Kurs IHK Datenschutz

From NilsWiki

Contents 1 Einführung 1.1 Rechtliche Grundlage 1.2 Terminologie 1.3 Ressourcen 2 Gefährdungen 2.1 Datenquellen 2.2 Bösartige Software 2.3 Angriffe 2.4 Seitenkanäle 3 Maßnahmen 3.1 Crypto 3.2 Anonymität im Netz 3.3 weitere 3.4 Authentisierung 3.5 Softwareliste 4 Organisatorisches 4.1 Kurstermine (Mai 2008) 4.2 Kurstermine (Herbst 2007) 4.3 Kurstermine (Frühjahr 2007)

Einführung

Rechtliche Grundlage

Bei der Nutzung von Computersystemen gilt es, die rechtlichen Vorgaben zum Datenschutz zu beachten. In der Anlage zum §9.1 BDSG werden technische Maßnahmen genannt, die je nach gesetzlichen Anfprderungen einzusetzen sind:

1. physische Zutrittskontrolle. (z.B. durch Schließanlagen, Personalkontrolle)
2. Zugangskontrolle, im Techspeak Authentisierung (Wer hat Nutzungszugang?)
3. Zugriffskontrolle, Authorisierung (Welche Nutzungsmöglichkeiten hat der Benutzer?)
4. Weitergabekontrolle: Schutz der Daten vor unbefugter Nutzung und Manipulation
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle: Schutz vor Datenverlust (Backup, Datenredundanz)
8. Datentrennung

Terminologie

• Datenschutz soll denjenigen schützen, auf den sich die Daten beziehen, nicht denjenigen, der über die Daten verfügt
• Datensicherung hat zwei unterschiedliche Bedeutungen und sollte daher vermieden werden:
  • technisch: Erstellen von Sicherheitskopien, Backups
  • juristisch: Schutz der Daten vor unbefugter Nutzung und Manipulation. Der Techniker nennt das Informationssicherheit, Datensicherheit oder IT-Sicherheit
• Systemdatenschutz: Maßnahmen, die für den Schutz des Rechts auf informationelle Selbstbestimmung förderlich und rechtlich geboten sind.
• Selbstdatenschutz: Maßnahmen, mit denen der Einzelne seine persönlichen Daten vor mißbäuchlicher Verwendung schützen kann.

Dieser Kurs befaßt sich mit Informationssicherheit und technischen Datenschutz, und zwar sowohl mit System- als auch mit Selbstdatenschutz.

Ressourcen

• Google
• Die Qualität der Wikipedia ist bekanntermaßen durchwachsen, aber die Artikel der englischsprachigen Ausgabe zu technischen Themen sind i.d.R. sehr gut.
• Heise Ticker (Suche)
• Es gibt eine eigene Literaturliste zum Thema Informationssicherheit
• Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Menge Material, insbesondere zum IT-Grundschutz (IT-Grundschutzkatalog als PDF, lokale HTML Kopie)
• Die Materialien des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BBfD) Peter Schaar zum technologischen Datenschutz.
• Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) bietet einiges zu dem Themen
  • Technischer Datenschutz
  • Systemdatenschutz
  • Selbstdatenschutz

Gefährdungen

Datenquellen

• Öffentlich verfügbare Daten
  • Das DNS System
  • Die umstrittenen WHOIS-Register wie z.B. das RIPE NCC und die DENIC e.G.
  • Elektronische Telefonbücher
  • Grundbuch (Liegenschaftsbuch beim Katasteramt)
  • Handelsregister
  • Geodaten wie z.B. Google Earth, Kartenmaterial für Navigationssoftware.
  • Beim Statistischen Bundesamt kann man verschiedenste Statistiken bekommen, z.B. im Statistischen Jahrbuch 2006
  • I.d.R. halböffentlich: Schufa, Schuldnerregister, andere Ratingagenturen, Addresshändler
• Datenweitergabe an eigentlich unbefugte Dritte:
  • freiwillig:
    • Vorratsdatenspeicherung - Der Fall Holger Voss vs. T-Online in der Presse: Spiegel, Heise, Heise
    • Der SWIFT Skandal
    • Rasterfahndung in Kreditkartendaten
    • AOL veröffentlich Suchdaten
  • unfreiwillig
    • MyChannel
  • Datendiebstahl:
    • UCLA
    • AT&T
    • (Rekordhalter mit 40mio Datensätzen) Cardsystems Solutions
    • Man stelle sich vor, jemand verschafft sich unbefugten Zugang zur im Aufbau befindlichen Anti-Terror-Datei. Ähnliches ist durchaus vorgekommen.

Aus unterschiedliche Quellen gewonnene Daten lassen sich zusammenführen und z.B. mit Dataminingtechniken aufbereiten.

Bösartige Software

Bösartige Software nennt mal Malware (malicious software):

• Viren verbreiten sich selbsttätig. Nutzen sie dazu Netzwerkdienste (z.B. Email) nennt man sie auch Würmer
• Trojaner verstecken sich in harmlos erscheinenden Anwendungen
• Installierte Malware nennt man rootkit, wenn sie das Betriebssystem verändert um sich vor Nutzern und Administratoren zu verbergen
• Spyware späht den Nutzer aus (z.B. keylogger, sniffer) und übermittlelt die gewonnenen Daten an Dritte. Auch "normale" Anwendungen verhalten sich manchmal wie Spyware:
  • Windows Update
  • Windows Media Player
  • Apple iTunes
  • Skype
• Adware nervt den Nutzer mit unerwünschten Werbe-Popups
• Malware kann aus dem infizierten Rechner ein Spamrelay machen
• Dialer initiieren kostenpflichtige Wählverbindungen
• Eine Backdoor gewährt unbefugten Dritten verborgenen Zugang zum infizierten System
• Eine Backdoor kann als Bot oder Zombie Teilnehmer eines Botnetzes sein

Diese Klassifikation ist nicht disjunkt: Ein Trojaner kann sich wie ein Rootkit verstecken, erspähte Zugangsdaten übermitteln und als Zombie eines Botnetzes eine backdoor öffnen. Die Überwachungssoftware Spector Pro ist z.B. rootkit, spyware und backdoor.

Angriffe

• Netzwerkangriffe
  • Sniffen z.B. mit WireShark
  • MAC-, ARP-, IP-, DNS-, und Mail-Spoofing
  • Man-in-the-Middle (MITM), auch auf HTTPS! (Hosts-Datei)

Seitenkanäle

Weitere Methode, Daten auszuspähen:

• handytracking, silent SMS
• Keylogger
• TEMPEST
• Kreditkarten RFIDs auslesen
• Kreditkartendaten mit MP3-Player abfangen
• Unvollständig gelöschte Dateien

Maßnahmen

(siehe Foliensatz)

• Datenredundanz (RAID/SAN/NAS) und -sicherung
• PenTesting

Crypto

• Symmetrische vs. asymmetrische Verschlüsselung (Archivierung, Schlüsselkopien)
• Digitale Signatur (z.B. §126BGB händische Unterschrift)
• PKI

Anonymität im Netz

• Pseudonymisierung vs. Anonymisierung
• Protokolle (z.B. §3a Datenvermeidung/-sparsamkeit; §28 Eigene Zwecke) (Timestamps!)
• Cookies, Caches & Usertracking (Bannerserver), Caching Proxies, Swap
• Selbstdatenschutz
  • Wikipediaartikel Anonymität im Internet
  • Anonymer Zugriff auf's Netz (Tor, JAP)
• Systemdatenschutz
  • Common Log Format des W3C
  • Ulrich Flegel: Pseudonymizing Unix Log Files
  • Skript zum Anonymisieren von Protokolldateien

weitere

• Wiederherstellsicheres Löschen von Daten (Backups, RO/Packetwrite Medien)
• Firewall
• IDS
• VPN

Authentisierung

• Passworte
• Biometrie
• Token, RFID

Softwareliste

• Top 100 Network Security Tools (Umfrage von insecure.org)
• Sniffer: Wireshark, TCPdump
• WLAN-Sniffer: Kismet, AirSnort AirCrack-NG
• MITM-Tools (ARP-Spoofer): ettercap, dsniff
• Exploit Framework: MetaSploit
• Passwort Cracker: John the Ripper Cain&Abel
• Postscanner und OS-Fingerprinting: nmap
• Securityscanner: Nessus,
• Netwerk Intrusion Detection: Snort
• Mailfilter gegen Viren und SPAM: amavisd-new, SpamAssassin, Clam AntiVirus
• Erweiterungen des Firefox-Browsers: NoScript, Live HTTP Headers, HeaderSpy, Redirect Remover, PhishTank, CookieSafe
• Anonymisierung durch Onionrouting und Mix-Kaskaden: TOR, AN.ON/JAP
• Ein Datenschutz-Proxy: Privoxy

Organisatorisches

Kurstermine (Mai 2008)

• Mo 5.5.2008 (Protokoll)
• Di 6.5.2008 (Protokoll)
• Mi 7.5.2008 (Protokoll)
• Do 8.5.2008 (Protokoll)

Kurstermine (Herbst 2007)

• Di 23.10.2007 (Protokoll, 2)
• Mi 24.10.2007 (Protokoll)
• Do 25.10.2007 (Protokoll Vormittag, Nachmittag)
• Fr 26.10.2007 (Protokoll Vormittag)

Kurstermine (Frühjahr 2007)

• Mo 5.3.2007 (Protokoll Vormittag, Nachmittag)
• Di 6.3.2007 (Protokoll Vormittag, Nachmittag)
• Mi 7.3.2007 (Protokoll Vormittag, Nachmittag)
• Do 8.3.2007 (Protokoll Vormittag)