.2017.

Summarized by Robert Fischer

Kostenlose Dienste -

Tausch von Daten

gegen …?

Beispiele

[AMSL-OVGU]


Praxisfall: Der Kunde im ZentrumHerausforderung...

Die Grenzen zwischen öffentlich und privat verschwimmen in der digitalen Welt immer mehr

Oftmals sind den Menschen Auswirkung und Tragweite ihrer digitalen Handlungen nicht (voll) bewusst

Summarized by Robert Fischer

Würden sie Fotos Ihrer Kinder / Familie an den Straßenlaternen und Hauswänden in Ihrer Nachbarschaft aushängen?

Beispiele

[AMSL-OVGU]


Praxisfall: Der Kunde im ZentrumDie Welt der Daten

Chart: The Largest Companies by Market Cap Over 15 YearsJeff Desjardins

on August 12, 2016 at 11:18 am Text und Bildquelle: http://www.visualcapitalist.com/chart-largest-

companies-market-cap-15-years/, letzter Zugriff 15.10.2018.

Beispiele


Datenanalyse zur Schaffung von Transparenz von Datennutzung und -verwertung

Beispiel: Quantified Lives on Discount Facebook Algorithmic Factory (3), August 19, 2016

In Facebook Research https://labs.rs/en/quantified-lives/

„This is the third and final story in our investigation trilogy titled Facebook Algorithmic Factory, created with the intention to map and visualise a complex and invisible exploitation process hidden behind a black box of the World’s largest social network.

The three stories are exploring four main segments of the process:

Data collection – Immaterial Labour and Data harvesting

Storage and Algorithmic processing – Human Data Banks and Algorithmic Labour

Targeting – Quantified lives on discount“

Overview see in: https://labs.rs/wp-content/uploads/2016/08/FacebookFactory-01.gif

Werkzeuge: https://labs.rs/en/raw-data-documents-tools/

Praxisfall: Der Kunde im ZentrumHerausforderung... Beispiele


Datenanalyse zur Schaffung von Transparenz von Datennutzung und -verwertung Beispiele: website request 21.11.2018 http://www.svr-verbraucherfragen.de/wp-content/uploads/SVRV_Verbrauchergerechtes_Scoring.pdf

http://www.svr-verbraucherfragen.de/wp-content/uploads/Gutachten_Digitale_Souver%C3%A4nit%C3%A4t_.pdf

http://www.svr-verbraucherfragen.de/wp-content/uploads/Gutachten_SVRV-.pdf

-- English:

http://crackedlabs.org/dl/Christl_Spiekermann_Networks_Of_Control.pdf

http://crackedlabs.org/dl/CrackedLabs_Christl_CorporateSurveillance.pdf

http://crackedlabs.org/dl/CrackedLabs_Christl_DataAgainstPeople.pdf

http://www.personicx.co.uk/docs/Personicx_Pen_Portraits_Full.pdf

https://www.ftc.gov/system/files/documents/reports/data-brokers-call-transparency-accountability-report-federal-trade-commission-may-2014/140527databrokerreport.pdf

Aktuelle Beschwerde aus UK:

https://privacyinternational.org/advocacy-briefing/2426/our-complaints-against-acxiom-criteo-equifax-experian-oracle-quantcast-tapad

z.B. https://privacyinternational.org/sites/default/files/2018-11/08.11.18%20Final%20Complaint%20Acxiom%20%26%20Oracle.pdf



Datenanalyse zur Schaffung von Transparenz von Datennutzung und -verwertung Beispiele: Konsequenzen, Seite 32 in http://crackedlabs.org/dl/CrackedLabs_Christl_CorporateSurveillance.pdfwebsite request 21.11.2018

„When people are singled out by such opaque systems, they might get flagged as suspicious and warranting special treatment or investigation – or they may be rejected without explanation. They might get an email, a phone call, a notification, an error message – or, the system may simply withhold an option, without the user ever knowing of its existence for others. Inaccurate assessments may spread from one system to another.

(…)

However, the more digital technologies determine lives, the more important it becomes that those systems also become more transparent and accountable, and that people can object to arbitrary decisions. Most importantly, companies should not be allowed to use the vast amounts of sensitive data that they collect for fraud detection and security purposes for other purposes such as marketing.“


Konsequenzen!!!

Bekannt?


Datenanalyse zur Schaffung von Transparenz von Datennutzung und -verwertung

Beispiel: https://www.gsb.stanford.edu/insights/michal-kosinski-computers-are-better-judges-your-personality-friends

Michal Kosinski: Computers Are Better Judges of Your Personality Than Friends

Artificial intelligence can draw inferences about a person as accurately as a spouse, according to one Stanford postdoctoral fellow.

January 23, 2015|by Clifton B. Parker



Herausforderung Was die Elefantenjagd mit der Datenjagd zu tun hat (SZ).“https://cacm.acm.org/magazines/2016/6/202642-privacy-is-dead-long-live-privacy/fulltext

Beispiele

„ Wenn Google und Facebook mit uns fertig sind, bleiben wir als Kadaver zurück, und sie haben das Elfenbein – unsere Daten.

Mit diesem plakativen Vergleich erläutert Shoshana Zuboff, was von uns für die großen Konzerne wichtig ist und was nicht. Überwachungskapitalismus nennt sie das Datensammeln der Unternehmen, und sieht darin eine Gefahr für Demokratie und Wirtschaftsordnung. Sich dem zu entziehen, wird jedoch durch die Abhängigkeit von den entsprechenden Diensten (und/oder die eigene Bequemlichkeit) immer schwieriger.“

„Sie schreiben, dass der Überwachungskapitalismus dem monströsen Gemetzel an Elefanten gleiche, um an das Elfenbein zu kommen. Und wir Menschen seien nicht das Produkt, also das Elfenbein, sondern der zurückgelassene Kadaver. Was meinen Sie damit?

„Es ist schwierig, unsere tatsächliche Position in dieser Konstellation zu erfassen. Zunächst wurde uns gesagt, wie glücklich wir sein könnten, dass wir kostenlose Dienstleistungen bekommen. Als wir dann erfahren haben, dass die Unternehmen Daten über uns sammeln, waren wir "das Produkt". Und uns wurde gesagt, dass das ein fairer Tausch sei. Aber wir sind nicht das Produkt, sondern vielmehr die Quelle, das frei zugängliche Rohmaterial. Das wird wiederum zu Produkten verarbeitet, die den Interessen derer dienen, die von unserem zukünftigen Verhalten profitieren.“

http://gi-radar.de/227-erfindergeist/Website request 16.11.2018

"Überwachungskapitalisten wissen alles über uns"https://www.sueddeutsche.de/digital/shoshana-zuboff-ueberwachungskapitalismus-google-facebook-1.4198835, website request 16.11.2018


Herausforderung Privacy Is Dead, Long Live Privacyhttps://cacm.acm.org/magazines/2016/6/202642-privacy-is-dead-long-live-privacy/fulltext

„A Post-Confidentiality Research Agenda

We should prepare for the possibility of a post-confidentiality world, one in which confidentiality has greatly eroded and in which data flows in such complicated ways that social norms are jeopardized. The main research challenge in such a world is to preserve social norms, as we now explain. ….“

→ “fair-use PETs” (F-PETs)

Beispiele


Herausforderung...

Kein alleiniges Problem von Privatpersonen – ganz im Gegenteil …

Begünstigende Faktoren für Cyberkriminalität (Top3 aus „KPMG e-Crime Studie 2015“ [KPMG15])

1. „Unachtsamkeit“ (82%)

2. „Zunehmende Komplexität eingesetzter Technologien“ (80%)

3. „Unzureichendes Verständnis potentieller Risiken“ (76%)

Ist unser Fundament für die digitale Revolution / Gesellschaft ausreichend stabil und tragfähig?

[KPMG15] T. Fritzsche, K. Weiand, M. O. Scheben, and A. Geschonneck: „e-Crime Computerkriminalität in der deutschen Wirtschaft 2015“. KPMG AG Wirtschaftsprüfungsgesellschaft. 2015.

Beispiele


Habe ich mein Smartphone in der

Hand oder das Smartphone mich?

Wenn einer ständig schwarzmalt, sollen

wir ihm nicht Bundstifte schenken?

Wenn die Zeit davonrennt, muss ich

dann hinterher?

Beispiele

Foto [AMSL-OVGU]


Was heißt es?





Beispiele


Security-by-Design Schutzziele und Gewährleistungsziele als Designprinzip im Default zur Reduzierung der Angriffsfläche Update

KonfigurationImplementierung

Design

Intervenierbarkeit

Unverknüpfbarkeit

Transparenz, Revisionsfähigkeit

Coordinated Vulnerability

Disclosure Guidelines

Security-by-Design

Security-by-DefaultAnforderungen und Grundprinzipien

Gesetze, Verordnungen etc.

Coordinated Vulnerability Disclosure Guidelineshttps://www.enisa.europa.eu/news/member-states/WEB_115207_BrochureNCSC_EN_A4.pdf

...

Beispiele

[AMSL-OVGU]„Transparency by Design“ siehe in https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/10/PM_181017_Ergebnisse_der_IFK_Herbstkonferenz_2018.pdf


UpdateKonfiguration

ImplementierungDesign

Security-by-Design mit Maßnahmen zur Prävention, Detektion and Recovery: Organisation und Technik

PräventionDetektion

Wiederanlauf

(Recovery)

Security-by-Design

Beispiele

[AMSL-OVGU]


UpdateKonfiguration


Security-by-Design mit Forensic Readiness als strategische Ausrichtung

Prävention mit Forensic-enabled learning

Detektionmit Forensic-sound strategic preparation

Wiederanlauf (Recovery)

mit Forensic-enabled design

Security-by-Design

Forensic Readiness by Default zur Verbesserung von:

Beispiele

[AMSL-OVGU]


UpdateKonfiguration


Security-by-Design mit Privacy-by-Design

Security-by-Design

Privacy-by-Design

Externe Kundendaten

Korres-pondenz

Geo-Informationen


Metriken

Inter-aktionen

Verhalten

Mensch

von Anfang an technischer Datenschutz und mit möglichstdatenschutz-konformen

Voreinstellungen→ Privacy-by-Default

„Datenschatz!“

datenarmeKonfiguration

Trennung

Beruf / Privat

multiple Nutzerprofile

Hinterfragen digitaler Handlungen

„Souveränität meint selbstbestimmtes, informiertes und eigenständiges Handeln!“

Beispiele

[AMSL-OVGU]


Privacy-by-DesignPrivacy-by-Default

Beispiele für Privacy-by-DefaultPositive Anreize – „digitale Selbstverteidigung“

Kunde

https://www.qwant.com/

https://cliqz.com/

https://www.etools.ch/

EFF PrivacyBadger

HTTPSEverywhere

NoScript

NoScript

https://www.jabber.org/

Open Source

Linux*

Open Office, LibreOffice

OwnCloud

Fediverse - Federated Universe

Ubuntu Touch (https://ubports.com/)

F-Droid

https://www.openstreetmap.org/ https://map.project-osrm.org/

Sicherheitseinstellungenhttps://digitalcourage.de/https://ssd.eff.org/

Strategie: Hinterfragen Sie ihr digitales Handeln!

datatransparencylab.org

PrivacyScore.org

…

Transparenz

$heriff

Facebook Data

Valuation Tool (FDVT)

Princeton Web Census

ReCon

https://amiunique.org

https://panopticlick.eff.org

Kleine Auswahl - jeder muss schauen, was für sie/ihn passt entsprechend seiner Anforderungen

Security-by-Design

Siehe auch: https://digitalcourage.de/digitale-selbstverteidigung/freie-apps-fuer-das-befreite-smartphonehttps://digitalcourage.de/blog/2018/kommt-mit-uns-ins-fediverse

UpdateKonfiguration


…

Beispiele



https://ubports.com/


Schutzziele des DatenschutzesGewährleistungsziele

Beispiele




Digitale Agenda für das Land Sachsen-AnhaltSecurity-by-Design – durch Nach-Konfiguration

Gewünschter Soll-Zustand:

Häufiger Ist-Zustand: Möglichkeiten durch Konfiguration ...

Beispiele

[AMSL-OVGU]


Beispiele: ÜberblickverschaffenTransparenz von Verbindungen am Beispiel Webbrowser

Nutzung von Tools zur Visualisierung und Schaffung von Transparenz

beispielhaft Add-on httpsEveryWhereAnsicht der aufgebauten Verbindungen zu Drittanbietern beim Besuch zweier exemplarischer Webseiten


Beispiele

[AMSL-OVGU]

https://noscript.net/ https://www.eff.org/https-everywhere


Beispiele: Web TrackingTransparenz und Blocking – beispielhaft Ghostery und EFF PrivacyBadger


Beispiele

Schaffung von Transparenz und ggf. Blocking von Trackernbeispielhaft GHOSTERY und EFF PrivacyBadgerAnsicht der Tracker beim Besuch einer exemplarischen Webseite

[AMSL-OVGU]

https://www.eff.org/privacybadgerhttps://www.ghostery.com/


Beispiele: Web TrackingTransparenz und Blocking – beispielhaft noscript

Nutzung von Tools zur Visualisierung und Schaffung von Transparenz beispielhaft Add-on noscript aufgebaute Verbindung beim Besuch einer exemplarischen Webseite


Beispiele

[AMSL-OVGU]

https://noscript.net/


UpdateKonfiguration


Security-by-Design mit Ethics-by-Design

Security-by-Design

Ethics-by-Design

Korres-pondenz

Geo-Informationen

Human Rights

Well-being

Accountability

Awareness of misuse

Mensch

Transparency

von Anfang an Bildung, technologische Aufklärung und

Technikgestaltung mit ethischen

Grundprinzipien

Externe Kundendaten

Korres-pondenz MenschMensch

Beispiele

[AMSL-OVGU]


Was heißt es?





Beispiele



Aus „Kaum Fortschritt bei der Umsetzung der Datenschutz-Grundverordnung“ website request 15.10.2018https://www.bitkom.org/Presse/Presseinformation/Kaum-Fortschritt-bei-der-Umsetzung-der-Datenschutz-Grundverordnung.htmlhttps://www.bitkom-research.de/WebRoot/Store19/Shops/63742557/MediaGallery/Press/2018/September/180926-Aufwand-durch-DS-GVO-PG.png


„8 von 10 Unternehmen haben deutlich mehr Arbeit.“„Vielen ist offenbar auch erst im Laufe der

Prüfung und Anpassung ihrer Prozesse bewusst geworden, was für einen

Nachholbedarf sie beim Datenschutz haben.“

Beispiele



Aus https://www.bitkom.org/Bitkom/Publikationen/Machine-Learning-und-die-Transparenzanforderungen-der-DS-GVO.html, website request 15.10.2018https://www.bitkom.org/Presse/Presseinformation/Kaum-Fortschritt-bei-der-Umsetzung-der-Datenschutz-Grundverordnung.htmlhttps://www.bitkom.org/noindex/Publikationen/2018/Leitfaeden/180926-Machine-Learning-und-DS-GVO/180926-Machine-Learning-und-DSGVO.pdf


Machine Learning und die Transparenzanforderungen der DS-GVO

Beispiele



Nach-Konfiguration ist teils umfangreich und komplex, Orientierungshilfen sind wichtig!

Siehe zum Beispiel:

Arbeitskreis Informationssicherheit der deutschen Forschungseinrichtungen (AKIF)

Orientierungshilfe zur datenarmen

Konfiguration von Windows 10

Konfiguration Microsoft Office 2016 und 365


108 Seiten:https://www.it-sicherheit.mpg.de/Orientierungshilfe_Windows10.pdf92 Seiten:https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office/DPIA+Microsoft+Office+2016+and+365+-+20191105.pdf

Beispiele


Bildung als Element technologischer Aufklärung

„Für Kant war Mündigkeit das Ziel von Bildung.

Wenn wir einen mündigen Umgang mit digitaler Technologie wollen, wenn wir gleichsam Menschen befähigen wollen, mit ihren Daten sorgsam umzugehen, dann bedürfen sie einer technologischen Aufklärung.

Erst wenn zunehmend Klarheit darüber herrscht, was mit neuen digitalen Medien möglich ist, welche Werte, welche Chancen und Risiken mit Daten einhergehen, was Daten und Datenschutz bedeuten, kann ein selbständiger und eigenverantwortlicher, kurzum: mündiger Umgang mit den eigenen Daten stattfinden.

Eine solche Mündigkeit schliesst freilich die Möglichkeit ein, aus freien Stücken auf Datenschutz teilweise oder vollständig zu verzichten.“

Thomas Damberger ist Professor für neue Medien an der Goethe-Universität Frankfurt.

https://www.nzz.ch/meinung/technologische-aufklaerung-muendigkeit-und-datenschutz-ld.148359

Beispiele


Herausforderungen...

Security – Abwesenheit von Gefahren und Risiken

Sichern von unterschiedlichen Systemen (Einzelsysteme, vernetzt, mobil)Sichern von Schnittstellen zwischen Systemen

Variierende Sicherheitsziele und –bedürfnisse Angriffe durch Cross-Systemwissen (cross-system linkage) Angreifer nutzen schwächstes Glied eines Systems

Sicherheitspersonal muss alle Systemteile schützen Bedienbarkeit trotz Sicherheitsmechanismen gewährleisten Sicherheitskosten und –verluste kontrollieren „IT-Technik ist fast überall!“, „IT Trifft jeden!“ ...

Beispiele

[AMSL-OVGU]


Vielen Dank für die Aufmerksamkeit!

Souveränität in der digitalen Welt – eine Illusion?

„Souveränität meint selbstbestimmtes, informiertes und eigenständiges Handeln. „

https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/souveraenitaet-in-der-digitalen-welt-eine-illusion-veranstaltung-zum-

europaeischen-datenschutztag-20/


Teil 2: Auswahl an TechnikgrundlagenGliederung

Motivation Bedrohungen Beispiele: Praxisfälle – Herausforderungen

Wissen schützt! Was ist Sicherheit? Grundlagen: Sicherheitsaspekte, Sicherheitsziele, Schutziele Risiken und sieben Thesen für eine sichere Informationsgesellschaft

Technikgestaltung: Security-by-Design Schutzziele und Gewährleistungsziele als Designprinzip im Default

zur Reduzierung der Angriffsfläche Prävention, Detektion and Recovery Forensic Readiness als Strategische Ausrichtung Privacy-by-Design und Beispiele für Privacy-by-Default Ethics-by-Design


Skriptkiddie, Cracker, Hacker

Cybercrime – Computer-, Netzkriminalität

Daten-Sammler, Daten-Verwerter, Daten-Verkauf – Big Business (GAFA)

Cyberterrorism – gezielt politisch motiviert

Cyberwarfare Operations kriegerische Auseinandersetzung im Cyberspace hochtechnisierte Formen des Krieges im Informationszeitalter ethische Grundsätze der Kriegsführung

...

BedrohungenVerschiedene Motivationen und Hintergründe

siehe auch Artikel „War 2.0: Cyberweapons and Ethics“ von Patrick Lin, Fritz Allhoff, Neil C. Rowe, in Communications of The ACM, March 2012, Vol. 55, No. 3, Doi:10.1145/2093548.2093564, http://www3.nd.edu/~cpence/eewt/Lin2012.pdf - website request 14.5.2013

Beispiele


Bedrohungen: Basisangriffe - Kommunikationssicht

Hoppe/Buchholz/Dittmann

Achtung! Datenverarbeiter ist Empfänger - „Eingreifer“

→ Datenschutz: Der Angreifer ist Bob!(Jedenfalls auch.)

Siehe: Datenschutz: Privacy by Design, Marit Hansen, Landesbeauftragte für Datenschutz, Schleswig-Holstein, 5. DFN-Konferenz Datenschutz, Hamburg, 29.11.2016, https://datenschutzzentrum.de/uploads/vortraege/20161129_Privacy-by-Design_DFN-KonferenzDatenschutz2016_Hamburg_Hansen.pdf

[AMSL-OVGU]

Siehe auch „Urlaub im Wolfsland“, Folie 29, https://www.datenschutzzentrum.de/uploads/vorlesungen/cau/CAU2017-Einfuehrung.pdf, website request 25.10.2018


Schwachstellen, Bedrohung und Risiko

Schwachstelle (Vulnerability): Eine Systemeigenschaft, die Missbrauchsmöglichkeiten bietet.

Bedrohung (Threat): Jedes mögliche Vorkommen (böswillig oder anderweitig) mit ungewünschten Effekten auf die Werte (Assets) und Ressourcen eines Computersystems

Bedrohung x Schwachstelle (Verwundbarkeit) = Risiko

Perfekte Sicherheit kaum möglich Sicherheit als Risikomanagement

KonTraG, Basel II, SOX, ITIL, CObIT … Schwachstelle

Hinweis: C. Eckert unterscheidet nach Schwachstelle (weakness) und Verwundbarkeit (vulnerability)

Gefahr, Bedrohung

UpdateKonfiguration


Spezifikation

[AMSL-OVGU]


Beispiele an Fehlerquellen: menschliche Fehlhandlungen

Konfigurationsfehler (z.B. Konfiguration Browser, Passwortwahl)

Implementierungsfehler Designfehler im Kommunikationsprotokoll Designfehler in der Dienstspezifikation Designfehler in der Anwendung Fehlverhalten der Benutzer

siehe BSI IT-Grundschutzhandbuch

Beispiele


Was ist Sicherheit?

Nach deutschem Sprachgefühl: „Zustand der Freiheit von der Beeinträchtigung durch nicht geplante

Ereignisse“ Sicherheit: Abwesenheit von Gefahr Multilaterale Sicherheit Sicherheit ist Safety und Security mit folgenden

Sicherheitszielsetzungen:

Abbildung nach Lit.: Müller, G. et al.: Telematik- und Kommunikationssysteme in der vernetzten Wirtschaft, Oldenburg Verlag, 2003, Kap. 5, S. 389, siehe auch Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg in http://wi.wu-wien.ac.at/studium/Abschnitt_2/LVA_ss03/egeld/Egeld_5SicherheitWien03.pdf (slide 3, website request 14.3.2013)


CERT: Taxonomie-Vorschlag

Angreifer Werkzeuge Schwachstelle Aktion Ziel Resultat Absicht

Vorfall (Incident)Angriff (Attack)

Ereignis (Event)

Hacker

Spione

Terroristen

BeauftragteAngestellte

ProfessionelleKriminelle

Vandalen

Voyeur

SecurityScan

PhsikalischerAngriff (Dieb-stahl/Beschä-

digung)

Informations-austausch

Einschleusenvon Kommandos

Programme oder Scripte mit

Schadens-funktion

Autonome Agenten

(Viren, Würmer)

Toolkits (Zus.-gef. Werkzeuge)

Verteiltarbeiten-de Werkzeuge

Aufnahme elektro-magnetischer Abstrahlung

Design

Implementierung

Konfiguration

Abfragen einzelner od.

mehrerer Ziele und deren

Eigenschaften

Überladung der Zielkapazität(Überflutung)

Identität Nachspielen (Masquerade)

Umgehen

Auslesen

Kopieren

Stehlen

Modifizieren

Löschen (vernichten)

Account

Prozesse

Daten

Kompo-nenten

Computer

Netzwerk

Netzwerk von Netzen

Unerlaubter Zugriff auf:

•Computer undNetze

•Informationen

Veränderungen von Daten

Behinderung von Resourcen undder Dienstver-

fügbarkeit

Nutzung von Ressourcen

Herausfor-derung, Status,

Nervenkitzel

Politischmotiviert

Finanziell motiviert

Freude am Schaden

Sicherheits-beurteilung

Vertraulichkeit/Zugriffsschutz

Authentizität

Integrität

Verfügbarkeit

Verbindlichkeit/Nachweisbarkeit

Persönlichkeitsschutz

Common Language for Computer Security Incidents,

John D. Howard, Thomas A. Longstaff (1998) und Erweiterung

Erweiterung auf Basis von CERT http://www.cert.org/research/taxonomy_988667.pdf (website request 20.3.2013) [AMSL-OVGU]


•Vertraulichkeit (Man-in-the-Middle, Empfänger)

•Integrität (Manipulation, Replay)

•Authentizität (Echtheit, Spoofing)

•Nachweisbarkeit/Verbindlichkeit

•Urheberrechtsschutz

Sicherheitsaspekte und Angriffsmöglichkeiten

Urheberrecht

BDSG: Bundesdatenschutzgesetz EU!LDSG: Landesdatenschutzgesetzandere Datenschutzregelungen

Technische- undorganisatorischeSchutzmaßahmen(Spezifikation, Design, Implementierung, Konfiguration, Update)

Organisatorische Aspekte - zum Beispiel rechtliche Grundlagen:

•Verfügbarkeit (DoS)

Grundlegende Sicherheitsaspekte und Schutzziele

•Verkehrspflichten, IT-Sicherheitsgesetz, Coordinated Vulnerability Disclosure Guidelines

•Ethical Aligned Design, z.B. Digitale Charta - Charta der Digitalen Grundrechte der Europäischen Union, https://digitalcharta.eu/

●Persönlichkeitsschutz, Selbstbestimmung

[AMSL-OVGU]



Vertraulichkeit

Integrität, Authentizität

Verfügbarkeit

Intervenierbarkeit

Unverknüpfbarkeit


Nach Dr. Thilo Weichert, BIG DATA zwischen Heilserwartung, Horror und Mythos, siehe https://www.datenschutzzentrum.de/uploads/vortraege/2015-02-18-Weichert-Big-Data-Wirtschaft.pdf, Hannover, 19. Februar 2015, website request 3.11.2015


Schutzziele: VerfügbarkeitWichtige gesetzliche Verankerung

Sicherheitsaspekt Verfügbarkeit

Netzneutralität

See for example Video in

http://www.business-punk.com/2018/01/burgerkingnetzneutralitaet/


Post Net Neutrality, Internet Providers Are Slowing Down Your Streaming

Northeastern University News (09/10/18) Aria Bracci

https://news.northeastern.edu/2018/09/10/new-research-shows-your-internet-provider-is-in-control/


http://www.business-punk.com/2018/01/burgerkingnetzneutralitaet/

https://news.northeastern.edu/2018/09/10/new-research-shows-your-internet-provider-is-in-control/


Schutzziele: Ethically Aligned Design

General Principles for an ethical design, development, and implementation:

Human Rights:

Ensure they do not infringe on internationally recognized human rights

Well-being:

Prioritize metrics of well-being in their design and use

Accountability:

Ensure that their designers and operators are responsible and accountable

Transparency:

Ensure they operate in a transparent manner

Awareness of misuse:

Minimize the risks of their misuse

https://standards.ieee.org/develop/indconn/ec/ead_brochure_v2.pdf


Ethically Aligned Design

IEEE P7000™Embedding Values into Autonomous Intelligent Systems

IEEE P7001™ - Transparency of Autonomous Systems

IEEE P7002™ - Data Privacy Process

IEEE P7003™ - Algorithmic Bias Considerations

IEEE P7004™ - Standard on Child and Student Data Governance

IEEE P7005™ - Standard for Transparent Employer Data Governance

IEEE P7006™ - Standard for Personal Data Artificial Intelligence (AI) Agent

IEEE P7007™ - Ontological Standard for Ethically Driven Robotics and Automation Systems

IEEE P7008™ - Standard for Ethically Driven Nudging for Robotic, Intelligent, and Automation Systems

IEEE P7009™ - Standard for Fail-Safe Design of Autonomous and Semi-Autonomous Systems

IEEE P7010™ - Wellbeing Metrics Standard for Ethical Artificial Intelligence and Autonomous Systems

https://ethicsinaction.ieee.org/http://standards.ieee.org/develop/indconn/ec/ead_v2.pdf


Persönliche Risiken (Auswahl)

1. Verletzungen der Privatsphäre und soziale / gesellschaftliche Peinlichkeiten.

2. Anonymisierung könnte unmöglich werden („es gibt kein belangloses Datum mehr“).

3. Bruch der Pseudonymisierung und Erlangung persönlicher Daten.

4. Unethische Aktionen auf Basis von Interpretationen (Fairness?).

5. Big-Data Analysen sind nicht 100% korrekt.

6. Diskriminierung.

7. Wenig (falls überhaupt) existierender juristischer Schutz / Möglichkeiten für betroffene Individuen.

8. Big-Data könnte möglicherweise für immer existieren.

Basiert in Teilen auf: https://www.secureworldexpo.com/10-big-data-analytics-privacy-problems , letzter Zugriff 15.05.2017.

Summarized with Robert Fischer

[AMSL-OVGU]


Sieben Thesen für eine sichere Informationsgesellschaft [BSI16]

1. Informationssicherheit ist nicht nur technische, sondern politische und gesellschaftliche Frage, die einer interdisziplinären Betrachtung bedarf.

2. Es muss eine gesamtgesellschaftliche Debatte zur Sicherheitsverantwortung in der Informationsgesellschaft geführt werden.

3. Die Motivation, sich um Informationssicherheit zu kümmern, braucht keine moralischen Appelle, sondern positive Anreize.

4. Informationssicherheit ist ein aktives, gesamtgesellschaftliches Generationenprojekt mit lebenslangem Lernen.

5. Fehler sind menschlich; Informationssicherheit braucht technische und organisatorische Resilienz und Fehlermanagement.

6. Informationssicherheit und Benutzerfreundlichkeit müssen Hand in Hand gehen.

7. Informationssicherheit soll ein wichtiger Faktor werden, damit jeder für die eigenen Daten bestimmen kann, wer was mit diesen Daten macht.

[BSI16] Bundesamt für Sicherheit in der Informationstechnik, “Sieben Thesen für eine sichere Informationsgesellschaft” [Online] https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/news_worldcafe_21042016.html, letzter Zugriff 15.05.2017.

Technische, politisch, gesellschaft-liche Fragen

Verantwor-tung

Positive Anreize

Bildungsaufgabe

Resilenz und Fehler-mangement

BenutzerfreundlichkeitSelbst-

bestimmtheit


Security-by-Design Schutzziele und Gewährleistungsziele als Designprinzip im Default zur Reduzierung der Angriffsfläche Update

KonfigurationImplementierung

Design

Intervenierbarkeit

Unverknüpfbarkeit


Coordinated Vulnerability

Disclosure Guidelines

Security-by-Design

Security-by-DefaultAnforderungen und Grundprinzipien

Gesetze, Verordnungen etc.

Coordinated Vulnerability Disclosure Guidelineshttps://www.enisa.europa.eu/news/member-states/WEB_115207_BrochureNCSC_EN_A4.pdf

...

Beispiele

[AMSL-OVGU]„Transparency by Design“ siehe in https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/10/PM_181017_Ergebnisse_der_IFK_Herbstkonferenz_2018.pdf


UpdateKonfiguration


Security-by-Design mit Maßnahmen zur Prävention, Detektion and Recovery: Organisation und Technik

PräventionDetektion

Wiederanlauf

(Recovery)

Security-by-Design

Beispiele

[AMSL-OVGU]


Security-by-DesignPrävention, Detektion and Recovery

Prävention:– Minimierung der Angriffsfläche im Design– Implementieren von Mechanismen, die der Benutzer

nicht außer Kraft setzen kann und die glaubhaft korrekt und unveränderbar implementiert wurden

Detektion– Feststellen, dass gerade ein Angriff erfolgt oder

schon erfolgt ist– Feststellung melden

Wiederherstellung/Kontinuität– Korrektes Systemverhalten wiederherstellen Nach erfolgtem Angriff Noch während des Angriffs

Beispiele

[AMSL-OVGU]


Security-by-DesignBeispiel von Instrumenten zur Prävention und Abwehr

Organisatorische Gesetzesvorbehalt und/oder Wahlfreiheit Zweckbindung, Erforderlichkeitsprinzip Auskunft und Anspruch auf Transparenz Verfahrensrechtliche Sicherungen ...

Technische Modellierung: Standard Datenschutzmodell Anonymisierung und Pseudonymisierung Kryptographie mit Verschlüsselung Verdeckte Kommunikation mit Steganographie Digitale Signatur Firewall, Anomalie- und Einbruchserkennung Abschottung ...

Beispiele

[AMSL-OVGU]


Security-by-DesignEntwurfsrichtlinien für sichere Systeme

LeitmotiveEinfachheit

Design und Interaktion so einfach wie möglich Leicht zu beweisende Safety/Security

Beschränkungen Minimiere Einfluss der Funktionseinheiten Need to Know und Abschottung

Secure Defaults Festschreiben, Einrichten und Nachweisen

Defense in Depth Eine Kontrolle ist gut, mehr Kontrollen sind besser!

Don’t trust services Partner haben oft andere Security Policies! Weitere Sicherheitsmaßnahmen werden oft erforderlich!

Fix security issues correctly Vorfallsaufklärung betreiben Test Routinen etablieren

+ Auch notwendig: gesunder Menschenverstand!

Siehe auch in Matt Bishop, Computer Security: Art and Science, Slides for Classes, in http://nob.cs.ucdavis.edu/book/book-aands/slides/index.html (wesbsite request 22.3.2013) und https://www.owasp.org/index.php/Security_by_Design_Principles und https://www.us-cert.gov/bsi/articles/knowledge/principles/defense-in-depth (website request 20.9.2018

Beispiele

[AMSL-OVGU]


Security-by-DesignEntwurfsrichtlinien – Design Principles

1. Principle of least privilege: Geringste Privilegien, minimale Rechte (Erforderlichkeits-orientiert, Need to Know)

2. Principle of fail-safe defaults: Voreinstellung: „nicht erlaubt“, Fail Secure3. Principle of economy of mechanism: Einfaches und schlichtes Design

(auch für Schnittstellen)4. Principle of complete mediation: Überprüfung jedes Zugriffs ob

Erlaubnis vorliegt (Aber: Performanz!)5. Principle of open design: Keine “Security through obscurity”6. Principle of separation of privilege: Erlaubniserteilung durch mehrere

Bedingungen (z.B. Vieraugenprinzip)7. Principle of least common mechanism: Mechanismen, um auf

Ressourcen zuzugreifen, sollten nicht geteilt werden (restriktiv, limitiert “sharing”)

8. Principle of psychological acceptability: Zugriff auf Ressourcen sollte nicht erschwert werden bzw. schwierig sein

Design Principles from: Jerome H. Saltzer, Michael D. Schroeder: The Protection of Information in Computer Systems. Revidiertes Manuskript, University of Virginia, 17. April 1975, See also slides from Matt Bishop, Computer Security: Art and Science, Slides for Classes, in http://nob.cs.ucdavis.edu/book/book-aands/slides/index.html and http://nob.cs.ucdavis.edu/book/book-aands/slides/13.ppt (wesbsite request 22.3.2013)

[AMSL-OVGU]


Security-by-DesignSicherheitsrichtlinien – Security Policies

Prävention: Sammlung von Regeln, die angeben Welche Aktionen erlaubt sind Welche nicht

Erweiterung der Richtlinien auch auf Detektion, Abwehr und Reaktion (einschl. Recovery)

Kann informell sein, aber auch höchst mathematisch, z.B. Betrachtung eines Computersystems als deterministischen endlichen Automaten (finite state machine)

Eine Sicherheitsrichtlinie ist ein Aussage, die die Menge aller Systemzustände disjunkt in die zwei Untermengen der erlaubten/sicheren und nicht erlaubten/unsicheren Zustände unterteilt

Ein sicheres System beginnt in einem sicheren Zustand und kann nicht in einen unsicheren Zustand übergehen

Die Sicherheitsbestimmungen werden verletzt, wenn ein System in einen unsicheren Zustand übergeht.

Von einem gesichertem System wird verlangt, dass es Sicherheitsrichtlinien durchsetzt

Nach Matt Bishop, Computer Security: Art and Science, Slides for Classes, in http://nob.cs.ucdavis.edu/book/book-aands/slides/index.html (wesbsite request 22.3.2013)

Beispiele

[AMSL-OVGU]


UpdateKonfiguration


Security-by-Design mit Forensic Readiness als strategische Ausrichtung

Prävention mit Forensic-enabled learning

Detektionmit Forensic-sound strategic preparation

Wiederanlauf (Recovery)

mit Forensic-enabled design

Security-by-Design

Forensic Readiness by Default zur Verbesserung von:

Beispiele

[AMSL-OVGU]


Hauptziele beim Aufbau von Forensic Readiness Fähigkeiten:1) Management von digitalen Hinweisen (Beweisen);

2) Durchführung und Leitung von internen digitalen forensischen Untersuchungen;

3) Nachkommen von Vorschriften

4) Erreichen von non-forensic bezogenen Zielen, z. B. Verbesserung des Security Managements, der Prävention, der Detektion und des Recovery

Wichtige identifizierte Faktoren:1) Strategie mit Übersicht zu Methoden und Datenarten zu den einzelnen Phasen für ein Forensically Ready

System;

2) Vorhandene Expertise, um die forensischen Aufgaben zu realisieren;

3) Awareness of forensics in der Organisation;

4) Software und Hardware für das Management von Hinweisen und Beweisen;

5) Vorhandensein einer Forensik-unterstützenden Systemarchitektur;

6) Richtlinien und Prozeduren anhand von konkreten Fallbeispielen;

7) Mitarbeiterschulung zur Verantwortlichkeit im forensischen Prozess sowie dem Aufgabenspektrum.

Mit Ergänzungen nach ELYAS, MOHAMED, sieh aus https://minerva-access.unimelb.edu.au/handle/11343/50189 und http://hdl.handle.net/11343/50189, Website request 7.9.2017

Security-by-Design mit Forensic Readiness – Vor- und nach einem Vorfall

[AMSL-OVGU]


UpdateKonfiguration


Security-by-Design mit Privacy-by-Design

Security-by-Design

Privacy-by-Design

Externe Kundendaten

Korres-pondenz

Geo-Informationen


Metriken

Inter-aktionen

Verhalten

Mensch

von Anfang an technischer Datenschutz und mit möglichstdatenschutz-konformen

Voreinstellungen→ Privacy-by-Default

„Datenschatz!“

datenarmeKonfiguration

Trennung Beruf / Privat

multiple Nutzerprofile

Hinterfragen digitaler Handlungen

„Souveränität meint selbstbestimmtes, informiertes und eigenständiges Handeln!“

Beispiele

[AMSL-OVGU]


Privacy-by-DesignPrivacy-by-Default

Beispiele für Privacy-by-DefaultPositive Anreize – „digitale Selbstverteidigung“

Kunde

https://www.qwant.com/

https://cliqz.com/

https://www.etools.ch/

EFF PrivacyBadger

HTTPSEverywhere

NoScript

NoScript

https://www.jabber.org/

Open Source

Linux*

Open Office, LibreOffice

OwnCloud

Fediverse - Federated Universe

Ubuntu Touch (https://ubports.com/)

F-Droid

https://www.openstreetmap.org/ https://map.project-osrm.org/

Sicherheitseinstellungenhttps://digitalcourage.de/https://ssd.eff.org/

Strategie: Hinterfragen Sie ihr digitales Handeln!

datatransparencylab.org

PrivacyScore.org

…

Transparenz

$heriff

Facebook Data

Valuation Tool (FDVT)

Princeton Web Census

ReCon

https://amiunique.org

https://panopticlick.eff.org


Security-by-Design


UpdateKonfiguration


…

Beispiele



https://ubports.com/



Beispiele


Schutzziele des DatenschutzesGewährleistungsziele BeispieleFallbeispiele aus dem Schulalltag:

Unzuläßigkeit der Nutzung von Messenger Dienst „WhatsApp“

─ Keine Nutzung für dienstliche Zwecke!

─ „Metadaten unverschlüsselt: Telefonnummer, Profilname, Profilbild, Nachrichten, Gruppenzugehörigkeit, Favoritenlisten, Nutzungsinformationen, Transaktionsdaten, Geräte- und Verbindungsdaten, Standortdaten, Cookies, Statusinformationen, Facebook nutzt Datenaus WhatsApp, Zugriff auf Telefonbuch(Kontakte)„

„Die Nutzung von facebook durch Lehrkräfte für Zwecke der dienstlichen Kommunikation“

─ „z.B. zur Verteilung von Hausaufgaben, der Bekanntgabe von Noten und anderen Kommentaren zu Leistungsbewertungen ist unzulässig.“

─ „Die Vermittlung des sachkundigen Umgangs mit facebook und anderen sozialen Netzwerken ist selbstverständlich zulässig.“

[AMSL-OVGU]

https://www.gew-thueringen.de/aktuelles/detailseite/neuigkeiten/sondersendung-vortrag-des-thueringer-datenschutzbeauftragten-dr-lutz-hasse/ und https://www.gew-thueringen.de/index.php?eID=dumpFile&t=f&f=71477&token=aac68cf7661509eb1cb976fedbc49461070011b5&sdownload=&n=Datenschutz_in_der_Schule_Vortrag_des_Thueringer_Datenschutzbeauftragten_auf_der_LVV_der_GEW_Thueringen_21092018.pdf, website request 22.10.2018


Digitale Selbstverteidigung Auswahl der Suchmaschine und Navigationsdienste

Die meisten Suchmaschinen (durch-)suchen auch Dich! Neben angegebener Suchoptimierung Profilbildung für

Werbezwecke, Beeinflussung des Suchenden aber auch Unterdrückung von Suchergebnissen

Suchmaschinenverhalten laufen beim Diensteanbieter, extrem begrenzte Möglichkeit der Konfiguration

Digitale Selbstverteidigung: Auswahl von Anbietern mit minimaler Datenweitergabe/Profilbildung

Digitale Selbstverteidigung - Beispiele: ─ qwant (https://www.qwant.de)

─ cliqz (https://cliqz.com/)

─ openstreetmap (https://www.openstreetmap.org/)

─ Navigation Project-osrm (https://map.project-osrm.org/)

[AMSL-OVGU]


Digitale Selbstverteidigung Auswahl des sozialen Netzwerks

Soziale Netze wollen Deine Daten!

Auch Beziehungen (wer kennt wen, Gruppenzugehörigkeit) und andere indirekte Informationen sind wertvolle Daten!

Beeinflussung durch Vorschläge/Angeboten und deren Unterlassung! - absichtlich Bildung von Filterblasen

Digitale Selbstverteidigung: Auswahl von Diensteanbietern mit minimaler Datenweitergabe/Profilbildung, Zurück-gewinnung der Souveränität

Digitale Selbstverteidigung - Beispiele:

─ Federated Universe (https://fediverse.party/en/fediverse/)

[AMSL-OVGU]


Digitale Selbstverteidigung Auswahl des Browsers und Add-ons

Browser wissen viel über Dich und sind „Tür zum Internet”! Tracking über Cookies etc., Suchvorschläge Achtung: oftmals Überschreiben der Einstellungen! Digitale Selbstverteidigung: Auswahl des Webbrowsers

und Erweiterungen (Addons/Extensions) Erfolg: Minimierung des Trackings, Transparenz und

Security durch Open Source Software Digitale Selbstverteidigung - Beispiele:

─ Firefox (https://www.mozilla.org/ Achtung: Konfiguration zwingend notwendig)

─ No Script (https://noscript.net/)─ Ghostery (https://www.ghostery.com/)─ EFF Privacy Badger (https://www.eff.org/privacybadger)─ EFF https everywhere (https://www.eff.org/https-everywhere)

Achtung Konfiguration nötig

[AMSL-OVGU]


Digitale Selbstverteidigung Auswahl des Messengers

Messenger kennen Dich und Deine Freunde und Kontakte!

Kontaktdaten (u.a. Telefonnummer) und Freundschafts-/Verwandschaftsbeziehungen, manchmal sogar Textinhalte/Bilder im Klartext

Profilbildung vor allem für gezielte Angebote bzw. deren Unterlassung

Digitale Selbstverteidigung: Auswahl des Klienten und des Transportprotokolls

Digitale Selbstverteidigung - Beispiele:

─ Jabber (https://www.jabber.org/)

[AMSL-OVGU]


Digitale Selbstverteidigung Auswahl des Betriebssystems

Betriebssysteme kennen Deinen Rechner und alles, was sich darauf befindet!

Halten ständig Verbindung mit dem Internet (gut für Updates, schlecht für ausgeleitete Daten)

Digitale Selbstverteidigung: Auswahl und Konfiguration des Betriebssystems

Erfolg: umfassendste Kontrolle und Souveränität Digitale Selbstverteidigung - Beispiel:

─ Linux Distribution für Desktop & Mobil (z.B. https://www.debian.org/, https://www.ubuntu.com/download/desktop,https://ubuntu-touch.io/get-ut, https://www.qubes-os.org/)

─ Lineage / Ubuntu Phone (https://lineageos.org/)─ F-Droid (https://f-droid.org/en/)─ Windows 10 datenarm konfigurieren

(https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/datenschutz-bei-windows-10-erhoehen-12154)

[AMSL-OVGU]


UpdateKonfiguration



Security-by-Design

Ethics-by-Design

Korres-pondenz

Geo-Informationen

Human Rights

Well-being

Accountability

Awareness of misuse

Mensch

Transparency

von Anfang an Bildung, technologische Aufklärung und

Technikgestaltung mit ethischen

Grundprinzipien

Externe Kundendaten

Korres-pondenz MenschMensch

Beispiele

[AMSL-OVGU]



[AMSL-OVGU]

„Wir fordern Digitale Grundrechte“

„Charta der Digitalen Grundrechte der Europäischen Union“

https://digitalcharta.eu/, website request 22.10.2018

„Nach einem Jahr lebhafter öffentlicher Debatten um die erste Fassung der Digital-Charta liegt seit April der überarbeitete Vorschlag für eine „Charta der Digitalen Grundrechte der Europäischen Union“ vor. Am 26. April erschien der neue Text in der ZEIT und am 4. Mai wurde er auf der re:publica präsentiert. Damit wurde die überarbeitete Fassung der Politik und Allgemeinheit übergeben, die nun aufgerufen ist, mit dem Inhalt und den Ideen der Digital-Charta weiter zu arbeiten.“

Beispiele



[AMSL-OVGU]

Ergebnisse der Herbstkonferenz der Informationsfreiheitsbeauftragten in Ulm Vom 16.10.2018 Positionspapier zum Einsatz von Algorithmen und KI

„Das Papier zeigt auf, welche Anforderungen und Pflichten von öffentlichen Stellen zu beachten sind. Außerdem betonen die beteiligten Informationsfreiheitsbeauftragten die Aufgabe der Verwaltung, für ausreichende Transparenz zu sorgen. Dies kann deutlich einfacher sein, wenn die Entwickler solcher Systeme schon im Gestaltungsprozess Transparenzanforderungen einbauen im Sinne eines „Transparency by Design“. „

Beispiele

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/10/PM_181017_Ergebnisse_der_IFK_Herbstkonferenz_2018.pdf Und https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/10/IFK-Positionspapier_Algorithmen_final_16.10.2018.pdf, website request 25.10.2018


Bildung als Element technologischer Aufklärung

„Für Kant war Mündigkeit das Ziel von Bildung.

Wenn wir einen mündigen Umgang mit digitaler Technologie wollen, wenn wir gleichsam Menschen befähigen wollen, mit ihren Daten sorgsam umzugehen, dann bedürfen sie einer technologischen Aufklärung.

Erst wenn zunehmend Klarheit darüber herrscht, was mit neuen digitalen Medien möglich ist, welche Werte, welche Chancen und Risiken mit Daten einhergehen, was Daten und Datenschutz bedeuten, kann ein selbständiger und eigenverantwortlicher, kurzum: mündiger Umgang mit den eigenen Daten stattfinden.

Eine solche Mündigkeit schliesst freilich die Möglichkeit ein, aus freien Stücken auf Datenschutz teilweise oder vollständig zu verzichten.“

Thomas Damberger ist Professor für neue Medien an der Goethe-Universität Frankfurt.

https://www.nzz.ch/meinung/technologische-aufklaerung-muendigkeit-und-datenschutz-ld.148359

Beispiele


Vielen Dank für die Aufmerksamkeit!

Die glücklichen Sklaven sind die erbittertsten Feinde der Freiheit.Marie Freifrau von Ebner-Eschenbach

Siehe auch Souveränität

https://zkm.de/media/video/digitale-souveraenitaet-dirk-fox

Documents

Security-by-Design › fileadmin › Bibliothek › ... · 2018-11-23 · Zusammengefasst von Prof. Dr.-Ing. Jana Dittmann Digitalisierung aber sicher! Security-by-Design ist das