Embed Size (px)
Citation preview
Sicherheit von Daten und Identitätenangesichts NSA und Big Data
a-i3/BSI-Symposium 2014
Tagungsbericht
Das 9. a-i3/BSI Symposium 2014 stand mehr noch als jemals zuvor im Zeichen tagesak-tueller Themen. Am 19. und 20. Mai stellten Vertreter aus Wirtschaft, Forschung und Ver-waltung hochaktuelle Probleme aus dem Bereich des Identitätsschutzes im Internet vor und diskutierten über Lösungen. Neben NSA und Big Data waren der Heartbleed-Bug in OpenSSL und das erst wenige Tage zuvor verkündete Google-Urteil die wichtigsten Diskussionspunkte. Ein Tagungsbericht.
In einer kurzen Einführung honorierte Prof. Gere-on Wolters, Dekan der juristischen Fakultät der Ruhr-Universität Bochum, die Verdienste der a-i3 und blickte auf die langjährigen Tätigkeiten zurück, bevor er an die Bürgermeisterin Erika Stahl übergab, die die komplexe Materie aus Ihrer Sicht beschrieb.
Prof. Dr. Georg Borges und Prof. Dr. Jörg Schwenk gingen als Vertreter der a-i3 in medias res und gaben einen kurzen Überblick über Aktuelle Herausforde-rungen für die Sicherheit von Daten.
Im technischen Teil machte Prof. Dr. Jörg Schwenk vor allem auf den Heartbleed-Bug aufmerksam und warnte vor einer anzunehmenden Steigerung von An-griffen auf Verschlüsselungstechniken. Hintergrund sei, dass das notwenige theoretische Grundwissen seit 2010 die kritische Masse erreicht habe und nun gezielt für Angriffe eingesetzt werden könne. Nach wie vor zu den aktuellen Themen zu zählen ist das Cross-Site-Scripting (XSS), begünstigt durch eine neue Browser-Generation und HTML5. Seinen technischen Ausfüh-rungen schloss er noch einen Apell an, Forschern das „Unknown Internet“, also firmeninterne Netzwerke, die
über das Internet abgewickelt werden, für Forschungs-zwecke zu öffnen. Hier lägen große unbekannte Berei-che, potenzielle Angriffe könnten daher nicht erforscht werden.
Prof. Borges schloss sich diesen Ausführungen an und gab einen Überblick der Herausforderungen aus rechtlicher Sicht. Festzustellen war vor allem, dass „Phishing noch nicht tot“ sei, vielmehr sei der Bereich des Online-Banking hochaktuell, wie auch die Inan-spruchnahme des a-i3-Beratungstelefons beweist. Aber auch neue Entwicklungen bieten aus juristischer Sicht spannende Themen: Sichtwort Heartbleed: „Wer haftet eigentlich für den Fehler in der Software?“, Stichwort Google-Urteil: „Gibt es jetzt wirklich ein Recht auf Ver-gessenwerden?“, Stichwort Standardisierung: „Gibt es nun endliche eine verlässliche Grundlage für Cloud-Computing“, Stichwort Datenschutz: „Wie kann man sich noch vor der Datensammelwut und Big Data schüt-zen?“.
In Themenbereich 1: Spionage und Cyber-crime führte Prof. Dr. Jörg Schenk, Mitglied der a-i3 und Inhaber des Lehrstuhls für Netz- und Datensicher-heit, ein. Er zeigte die Auswirkungen der Enthüllungen
a-i3/BSI-Symposium 2014 - Tagungsbericht 2
von Edward Snowden auf und, dass diese letztlich zu der Frage führen, die jede Firma beschäftigt oder be-schäftigen sollte: „Wie sicher ist mein Webauftritt?“
Den ersten thematischen Vortrag übernahm Prof. Dr. Christoph Sorge, Inhaber der juris-Stiftungsprofes-sur an der Universität des Saarlandes. Zu dem Thema NSA-Affäre – Was war aus technischer Sicht wirklich überraschend? konnte der gelernte Infor-matiker und seit langem auch mit IT-rechtlichen Themen befasste Sorge feststellen, dass die Fähigkeiten von NSA und GCHQ neben dem Mitschneiden von Metada-ten auch die Beeinflussung von Standards umfassen. Auch gebe es eine Kooperation mit Routerherstellern für einen direkten Zugang zu den Netzen. Im Rahmen von Prism und Tempora seien Daten von Google, Mi-crosoft, Yahoo, Skype und Facebook erfasst worden. Hervorzuheben ist die Möglichkeit, dass auch Daten von nicht ans Internet angeschlossenen Rechnern aus-gewertet wurden. Hierzu sollen Hardware-Lieferungen abgefangen und die Hardware zum Zwecke der Spio-nage abgeändert worden sein. Sorge warf aber auch die Frage auf, in wieweit wir wirklich im Fokus der NSA stehen und stellte kontroverse Aussagen über die Tätig-keiten der USA im Bereich der Wirtschaftsspionage auf. Sein Fazit lautet: Wirklich überraschend ist die ganze NSA-Affäre aus technischer Sicht nicht. Was vielmehr überrascht ist das schiere Ausmaß der Überwachung!
An den Vortrag von Prof. Sorge anschließend erläu-terte Stephan Sachweh von der Pallas GmbH, einem IT-Betriebshaus für kleine und mittlere Unternehmen unter dem Titel Ist meine Website noch sicher? – Massive Angriffe gegen Joomla, Wordpress und Typo3 einen etwas alltäglicheren Bereich von Spionage und Cybercrime. Er begann mit einem klei-nen Überblick zum technischen Aufbau von Joomla, Typo3 und Wordpress. Den Content-Management-Sys-temen (CMS) ist gemein, dass sie freie Software sind, die daher große Verbreitung gefunden haben und sich durch Ihren modularen Aufbau inhaltich leicht pflegen lassen. Auch Werbeagenturen und Webdesigner kön-nen für diese CMS professionelle zugleich günstige Layouts erstellen. Doch genau hier liegt nach Sachweh das Problem: Nur weil die Software weit verbreitet ist und von einer Werbeagentur erstellt wurde, ist sie noch lange nicht sicher. – Im Gegenteil: Viele Unternehmen verlassen sich zu sehr auf die Sicherheit und administ-rieren ihre Webauftritte nicht oder nur unzureichend. Mit einmal bekannten Schwachstellen und automatischen Scans können Kriminelle die Serverkapazitäten für sich nutzbar machen. Etwa für den Versand von Spam- und Phishing-Mails oder für illegales Filesharing. Die Folge-kosten können für den Betreiber umfassend sein. Sach-
weh rät daher dringend zu einem durchdachten Kon-zept. Beispielhaft nennt er die Reduktion verfügbarer Funktionen auf ein notwendiges Minimum. „Wo ich nur eine Webvisitenkarte haben möchte, muss kein Mailser-ver ungenutzt im Hintergrund mitlaufen.“
Einen weniger technischen Ansatzpunkt für den Schutz einzelner Bürger stellt Dr. Dirk Häger, Bundes-amt für Sicherheit in der Informationstechnik (BSI), mit seinem Vortrag Warnung als Schutz gegen Iden-titätsmissbrauch – Der Warndienst des BSI vor. Der Dienst umfasst nicht nur Warnungen wegen gehackter E-Mail-Konten, wegen derer er Anfang des Jahres in die Presse gekommen war, sondern auch Pro-duktwarnungen und Warnungen wegen Schwachstellen in IT- und Kommunikationssystemen. Grundsätzlich, so Häger, betreibe das BSI auch keine Massenwarnungen um panikartige Reaktionen zu vermeiden. Warum sich dies im Falle des ersten aufgefundenen Datensatzes von 16 Mio. aufgefundenen E-Mail-Adressen anders verhält, erklärt Häger mit dem erhöhten Gefahrenpo-tenzial der Daten: Ein großer Teil der aufgefundenen E-Mail-Adressen konnte deutschen Nutzern zugeordnet werden, etwa 50-60 % der Adressen seien zudem noch aktiv gewesen. Im Wesentlichen sei die Aktion des BSI in der Öffentlichkeit gut aufgenommen worden, Kritik gab es allerdings an dem Ausbleiben von Negativ-Be-nachrichtigungen. Häger schilderte dann, wie das BSI auf die Kritik reagierte und sich bei einem zweiten Fund von etwa 18 Mio. E-Mail-Adressen direkt an die E-Mail-Provider wandte. Auch wenn die Effektivität geringer war, wurde die Maßnahme in der Fachpresse besser aufgenommen. Häger schloss mit Ideen und Verbesse-rungen für mögliche künftige Warnungen.
Starbug, der sich beim Chaos Computer Club (CCC) und beruflich schon seit 10 Jahren mit der Sicherheit biometrischer Systeme beschäftigt, präsentierte unter dem Titel Hacking biometrische Systeme – Zur Sicherheit des iPhone-Fingerabdruckscan-ners seinen erfolgreichen Versuch den Fingerabdruck-sensor des aktuellen iPhones (TouchID) zu überwinden. Dabei gab er zunächst einen kurzen Überblick, wo bio-metrische Zugangssysteme eingesetzt werden. Dies sind neben Zugangskontrollen zu Gebäuden und Com-putern auch Elemente des Finanzsektors und staatliche Stellen, etwa im Bereich Kriminalistik und Grenzkont-rollen. Angriffspunkte liegen nach Starbug in hinterleg-ten Daten, der Erkennungssoftware selbst oder in ver-wendeten Sensoren. Da sich Starbug für einen Angriff auf den Sensor entschied, erläuterte er kurz Merkmale der Haut, die für eine Identifizierung in Frage kommen, sowie verwendbare Sensortechniken. Den Hack selbst bezeichnete Starbug als „denkbar einfach“: Wer die
a-i3/BSI-Symposium 2014 - Tagungsbericht 3
Möglichkeit hat, einen Fingerabdruck – so wie wir ihn täglich an tausenden Gegenständen hinterlassen – mit einem handelsüblichen Scanner zu erfassen, kann mit einem Platinen-Belichtungsgerät und etwas Holzleim einen funktionierenden Dummy bauen.
Die Einführung in Themenbereich 2: Cloud Dienste – Standards und Datenschutz-Zerti-fizierung übernahm Prof. Borges. Er nannte als eine zentrale Herausforderung der Nutzung von Cloud-Tech-nologien die Erfüllung der datenschutzrechtlichen An-forderungen. Standards und Zertifizierungen seien we-sentliche Elemente für einen verbreiteten Einsatz von Cloud-Diensten und könnten nicht zuletzt im Bereich des Datenschutzes für Rechtssicherheit sorgen.
Technische Anforderungen an Virtuelle Maschinen (VM) im Rahmen des Cloud Computing sind vielfäl-tig. Die Lösungen unterscheiden sich stark und sind regelmäßig nicht interoperabel. Eine Möglichkeit von Standardisierung stellte Prof. Dr. Jörg Schenk mit OA-SIS-Standard für Cloud vor. Eine Schnittstelle für die Steuerung und Zugriff auf Cloud-VMs wurde von OASIS mit der Security Assertion Markup Language 2.0 (SAML) geschaffen. Diese identifiziert und signiert Daten, die von einem Zertifikataussteller verbürgt wer-den. In den Daten enthalten sind im Rahmen von SAML auch Anweisungen, wie Daten zu behandeln sind. Dies macht die Daten in verschiedenen Clouds wie jenen der Anbieter Amazon, Google, MS Office oder SuisseID einsetzbar. Noch einen Schritt weiter geht ein Standard, der es auch erlaubt ganze VMs von einer Cloud in eine andere unter Beibehaltung der Funktionen zu übertra-gen: Topology and Orchestration Cloud Applications 1.0 (TOSCA). Nachteil: Der große Funktionsumfang macht den Standard kompliziert.
Dr. Patrick Grete stellte im Anschluss den Ansatz des BSI zu sicherem Cloud Computing – Mög-lichkeiten und Grenzen vor. Dabei stellte er zu-nächst fest, dass es im Rahmen des Cloud Computing keine absolute Sicherheit geben könne, immer nur eine bestmögliche. Es gehe daher vielmehr um ein ange-messenes Schutzniveau. Er wies in diesem Kontext auf das BSI-Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing-Anbieter“ hin, welches praxisna-he, mit vertretbarem Aufwand umsetzbare, technische und organisatorische Maßnahmen enthalte. Die größ-ten Gefahrenquellen sieht er im Rahmen von Orches-trierung, Netz, Ressourcen und Protokollierung, dem Bereich des sog. Cloud Management. Daneben sieht er verhältnismäßig neue Gefahren, darunter Clickjacking, XSS und SQL-Injections. Von zunehmender Bedeutung seien auch Penetrationstests. Nur mit diesen könnten
Systeme auf Sicherheit überprüft werden. Am wichtigs-ten jedoch die Aufforderung Richtung Nutzer: Mit Vor-sicht und kritischem Denken lassen Sich die meisten Sicherheitsprobleme erfolgreich umschiffen.
Christoph Rechsteiner von der SAP AG präsentierte zum ersten Mal den neuen Datenschutz Standard für die Cloud: ISO 27018, der erst wenige Wochen vor dem Symposium verabschiedet wurde. Der im Rah-men der 27000er Reihe modulare Standard solle dabei „alle vorherigen Standards inkludieren“. Der modulare Aufbau sorge zudem dafür, dass andere Standards er-halten bleiben und weiter genutzt werden können: Nach einer Risikoanalyse gemäß ISO 27001 werden Anfor-derungen an technisch-organisatorische Maßnahmen durch ISO 27002 getroffen. Der sektorspezifische ISO 27018 konkretisiert die Anforderungen des ISO 27002 dabei. Er soll Vertrauen bei Kunden und Behörden be-züglich der Verarbeitung personenbezogener Daten schaffen.
Datenschutz-Zertifizierung für Cloud Diens-te: Der Trusted Cloud-Ansatz wurde von Dr. Thorsten Behling von WTS Legal vorgestellt. Der Trusted Cloud-Ansatz beinhaltet die Idee, eine Zer-tifizierung für Bereiche zu schaffen, bei denen eine Überprüfung der gesetzlichen Vorgaben durch das einzelne Unternehmen überfordern würde. Vor allem bei der Überprüfung der technischen und organisato-rischen Maßnahmen nach § 11 BDSG im Rahmen der Auftragsdatenverarbeitung sei dies der Fall. Auch das GDD-Muster für eine Vereinbarung in der Auftragsda-tenverarbeitung, das Behling vorstellte, sei in diesem Bereich keine Hilfe. Viele Unternehmen seien mit der Ausführung personell und finanziell schnell überfordert. Daher werde bei der Trusted Cloud-Zertifizierung auf ein modulares Modell gesetzt. Diese führe dazu, dass bei einer kleinen Modifikation des Cloud-Dienstes nicht der Gesamtdienst erneut zertifiziert werden müsse, sondern die einzelne Komponente ein neues Zertifikat erhalten könne. Dadurch würden Mehrfachprüfungen vermieden und Kosten geschont. Ein solches Verfahren wird derzeit im Pilotprojekt „Datenschutz-Zertifizierung von Cloud-Diensten“ entwickelt.
Ulrich Lepper, der Beauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen führte in The-menbereich 3: Anonymität und Privatheit in Cloud und Big Data ein. Die Datenverarbeitung, hat heute eine internationale Dimension. Lepper stellte das jüngst ergangene Urteil des EuGH in den Vordergrund: Im Rahmen von Big Data und der daraus resultieren-den Möglichkeit auch nicht-personenbezogene Daten zur Profilbildung zu nutzen, sei das Urteil, so Lepper,
a-i3/BSI-Symposium 2014 - Tagungsbericht 4
ein Schritt in die richtige Richtung.
Mit dem gleichnamigen Vortrag zum Themen-bereich verabschiedete sich Prof. Dr. Georg Borges von der Ruhr-Universität. Er wechselt zur Universität des Saarlandes, wo er nun den Lehrstuhl für Bürgerliches Recht, Rechtstheorie und Rechtsinformatik innehat.
Borges stellt zunächst Big Data und Cloud Compu-ting als technische Trends dar, die enorme Möglichkei-ten und große Chancen bieten. Nicht nur sei die Ver-einfachung des Alltags möglich (etwa ein Staumelder, der auf den Standortdaten von Smartphones basiere), gerade im Bereich medizinischer Forschung ergäben sich durch Big Data zahlreiche Möglichkeiten. Doch hier sieht er auch die Risiken: Dort, wo möglichst detailrei-che Daten von Nöten seien, könne es trotz anfänglicher Anonymisierung durch die Agglomeration von Daten zu einer unbeabsichtigten Re-Personifizierung kommen. Die zwingende Folge des geltenden deutschen Da-tenschutzrechts: Die Daten müssten gelöscht werden, eine weitere Verwendung sei ausgeschlossen. Dadurch bringen sich Forscher in ein Dilemma. Denn wer mit po-tenziell personifizierbaren Daten umgeht, müsse immer fürchten, die Grundlage seiner Forschung durch einen Zufall zu verlieren. Borges wirbt daher für ein neues Ver-ständnis von Anonymität, in dem eine Entfernung des Personenbezugs die Anonymität wiederherstellt, sofern sichergestellt ist, dass eine erneute Re-Personifizierung ausgeschlossen ist. Letztlich sieht Borges aber den Ge-setzgeber in der Pflicht.
Er stellt sodann den Wunsch nach positiver Wahrneh-mung durch andere dar, die sich schon in den Profilen in sozialen Netzwerken zeigt. Dass wir nicht immer die Möglichkeit haben, die Fremdwahrnehmung gezielt zu steuern zeigen der „digitale Pranger“ (sog. Shitstorms) und peinliche Bilder, die von anderen veröffentlicht wer-den. Mit seinem Urteil gibt der EuGH dem Einzelnen ein Stück seiner Selbstbestimmung zurück. Borges sieht das Urteil dabei als eine Art datenschutzrechtlichen Unterlassungsanspruch. Er skizziert den inhaltlichen Gleichlauf des vom EuGH begründeten Anspruchs mit dem Unterlassungsanspruch bei Persönlichkeits-rechtsverletzungen, den das Bundesverfassungsge-richt (BVerfG) schon 1974 bejahte. Wenngleich der An-spruch des BVerfG dogmatisch eine andere Grundlage hat, ist den Ansprüchen gemein, dass eine Abwägung zwischen dem Informationsinteresse der Allgemeinheit und dem Schutzinteresse des Betroffenen duchzufüh-ren ist. Anders, als die Medien, welche den Anspruch oft als „Recht auf Vergessenwerden“ bezeichen, sieht Borges den Anspruch differenzierter: Es müsse unter-schieden werden zwischen einer Suche nach (nur) dem Namen und einer gezielten Suche nach negativen In-formationen. Es dürfte nur zu keiner Aufdrängung ne-
gativer Informationen kommen. Bei dem Online-Archiv der spanischen Zeitung werde die negative Information nicht in vergleichbarer Weise aufgedrängt. Borges lehnt daher einen Anspruch gegen die Zeitung ab. Insgesamt sieht Borges die Entscheidung des EuGH kritisch: Es handle sich um einen Anspruch mit unklarer Grundlage und ebenso unklaren Folgen.
Einen weiteren Problembereich sieht Borges im Be-reich der Selbstbestimmung. Durch Datenanalyse las-sen sich Verhaltensweisen Betroffener voraussagen und durch Geschenke oder Rabatte beeinflussen. Hier spricht Borges von Manipulation, die zwar rechtlich bis auf wenige Ausnahmen nicht verboten ist, unter welcher die Selbstbestimmung aber massiv leiden kann. Wenn Online-Versandhändler Produkte schon versenden, be-vor der Betroffene überhaupt weiß, dass er sie haben wollen wird, stellt sich die Frage „Wo bleibt da noch die Selbstbestimmung?“ Borges schlägt zwei Lösungen vor: Zum einen sei es möglich, durch Transparenz des Wissensvorsprungs den Betroffenen zu schützen, zum setzt er auf Schutz durch Rückversicherung in der sozi-alen Bezugsgruppe. Dennoch, so sein Fazit, muss das Datenschutzrecht zwingend fortentwickelt werden.
Den zweiten Tagungstag eröffnete der Ge-schäftsführende Direktor des Horst Görtz Instituts für IT-Sicherheit, Prof. Dr. Thorsten Holz. Er hebt die be-sondere Bedeutung des Symposiums für die interdiszi-plinäre Forschung hervor. Insbesondere im Bereich der Elektromobilität, einem Spannungsfeld zwischen tech-nisch einfacher Machbarkeit und rechtlich Erlaubtem sieht er Forschungsbedarf.
Sodann übergibt Holz das Wort an Horst Samsel vom BSI, der in den Themenbereich 4: Identifi-zierung und Identiätsschutz im Netz einführt. Er schildet, dass das BSI zwar einen allgemeinen An-stieg der Bedrohungslage sieht, aber im letzten Jahr auch zahlreiche mittlere und große Angriffe auf Com-putersysteme abwehren konnte. Dies trage wesentlich zum Schutz der Identitäten der Bürger bei. Wichtig sei eine weitere Sensibilisierung der Bürger für Bedrohun-gen, und eine Verbesserung der Sicherheit durch eine konsequente Zwei-Faktor-Authentisierung. Notfalls auf Kosten der Usability.
Den ersten inhaltlichen Vortrag des Themenbereichs 4 übernahm Christian Seegebarth von der Bundesdru-ckerei GmbH. Er stellte die eIDAS-Verordnung aus technischer Sicht vor, deren in Krafttreten derzeit noch fraglich ist, da sie sich noch im Gesetzgebungs-prozess befindet. Die Verordnung löst die Signatur-richtlinie (1999/93/EC) ab und soll das Problem der Interoperabilität der eID-Funktion der verschiedenen
a-i3/BSI-Symposium 2014 - Tagungsbericht 5
Ausweisdokumente aus den Mitgliedsstaaten lösen. Sie soll dabei aus zwei Teilen bestehen: Im ersten Teil wird die Verordnung den Grundsatz der gegenseitigen Anerkennung notifizierter Identifizierungssysteme, also für Deutschland der nPA, neu begründen. Im zweiten Teil werden die sog. Vertrauensdienste neu geregelt. Dazu gehören unter anderem die Regelungen der ehe-maligen Signaturrichtline und damit die elektronische Signatur. Schwierige und „spannende“ Fragen seien, so Seegebarth, die Standardisierung und die Abstimmung der Beteiligten.
Aspekte der Umsetzung der eID-Verord-nung stellte im Anschluss Dr. Jens Bender vom BSI vor. Die Verordnung, die den Mitgliedsstaaten die Ho-heit über ihre Ausweisdokumente lasse, aber gleichzei-tig Interoperabilität sicherstellen solle, erwartet er nach der EU-Parlamentswahl im September dieses Jahres. Grundidee der Verordnung sei dabei die Anerkennung von Ausweisdokumenten anderer Mitgliedsstaaten, nicht jedoch die Pflicht, eigene Ausweisdokumente noti-fizieren zu lassen. Ausgerichtet am ISO 29115-Standard würden Vertrauensniveaus in vier Stufen geschaffen, die in etwa den deutschen Schutzstufen, die am selben Standard orientiert sind, entsprächen. Handlungsbedarf im Rahmen der Umsetzung bestehe, so Bender, dort, wo Datenschutz ins Spiel komme. Da in den Mitglieds-staaten teilweise ein unterschiedliches Verständnis von Vor- und Nachnamen herrsche, könne es schwierig sein, Daten zu bestimmen, deren Übertragung für die Nutzung eines Dienstes erforderlich seien.
Aus nationaler Sicht knüpfte Klaus Wolter vom Bun-desverwaltungsamt an den Vortrag von Bender an. In seinem Vortrag Onlineausweisfunktion und E-Government – Vergabepraxis und Zukunfts-aussichten ging er zunächst auf die Aufgabe des glo-balen Sperrdienstes ein und nannte einige Kennzahlen zum nPA (etwa 10 Mio. mit aktiver eID-Funktion, 145 Zertifikate an 101 Diensteanbieter vergeben, davon 82 Dienste online). Er skizzierte kurz die Voraussetzungen des § 21 Abs. 2 PAuswG für die Erteilung eines Zerti-fikats. Dabei würden Interessen von Bürger und Dien-steanbieter abgewogen. Seinen Vortrag schließt er mit dem kontrovers aufgenommenen Wunsch nach einer Gesetzesänderung, welche die Abschaltung der eID-Funktion verhindert: So könne die kritische Masse für eine Nutzung der eID-Funktion geschaffen werden.
Christian Mainka, wissenschaftlicher Mitarbeiter am Lehrstuhl für Netz- und Datensicherheit an der Ruhr-Universität Bochum, stellte den zusammen mit seinem Kollegen Vladislav Mladenov selbst entwickelten Angriff auf den Identity Provider OpenID vor. Unter dem Titel
Untrusted Third Parties: When IsPd Break Bad. Angriffsszenarien für OpenID-basierte Single Sign-On-Systeme schilderte er, wie ein er-folgreicher Angriff auf das OpenID-System erfolgen kann. Der vorgestellte Angriff funktioniere aufgrund der Besonderheit, dass jedermann einen Server betreiben könne, der gegenüber dem Diensteanbieter für die Identität des Nutzers bürgt. Bei dem serverseitig kon-zipierten Angriff wird der Aussteller des Single Sign-On-Tokens verfälscht. Der Server des vermeintlichen Aus-stellers unternimmt bei der Abfrage der Gültigkeit des Tokens nämlich keine Rückkontrolle, sondern verifiziert die Identität. Der Angriff konnte bei 11 von 16 getesteten OpenID-Implementierungen erfolgreich durchgeführt werden.
In seiner Einführung zu Themenbereich 5: Big Data und Industrie 4.0 konstatierte Dr. Alexander Tettenborn vom Bundesministerium für Wirtschaft und Energie (BMWi), dass, obgleich die dritte industrielle Revolution noch nicht abgeschlossen sei, die vierte in-dustrielle Revolution – oder auch Industrie 4.0 – in Form von Vernetzung unmittelbar bevorstehe. Diese berge ein großes Wachstumspotenzial gerade für den deut-schen Markt, für dessen Rahmenbedingungen jedoch zunächst der Gesetzgeber gefordert sei. Als konkretes Beispiel nannte er den Wert von Daten und Datenmen-gen, der auch bei der Liquidation eines insolventen Un-ternehmens erhalten bleiben müsse, um Gläubiger des Unternehmens bestmöglich befriedigen zu können.
Mit SkIDentity – eID und starke Authenti-sierung aus der Cloud stellte Tobias Wich von der ecsec GmbH einen Identitäts-Broker vor, der den Emp-fehlungen des BSI, gerade im Bereich großer Clouds, mit einer zwei-Faktor-Authentisierung unter Nutzung des nPA nachkommt. Das im Rahmen des Technologie-programms Trusted Cloud geförderte Projekt vermittelt als ID-Broker zwischen dem Single Sign-On-Dienst und dem Token-Bereitsteller, da hier in der Regel hochkom-plexe Protokolle zum Einsatz kommen. Obwohl noch in der Erprobungsphase befindlich, kann das Projekt schon ein vollständig funktionsfähiges Anwendungsbei-spiel, die prämierte Bürger-Cloud, vorweisen. SkIDen-tity soll auf lange Sicht auch im europäischen Kontext unter Nutzung des SAML-Standards als Gegenstück zur eIDAS im privaten Bereich funktionieren.
Ein Dienst, der eine solch starke Authentisierung nut-zen könnte, stellte Lennart Oly von der ENX Association vor. Unter dem Stichwort Sicherheit im Enterprise Rights Managements schilderte er Probleme und Lösungsansätze für einen möglichst starken Investiti-onsschutz bei gleichzeitiger größtmöglicher Vernetzung.
a-i3/BSI-Symposium 2014 - Tagungsbericht 6
Er nennt nicht nur die Gefahr von Raubkopien duch Pri-vate Anbieter sondern auch die durch die NSA-Affäre wieder ins Bewusstsein gerückte organisierte staatliche Wirtschaftsspionage. Als Schutz vor unbefugten Zu-griffen auf Daten entwickelt die ENX Association, ein Konglomerat von Autoherstellern und deren Zulieferern den sog. ENX Managed Security Service. Diesem soll dabei die Funktion der vertrauenswürdigen Stelle als Identitätsprovider zukommen, wobei noch weitere Si-cherheitsmechanismen im Rahmen einer Standardisie-rung hinzukommen. Oly nennt als Beipiel eine Ende-zu-Ende-Verschlüsselung. Um kleine Unternehmen nicht auszuschließen und die Vorteile eines liquiden Marktes nutzen zu können, will ENX auch die zentrale Ausstel-lung eines Tokens für kleine Unternehmen anbieten, um für kleine Unternehmen Kosten zu sparen.
Einen thematischen Umbruch gab es beim letzten Vortrag von Prof. Dr. Erich Schweighofer, Universität Wien, der unter dem Titel Heartbleed – Muss man einem geschenkten Gaul ins Maul schauen? Pflichten und Haftung bei Fehlern in Open Source-Software der Frage nachging, wer für Feh-ler in freier Software haftet. Durch den vom Entwickler-team selbst entdeckten und veröffentlichten Heartbleed-Fehler in OpenSSL war es zeitweise möglich bei einer verschlüsselten Verbindung Teile des Arbeitsspeichers des Gegenübers auszulesen und so an sensible Da-ten, wie Zugangsdaten oder Session-IDs zu gelangen. Dies führte zu der Möglichkeit, dass aktive sicherheits-relevante Sitzungen übernommen werden konnten. Schweighofer gab der Thematik weniger eine dogma-tische als eine rechtspolitische Dimension: Er lobte die gute Dokumentation des konkreten Fehlers, schloss trotz dieser aber eine Haftung der Programmierer aus. Da es sich bei einem schlichten Programmierfehler nur um einfache Fahrlässigkeit handle, scheide eine Haf-tung aus, da diese bei Schenkung grobe Fahrlässigkeit voraussetze. Fraglich stellte er eine etwaige Pflicht zu Überprüfung der Software durch den Verwender. Dieser könne sich nicht blind auf die (lizenzrechtlich geschenk-te) Software verlassen. Einen Haftungsausschluss der Verwender im Rahmen von AGB lehnt er sowohl nach deutschem als auch nach österreichischem Recht ab. Sein Fazit: „Vertrauen Sie dem Gaul nicht!“
Die Moderation der hochkarätig besetzten Podiums-diskussion übernahm, wie auch schon in den vorigen Jahren, Joerg Heidrich vom heise zeitschriften Verlag. Unter dem Titel Identität und Persönlichkeit im Zeitalter von Big Data diskutierte er mit Dr. Alexan-der Tettenborn (BMWi), Prof. Dr. Rolf Schartmann (Ge-sellschaft für Datenschutz und Datensicherheit e.V.), Frank Herrmann, MdL NRW (Fraktion der Piratenpartei)
und Prof. Dr. Markus Dürmuth (Ruhr-Universität Bo-chum) unter reger Beteiligung des Publikums.
Die Diskussion eröffnete Heidrich thematisch mit dem Google-Urteil des EuGH. Hierzu stellen die Teilnehmer der Podiumsdiskussion fest: Wie weit der vom EuGH begründete Anspruch reicht, weiß keiner. Zwar begrüß-ten die Diskutanten das Urteil. Wie das oftmals unscharf bezeichnete „Recht auf vergessen werden“ allerdings technisch umgesetzt werden soll, ist zweifelhaft. Prof. Dürmuth stellt hierzu fest: „Löschen ist technisch-prak-tisch nicht umzusetzen. Trotzdem ist es ein Unterschied, ob die Daten ‚nur‘ in einer Datenbank liegen oder ob auch auf die Daten zugegriffen werden kann“. Prof. Dr. Schwartmann sieht es ähnlich: Er hält das Urteil für ei-nen Gewinn der Betroffenen und für die Rechtsdurch-setzung. Heidrich weist auf die Missbrauchsgefahr hin: Er vermutet, dass im Zweifel eine Klage gegen Google gar nicht notwendig sei – Google werde wohl „einfach so“ löschen. Mit großen Gefahren für Meinungs- und In-formationsfreiheit.
Uneinheitlich ist das Meinungsbild in der Frage, ob Suchmaschinen neutrale Informationen zur Verfügung stellen sollen oder gar müssen. Die fragliche Informa-tion bleibt nämlich nach dem EuGH-Urteil erhalten, le-diglich die Art eine Suchanfrage zu formulieren, müsse angepasst werden, um die Information auch weiterhin finden zu können. Wer gezielt nach negativen Informati-onen suche, der dürfe und müsse Sie dann auch finden können. Mehrere Diskutanten wiesen darauf hin, dass die fraglichen Informationen erhalten blieben, lediglich der Zugang sei erschwert. Auch Dürmuth sieht es of-fenbar ähnlich: „Die Daten sollen nicht gelöscht werden, sondern nur der Zugang versperrt“.
Im Folgenden kommt die Diskussion auf Themen von Big Data und die Profilbildung zu sprechen. Hier sind sich die Teilnehmer, auch nach kritischen Nachfragen aus dem Publikum sicher, dass die gegenwärtige Ge-setzeslage auch mit dem Trend Big Data zurecht käme. Es müsse sich eher in den Köpfen der Betroffenen ein Umdenken in Gang setzen: Wie der Umgang mit den ei-genen Daten zu handhaben sei, müsse sich den Trends anpassen. „Transparenz ist am Ende des Tages die ein-zige Lösung – die Technik wird uns da nicht helfen.“
Nach einer kurzen Zusammenfassung übergab Heidrich an die Veranstalter Prof. Dr. Georg Borges und Prof. Dr. Jörg Schwenk, die ihrerseits nach einem Über-blick der Vorträge ein kurzes Fazit zogen und den Refe-renten und Teilnehmern dankten.
Informationen zur a-i3 und ihren Tätigkeiten, sowie zum nächsten Symposium finden Sie im Internet auf der Webseite der a-i3 unter:
www.a-i3.org
