(Bericht JurPC vom 24.10.2017)
Mittwoch, 20.09.2017 – 14:00 bis 16:45 Uhr
Für die Identifizierung der Kunden von Banken, Telekommunikationsunternehmen oder anderen Dienstleistern werden zunehmend Online-Verfahren angeboten. Während mit der Online-Ausweisfunktion des Personalausweises ein hohes Vertrauensniveau erreicht werden kann, kommen vermehrt auch Verfahren auf den Markt, deren Sicherheit nicht das Niveau einer persönlichen Identifizierung und Überprüfung eines Ausweisdokuments erreicht.
Der Vortrag beleuchtet die Sicherheitseigenschaften ausgewählter Verfahren und stellt Angriffsmöglichkeiten dar. Zudem wird gezeigt, wie Vertrauensniveaus unterschiedlichster Identifizierungsverfahren einheitlich bewertet werden können. Dies fördert die bedarfsgerechte Anwendung und schafft Rechtssicherheit für Diensteanbieter. Zudem können dadurch unnötige Aufwände für anwendungsspezifische Zusatzanforderungen vermieden werden.
Bitcoin-Zahlungen sind bei Kriminellen recht beliebt, da die „Anlage“ eines Bitcoin-Kontos keinerlei Identifizierung erfordert. Bitcoin-Transaktionen sind pseudonym, autonom und effektiv unreguliert. Während die Kontoinhaber der Bitcoin-Konten der Bitcoin-Blockchain nicht entnommen werden können, sind aber alle Transaktionen auf der Bitcoin-Blockchain öffentlich. Kriminelle bedienen sich daher Bitcoin-„Waschmaschinen“ um ihre Transaktionen zu verschleiern. Analysetools auf der anderen Seite versuchen die Transaktionen trotz Verschleierung wieder einander zuzuordnen. Was bedeutet dies z.B. für die Opfer eines Ransomware-Angriffs, die Lösegeld gezahlt haben? Können die Täter identifiziert werden? Wie stehen die Chancen, ein gezahltes Lösegeld zurück zu erhalten?
Tor ist die am weitesten verbreitete Implementierung eines sog. “Onion Routing” Netzwerks. Die Software wird weltweit genutzt, um Kommunikationsbeziehungen und Surfverhalten zu verschleiern. So schützen sich Journalisten und Informanten vor staatlicher Verfolgung, aber auch Kriminelle haben die Vorzüge des Dienstes für sich entdeckt. Wie funktioniert das Tor-Netzwerk? Besteht wirklich keine Möglichkeit, kriminelle Nutzer zu überführen? Und sollte man einen Dienst erlauben (oder gar fördern), der illegalen Waffenhandel und die Verbreitung von Kinderpornographie vereinfacht? Im Vortrag wird die Verwendung von Tor praktisch demonstriert und die Hintergründe der Software anschaulich beleuchtet.
Smarte Spielzeuge erfreuen sich auch auf dem deutschen Markt zunehmender Beliebtheit. Dabei wächst auch der Funktionsumfang der Geräte stetig weiter. Sie verfügen in vielen Fällen über eine Internetanbindung, Bluetooth und weitere Schnittstellen. Doch was auf den ersten Blick viele Möglichkeiten für neue Interaktionen bietet und Kindern einen kompetenten Umgang mit Medien nahe bringen soll, bringt auch neue Risiken mit sich. So bestätigte die Bundesnetzagentur Anfang des Jahres ein Verbot der smarten Spielzeugpuppe „My friend Cayla“ wegen eines Verstoßes gegen § 90 TKG. Hintergrund des Verbots war eine ungesicherte Bluetooth-Verbindung, die es einem Angreifer erlaubt hätte das Spielzeug als Abhöranlage zu missbrauchen. Ausgehend von diesem aufsehenerregenden Fall beleuchtet der Vortrag die IT-Sicherheit von smarten Spielzeugen und zeigt auf wo Schwachstellen die Privatsphäre von Kindern und Eltern gefährden können. Im Rahmen dessen werden auch weitere Spielzeuge auf ihre Sicherheit vor Hacker-Angriffen überprüft.
Bei Internet-Überwachung denken wir oft erstmal an Geheimdienste wie die NSA, die in ihren Rechenzentren riesige Mengen an Personendaten horten. Die größte Menge personenbezogener Daten wird im Internet allerdings nicht von der NSA, sondern von privaten Firmen gesammelt: Diese versuchen mit immer neuen Technologien, alle Bereiche unseres digitalen Lebens aufzuzeichnen und auszuwerten. Ihre Motivation ist dabei unterschiedlich: Große Firmen wie Google und Facebook nutzen die gesammelten Daten vorwiegend für ihre eigenen Geschäftszwecke. Kleinere Datensammler hingegen erheben sie oft nur, um sie anschließend mit Gewinn an andere weiterzuverkaufen. Dies birgt große Gefahren für die Privatsphäre von Nutzern, denn oft lässt sich in vermeintlich anonymisierten Daten leicht wieder ein Bezug zu einzelnen Personen herstellen, deren private Daten so in die Öffentlichkeit gelangen.
Im Vortrag zeige ich exemplarisch, wie leicht ein NDR Journalisten-Team um Svea Eckert im Rahmen einer investigativen Recherche an die Web-Daten von fast drei Millionen Deutschen gelangen konnte, und wie wir mit einfachen Techniken eine große Zahl von Personen in diesem vermeintlich anonymisierten Datensatz wieder identifizieren konnten. Anhand einiger Beispiele zeige ich dann, wie zunächst harmlos anmutende Daten intime Informationen über Nutzer preisgeben können und welche Gefahren hieraus erwachsen. Ich erkläre schließlich, warum es selbst bei ernsthafter Absicht oft sehr schwierig ist, komplexe Daten wie die hier vorliegenden robust zu anonymisieren.
Abschließend werde ich verschiedene technologische Ansätze vorstellen die uns helfen können, Privatsphäre und Big-Data besser in Einklang zu bringen. Ich werde dabei aufzeigen, wie wir Nutzern mehr Möglichkeiten geben können um die Verarbeitung und Auswertung ihrer Daten besser zu verstehen und zu kontrollieren.