Das digitale Scheunentor

Transkript

1 Folie 1 "Das digitale Scheunentor" Folie 2 "Das digitale Scheunentor" Das digitale Scheunentor Prüferfahrungen des Landesbeauftragten für den Datenschutz Rheinland-Pfalz aus der Kontrolle von Internetangeboten

2 Folie 3 "Das digitale Scheunentor" Grundlagen: Auszüge aus den gesetzlichen Regelungen 24 Abs. 1 Satz 1 Landesdatenschutzgesetz (LDSG): "Der Landesbeauftragte für den Datenschutz kontrolliert die Einhaltung der Bestimmungen dieses Gesetzes sowie anderer Vorschriften über den Datenschutz." 24 Abs. 1 Satz 2, 1. Halbsatz LDSG: "Der Landesbeauftragte für den Datenschutz ist auch Aufsichtsbehörde nach dem Bundesdatenschutzgesetz für die Datenverarbeitung nicht öffentlicher Stellen; [ ]" 38 Abs. 1 Satz 1, 1. Halbsatz Bundesdatenschutzgesetz (BDSG): "Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, [ ]" Folie 4 "Das digitale Scheunentor" Was wurde geprüft? Beispiele Internetangebote rheinland-pfälzischer Verwaltungen Hochschulen kommunaler Versorgungsbetriebe sozialer Netzwerke Web-Shops Unternehmen

3 Folie 5 "Das digitale Scheunentor" Login-Bereiche (I) Folie 6 "Das digitale Scheunentor" Login-Bereiche (II) Arten von Logins formularbasierend Basic-Authentication Angriffsarten wörterbuchbasierend (insb. Standard-UID-PWD-Kombinationen) Nutzung von Benutzer-/Passwortlisten (werden in z.t. in Tauschbörsen angeboten) Nutzung von "Rainbowtables" (Hashwerttabellen) s.a. Dateisystemproblematik Brute-Force (durchprobieren "aller" möglichen Zeichenkombinationen) Abhören von Datenverkehr und Wiedereinspielen von aufgezeichneten Anmeldeinformationen Replay-Attacke Ergebnis alle Angriffsarten führten bei verschiedenen Webangeboten zum Erfolg

4 Folie 7 "Das digitale Scheunentor" Login-Bereiche (III) i.d.r. Kombination aus einer Benutzerkennung und einem Passwort festgestellte Problematik: Benutzerkennungen und Passwörter konnten z.t. identisch sein Benutzerkennungen entsprachen dem Namen, der -Adresse oder einem anderen - möglicherweise Dritten - "bekannten" Datum Passwörter entsprachen bekannten Daten (z.b. Kundennummer) Passwörter waren z.t. sehr kurz und konnten aus Trivialkombinationen bestehen (z.b. "asdf", "123456" etc.) keine Kennwortrichtlinien hinsichtlich Länge, Zeichenvorrat, Änderungsintervalle etc. Standardpasswörter von Installationskennungen waren nicht deaktiviert/geändert keine Begrenzung der Anmeldeversuche bei fehlerhaften Eingaben mögliches Aufrufen der Verifizierungsroutine außerhalb des Eingabeformulars mögliches Einschleusen von Datenbankanweisungen in Formularfelder (SQL-Injection) Nutzung unsicherer Übertragungsprotokolle Folie 8 "Das digitale Scheunentor" Übertragungsprotokolle http-übertragungen erfolgen im Klartext https-übertragungen erfolgen verschlüsselt smtp-übertragungen ( s) erfolgen ebenfalls im Klartext

5 Folie 9 "Das digitale Scheunentor" Zugriff auf Dateisysteme / Verzeichnisstrukturen Folie 10 "Das digitale Scheunentor" Directory Traversal

6 Folie 11 "Das digitale Scheunentor" Cross-Site Scripting (XSS) Folie 12 "Das digitale Scheunentor" Cross-Site Request Forgery (XSRF) Analyse des HTML-Quelltextes:

7 Folie 13 "Das digitale Scheunentor" SQL-Injection beispielhafte Datenbankanweisung: select from where uid='4711' or '1=1' Folie 14 "Das digitale Scheunentor" Fazit: Gründe für die unsichere Implementierung von Internetangeboten Unkenntnis der Verantwortlichen Betreiber des Angebotes Hostingprovider Dienstleister Software sowie deren Installation, Konfiguration und Pflege Betriebssysteme / Webserver Datenbanksysteme Webanwendungen bewusste Konfigurationsänderungen ohne Folgenabschätzung "Workarounds", wenn etwas nicht auf Anhieb funktioniert sonstige Gründe "Sabotage" / absichtliche Fehlkonfiguration / "Hintertürchen"