eine plattform zum vergleich von privacy-und security ... · verschlüsselung webserver...
TRANSCRIPT
PrivacyScore.orgEine Plattform zum Vergleich vonPrivacy- und Security-Eigenschaftenvon Webseiten
Prof. Dr. Dominik HerrmannZD.B Lehrstuhl für Privatsphäre undSicherheit in Informationssystemen
Otto-Friedrich Universität Bamberg
Folien: https://dhgo.to/pspa19
Wer erfährt eigentlich davon, dass ich mich für Sozialhilfe interessiere?
2
2
!
MOTIVATION
3
> 13.000 Wörter
65 min. Lesezeit
Bitkom Research (2015): https://www.bitkom.org/Presse/Presseinformation/Internetnutzer-gehen-pragmatisch-mit-Datenschutz-um.html 4
meistens gelogen …
„zu lang“
„unverständlich“
warum?
[…] in präziser, transparenter, verständ-licher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Art. 12 (1) DSGVO
90%
86%
5
6
Die rechtlichen Anforderungen sind erfüllt.Aufsichtsbehörden sind überlastet.
rechtskonform ethisch korrekt≠
7
hohe Erwartungen an Anbieter und Empörungskultur
Wir könnten Transparenz bzgl. Verarbeitungspraktiken herstellen.
Anreiz für besseren Schutz der Privatsphäre?
ethisch korrekt
8
Viele Scan-Diensteuntersuchen lediglicheinzelne Seiten. Ist das viel?
Ist das gut oder schlecht?
9
Ziel: öffentliche Benchmarks,
um Anreize für Betreiber zuschaffen, den Schutz derPrivatsphäre zu verbessern.
Jeder kann (annotierte) Listen von
Webseiten hochladen und das Ranking beeinflussen.
Open Source (GPLv3+)Open Data
Öffentliches Ranking
Sortierung ändern
VerschlüsselungWebserver
Privatsphäreund Tracking
VerschlüsselungMailserver
andereAngriffe
Third Par)es
Bekannte Tracker
Server-Standorte
HTTPS/STARTTLS verfügbar?
Zertifikat: gültig / Schlüssellänge
Unsichere Protokolle: SSLv3, …
Schwachstellen: Heartbleed, …
HSTS
Mixed Content
Automa)scheUmleitung zu
HTTPS
Referer-Policy
Security-Header
ProblematischeInhalte
Tests von PrivacyScore
11
.git
.svn
server.keyphpinfo.php
backup.sql
server-status
12
Transparenz durch Vergleichbarkeit
Transparenz durch Vergleichbarkeit(November 2017)
Anzahl SeitenAnzahl Scans
HTTPS verfügbarmit Umleitung
veraltetes SSL: v2/v3
InformationslecksStatus/Debuginfo
Repositories (git/svn)
Datenbank-Dumps
Private-Keys
Anz. Cookies (Mittelwert)für Third-Party-Tracking
27 %23 %
2 %
3,0 %2,5 %
0,4 %
0,0 %
0,0 %
8.46670.285
1.6361.636
106
230174
7
8
0
1,60,3
19 %19 %
1 %
2,7 %2,0 %
0,0 %
0,0 %
0,0 %
19.794150.872
5.4284.564
381
585503
87
17
2
4,52,0
GesamtDeutsche
Kommunen
AlexaTop 500
82 %
noch nicht öf fent lich
http
s://
http
secu
rityr
epor
t.com
/site
_sur
vey.h
tml
13
Top20Cities
Known
Trackers
ThirdParty
Servers
ThirdParty
Cookies Web:HTTPS Mail:STARTTLS
Hamburg 40 81 49 noredirection minorissues
Berlin 22 37 17 minorissues noTLS1.2
Leipzig 6 10 5 noredirection minorissues
München 5 11 3 enforcesHTTP! minorissues
Bremen 4 13 3 minorissues noTLS1.2
Dresden 3 8 4 noredirection minorissues
Düsseldorf 2 3 3 certificateissue checktimedout
Hannover 2 3 1 minorissues minorissues
Köln 2 3 1 enforcesHTTP! minorissues
Stuttgart 1 7 2 noredirection minorissues
Bielefeld 1 2 0 noredirection minorissues
Bonn 1 1 0 checktimedout minorissues
Duisburg 0 4 0 noredirection checktimedout
Essen 0 2 1 minorissues minorissues
Wuppertal 0 2 0 minorissues minorissues
Münster 0 0 0 minorissues noTLS1.2
Dortmund 0 0 0 noTLS1.2 minorissues
Nürnberg 0 0 0 noTLS1.2 minorissues
Bochum 0 0 0 minorissues minorissues
Frankfurt 0 0 0 minorissues minorissues
adnxs.com googlesyndication.commxcdn.net adsafeprotected.comtealiumiq.com youtube.commookie1.com adform.net criteo.comadtech.de google-analytics.comgstatic.com truste.com oms.eutiqcdn.com adnet.de mathtag.comrefinedads.com stickyadstv.comgoogleapis.com smartadserver.comdoubleclick.net theadex.com m6r.eu mpnrs.com adition.com fqtag.com2mdn.net intelliad.de ioam.demeetrics.net turn.com fonts.comcloudfront.net mp-success.comsascdn.com adscale.de nuggad.netcontent-recommendation.net […]
Betriebdurch
Media-agentur
Wie verbreitet ist Tracking auf Seiten von Kommunen? (November 2017)
14
Anteil mit NoTrack Anteil mit EncWeb 15
Detail-Ergebnisse16
17
Ausgangspunkt fürexplora2ve Untersuchungen
Google Analy+cs rechtskonform?
18
19
20
Nur ein Einzelfall?
Überprüfung von 100 Webseiten
davon
48 kein Google Analytics
25 kein „IP-Masking“
Laufende Studie (1,3 Mio. DE-Seiten):
ca. 13% ohne korrektes IP-Masking…
21
unwirksam davertauscht
potenzielle Sicherheitslücken
.git .svn server.key <domain>.key
phpinfo.php backup.sql server-statusserver-infotest.php
…
23
24
Szenario nachgestellt
25
83D21A252177B867CA9FD76471D8AA16-memc1.pla3tom0
ersetzen
max. 16Möglichkeiten
durchprobieren
Szenario nachgestellt
26
83D21A252177B867CA9FD76471D8AA16-memc1.pla3tom0
ersetzen
Szenario nachgestellt
27
Szenario nachgestellt
potenzielle Sicherheitslücken
.git .svn server.key <domain>.key
phpinfo.php backup.sql server-statusserver-infotest.php
…
29
5.5.9-1ubuntu4.22war (damals) dieaktuelle Version
http://www.xxxxxxxxxx.bg/phpinfo.phpZENSIERT
In Entwicklung:Versionserkennung für gängige CMS rein anhand charakteristischer DateienTest auf veralteten Versionen bzw. kritischen CVEs (Sicherheitslücken)
30
Reaktionen
14 Aug 27 Oct Delta
Piraten 0 0 –
Linke 0 1 ‼
Die PARTEI 0 0 –
CDU 1 1 –
Grüne 1 2 ‼
SPD 1 0 J
FDP 2 2 –
AFD 4 4 –
CSU 5 38 ‼
NO. OF KNOWN TRACKERS
Transparenz über Änderungen im Zeitverlauf(Darstellung in Entwicklung)
⁉Alle URLs werden (mehroder weniger) regelmäßigerneut überprü;.
31
Update 30. Jan. 2019:nur noch 1 Tracker auf www.csu.de
Studie mit 152 Krankenkassen und -versicherungen (erscheint auf WI 2019)
M. Maass et al., On the Difficulties of Incentivizing Online Privacy through Transparency: A Qualitative Survey of the German Health Insurance Market, WI 2019, https://arxiv.org/abs/1811.12775 (2019). 32
1. Wie reagieren Anbieter wenn sie
erfahren, dass eine Bewertung ihrer
Seite gemäß Privacy- und Security-
Kriterien veröffentlicht worden ist?
2. Verhalten sie sich anders, wenn ihnen
mitgeteilt wird, dass es auch ein
öffentliches Ranking gibt?
Gruppe A: sah nur Detail-ErgebnisseGruppe B: zusätzlich Rang im Ranking
Gründe für schlechten Zustand: Unkenntnis datenschutzfreundlicher Alterna]ven,keine Möglichkeit zur Änderung oder keine BereitschaP
33
Rechtliche undethische Aspekte
34
nur wenige Beschwerden
Reaktionen überwiegend positiv
Auf einzelnen Seiten unserer Homepage werden in geschützten Bereichen auch personenbezogene Daten gespeichert. […] Ich darf Sie bitten, derartige Tests künftig zu unterlassen, da ich mich anderen-falls gezwungen sehe, eine Strafanzeige nach§ 202a StGB zu stellen.
11.06.2018
Betrieb in Deutschland rechtlich zulässigsiehe arxiv.org/abs/1705.08889 (GI INFORMATIK 2017)
Drei relevante Fragestellungen
1 Untersuchung von Webseiten ohneZus2mmung der Betreiber
2 Rechtliche Bewertungder Untersuchungsergebnisse
3 Veröffentlichung der Ergebnisse aufder PrivacyScore-Webseite
35
RECHTLICHE ZULÄSSIGKEIT
1 Untersuchung von Webseiten ohne Zus2mmung der Betreiber
Können Anbieter automatisierten Abruf ihrer Webseite verbieten?
Kein Eigentumsrecht (§ 903 BGB) an Daten… weil es Daten an körperlicher Eigenschaft von Sachen (§ 90 BGB) fehlt;
daher auch kein ausschließliches Nutzungsrecht an Daten.
Kein absolutes „virtuelles Hausrecht“ für öffentliche Teile einer Seite… weil vertragliche Vereinbarungen oder Nutzungsbedingungen nur dann
verbindlich, wenn vom Nutzer anerkannt (z.B. durch Registrierung).
36
1 Untersuchung von Webseiten ohne Zustimmung der Betreiber
Zugriff und Verwertung kann verboten sein:
Datenschutz (DSGVO, BDSG, TMG)… falls beim Scannen pers.-b. Daten erhoben werden – i.d.R. nicht der Fall
Urheberrecht (UrhG)… falls Werk i.S.v. § 2 Abs. 1 oder geschützte Datenbank i.S.v. § 4 Abs. 2;
i.d.R. fehlt aber geforderte geistige Schöpfungshöhe… falls Leistungsschutzrecht anwendbar – nur bei „wesentlichen Teilen“… falls Webseite ein Computerprogramm (§ 2 Abs. 1 Nr. 1, 69a Abs. 1);
HTML ist nur Beschreibungssprache
Gesetz gegen unlauteren Wettbewerb (UWG)… bei Beeinträchtigung der Verfügbarkeit – Schutz durch Rate Limiting
Strafgesetzbuch (StGB)… falls Zugangssicherung (§ 202a) umgangen wird – i.d.R. nicht der Fall
37
2 Rechtliche Bewertung der Untersuchungsergebnisse
Ergebnisse werden lediglich dargestellt, rechtliche Bewertungmuss Umstände des Einzelfalls berücksichtigen.
Ausführlich disku<ert im Beitrag für zwei Beispiele:
� Erlaubnis und technische Umsetzung der Einbindung vonTracking- und Analysediensten
� Erforderlichkeit von Transportverschlüsselung
PrivacyScore nicht als Ersatz sondern als Unterstützung fürDatenschutzbeauftragte und Aufsichtsbehörden gedacht.
38
3 Veröffentlichung auf der PrivacyScore-Webseite
Können Anbieter die Veröffentlichung der Ergebnisse unterbinden?
Ergebnisse („17 Tracker“) sindTatsachenbehauptungen
Rankings („abc.de ist Platz 8“)sind Werturteile
fallen unter die grundrechtlich normierte Meinungsfreiheit
Ergebnisse betreffen i.d.R. nicht die Privatsphäre, sondern die Sozialsphäre (berufliche, politische, andere öffentliche Aktivitäten)
Informationelle Selbstbestimmung der Seitenbetreiber verletzt?
39
Nicht alles was erlaubt ist, ist auch ethisch vertretbar.
40
� keine Suchfunktion für verwundbare Seiten
� Rate-Limiting als Schutz vor DoS
� Blacklisting auf Wunsch (aber transparent)
� in Entwicklung: responsible disclosure bei Sicherheitslücken
Sehr gut – zusätzlicher Anreiz!
„Die Veröffentlichung hil1doch den Angreifern!“
Addressierung von „Dual Use“
41
Von weiteren Scans ausgenommenDie Betreiber der hier aufgeführten Seiten haben uns gebeten, keine weiteren Scans durchzuführen. Aus Gründen der Transparenz archivieren wir das Ergebnis des letzten erfolgreichen Scans in der folgenden Tabelle. Beachten Sie, dass es möglich ist, dass Seitenbetreiber in der Zwischenzeit Änderungen an ihrer Website vorgenommen haben, die sich nicht in diesen veralteten Ergebnissen widerspiegeln.
PrivacyScore.orgEine Pla1orm zum Vergleich vonPrivacy- und Security-Eigenscha;envon Webseiten
Folien: h*ps://dhgo.to/pspa19
Prof. Dr. Dominik HerrmannZD.B Lehrstuhl für Privatsphäre undSicherheit in Informationssystemen
Otto-Friedrich Universität Bamberg