Trusted Privacy. eprivacyapp. Mobile Security - Datensicherheit von Apps und Chips. eprivacyconsult GmbH

Transkript

1 Trusted Privacy eprivacyapp Mobile Security - Datensicherheit von Apps und Chips eprivacyconsult GmbH eprivacyconsult Wir bieten Beratungen und Prüfungen in den Bereichen Datensicherheit, Datenschutz und Compliance... Datenschutzrechtliche und technische Gestaltung von digitalen Geschäftsmodellen... Expertise in digitalen Geschäften wie Onlinemarketing, Offline/Online-Daten, Big Data, E-Health etc.... Zertifikate für Unternehmen und Produkte bei vorbildlichem Datenschutz... Unabhängigkeit, Spezialisierung auf digitale Geschäfte in Deutschland und Europa 2014 eprivacyconsult 2 1

2 Referenzkunden eprivacyconsult Führende Unternehmen im Bereich der digitalen Medien 2014 eprivacyconsult 3 Leistungsportfolio von eprivacyconsult Datenschutz-Lösungen in Deutschland und Europa Zertifizierung von Datenschutz und Datensicherheit eprivacyseal Datenschutz für Produkte und Unternehmen eprivacyapp Datensicherheit und Datenschutz von Apps Datensicherheit nach ISO Weitere Zertifizierungen OBA Certification Provider Zertifizierung des IAB Europe OBA Framework Zertifizierung von Brand Safety JICWEBS / DTSG UK SPIN-Kodex Datenschutz-Technologie eprivacyapp Software zur Prüfung von Apps Privacy-Inspection-Technologie PIT Plattform für Prüfung, Prüfprozesse, Monitoring, Reporting Beratung Privacy by Design, Technik/Recht Geschäftsmodelle, Datenschutzkonforme Produkte und Prozesse ISO Umsetzung Externer Datenschutzbeauftragter 2014 eprivacyconsult 4 2

3 eprivacyapp Risiko durch Apps, die nicht tun was sie sollen & Apps, die mehr tun als sie sollen 2014 eprivacyconsult 5 eprivacyapp Apps, die nicht tun was sie sollen (1) Schwächen in der Funktionalität Kompatibilität Fehler in der Implementierung... Schwächen in der Sicherheit Keine/falsche Nutzung sicherer Verbindungen Schwache Verschlüsselungen eprivacyconsult 6 3

4 eprivacyapp Apps, die nicht tun was sie sollen (2) DATENSICHERHEIT: Gerade bei Banking-Apps, bei Apps mit Bezahlfunktion und bei internen Firmen-Apps erwartet JEDER eine sehr hohe Sicherheit! 2014 eprivacyconsult 7 Mobile Apps Aktuelles Quelle: eprivacyconsult 8 4

5 eprivacyapp Apps, die mehr tun als sie sollen Datensicherheit Schadsoftware in App integriert Datenschutz Apps ohne Einwilligung zur Verarbeitung/Übermittlung von Daten, die nicht für die Funktion der App von Nöten sind Dies können persönliche und geschäftliche Daten sein! 2014 eprivacyconsult 9 Mobile Apps Aktuelles (1) Quelle: eprivacyconsult 10 5

6 eprivacyapp Apps, die mehr tun als sie sollen Diese Problematik ist nicht nur eine reine Android Erscheinung! 2014 eprivacyconsult 11 Mobile Apps Aktuelles (2) Quellen: eprivacyconsult 12 6

7 Mobile Apps Aktuelles (3) Quellen: eprivacyconsult 13 Mobile Apps Aktuelles (4) 2014 eprivacyconsult 14 7

8 eprivacyapp Das Konzept 1) Prüfung von Datenschutz und Datensicherheit Datensicherheit für alle gespeicherten Daten Datenschutz von personenbezogenen Daten 2) Blackbox-Testing und Whitebox-Testing Eigene Software zur Prüfung der Apps Verbindung mit manuellen Tests und Software-Analyse 3) Prüfung von Apps und Zertifikat/Siegel Prüfung von Apps auf Datenschutz und Datensicherheit Zertifikat und Siegel eprivacyapp optional 4) Hohe Zertifizierungsstandards Hoher Standard für Datenschutz auf der Basis von BDSG, TMG, EU-Recht, allgemeinen Marktstandards Hoher Standard von Sicherheit / heutiger Stand der Technik Erwartete Weiterentwicklungen in Technik und Datenschutz Veröffentlichter Kriterienkatalog / akkreditierte Auditoren 2014 eprivacyconsult 15 eprivacyapp Überblick Prüfungskriterien 1) Datenschutz Datenschutzerklärung / AGB Datenschutzeinstellungen durch Nutzer Nutzung von Daten durch die App Zugriff auf persönliche Daten des Nutzers oder Kontakte Weitergabe von Daten an Dritte Einhaltung der Datenschutzgesetze (u.a. BDSG, TMG) 2) Datensicherheit Untersuchung von Datenpaketen Analyse des ein- und ausgehenden Datenverkehrs Verschlüsselung des Datenverkehrs Sichere Speicherung von Daten Datenprüfung mit White-Hat-Hack Authentifizierung der Empfänger von Daten (WHOIS) 3) Online Behaviour Advertising / OBA Erstellen von Nutzerprofilen durch die App, Opt-out Möglichkeiten Kontaktmöglichkeiten mit dem Betreiber 2014 eprivacyconsult 16 8

9 eprivacyapp Ablauf unserer Prüfung 1) Überprüfung Ihrer App durch eine neutrale Instanz Manuelle und softwareseitige Prüfungen Über 100 einzelne Prüfkriterien 2) Detaillierte Dokumentation Detaillierter Prüfbericht über alle Kriterien Empfehlungen Auflagen 3) Erteilung unseres eprivacyapp Siegels (optional) Umsetzung erteilter Auflagen Erstellung des Zertifikat 2014 eprivacyconsult 17 eprivacyapp Sichert Vorsprung durch 1) Technologie 2) Team Einsatz neuartiger und aktuell einzigartiger Prüf- Software auf dem modernsten Stand der Technik, mit deren Einsatz über 100 verschiedene Einzelprüfungen durchgeführt werden Prüfung aktueller und potentiell zukünftiger Angriffsszenarien Technische und juristische Experten IT-Sicherheitsexperten & White-Hat Hacker hochqualifizierte Auditoren 3) Prüflabor Eingerichtetes Lab (Organisation, Ressourcen) Software-Prüfung mit standardisierten Abläufen Schnelle und hochqualifizierte Prüfungen 2014 eprivacyconsult 18 9

10 eprivacyapp Das Siegel 2014 eprivacyconsult 19 eprivacyapp HS Für höchste Sicherheitsstufen: Unsere zusätzliche High Security Prüfung 2014 eprivacyconsult 20 10

11 eprivacyapp HS 1) Prüfung von Apps für höchste Sicherheitsstufen, wie... Apps, welche im Zusammenhang mit einem Mobile Device Management angewandt werden sollen Apps für Kommunikation, Geldtransfer, Banking, usw. Apps, welche mit vertraulichsten Daten umgehen 2) High Security Kriterien Über 60 weitere Kriterien 3) Reale Angriffsszenarien Angriffe der App von außen Man-in-the-Middle (MITM) Angriff mit verschiedenen Tools Social Engineering 2014 eprivacyconsult 21 eprivacyapp HS Häufige Mängel von Apps Von unseren Experten häufig festgestellte Mängel Benutzernamen und Passwörter leicht auslesbar Nutzung von Daten, die eigentlich nicht benötigt werden (Kontakte, Kalender, Standort usw.) Leichte Angreifbarkeit in unsicheren Netzwerken Weitersenden vertraulicher Daten unbemerkt an ungewollte Empfänger Ungenügender Schutz bei der Übermittlung von Daten Ungenügende Verschlüsselung von Daten auf dem Gerät Erlangung von persönlichen Daten unbeteiligter Dritter uvm eprivacyconsult 22 11

12 eprivacyapp HS Technologie und Know-how eprivacyapp HS umfasst unter anderem Prüfungen in den Bereichen Verhalten der App in unsicheren Netzwerken Hacking der verschlüsselten Daten der App, sowohl im Gerät, als auch des generierten Datenverkehrs Rückauflösung von Hashwerten durch sehr effektive Rainbow Tables Session-Hijacking Abfangen und Manipulation des Datenverkehrs durch Man-In-The-Middle Angriff Erlangung vertraulicher Informationen / persönlicher Daten unbeteiligter Dritter durch die App Rooting- / Jailbreak-Behaviour Biometrische Angriffsszenarien (z.b. Hacking des Fingerabdrucksensors) Social Engineering uvm eprivacyconsult 23 eprivacyconsult Dienstleistungen von Experten Unsere Expertise Prof. Dr. Bauer und Dr. Eickmeier sind akkreditierte Gutachter beim ULD (Landesdatenschutzzentrum Kiel) Sie veröffentlichen aktuelle Artikel in verschiedenen Publikationen Sie halten aktuelle Präsentationen über Datenschutzthemen eprivacyconsult ist Mitglied/kooperiert mit folgenden Verbänden/Organisationen: 2014 eprivacyconsult 24 12

13 Melden Sie sich bei uns Dirk Ellerbrok Vertrieb Prof. Dr. Christoph Bauer Geschäftsführer eprivacyconsult GmbH Große Bleichen 21A Hamburg Tel Mobil eprivacyconsult GmbH Große Bleichen 21A Hamburg Tel Mobil