Hacking Session — Praktische Demonstrationen zur IT Sicherheit

Hacking Session — Praktische Demonstrationen zur IT-Sicherheit

(Bericht Jur­PC vom 24.10.2017)

Mittwoch, 20.09.2017 – 14:00 bis 16:45 Uhr

Teil 1 – insb. für Fortgeschrittene: 14:00 bis 15:00

• Prof. Christoph Sorge: Begrüßung und kurze Einführung

• „Sicherheit von Fernidentifizierungsverfahren“ – Dr. Ulf Löckmann, Bundesamt für Sicherheit in der Informationstechnik

Für die Iden­ti­fizierung der Kun­den von Banken, Telekom­mu­nika­tion­sun­ternehmen oder anderen Dien­stleis­tern wer­den zunehmend Online-Ver­fahren ange­boten. Während mit der Online-Auswe­is­funk­tion des Per­son­alausweis­es ein hohes Ver­trauen­sniveau erre­icht wer­den kann, kom­men ver­mehrt auch Ver­fahren auf den Markt, deren Sicher­heit nicht das Niveau ein­er per­sön­lichen Iden­ti­fizierung und Über­prü­fung eines Ausweis­doku­ments erre­icht.

Der Vor­trag beleuchtet die Sicher­heit­seigen­schaften aus­gewählter Ver­fahren und stellt Angriff­s­möglichkeit­en dar. Zudem wird gezeigt, wie Ver­trauen­sniveaus unter­schiedlich­ster Iden­ti­fizierungsver­fahren ein­heitlich bew­ertet wer­den kön­nen. Dies fördert die bedarf­s­gerechte Anwen­dung und schafft Rechtssicher­heit für Dien­stean­bi­eter. Zudem kön­nen dadurch unnötige Aufwände für anwen­dungsspez­i­fis­che Zusatzan­forderun­gen ver­mieden wer­den.

Präsen­ta­tion-Löck­mann

• „Tracking von Bitcoin-Zahlungen” – Jörn Erbguth, Dipl. Informatiker und Jurist, Berater für Rechtsinformatiksysteme, Promovend an der Universität Genf zur Blockchain im Bereich Information System Science

Bit­coin-Zahlun­gen sind bei Krim­inellen recht beliebt, da die „Anlage“ eines Bit­coin-Kon­tos kein­er­lei Iden­ti­fizierung erfordert. Bit­coin-Transak­tio­nen sind pseu­do­nym, autonom und effek­tiv unreg­uliert. Während die Kon­toin­hab­er der Bit­coin-Kon­ten der Bit­coin-Blockchain nicht ent­nom­men wer­den kön­nen, sind aber alle Transak­tio­nen auf der Bit­coin-Blockchain öffentlich. Krim­inelle bedi­enen sich daher Bitcoin-„Waschmaschinen“ um ihre Transak­tio­nen zu ver­schleiern. Analy­se­tools auf der anderen Seite ver­suchen die Transak­tio­nen trotz Ver­schleierung wieder einan­der zuzuord­nen. Was bedeutet dies z.B. für die Opfer eines Ran­somware-Angriffs, die Lösegeld gezahlt haben? Kön­nen die Täter iden­ti­fiziert wer­den? Wie ste­hen die Chan­cen, ein gezahltes Lösegeld zurück zu erhal­ten?

Präsen­ta­tion-Erbguth

Pause: 15:00 bis 15:15

Teil 2 – insb. für Einsteiger: 15:15 bis 16:45

• „Der Anonymisierungsdienst Tor“ – Frederik Möllers, M.Sc., wissenschaftlicher Mitarbeiter, juris-Stiftungsprofessur für Rechtsinformatik und CISPA

Tor ist die am weitesten ver­bre­it­ete Imple­men­tierung eines sog. “Onion Rout­ing” Net­zw­erks. Die Soft­ware wird weltweit genutzt, um Kom­mu­nika­tions­beziehun­gen und Sur­fver­hal­ten zu ver­schleiern. So schützen sich Jour­nal­is­ten und Infor­man­ten vor staatlich­er Ver­fol­gung, aber auch Krim­inelle haben die Vorzüge des Dien­stes für sich ent­deckt. Wie funk­tion­iert das Tor-Net­zw­erk? Beste­ht wirk­lich keine Möglichkeit, krim­inelle Nutzer zu über­führen? Und sollte man einen Dienst erlauben (oder gar fördern), der ille­galen Waf­fen­han­del und die Ver­bre­itung von Kinder­pornogra­phie vere­in­facht? Im Vor­trag wird die Ver­wen­dung von Tor prak­tisch demon­stri­ert und die Hin­ter­gründe der Soft­ware anschaulich beleuchtet.

• „Game over – Zum Stand der IT-Sicherheit im Kinderzimmer“ – Stefan Hessel, studentischer Mitarbeiter, juris-Stiftungsprofessur für Rechtsinformatik und CISPA

Smarte Spielzeuge erfreuen sich auch auf dem deutschen Markt zunehmender Beliebtheit. Dabei wächst auch der Funk­tion­sum­fang der Geräte stetig weit­er. Sie ver­fü­gen in vie­len Fällen über eine Inter­ne­tan­bindung, Blue­tooth und weit­ere Schnittstellen. Doch was auf den ersten Blick viele Möglichkeit­en für neue Inter­ak­tio­nen bietet und Kindern einen kom­pe­ten­ten Umgang mit Medi­en nahe brin­gen soll, bringt auch neue Risiken mit sich. So bestätigte die Bun­desnet­za­gen­tur Anfang des Jahres ein Ver­bot der smarten Spielzeug­puppe „My friend Cay­la“ wegen eines Ver­stoßes gegen § 90 TKG. Hin­ter­grund des Ver­bots war eine ungesicherte Blue­tooth-Verbindung, die es einem Angreifer erlaubt hätte das Spielzeug als Abhöran­lage zu miss­brauchen. Aus­ge­hend von diesem auf­se­hen­erre­gen­den Fall beleuchtet der Vor­trag die IT-Sicher­heit von smarten Spielzeu­gen und zeigt auf wo Schwach­stellen die Pri­vat­sphäre von Kindern und Eltern gefährden kön­nen. Im Rah­men dessen wer­den auch weit­ere Spielzeuge auf ihre Sicher­heit vor Hack­er-Angrif­f­en über­prüft.

• „Privatsphäre und Big Data: Geht das überhaupt?“ – Dr. Andreas Dewes, Dipl. Physiker und Dipl. Kaufmann, Datenwissenschaftler und Gründer 7scientists

Bei Inter­net-Überwachung denken wir oft erst­mal an Geheim­di­en­ste wie die NSA, die in ihren Rechen­zen­tren riesige Men­gen an Per­so­n­en­dat­en hort­en. Die größte Menge per­so­n­en­be­zo­gen­er Dat­en wird im Inter­net allerd­ings nicht von der NSA, son­dern von pri­vat­en Fir­men gesam­melt: Diese ver­suchen mit immer neuen Tech­nolo­gien, alle Bere­iche unseres dig­i­tal­en Lebens aufzuze­ich­nen und auszuw­erten. Ihre Moti­va­tion ist dabei unter­schiedlich: Große Fir­men wie Google und Face­book nutzen die gesam­melten Dat­en vor­wiegend für ihre eige­nen Geschäft­szwecke. Kleinere Daten­samm­ler hinge­gen erheben sie oft nur, um sie anschließend mit Gewinn an andere weit­erzu­verkaufen. Dies birgt große Gefahren für die Pri­vat­sphäre von Nutzern, denn oft lässt sich in ver­meintlich anonymisierten Dat­en leicht wieder ein Bezug zu einzel­nen Per­so­n­en her­stellen, deren pri­vate Dat­en so in die Öffentlichkeit gelan­gen.
Im Vor­trag zeige ich exem­plar­isch, wie leicht ein NDR Jour­nal­is­ten-Team um Svea Eck­ert im Rah­men ein­er inves­tiga­tiv­en Recherche an die Web-Dat­en von fast drei Mil­lio­nen Deutschen gelan­gen kon­nte, und wie wir mit ein­fachen Tech­niken eine große Zahl von Per­so­n­en in diesem ver­meintlich anonymisierten Daten­satz wieder iden­ti­fizieren kon­nten. Anhand einiger Beispiele zeige ich dann, wie zunächst harm­los anmu­tende Dat­en intime Infor­ma­tio­nen über Nutzer preis­geben kön­nen und welche Gefahren hier­aus erwach­sen. Ich erk­läre schließlich, warum es selb­st bei ern­sthafter Absicht oft sehr schwierig ist, kom­plexe Dat­en wie die hier vor­liegen­den robust zu anonymisieren.
Abschließend werde ich ver­schiedene tech­nol­o­gis­che Ansätze vorstellen die uns helfen kön­nen, Pri­vat­sphäre und Big-Data bess­er in Ein­klang zu brin­gen. Ich werde dabei aufzeigen, wie wir Nutzern mehr Möglichkeit­en geben kön­nen um die Ver­ar­beitung und Auswer­tung ihrer Dat­en bess­er zu ver­ste­hen und zu kon­trol­lieren.

• Abschluss: Prof. Christoph Sorge