« Alle Veranstaltungen

  • Diese Veranstaltung hat bereits stattgefunden.

Hacking Ses­si­on – Prak­ti­sche Demons­tra­tio­nen zur IT Sicher­heit

20. September 2017 um 14:00 Uhr bis 16:45 Uhr

Hacking Ses­si­on – Prak­ti­sche Demons­tra­tio­nen zur IT-Sicher­heit

(Bericht Jur­PC vom 24.10.2017)

Mitt­woch, 20.09.2017 – 14:00 bis 16:45 Uhr

Teil 1 – insb. für Fort­ge­schrit­te­ne: 14:00 bis 15:00

• Prof. Chris­toph Sor­ge: Begrü­ßung und kur­ze Ein­füh­rung

• „Sicher­heit von Fern­iden­ti­fi­zie­rungs­ver­fah­ren“ – Dr. Ulf Löck­mann, Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik

Für die Iden­ti­fi­zie­rung der Kun­den von Ban­ken, Tele­kom­mu­ni­ka­ti­ons­un­ter­neh­men oder ande­ren Dienst­leis­tern wer­den zuneh­mend Online-Ver­fah­ren ange­bo­ten. Wäh­rend mit der Online-Aus­weis­funk­ti­on des Per­so­nal­aus­wei­ses ein hohes Ver­trau­ens­ni­veau erreicht wer­den kann, kom­men ver­mehrt auch Ver­fah­ren auf den Markt, deren Sicher­heit nicht das Niveau einer per­sön­li­chen Iden­ti­fi­zie­rung und Über­prü­fung eines Aus­weis­do­ku­ments erreicht.

Der Vor­trag beleuch­tet die Sicher­heits­ei­gen­schaf­ten aus­ge­wähl­ter Ver­fah­ren und stellt Angriffs­mög­lich­kei­ten dar. Zudem wird gezeigt, wie Ver­trau­ens­ni­veaus unter­schied­lichs­ter Iden­ti­fi­zie­rungs­ver­fah­ren ein­heit­lich bewer­tet wer­den kön­nen. Dies för­dert die bedarfs­ge­rech­te Anwen­dung und schafft Rechts­si­cher­heit für Diens­te­an­bie­ter. Zudem kön­nen dadurch unnö­ti­ge Auf­wän­de für anwen­dungs­spe­zi­fi­sche Zusatz­an­for­de­run­gen ver­mie­den wer­den.

Prä­sen­ta­ti­on-Löck­mann

• „Tracking von Bit­coin-Zah­lun­gen“ – Jörn Erb­guth, Dipl. Infor­ma­ti­ker und Jurist, Bera­ter für Rechts­in­for­ma­tik­sys­te­me, Pro­mo­vend an der Uni­ver­si­tät Genf zur Block­chain im Bereich Infor­ma­ti­on Sys­tem Sci­ence

Bit­coin-Zah­lun­gen sind bei Kri­mi­nel­len recht beliebt, da die „Anla­ge“ eines Bit­coin-Kon­tos kei­ner­lei Iden­ti­fi­zie­rung erfor­dert. Bit­coin-Trans­ak­tio­nen sind pseud­onym, auto­nom und effek­tiv unre­gu­liert. Wäh­rend die Kon­to­in­ha­ber der Bit­coin-Kon­ten der Bit­coin-Block­chain nicht ent­nom­men wer­den kön­nen, sind aber alle Trans­ak­tio­nen auf der Bit­coin-Block­chain öffent­lich. Kri­mi­nel­le bedie­nen sich daher Bitcoin-„Waschmaschinen“ um ihre Trans­ak­tio­nen zu ver­schlei­ern. Ana­ly­se­tools auf der ande­ren Sei­te ver­su­chen die Trans­ak­tio­nen trotz Ver­schleie­rung wie­der ein­an­der zuzu­ord­nen. Was bedeu­tet dies z.B. für die Opfer eines Ran­som­ware-Angriffs, die Löse­geld gezahlt haben? Kön­nen die Täter iden­ti­fi­ziert wer­den? Wie ste­hen die Chan­cen, ein gezahl­tes Löse­geld zurück zu erhal­ten?

Prä­sen­ta­ti­on-Erb­guth

Pau­se: 15:00 bis 15:15

Teil 2 – insb. für Ein­stei­ger: 15:15 bis 16:45

• „Der Anony­mi­sie­rungs­dienst Tor“ – Fre­de­rik Möl­lers, M.Sc., wis­sen­schaft­li­cher Mit­ar­bei­ter, juris-Stif­tungs­pro­fes­sur für Rechts­in­for­ma­tik und CISPA

Tor ist die am wei­tes­ten ver­brei­te­te Imple­men­tie­rung eines sog. „Oni­on Rou­ting“ Netz­werks. Die Soft­ware wird welt­weit genutzt, um Kom­mu­ni­ka­ti­ons­be­zie­hun­gen und Surf­ver­hal­ten zu ver­schlei­ern. So schüt­zen sich Jour­na­lis­ten und Infor­man­ten vor staat­li­cher Ver­fol­gung, aber auch Kri­mi­nel­le haben die Vor­zü­ge des Diens­tes für sich ent­deckt. Wie funk­tio­niert das Tor-Netz­werk? Besteht wirk­lich kei­ne Mög­lich­keit, kri­mi­nel­le Nut­zer zu über­füh­ren? Und soll­te man einen Dienst erlau­ben (oder gar för­dern), der ille­ga­len Waf­fen­han­del und die Ver­brei­tung von Kin­der­por­no­gra­phie ver­ein­facht? Im Vor­trag wird die Ver­wen­dung von Tor prak­tisch demons­triert und die Hin­ter­grün­de der Soft­ware anschau­lich beleuch­tet.

• „Game over – Zum Stand der IT-Sicher­heit im Kin­der­zim­mer“ – Ste­fan Hes­sel, stu­den­ti­scher Mit­ar­bei­ter, juris-Stif­tungs­pro­fes­sur für Rechts­in­for­ma­tik und CISPA

Smar­te Spiel­zeu­ge erfreu­en sich auch auf dem deut­schen Markt zuneh­men­der Beliebt­heit. Dabei wächst auch der Funk­ti­ons­um­fang der Gerä­te ste­tig wei­ter. Sie ver­fü­gen in vie­len Fäl­len über eine Inter­net­an­bin­dung, Blue­tooth und wei­te­re Schnitt­stel­len. Doch was auf den ers­ten Blick vie­le Mög­lich­kei­ten für neue Inter­ak­tio­nen bie­tet und Kin­dern einen kom­pe­ten­ten Umgang mit Medi­en nahe brin­gen soll, bringt auch neue Risi­ken mit sich. So bestä­tig­te die Bun­des­netz­agen­tur Anfang des Jah­res ein Ver­bot der smar­ten Spiel­zeug­pup­pe „My fri­end Cay­la“ wegen eines Ver­sto­ßes gegen § 90 TKG. Hin­ter­grund des Ver­bots war eine unge­si­cher­te Blue­tooth-Ver­bin­dung, die es einem Angrei­fer erlaubt hät­te das Spiel­zeug als Abhör­an­la­ge zu miss­brau­chen. Aus­ge­hend von die­sem auf­se­hen­er­re­gen­den Fall beleuch­tet der Vor­trag die IT-Sicher­heit von smar­ten Spiel­zeu­gen und zeigt auf wo Schwach­stel­len die Pri­vat­sphä­re von Kin­dern und Eltern gefähr­den kön­nen. Im Rah­men des­sen wer­den auch wei­te­re Spiel­zeu­ge auf ihre Sicher­heit vor Hacker-Angrif­fen über­prüft.

• „Pri­vat­sphä­re und Big Data: Geht das über­haupt?“ – Dr. Andre­as Dewes, Dipl. Phy­si­ker und Dipl. Kauf­mann, Daten­wis­sen­schaft­ler und Grün­der 7scientists

Bei Inter­net-Über­wa­chung den­ken wir oft erst­mal an Geheim­diens­te wie die NSA, die in ihren Rechen­zen­tren rie­si­ge Men­gen an Per­so­nen­da­ten hor­ten. Die größ­te Men­ge per­so­nen­be­zo­ge­ner Daten wird im Inter­net aller­dings nicht von der NSA, son­dern von pri­va­ten Fir­men gesam­melt: Die­se ver­su­chen mit immer neu­en Tech­no­lo­gi­en, alle Berei­che unse­res digi­ta­len Lebens auf­zu­zeich­nen und aus­zu­wer­ten. Ihre Moti­va­ti­on ist dabei unter­schied­lich: Gro­ße Fir­men wie Goog­le und Face­book nut­zen die gesam­mel­ten Daten vor­wie­gend für ihre eige­nen Geschäfts­zwe­cke. Klei­ne­re Daten­samm­ler hin­ge­gen erhe­ben sie oft nur, um sie anschlie­ßend mit Gewinn an ande­re wei­ter­zu­ver­kau­fen. Dies birgt gro­ße Gefah­ren für die Pri­vat­sphä­re von Nut­zern, denn oft lässt sich in ver­meint­lich anony­mi­sier­ten Daten leicht wie­der ein Bezug zu ein­zel­nen Per­so­nen her­stel­len, deren pri­va­te Daten so in die Öffent­lich­keit gelan­gen.
Im Vor­trag zei­ge ich exem­pla­risch, wie leicht ein NDR Jour­na­lis­ten-Team um Svea Eckert im Rah­men einer inves­ti­ga­ti­ven Recher­che an die Web-Daten von fast drei Mil­lio­nen Deut­schen gelan­gen konn­te, und wie wir mit ein­fa­chen Tech­ni­ken eine gro­ße Zahl von Per­so­nen in die­sem ver­meint­lich anony­mi­sier­ten Daten­satz wie­der iden­ti­fi­zie­ren konn­ten. Anhand eini­ger Bei­spie­le zei­ge ich dann, wie zunächst harm­los anmu­ten­de Daten inti­me Infor­ma­tio­nen über Nut­zer preis­ge­ben kön­nen und wel­che Gefah­ren hier­aus erwach­sen. Ich erklä­re schließ­lich, war­um es selbst bei ernst­haf­ter Absicht oft sehr schwie­rig ist, kom­ple­xe Daten wie die hier vor­lie­gen­den robust zu anony­mi­sie­ren.
Abschlie­ßend wer­de ich ver­schie­de­ne tech­no­lo­gi­sche Ansät­ze vor­stel­len die uns hel­fen kön­nen, Pri­vat­sphä­re und Big-Data bes­ser in Ein­klang zu brin­gen. Ich wer­de dabei auf­zei­gen, wie wir Nut­zern mehr Mög­lich­kei­ten geben kön­nen um die Ver­ar­bei­tung und Aus­wer­tung ihrer Daten bes­ser zu ver­ste­hen und zu kon­trol­lie­ren.

• Abschluss: Prof. Chris­toph Sor­ge

+ zu Google Kalender hinzufügen+ Exportiere iCal

Details

Datum:
20. September 2017
Zeit:
14:00 Uhr bis 16:45 Uhr
Veranstaltungskategorien:
,

Veranstaltungsort

Hör­saal 0.19
Top
Skip to content