Das digitale Scheunentor



Ähnliche Dokumente
Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Cloud Computing - und Datenschutz

Datenschutz und Schule

Angriffe gegen Passwörter Ein sicheres Passwort Passwörter benutzen Passwörter sichern. Sichere Passwörter

Dieses Dokument soll dem Administrator helfen, die ENiQ-Software als Client auf dem Zielrechner zu installieren und zu konfigurieren.

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in der Software 6.0

VERSCHLÜSSELUNG

Zugriff auf elektronische Angebote und Datenbanken der Hochschulbibliothek von externen Lokationen

Schwachstellenanalyse 2012

Abschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh

Quick Guide Mitglieder

Sicherheit in Webanwendungen CrossSite, Session und SQL

Datensicherheit. Vorlesung 5: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Einrichten eines Exchange-Kontos mit Outlook 2010

Exklusive Vorteile nutzen! Mein Konto auf

Das digitale Klassenund Notizbuch

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Warum werden täglich tausende von Webseiten gehackt?

Datenverarbeitung im Auftrag

- Datenschutz im Unternehmen -

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Schwachstellenanalyse 2013

MyDHL SCHNELLEINSTIEG

Herzlich Willkommen bei der nfon GmbH

Die HBCI-Verwaltung unter VR-NetWorld-Software 3.x für die Erstellung eines HBCI-Schlüssel auf Diskette

Der Schutz von Patientendaten

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

Anleitung Outlook 2002 & 2003

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April Dr. Oliver Staffelbach, LL.M.

Kurzanleitung. Nutzung des Online Office von 1&1. Zusammengestellt:

Datensicherheit. Vorlesung 7: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Facebook und Datenschutz Geht das überhaupt?

Lehrer: Einschreibemethoden

Installation & Konfiguration AddOn AD-Password Changer

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3

WINDOWS 10 Upgrade. Beispiel: Desktop-Ausschnitt von vorhandenem WIN 8.1 (rechte Ecke der Taskleiste)

Wie installiere und richte ich die Sync-Plus Software auf einem PC mit Windows 7 und Outlook ein?

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

Microsoft Internet Explorer

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Anleitung zum Login. über die Mediteam- Homepage und zur Pflege von Praxisnachrichten

Hier finden Sie häufig gestellte Fragen und die Antworten darauf.

Information zum Projekt. Mitwirkung von Menschen mit Demenz in ihrem Stadtteil oder Quartier

IMI datenschutzgerecht nutzen!

Einrichtung eines VPN-Zugangs

ANLEITUNG GERÄTEREGISTRATION AN KRZ.SMK IOS

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Thomas Wagner 2009 (im Rahmen der TA) Installation von MySQL 5.0 und Tomcat 5.5

Windows Live Mail Konfiguration IMAP

ClickProfile Mobile. Leitfaden Client. Ihre Vision ist unsere Aufgabe

1. Einleitung Abfrage des COON-Benutzernamens Ändern des Initial-Passwortes Anmelden an der COON-Plattform...

Informations- und Kommunikationsinstitut der Landeshauptstadt Saarbrücken. Upload- / Download-Arbeitsbereich

Anleitung für Kunden zum Umgang mit verschlüsselten s von der LASA Brandenburg GmbH

Anleitung zur Installation von VSP-Client- Zertifikaten in Browsern

Anleitung zum DKM-Computercheck Windows Defender aktivieren

Installation von Malwarebytes

IT-Dienstleister International 19. März 2009, IHK-Akademie München

Google Chrome. Browsereinstellungen ab Version 33. Portal. erstellt von: EXEC Software Team GmbH Südstraße Ransbach-Baumbach

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Anleitung zur Registrierung und Nutzung des Veranstalter- Zugangs für den Veranstaltungskalender der Expertenliste

Die technische Seite Angebote und Risiken

Adventskalender Gewinnspiel

MEIN LUEG JETZT ANMELDEN. Ihre persönliche Gebrauchtwagensuche auf NEU

Anleitung für die Registrierung bei OB10

Datenschutz-Management und Audit Software "Datenschutz Assistent"

Datenschutz - Ein Grundrecht

-Verschlüsselung mit S/MIME

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

K-TAG Master. Dateientschlüsselung/ Dateiverschlüsselung für Slaves. Version 1.0

Shellfire PPTP Setup Windows 7

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Digitaler Semesterapparat

Microsoft Internet Explorer

Herzlich Willkommen. Roland Kistler. Tel. +49 (89) Sales Engineer. Folie 1

Checkliste wie schütze ich meinen account

Sendungen aufgeben > Briefe: Aufgabeverzeichnis Anleitung Auftragserfassung Dienstleister

Kurzanleitung Software-Plattform Wechsel der Zertifizierungsstelle

Kundenleitfaden zur Sicheren per WebMail

COMPUTERIA VOM Wenn man seine Termine am Computer verwaltet hat dies gegenüber einer Agenda oder einem Wandkalender mehrere Vorteile.

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft- Betriebssystem

Anleitung Abwesenheitsmeldung und -Weiterleitung (Kundencenter)

Verarbeitung der -Adressen

Checkliste für die Behebung des Problems, wenn der PC Garmin USB GPS-Geräte nicht erkennt.

Nationale Initiative für Internet- und Informations-Sicherheit

Hinweise zu den Datenschutzeinstellungen von Smartphones mit den Betriebssystemen Android und ios

Einrichtung von VPN-Verbindungen unter Windows NT

Anleitung zur Benutzung des jobup.ch Stellensuchendekontos

1. Konfiguration Outlook 2007 MAPI (mit Autodiscover).

D i e n s t e D r i t t e r a u f We b s i t e s

Transkript:

Folie 1 "Das digitale Scheunentor" Folie 2 "Das digitale Scheunentor" Das digitale Scheunentor Prüferfahrungen des Landesbeauftragten für den Datenschutz Rheinland-Pfalz aus der Kontrolle von Internetangeboten

Folie 3 "Das digitale Scheunentor" Grundlagen: Auszüge aus den gesetzlichen Regelungen 24 Abs. 1 Satz 1 Landesdatenschutzgesetz (LDSG): "Der Landesbeauftragte für den Datenschutz kontrolliert die Einhaltung der Bestimmungen dieses Gesetzes sowie anderer Vorschriften über den Datenschutz." 24 Abs. 1 Satz 2, 1. Halbsatz LDSG: "Der Landesbeauftragte für den Datenschutz ist auch Aufsichtsbehörde nach dem Bundesdatenschutzgesetz für die Datenverarbeitung nicht öffentlicher Stellen; [ ]" 38 Abs. 1 Satz 1, 1. Halbsatz Bundesdatenschutzgesetz (BDSG): "Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, [ ]" Folie 4 "Das digitale Scheunentor" Was wurde geprüft? Beispiele Internetangebote rheinland-pfälzischer Verwaltungen Hochschulen kommunaler Versorgungsbetriebe sozialer Netzwerke Web-Shops Unternehmen

Folie 5 "Das digitale Scheunentor" Login-Bereiche (I) Folie 6 "Das digitale Scheunentor" Login-Bereiche (II) Arten von Logins formularbasierend Basic-Authentication Angriffsarten wörterbuchbasierend (insb. Standard-UID-PWD-Kombinationen) Nutzung von Benutzer-/Passwortlisten (werden in z.t. in Tauschbörsen angeboten) Nutzung von "Rainbowtables" (Hashwerttabellen) s.a. Dateisystemproblematik Brute-Force (durchprobieren "aller" möglichen Zeichenkombinationen) Abhören von Datenverkehr und Wiedereinspielen von aufgezeichneten Anmeldeinformationen Replay-Attacke Ergebnis alle Angriffsarten führten bei verschiedenen Webangeboten zum Erfolg

Folie 7 "Das digitale Scheunentor" Login-Bereiche (III) i.d.r. Kombination aus einer Benutzerkennung und einem Passwort festgestellte Problematik: Benutzerkennungen und Passwörter konnten z.t. identisch sein Benutzerkennungen entsprachen dem Namen, der E-Mail-Adresse oder einem anderen - möglicherweise Dritten - "bekannten" Datum Passwörter entsprachen bekannten Daten (z.b. Kundennummer) Passwörter waren z.t. sehr kurz und konnten aus Trivialkombinationen bestehen (z.b. "asdf", "123456" etc.) keine Kennwortrichtlinien hinsichtlich Länge, Zeichenvorrat, Änderungsintervalle etc. Standardpasswörter von Installationskennungen waren nicht deaktiviert/geändert keine Begrenzung der Anmeldeversuche bei fehlerhaften Eingaben mögliches Aufrufen der Verifizierungsroutine außerhalb des Eingabeformulars mögliches Einschleusen von Datenbankanweisungen in Formularfelder (SQL-Injection) Nutzung unsicherer Übertragungsprotokolle Folie 8 "Das digitale Scheunentor" Übertragungsprotokolle http-übertragungen erfolgen im Klartext https-übertragungen erfolgen verschlüsselt smtp-übertragungen (E-Mails) erfolgen ebenfalls im Klartext

Folie 9 "Das digitale Scheunentor" Zugriff auf Dateisysteme / Verzeichnisstrukturen Folie 10 "Das digitale Scheunentor" Directory Traversal

Folie 11 "Das digitale Scheunentor" Cross-Site Scripting (XSS) Folie 12 "Das digitale Scheunentor" Cross-Site Request Forgery (XSRF) Analyse des HTML-Quelltextes:

Folie 13 "Das digitale Scheunentor" SQL-Injection beispielhafte Datenbankanweisung: select from where uid='4711' or '1=1' Folie 14 "Das digitale Scheunentor" Fazit: Gründe für die unsichere Implementierung von Internetangeboten Unkenntnis der Verantwortlichen Betreiber des Angebotes Hostingprovider Dienstleister Software sowie deren Installation, Konfiguration und Pflege Betriebssysteme / Webserver Datenbanksysteme Webanwendungen bewusste Konfigurationsänderungen ohne Folgenabschätzung "Workarounds", wenn etwas nicht auf Anhieb funktioniert sonstige Gründe "Sabotage" / absichtliche Fehlkonfiguration / "Hintertürchen"

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback