Ruf mich an! Datenschutz & Voice-over-IP Markus Hansen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Innovationszentrum Datenschutz & Datensicherheit markus@privacyresearch.eu Heise-CeBIT-Forum Sicherheit und IT-Recht Hannover, 2007-03-20
Wer erzählt Ihnen heute was? Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Aufsichtsbehörde für Verwaltung und Wirtschaft Beratung zu technischen und rechtlichen Datenschutzfragen Zertifizierende Instanz für Datenschutz-Gütesiegel Fort- und Weiterbildung (z.b. Datenschutzakademie) https://www.datenschutzzentrum.de/
Wer erzählt Ihnen heute was? Innovationszentrum Datenschutz & Datensicherheit (ULD-i) Beratung über Fördermöglichkeiten Vermittlung von Kooperationspartnern Unterstützung bei der Entwicklung von datenschutzgerechten Produkten und Geschäftsmodellen Wissenstransfer Durchführung und Begleitung von Datenschutz- und Datensicherheitsprojekten
Datenschutz & Datensicherheit Datenschutz Recht auf informationelle Selbstbestimmung Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. BVerfGE 65,1 Recht von Kunden, Arbeitnehmern,... Datensicherheit ist (eine) Vorraussetzung für Datenschutz Datensicherheit? CIA ;-) Confidentiality (Vertraulichkeit) Zugriff auf Daten nur für Berechtigte Integrity (Integrität) Daten sind authentisch, vollständig, verlässlich,... Availability (Verfügbarkeit) Daten sind im Bedarfsfall für Berechtigte abrufbar.
Anforderungen an VoIP Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Aufforderung an Hersteller, Anbieter und Anwender von VoIP-Lösungen: Grundgesetzlich geschütztes Fernmeldegeheimnis bewahren!
Datenschutz-Anforderungen an VoIP Angemessene technische und organisatorische Maßnahmen treffen, um sichere und datenschutzgerechte Nutzung von VoIP in einem Netzwerk zu ermöglichen. Verschlüsselungsverfahren anbieten bzw. nutzen. Sicherheits- und Datenschutzmängel in Protokollen und Software durch Beteiligung an Weiterentwicklung möglichst schnell beseitigen.
Datenschutz-Anforderungen an VoIP Offene und standardisierte Lösungen verwenden, Protokolle offenlegen. VoIP-Kunden über Gefahren und Einschränkungen gegenüber PSTN informieren. Bei VoIP alle datenschutzrechtlichen Vorschriften genauso wie bei herkömmlicher Telefonie beachten. Kurz: VoIP statt PSTN darf keine Nachteile bzgl. TK- Geheimnis und Datenschutz bedeuten.
VoIP auch nur Telefon? Fragen vor dem Einsatz von VoIP: Was wird wo mitgeloggt? Wer hat Zugriff auf Logfiles? Kann auf Kommunikationsinhalte zugegriffen werden? Von wem unter welchen Umständen? Werden solche Zugriffe protokolliert? Werden Betroffene informiert? Wie wird Authentizität der Gesprächsteilnehmer gewährleistet?
VoIP: Kostenvorteile? In Unternehmen / Organisationen / Behörden: Größere Unabhängigkeit von einzelnen Anbietern. Nur noch einmal Know-How (für IP). Nur noch einmal Personal für Administration. Nur noch ein Netz für Telefonie und Daten? Nur noch ein Point-of-Failure? Reicht ein erfolgreicher Angriff für Zugriff auf Daten und gesamte Kommunikation im Unternehmen? => Bei Aufrechterhaltung gleicher Verfügbarkeit, Sicherheit,... keine realen Kosteneinsparungen. (Vergl. VoIPSec-Studie des BSI.)
Was ist neu an VoIP? Telefonie aber nicht nur... Instant Messaging (Chat) Datei-Transfer Video-Konferenzen => Konvergenz (Unified Messaging) Welchen Weg nimmt das Gespräch durch die Leitungen? (Routing statisch vs. dynamisch) Was ist ein eigentlich ein Telefonanschluß? Nomadische Nutzung => Lokalisierung im Notfall ( Röchelanruf )
Probleme von VoIP Lokalisierung von Anschlüssen (Notruf) C: Vertraulichkeit (Abhörmöglichkeiten) I: Integrität (Manipulierbarkeit Caller-ID) A: Verfügbarkeit (Denial-of-Service Attacks) SPIT (Spam-over-Internet Telephony)
Vertraulichkeit von VoIP? Internet-Telefonie SIP/RTP SIP: Session Initiation Protocol RTP: Realtime Transfer Protocol Security: Broken by Design in den meisten Implementierungen Vorschlag von Phil Zimmermann (PGP): ZRTP Skype Security: by Obscurity Skype reverse engineered -> BlackHat Europe 2006 Biggest Botnet ever (Silver Needle in the Skype) Sonstiges z.b. TeamSpeak, BattleCom, GameVoice
Internet-Telefonie: SIP, RTP Bildquelle: Thomas Skora, Sicherheit von VoIP-Systemen
Internet-Telefonie: Verschlüsselung? SRTP: SRTP-Key wird im SIP meist im Klartext übertragen, wenn keine Public Key Infrastructure (PKI) besteht. SIP over TLS: Erzeugt vergleichsweise viel Rechenlast, wird daher kaum eingesetzt. Verschlüsselung nur Hop-to-hop => MitM ZRTP Key Exchange Protocol (Zfone) für Ende-zu-Ende-Verschlüsselung des Inhalts. (Phil Zimmermann, PGP)
Internet-Telefonie: SIP, RTP, SRTP Bildquelle: Eric Chen, A Tour Through Zfone
Internet-Telefonie: ZRTP / MitM Bildquelle: Eric Chen, A Tour Through Zfone
Abhörbarkeit von VoIP (1) Privacy & Security-Fachleute: VoIP deutlich anfälliger für Abhör-Angriffe als herkömmliche Telefonie. Sog. Bedarfsträger: Abhören bei VoIP viel problematischer als bei herkömmlicher Telefonie. Nanu?
Abhörbarkeit von VoIP (2) Signal (SIP) und Media (RTP) gehen meist unverschlüsselt über ein offenes Netz (Internet). => viele Angriffspunkte! VoIP im Intranet: Reicht ein infizierter PC zum Abhören der gesamten Kommunikation? Signal und Media gehen ggf. über disjunkte Routen. => höherer Aufwand für Lawful Interception.
SPIT: Spam over Internet Telephony SPIT-Abwehr-Lösung www.spit-abwehr.de Öffentliche Förderung 2005 2006 (2007): e-region Plus (Schleswig-Holstein) EFRE Europäischer Fonds für Regionale Entwicklung
SPIT-AL: Motivation VoIP für Telefonie wie E-Mail für Schriftwechsel SPAM => SPIT automatisierte Cold Calls noch nerviger, da synchrones Medium => Schutz der Privatsphäre erforderlich. Rechtliche Unterlassungsansprüche gegen Anrufer aus dem Ausland kaum durchsetzbar. => Technischer Ansatz erforderlich. Telekommunikation ist (grund-)gesetzlich besonders geschützt. => Rechtskonformität erforderlich.
SPIT-AL: Projektverlauf White Paper Prototyp Probebetrieb mit 1000 Nutzern Open Source-Projekt Public Funding => Public Benefit! Diplomarbeit (TU Dresden) Integration weiterer Services, z.b. medienübergreifendes Erreichbarkeitsund Identitätsmanagement
SPIT-AL: Rechtliche Aspekte Fernmeldegeheimnis.eu: Art. 8 Europ. Menschenrechtskonvention.de: Art. 10 GG, 88 TKG, 206 StGB Schützt Inhalt der Kommunikation und Tatsache, dass diese überhaupt stattgefunden hat (auch erfolglos). Verpflichtet Telekommunikationsanbieter und deren Mitarbeiter. Kontrolle über SPIT-Filter muss daher in Hand des Nutzers als einem der Kommunikationspartner liegen.
SPIT-AL: Rechtliche Aspekte Telekommunikationsrecht 88 Fernmeldegeheimnis 148 f. Nachrichtenunterdrückung (Ablehnen des Anrufes, Greylisting) TK-rechtlich ist VoIP noch wenig erschlossen.
SPIT-AL: Rechtliche Aspekte Datenschutzrecht 91 107 TKG, BDSG subsidiär SPIT-Filter als Auftragsdatenverarbeitung? Unterschiedliche SPIT-AL-Maßnahmen für Privatpersonen, Unternehmen oder Behörden (Verwaltungsrecht: Gewährung rechtlichen Gehörs) Vergl. Art 29 Data Protection Working Party Opinion 2/2006 on privacy issues related to the provision of email screening services (WP118). Whitelists / Blacklists sind Verarbeitung personenbezogener Daten => Infrastruktur für Einwilligung / Widerruf => Tele(medien)diensterecht
SPIT-AL: Rechtliche Aspekte Eckpunkte für die Entwicklung: Nutzerkontrollierte Filterung Transparenz und Kontrolle der Datenverarbeitung und ihrer Folgen Voreinstellungen für verschiedene Nutzergruppen Einstelloptionen feingranular
SPITting into your Ear Menschliche Anrufer: Call Center Automatische Anrufe: Spam Bots Ringtone SPIT: Alert-Info SIP-Header Kombinationen
SPIT-AL: Technischer Ansatz E-Mail-Spam: Analyse von Header und Content Auswertung des Audio- Kommunikationsinhaltes: Geht nicht vor Anruf, da synchrones Medium Technisch aufwändig, bindet Ressourcen Unnötig, sobald Sprachverbindung aufgebaut Ggf. Eingriff in Fermeldegeheimnis (strafbewehrt) In SPIT-AL nicht vorgesehen
SPIT-AL: Technischer Ansatz Auswertung von Informationen über Anrufer: Caller-ID? (Fehlende Authenticity bei SIP) Herkunft: PSTN / SIP (Proxy, IP-Range)? Whitelists / Buddylists / Blacklists Rekursive Listen / Vertrauensnetz Auswertung von Informationen über Anruf: Uhrzeit? (Fünf Uhr? Morgens? Och nö, Mutti...) Ergebnisse gewichten und zusammenführen.
SPIT-AL: Technischer Ansatz Verschiedene Maßnahmen als Reaktion: Simulation eines Gesprächspartners (vergl. Telecrapper 2000) Bindet eigene Ressourcen! Honeyphones (siehe in Honeypots, Honeynets) Sammeln und Analysieren von SPIT Ablehnen des Anrufes: Nachrichtenunterdrückung Alles nicht in SPIT-AL 'Filtern' nicht angemessen. Daher: Reachability Management gegen SPIT
SPIT-AL: Technischer Ansatz Verschiedene Maßnahmen als Reaktion: Durchleiten zum Angerufenen (einfach!) Besetzt beim ersten Versuch (Greylisting) Aufgabe für den Anrufer: Bitte drücken Sie #42*. (Voice-Menu) Wieviel ist sieben minus zwei? Umleitung zum Anrufbeantworter für asynchrone Übermittlung Hinweis auf alternativen Gesprächsaufbau (ggf. höhere Kosten)
Ansätze zur SPIT-Bekämpfung SPIT-AL www.spit-abwehr.de nicht nur für IP-Telefonie! Vergleichbare Entwicklung bei NEC Microsoft: V-Priorities (Content) RfC-Proposals als Erweiterung für SIP Problem: Nicht alle Telefone unterstützen gleiche SIP-Features.
VoIP Ein Fazit VoIP als Telekommunikation benötigt Datensicherheit und Datenschutz. VoIP darf keine Verschlechterung des Datenschutzes im Vergleich zum PSTN sein. VoIP bietet mit Verschlüsselungsoptionen die Grundlage für Schutz von Privatsphäre und Betriebsgeheimnissen. Existierende Standards haben noch Verbesserungbedarf; Herstellerunabhängigkeit wichtig!
Zukunft gestalten Technik und Zukunft datenschutzgerecht gestalten Projektpartner zusammenbringen Förderungs-Beratung markus@privacyresearch.eu