Mehr Schutz mit weniger Aufwand

Transkript

1 Mehr Schutz mit weniger Aufwand Leichtgewichtige Lösungen für Anwender und Anbieter Dr. Dominik Herrmann Folien:

2 Anforderungen an sichere Softwaresysteme Safety Security Vertraulichkeit Integrität Verfügbarkeit Schutz der Privatsphäre Recht Technischer Datenschutz Organisatorische Maßnahmen versus Funktionalität Benutzbarkeit vernetzt und mobil genutzt deligierte Datenverarbeitung 2

3 Wer weiß eigentlich, dass ich heute hier bin? Und warum ist das ein Problem? Außenstehende Dienstanbieter (NSA) unbekannt Data Broker Bluekai Doubleclick Criteo booking.de Frühere Buchungen Bonn *** 78 München ** 88 Florenz *** 99 unklarer Einfluss Würzburg *** 73 geld.de bmw.de booking.de Risiko der Diskriminierung Szenario Hotel-Buchung 3

4 Wie können sich Anwender vor Beobachtung schützen? Außenstehende Dienstanbieter PRÄVENTION? d.h. Verhinderung der Datenerfassung Datenerfassung erwünscht Schäden bleiben oft unentdeckt (Kosten des Schutzes aber spürbar) geringe Investitionsbereitschaft Leichtgewichtige Lösungen im Hintergrund 4

5 Wovor müssen sich Anwender schützen? Außenstehende Dienstanbieter PRÄVENTION AUFKLÄRUNG? Bedrohung durch Inferenzangriffe Verhaltensbasiertes Tracking Herrmann, Banse, Federrath (Computers & Security, 2013) Kirchler, Herrmann, Lindemann, Kloft (AISec 2016) Herrmann, Kirchler, Lindemann, Kloft (PST 2016) 5

6 Data Broker nutzen alle verfügbaren Informationen zum Tracking. Tracking mit Cookies Browser-Fingerprinting PC 1 PC 2 Canvas Defender auf 1 Sitzung beschränkbar. weitgehend verhinderbar. Forschungsfrage: Ist Tracking trotzdem noch möglich? empirische Untersuchung Acaret al.: The Web never forgets: Persistent tracking mechanisms in the wild, CCS

7 Herausforderung Wiedererkennung von Nutzern trotz wechselnder IP-Adressen Neues Verfahren verhaltensbasierte Wiedererkennung Katja Mai Mai Mai Mai M

8 3. Mai spiegel.de google.de apple.com würzburg.de airbus.com 4 x 15 x 1 x 3 x 2 x Hypothese: wiederkehrende und charakteristische Muster 1 x 9 x 0 x 6 x 3 x 4. Mai spiegel.de google.de apple.com würzburg.de airbus.com Mai Mai Mai Mai M

9 Welche Bedrohung geht von verhaltensbasierter Verkettung aus? Potenzielle Anwender 1. Werbenetze mit großer Reichweite 2. Anbieter freier DNS-Nameserver Google Doubleclick auf 80% der Top 1 Mio. Seiten (2015) Google Public DNS 14% aller DNS-Anfragen (2016) Überprüfung für DNS-Server 1. Datenerhebung 2. Simulation (24h-Sitzungen) 3. Evaluation :00:01 u0001 paypal.com :00:01 u0002 airbus.de insgesamt 61 Tage :59:58 u :59:59 u3715 img.bild.de pseudonymisiert, aber mit»ground truth«libert: Exposing the invisible web, Int. Journal of Communication 9, 0 (2015); (2016) 9

10 Vorgehensweise des Beobachters: Sitzungen vektorisieren und paarweise Kosinus-Ähnlichkeit bestimmen airbus.com bahn.de cos = 0, cos = 0,43 0 gestern heute 10

11 Genauigkeit des verhaltensbasierten Trackings? Teilmenge: 3862 Studierende Tracking-Genauigkeit [%] Sonntag Montag raw S S S S4 nicht aktiv M M M M4 54 ngrams log idf gängige Optimierungen Pruning S1 S2 S M1 M2 M3 1-Nearest-Neighbor-Klassifikator S4 nicht aktiv Pruning M4 11

12 Verhaltensbasiertes Tracking ist robuster als erwartet. 86 % Anzahl der Nutzer Mitarbeiter % Tage zwischen Sitzungen % 62 % Mio. Domains Clustering (k-means) perfekte Verkettung bei 40 % der aktiven Nutzer über 7 Tage (13 % über 56 Tage) Diskriminative Domains werden in jeder Sitzung von genau einem Nutzers angefragt (z.b. PETER-MEIER-PC.local) 12

13 Fazit: Anwender sind anhand ihres Verhaltens wiedererkennbar. Außenstehende Dienstanbieter PRÄVENTION AUFKLÄRUNG? Bedrohung durch Inferenzangriffe Verhaltensbasiertes Tracking Für Anwender nicht feststellbar! 13

14 Prävention geht oft auf Kosten des Komforts aber nicht unbedingt. Außenstehende Dienstanbieter PRÄVENTION AUFKLÄRUNG? Selbstdatenschutz EncDNS PushDNS P. Leon et al.: Why Johnny can't opt out: a usability evaluation of tools to limit online behavioral advertising. In CHI '12,

15 Schutzmechanismen für das DNS werden von Anwendern nicht akzeptiert, wenn es zu spürbarer Verzögerung kommt. Forschungsfrage: Wie kann eine leichtgewichtige datenschutzfreundliche DNS- Namensauflösung realisiert werden? Ungeeignet DNSSEC Tor Sender: Alice Sender: DNS-Server Alice normaler DNS-Server Nameserver für Zone cnn.com 15

16 Schutzmechanismen für das DNS werden von Anwendern nicht akzeptiert, wenn es zu spürbarer Verzögerung kommt. Forschungsfrage: Wie kann eine leichtgewichtige datenschutzfreundliche DNS- Namensauflösung realisiert werden? Ungeeignet DNSSEC Tor encrypted y%8 1 az.encdns.com Sender: Alice encrypted y%8 1 az.encdns.com Sender: DNS-Server Sender: encdns.com Alice normaler DNS-Server Nameserver für Zone encdns.com Nameserver für Zone cnn.com Herausforderung: beschränkter Platz (255 Byte) Messergebnisse: geringe Verzögerung, gut skalierbar (>6000 Anfragen/Sek. je Server) 16

17 Datenschutzfreundliche Namensauflösung könnte sogar schneller sein als herkömmliche Nameserver. 1. Beobachtung wenige Domains sehr populär Top Domains: 80% aller Anfragen 2. Beobachtung IPs vieler Domains lange konstant für 50% der Domains TTL > 5 min PushDNS Service: sendet IP-Adressen der populärsten Domains zu Anwendern Namensauflösung unbeobachtbar und völlig verzögerungsfrei push to clients next domain TTL expired? yes no resolve domain Datenvolumen (für Domains): Aktualisierung: 350 MB pro Tag Übermittlung: 0,8 KB/s pro Nutzer yes new IP? no 17

18 Weniger Aufwand, wenn Schutz in Infrastruktur (beim DSL-Anbieter) integriert wird. 5 min 31 % Schutz vor Tracking: IP-Adresse häufig ändern 1 h 55 % airberlin.de spiegel.de tracking.net 24 h 86 % Genauigkeit IP 001 IP IP 100 IP 001 IP IP 100 t Sitzungsdauer IP-Bouquets AN.ON-next (BMBF, ) 18

19 Fazit: Privacy by Default ggü. Außenstehenden lässt sich leichtgewichtig realisieren. Außenstehende Dienstanbieter PRÄVENTION AUFKLÄRUNG? Selbstdatenschutz EncDNS PushDNS Schutz durch Infrastruktur IP-Bouquets Schutz gegenüber Dienstanbietern? Federrath, Fuchs, Herrmann, Piosecny (ESORICS 2011) Herrmann, Lindemann, Federrath (ESORICS 2014) 19

20 Benötigt ein Anbieter Daten zur Diensterbringung, sind Anwender zur Durchsetzung ihrer Interessen auf dessen Unterstützung angewiesen. Außenstehende Dienstanbieter PRÄVENTION AUFKLÄRUNG KOOPERATION Einwilligung Rechtliche Mechanismen 20

21 Benötigt ein Anbieter Daten zur Diensterbringung, sind Anwender zur Durchsetzung ihrer Interessen auf dessen Unterstützung angewiesen. Außenstehende Dienstanbieter PRÄVENTION AUFKLÄRUNG KOOPERATION Einwilligung Auskunft und Löschung Rechtliche Mechanismen Anbieterstudie Herrmann & Lindemann (Sicherheit 2016) 21

22 Wie reagieren Website-Betreiber mit Anfragen auf Auskunft und Datenlöschung? Phase 1: Datenauskunft Registrierung Paul Meier Vogt-Kölln-Str Hamburg Mobil: geb. am Sender: An: Paul Meier Datenschutzbeauftragter (sonst: Kunden-Support) informelle Anfrage Sehr geehrte Damen und Herren, ich würde mich gerne darüber informieren, welche Daten Sie über mein Profil gespeichert haben und wie diese verwendet werden. Bitte lassen Sie mir diese Informationen zeitnah zukommen. Mit freundlichen Grüßen Paul Meier 22

23 Wie reagieren Website-Betreiber mit Anfragen auf Auskunft und Datenlöschung? Phase 1: Datenauskunft Registrierung Paul Meier Vogt-Kölln-Str Hamburg Mobil: geb. am Sender: An: Paul Meier Datenschutzbeauftragter (sonst: Kunden-Support) informelle Anfrage keine akzeptable Antwort innerhalb 1 Woche? formale Anfrage Sehr Hiermit geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskunft zu erteilen, welche Daten über mich bzw. mein Profil ich paul.meier@barmail.de würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu Sie welchem über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. Bitte lassen Sie mir Für diese Erledigung Informationen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie Mit zuständige freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG Paul einzuschalten. Meier 23

24 Wie reagieren Website-Betreiber mit Anfragen auf Auskunft und Datenlöschung? Phase 1: Datenauskunft Registrierung Paul Meier Vogt-Kölln-Str Hamburg Mobil: geb. am Fake-Anfrage! keine akzeptable Antwort innerhalb 1 Woche? Sender: An: Paul Meier <paul.meier@barmail.de> <paul.meier@fair-konsult.de> Datenschutzbeauftragter (sonst: Kunden-Support) informelle Anfrage keine akzeptable Antwort innerhalb 1 Woche? formale Anfrage Hiermit Sehr geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskunft zu erteilen, welche Daten über mich bzw. mein Profil paul.meier@barmail.de ich würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu welchem Sie über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. Bitte lassen Sie Für mir diese Erledigung Informationen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie zuständige Mit freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG einzuschalten. Paul Meier 24

25 Wie reagieren Website-Betreiber mit Anfragen auf Auskunft und Datenlöschung? Phase 1: Datenauskunft 4 Wochen später Phase 2: Datenlöschung Registrierung Fake-Anfrage Registrierung mit anderem Pseudonym informelle Anfrage informelle Anfrage Konto nach 1 Woche noch vorhanden? formale Anfrage formale Anfrage 25

26 Studie: 120 Webseiten aus Alexa Top 500 DE -Liste (Herbst 2014) Ergebnisse für Datenauskunft Fake-Anfrage OK (0.18) 0.07 keine Reaktion (0.43) 0.02 Auskunft verweigert (0.30) informelle Anfrage unvollständig Konto verschwunden OK (0.28) unvollständig (0.28) 0.01 keine Reaktion (0.31) formale Anfrage nicht erreichbar verweigert OK (0.43) unvollständig 0.01 keine Reaktion (0.23)

27 Art und Umfang der ausgestellten Auskünfte variiert erheblich. 27

28 Die Ergebnisse zur Datenlöschung fallen besser aus aber nur auf den ersten Blick. informelle Anfrage vollständig gelöscht (0.48) keine Reaktion (0.26) 0.08 formale Anfrage gesperrt verschwunden nicht erreicht unvollständig vollständig gelöscht (0.52) gesperrt (0.18) 0.11 keine Reaktion (0.17) Ohne Rückfrage! Sender: An: Support Guten Tag Michael, Ihr Konto ist hiermit gelöscht. Mit besten Grüßen aus Hamburg Mathilde 28

29 Fazit: Auskunfts- und Löschanspruch für Anwender und Anbieter unbefriedigend. Außenstehende Dienstanbieter PRÄVENTION AUFKLÄRUNG KOOPERATION Rechtliche Mechanismen Anbieterstudie 29

30 Gesetzgeber wünscht sich in Zukunft Privacy by Design, also dass Anbieter datenschutzfreundliche Systeme anbieten. Außenstehende Dienstanbieter PRÄVENTION AUFKLÄRUNG KOOPERATION Schutz durch Frameworks AppPETs BMBF Rechtliche Mechanismen Anbieterstudie 30

31 Ziel von AppPETs: Leichtgewichtiges Privacy by Design für Smartphone-Apps Anwender Dienstanbieter Ausgangslage App Server identifizierbare Daten verschlüsselte Übertragung? anonymisiert? verschlüsselt? App AppPETs nachvollziehbare Zusicherungen Kapselung der Komplexität P-LIBRARY P-SERVICES z.b. Tor Server 31

32 Die P-Library verbessert die Nachvollziehbarkeit für Anwender. Anwender Dienstanbieter P-LIBRARY P-SERVICE Private Lookup Hotel suchen 96 1 NACHT im EZ SEARCH BOOK P-SERVICE Private Lookup P-SERVICE Anonymizer Vergleichsportal Verfügbare Hotels Konditionen Hotel 71 Reservierungen DEIN PROFIL STORE P-SERVICE Crypto Store 32

33 Vision: Anwender behalten die Hoheit über ihre Daten, Entscheidungen von Algorithmen werden nachvollziehbar, Anbieter müssen keine Geschäftsgeheimnisse aufgeben. Außenstehende Dienstanbieter PRÄVENTION AUFKLÄRUNG KOOPERATION Schutz durch Frameworks AppPETs BMBF

34 Leichtgewichtige Lösungen für den Schutz der Privatsphäre sind die Voraussetzung für Softwaresysteme, die von Anwendern und Anbietern akzeptiert werden. Dr. Dominik Herrmann Folien:

35 Leichtgewichtige Lösungen für den Schutz der Privatsphäre sind die Voraussetzung für Softwaresysteme, die von Anwendern und Anbietern akzeptiert werden. Außenstehende Dienstanbieter PRÄVENTION AUFKLÄRUNG KOOPERATION Selbstdatenschutz Bedrohung durch Inferenzangriffe Rechtliche Mechanismen EncDNS PushDNS Schutz durch Infrastruktur Verhaltensbasiertes Tracking Schutz durch Frameworks Anbieterstudie IP-Bouquets AppPETs Dr. Dominik Herrmann Folien: