PrivacyScore.org Eine Plattform zum Vergleich von Privacy- und Security-Eigenschaften von Webseiten

Transkript

1 PrivacyScore.org Eine Plattform zum Vergleich von Privacy- und Security-Eigenschaften von Webseiten Prof. Dr. Dominik Herrmann ZD.B Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen Otto-Friedrich Universität Bamberg Folien:

2 MOTIVATION Wer erfährt eigentlich davon, dass ich mich für Sozialhilfe interessiere?! 2 2

3 > Wörter 65 min. Lesezeit 3

4 90% 86% unverständlich zu lang Art. 12 (1) DSGVO [ ] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. warum? meistens gelogen Bitkom Research (2015): 4

5 5

6 Die rechtlichen Anforderungen sind erfüllt. Aufsichtsbehörden sind überlastet. rechtskonform ethisch korrekt 6

7 ethisch korrekt hohe Erwartungen an Anbieter und Empörungskultur Wir könnten Transparenz bzgl. Verarbeitungspraktiken herstellen. Anreiz für besseren Schutz der Privatsphäre? 7

8 Viele Scan-Dienste untersuchen lediglich einzelne Seiten. Ist das viel? Ist das gut oder schlecht? 8

9 Ziel: öffentliche Benchmarks, um Anreize für Betreiber zu schaffen, den Schutz der Privatsphäre zu verbessern. Jeder kann (annotierte) Listen von Webseiten hochladen und das Ranking beeinflussen. Open Source (GPLv3+) Open Data 9

10 Sortierung ändern Öffentliches Ranking

11 Tests von PrivacyScore Privatsphäre und Tracking Verschlüsselung Webserver Verschlüsselung Mailserver andere Angriffe Third Par)es Bekannte Tracker Server-Standorte HTTPS/STARTTLS verfügbar? Zertifikat: gültig / Schlüssellänge Unsichere Protokolle: SSLv3, Schwachstellen: Heartbleed, Referer-Policy Security-Header Problematische Inhalte HSTS Mixed Content Automa)sche Umleitung zu HTTPS server-status phpinfo.php server.key backup.sql.git.svn 11

12 Transparenz durch Vergleichbarkeit 12

13 Transparenz durchvergleichbarkeit (November 2017) Anzahl Seiten Anzahl Scans HTTPS verfügbar mit Umleitung Gesamt % 23 % Alexa Top % 19 % 19 % noch nicht öffentlich Deutsche Kommunen veraltetes SSL: v2/v % 1 % 106 Informationslecks 585 3,0 % 2,7 % 230 Status/Debuginfo 503 2,5 % 2,0 % 174 Repositories (git/svn) 87 0,4 % 0,0 % 7 Datenbank-Dumps 17 0,0 % 0,0 % 8 Private-Keys 2 0,0 % 0,0 % 0 Anz. Cookies (Mittelwert) 4,5 1,6 für Third-Party-Tracking 2,0 0,3 13

14 Wie verbreitet ist Tracking auf Seiten von Kommunen? (November 2017) Top 20 Cities Known Trackers Third Party Servers Third Party Cookies Web: HTTPS Mail: STARTTLS Betrieb durch Mediaagentur Hamburg no redirection minor issues Berlin minor issues no TLS 1.2 Leipzig no redirection minor issues München enforces HTTP! minor issues adnxs.com googlesyndication.com Bremen minor issues no TLS 1.2 mxcdn.net adsafeprotected.com Dresden no redirection minor issues tealiumiq.com youtube.com Düsseldorf certificate issue check timed out mookie1.com adform.net criteo.com Hannover minor issues minor issues adtech.de google-analytics.com Köln enforces HTTP gstatic.com! minor truste.com issues oms.eu Stuttgart no redirection minor issues tiqcdn.com adnet.de mathtag.com Bielefeld no redirection refinedads.com minor issues stickyadstv.com Bonn check timed googleapis.com out minor issues smartadserver.com Duisburg no redirection doubleclick.net check timed theadex.com out m6r.eu Essen minor issues mpnrs.comminor adition.com issues fqtag.com Wuppertal minor issues 2mdn.net minor intelliad.de issues ioam.de Münster minor issues meetrics.net no turn.com TLS 1.2 fonts.com Dortmund no TLS 1.2 cloudfront.net minor mp-success.com issues Nürnberg no TLS 1.2 sascdn.comminor adscale.de issues nuggad.net Bochum minor issues content-recommendation.net minor issues [ ] Frankfurt minor issues minor issues 14

15 Anteil mit NoTrack Anteil mit EncWeb 15

16 Detail-Ergebnisse 16

17 Ausgangspunkt für explora2ve Untersuchungen 17

18 Google Analy+cs rechtskonform? 18

19 19

20 Nur ein Einzelfall? Überprüfung von 100 Webseiten davon 48 kein Google Analytics 25 kein IP-Masking Laufende Studie (1,3 Mio. DE-Seiten): ca. 13% ohne korrektes IP-Masking 20

21 unwirksam da vertauscht 21

22 potenzielle Sicherheitslücken phpinfo.php test.php backup.sql server-info server-status.git.svn server.key <domain>.key

23 23

24 Szenario nachgestellt 24

25 Szenario nachgestellt 83D21A252177B867CA9FD76471D8AA16-memc1.pla3tom0 ersetzen max. 16 Möglichkeiten durchprobieren 25

26 Szenario nachgestellt 83D21A252177B867CA9FD76471D8AA16-memc1.pla3tom0 ersetzen 26

27 Szenario nachgestellt 27

28 potenzielle Sicherheitslücken phpinfo.php test.php backup.sql server-info server-status.git.svn server.key <domain>.key

29 ubuntu4.22 war (damals) die aktuelle Version ZENSIERT In Entwicklung: Versionserkennung für gängige CMS rein anhand charakteristischer Dateien Test auf veralteten Versionen bzw. kritischen CVEs (Sicherheitslücken) 29

30 Reaktionen 30

31 Transparenz über Änderungen im Zeitverlauf (Darstellung in Entwicklung) NO. OF KNOWN TRACKERS 14 Aug 27 Oct Delta Alle URLs werden (mehr oder weniger) regelmäßig erneut überprü;. Piraten 0 0 Linke 0 1!! Die PARTEI 0 0 CDU 1 1 Grüne 1 2!! SPD 1 0 J FDP 2 2 AFD 4 4 CSU 5 38!!!? Update 30. Jan. 2019: nur noch 1 Tracker auf 31

32 Studie mit 152 Krankenkassen und -versicherungen (erscheint auf WI 2019) 1. Wie reagieren Anbieter wenn sie erfahren, dass eine Bewertung ihrer Seite gemäß Privacy- und Security- Kriterien veröffentlicht worden ist? 2. Verhalten sie sich anders, wenn ihnen mitgeteilt wird, dass es auch ein öffentliches Ranking gibt? Gruppe A: sah nur Detail-Ergebnisse Gruppe B: zusätzlich Rang im Ranking Gründe für schlechten Zustand: Unkenntnis datenschutzfreundlicher Alterna]ven, keine Möglichkeit zur Änderung oder keine BereitschaP M. Maass et al., On the Difficulties of Incentivizing Online Privacy through Transparency: A Qualitative Survey of the German Health Insurance Market, WI 2019, (2019). 32

33 Rechtliche und ethische Aspekte 33

34 Reaktionen überwiegend positiv nurwenige Beschwerden Auf einzelnen Seiten unserer Homepage werden in geschützten Bereichen auch personenbezogene Daten gespeichert. [ ] Ich darf Sie bitten, derartige Tests künftig zu unterlassen, da ich mich anderenfalls gezwungen sehe, eine Strafanzeige nach 202a StGB zu stellen. Betrieb in Deutschland rechtlich zulässig siehe arxiv.org/abs/ (GI INFORMATIK 2017) 34

35 RECHTLICHE ZULÄSSIGKEIT Drei relevante Fragestellungen 1 Untersuchung von Webseiten ohne Zus2mmung der Betreiber 2 Rechtliche Bewertung der Untersuchungsergebnisse 3 Veröffentlichung der Ergebnisse auf der PrivacyScore-Webseite 35

36 1 Untersuchung von Webseiten ohne Zus2mmung der Betreiber Können Anbieter automatisierten Abruf ihrer Webseite verbieten? Kein Eigentumsrecht ( 903 BGB) an Daten weil es Daten an körperlicher Eigenschaft von Sachen ( 90 BGB) fehlt; daher auch kein ausschließliches Nutzungsrecht an Daten. Kein absolutes virtuelles Hausrecht für öffentliche Teile einer Seite weil vertragliche Vereinbarungen oder Nutzungsbedingungen nur dann verbindlich, wenn vom Nutzer anerkannt (z.b. durch Registrierung). 36

37 1 Untersuchung von Webseiten ohne Zustimmung der Betreiber Zugriff und Verwertung kann verboten sein: Datenschutz (DSGVO, BDSG, TMG) falls beim Scannen pers.-b. Daten erhoben werden i.d.r. nicht der Fall Urheberrecht (UrhG) falls Werk i.s.v. 2 Abs. 1 oder geschützte Datenbank i.s.v. 4 Abs. 2; i.d.r. fehlt aber geforderte geistige Schöpfungshöhe falls Leistungsschutzrecht anwendbar nur bei wesentlichen Teilen falls Webseite ein Computerprogramm ( 2 Abs. 1 Nr. 1, 69a Abs. 1); HTML ist nur Beschreibungssprache Gesetz gegen unlauteren Wettbewerb (UWG) bei Beeinträchtigungder Verfügbarkeit Schutz durch Rate Limiting Strafgesetzbuch (StGB) falls Zugangssicherung ( 202a) umgangen wird i.d.r. nicht der Fall 37

38 2 Rechtliche Bewertung der Untersuchungsergebnisse Ergebnisse werden lediglich dargestellt, rechtliche Bewertung muss Umstände des Einzelfalls berücksichtigen. Ausführlich disku<ert im Beitrag für zwei Beispiele: Erlaubnis und technische Umsetzung der Einbindung von Tracking- und Analysediensten Erforderlichkeit von Transportverschlüsselung PrivacyScore nicht als Ersatz sondern als Unterstützung für Datenschutzbeauftragte und Aufsichtsbehörden gedacht. 38

39 3 Veröffentlichung auf der PrivacyScore-Webseite Können Anbieter die Veröffentlichung der Ergebnisse unterbinden? Ergebnisse ( 17 Tracker ) sind Tatsachenbehauptungen Rankings ( abc.de ist Platz 8 ) sind Werturteile fallen unter die grundrechtlich normierte Meinungsfreiheit Informationelle Selbstbestimmung der Seitenbetreiber verletzt? Ergebnisse betreffen i.d.r. nicht die Privatsphäre, sondern die Sozialsphäre (berufliche, politische, andere öffentliche Aktivitäten) 39

40 Nicht alles was erlaubt ist, ist auch ethisch vertretbar. Die Veröffentlichung hil1 doch den Angreifern! Sehr gut zusätzlicher Anreiz! Addressierung von Dual Use keine Suchfunktion für verwundbare Seiten Rate-Limiting als Schutz vor DoS Blacklisting auf Wunsch (aber transparent) in Entwicklung: responsible disclosure bei Sicherheitslücken 40

41 Von weiteren Scans ausgenommen Die Betreiber der hier aufgeführten Seiten haben uns gebeten, keine weiteren Scans durchzuführen. Aus Gründen der Transparenz archivieren wir das Ergebnis des letzten erfolgreichen Scans in der folgenden Tabelle. Beachten Sie, dass es möglich ist, dass Seitenbetreiber in der Zwischenzeit Änderungen an ihrer Website vorgenommen haben, die sich nicht in diesen veralteten Ergebnissen widerspiegeln. 41

42 PrivacyScore.org Eine Pla1orm zum Vergleich von Privacy- und Security-Eigenscha;en von Webseiten Prof. Dr. Dominik Herrmann ZD.B Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen Otto-Friedrich Universität Bamberg Folien: h*ps://dhgo.to/pspa19