Exploit Regulations AT-Cyber-Sonderedition

Ähnliche Dokumente
Technische Aspekte der ISO-27001

Der Schutz von Patientendaten

-Verschlüsselung wer muss wann s verschlüsseln rechtliche Anforderungen an die Sicherheit von E- Mails

Phishing. Rechtsanwalt Stephan Welzel Chefsyndikus, DENIC eg

Europäischer Fonds für Regionale Entwicklung: EFRE im Bundes-Land Brandenburg vom Jahr 2014 bis für das Jahr 2020 in Leichter Sprache

Soziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co.

Die Waffen des Cyberwar. Thomas Reinhold

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Nutzung dieser Internetseite

Wir nehmen Aufgaben und Ideen wahr. Wir suchen Lösungen zu Ideen.

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Herzlich willkommen bei tetraguard Ihrem Spezialisten für Sicherheitssoftware!

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

%HVRQGHUH$UWHQ3HUVRQHQEH]RJHQHU'DWHQ

Alle gehören dazu. Vorwort

Über dieses Buch. Nutzungsrichtlinien

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Das IT-Sicherheitsgesetz

Was sind Soziale Netzwerke? Stelle dazu selbstständig Überlegungen an!

1. Anmeldung von Konten für das elektronische Postfach

Über dieses Buch. Nutzungsrichtlinien

Professionelle Seminare im Bereich MS-Office

RT Request Tracker. Benutzerhandbuch V2.0. Inhalte

Pflegende Angehörige Online Ihre Plattform im Internet

IT Sicherheitsgesetz und die Praxis

In diesem Tutorial lernen Sie, wie Sie einen Termin erfassen und verschiedene Einstellungen zu einem Termin vornehmen können.

Gemeinsam gegen Cyberkriminalität! German Competence Centre against Cyber Crime e. V.

Ausgewählte Rechtsfragen der IT-Security

Norton Internet Security

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Second Steps in eport 2.0 So ordern Sie Credits und Berichte

Die Post hat eine Umfrage gemacht

PC-Schulungen für f r Leute ab 40!

Bernadette Büsgen HR-Consulting

Lagedarstellung Cybercrime

Internet- und Urheberrecht

Datenschutz - Ein Grundrecht

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Überwachung am Arbeitsplatz Big Brother hat ein Auge auf die Angestellten

9 Auto. Rund um das Auto. Welche Wörter zum Thema Auto kennst du? Welches Wort passt? Lies die Definitionen und ordne zu.

Datenschutz und Datensicherheit in mittelständischen Betrieben

Wireless LAN PCMCIA Adapter Installationsanleitung

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

How-to: Webserver NAT. Securepoint Security System Version 2007nx

POLIZEI Hamburg. Präventions- und Sicherheitstipps der Polizei zum Umgang mit Smartphones. Wir informieren.

Datensicherheit. Datensicherheit. Datensicherheit. Datensicherheit

Informatik für Ökonomen II HS 09

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Wie entwickelt sich das Internet in der Zukunft?

Was meinen die Leute eigentlich mit: Grexit?

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Die Bundes-Zentrale für politische Bildung stellt sich vor

Grundlagen des Datenschutz

1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

Information zum Projekt. Mitwirkung von Menschen mit Demenz in ihrem Stadtteil oder Quartier

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Nicht über uns ohne uns

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Adventskalender Gewinnspiel

Leit-Bild. Elbe-Werkstätten GmbH und. PIER Service & Consulting GmbH. Mit Menschen erfolgreich

Datenschutz und Schule

Anwendungsbeispiele. Neuerungen in den s. Webling ist ein Produkt der Firma:

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Stammtisch Recklinghausen. Datenschutz gestern heute - morgen. Mark Spangenberg mark.spangenberg@googl .com

Die Zukunft des Melderegisters in Sozialen Medien oder als Open Data?

Was ist Datenschutz? Was ist eigentlich Datenschutz?

Primzahlen und RSA-Verschlüsselung

So empfangen Sie eine verschlüsselte von Wüstenrot

Gesetzliche Aufbewahrungspflicht für s

e-books aus der EBL-Datenbank

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

Fragebogen: Abschlussbefragung

Informationsblatt Induktionsbeweis

Qualitätserlebnis statt Qualitätssicherung. Eine Mehrfachfallstudie agiler Teams

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

AV-TEST. Sicherheitslage Android

1 Verarbeitung personenbezogener Daten

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

Cyber Crime und seine rechtlichen Folgen für betroffene Unternehmen

Jugendschutz Landesstelle NRW e.v.

Risikomanagement bei PPP Projekten: Erfahrungen aus Deutschland

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Einführung in die Datenerfassung und in den Datenschutz

Ideen für die Zukunft haben.

Rechtssicherheit in der Benutzung von Archiven

DER SELBST-CHECK FÜR IHR PROJEKT

7 Rechnen mit Polynomen

Checkliste. zur Gesprächsvorbereitung Mitarbeitergespräch. Aktivität / Frage Handlungsbedarf erledigt

Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten

Echtzeiterkennung von Cyber Angriffen auf SAP-Systeme mit SAP Enterprise Threat Detection und mehr

Das Persönliche Budget in verständlicher Sprache

Regeln für das Qualitäts-Siegel

Tutorium Klinische Psychologie I. Fragen zur Ausbildung und rechtlichen Grundlagen in der Klinischen Psychologie

Business-Master Unternehmer-Training

Transkript:

Exploit Regulations AT-Cyber-Sonderedition fukami <fukami@ccc.de> Metalab, Wien 21. Oktober 2013

$ whois fukami IT-Sicherheitsberater (SektionEins GmbH) Mitgliedschaften: u.a. Digitale Gesellschaft e.v., CCC e.v., Open Data Network e.v., Liquid Democracy e.v., seit kurzen CCC-Vertreter bei EDRi Politischer Schwerpunkt: Technik und deren Einfluss auf Gesellschaft

SORRY NO PICS!

Cyber Cyber!

Was ist dieses Cyber von dem sie alle reden bedeutet ursprünglich Steuerung Kybernetike Kunst des Steuermanns 1948 erstmal im Bereich Datenverarbeitung genutzt siehe Norbert Wiener: Kybernetik Regelung und Nachrichtenübertragung in Lebewesen und Maschinen / Cybernetics or control and communication in the animal and the machine vorwiegend kulturelle und technik-philosophische Nutzung z.b. Cyberpunk, Cyberkultur, Cybernaut, Cyberspace, Cyborg etc.

Was ist dieses Cyber von dem sie alle reden Cyber ist Markenname von Control Data Corporation (Computer in den 70ern und 80ern) Legislativ existiert der Begriff/die Vorsilbe in Deutschland nicht Nationales Cyber-Abwehrzentrum -> unsinnig Cybersecurity ergibt zumindest etwas Sinn IN AT: Cyber Crime Competence Center (C4) Heute im allgemeinen Sprachgebrauch eher negativ konnotiert, z.b. Cyberterrorismus, Cyberkrieg

IT-Sicherheit in the real world

IT-Sicherheit ist stark markt- und innovationsgetrieben Forschung: konkrete Lücken, neue Klassen Stichwort: Vulnerability Development ein riesiger Markt: Exploit-Verkauf, Consulting, Sicherheitslösungen ein weites Feld: von Social Engineering über Targeted Attacks bis Massenexploitation voller Fragen mit unklaren Antworten, z.b. Wem gehört eine Sicherheitslücke? (dem Entwickler, dem Finder der Lücke, dem Käufer einer Lücke usw.)

Zur Verteidigung gehören Incident-Response Herstellung von Integrität, Vertraulichkeit und Anonymität Abwehr gegen direkte Angriffe auf Infrastruktur (z.b. DDoS, Einbrüche, Defacements) Abwehr gegen Massenexploits und Targeted Attacks Analyse von Angriffen, Schadcode, Filtersystemen Prävention, Datenschutz Folgenminderung und Wiederherstellung Verkleinerung der Angriffsoberfläche

Für IT-Sicherheit Verantwortliche auf staatlicher Seite in DE liegt prinzipiell im Inneren BMI, BSI Polizei: BKA und LKAs dazu: BKA KI 2/TESIT: Technisches Entwicklungs- und Servicezentrum, Innovative Technologien IT-Planungsrat und Untergruppen, Arbeitsgruppen der Länder und Kommunen Kontext: IT-Interoperabilitäts- und IT-Sicherheitsstandards Nationales Cyber-Abwehrzentrum (NCAZ) Im Kern: BSI, BfV, BBK dazu BKA, BND, Bundespolizei, Bundeswehr und Zollkriminalamt Datenschutzbeaftragte des Bundes und der Länder

Mit IT-Sicherheit befasste zivilrechtliche und privatwirtschaftliche Gruppen Vielzahl von Akteuren: OS-Hersteller, Vendor, Sicherheits-Unternehmen, kleine Beratungsfirmen, freie Sicherheitsexperten Hacker und Hacktivisten, z.b. CCC, cdc 31337 DE/AT (z.b. 7350/teso, Phenoelit, THC) Deutscher Sonderweg: Reverse Engineering ist prinzipiell erstmal nicht verboten (in den USA: DMCA)

Gesetzliche Regelungen

Grundgesetzliche Regelungen und Schranken (DE) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme auch IT-Grundrecht, Computer-Grundrecht oder Grundrecht auf digitale Intimsphäre Zeugnis- und Auskunftsverweigerungsrecht Prinzipielle Einschränkungen invasiver Zugriffe: tatsächliche Anhaltspunkte konkrete Gefahr überragend wichtiges Rechtsgut betroffen

Gesetzgebung in DE: Computerstraftaten Ausspähen von Daten gemäß 202a StGB Vorbereiten des Ausspähens und Abfangens von Daten gemäß 202c StGB Computerbetrug 263 a StGB Datenveränderung gemäß 303a StGB Computersabotage gemäß 303b StGB Fälschung beweiserheblicher Daten 269/270 StGB Unerlaubte Eingriffe in technische Schutzmaßnahmen und zur Rechtewahrnehmung erforderliche Informationen gemäß 108b UrhG

Gesetzgebung in AT: Computerstraftaten Widerrechtlicher Zugriff auf ein Computersystem 118a StGB Verletzung des Telekommunikationsgeheimnisses 119 StGB Missbräuchliches Abfangen von Daten 119a StGB Datenbeschädigung 126a StGB Störung der Funktionsfähigkeit eines Computersystems 126b StGB Missbrauch von Computerprogrammen oder Zugangsdaten 126c StGB Betrügerischer Datenverarbeitungsmissbrauch 148a StGB

Welche Straftaten werden mit Hilfe der Nutzung des Internets begangen? (DE) Verbreitung pornografischer Schriften gemäß 184 ff. StGB Volksverhetzung und Gewaltdarstellung gemäß 130, 131 StGB Betrug gemäß 263 StGB Unerlaubte Veranstaltung eines Glücksspiels gemäß 284 StGB Urheberrechtsverstösse gemäß 106 bis 108a UrhG

Welche Straftaten werden mit Hilfe der Nutzung des Internets begangen? (DE) Strafnormen im Markengesetz gemäß 143 ff MarkenG Strafnormen im Wettbewerbsrecht (UWG) strafbare Werbung 16 ff. UWG Strafnormen im Datenschutzgesetz (BDSG) Bußgeld nach 43 und 44 BDSG (unbefugte Datenerhebung)

Computer-Gesetze sonstwo (Grobauswahl) EU: Budapest Convention on Cybercrime US: CFAA (Computer Fraud and Abuse Act), DMCA (Digital Millenium Copyright Act) UK: Computer Misuse Act, Police and Justice Act Irland: Criminal Damage Act, Criminal Justice (Theft and Fraud Offences) Act, Data Protection Acts

Sonstige Regelungen Telekommunikationsgesetz (in DE TKG): Datenschutz, Wettbewerbsregeln/Marktregulierung, Abhören von Nachrichten, Anmeldepflichten, VDS/BDA, Manuelles Auskunftsverfahren, Verbraucherschutz, (Sperren) Telemediengesetz, Medienregulierung auf Länderebene Frequenzverwaltung ITU, ISO-Normen Datenschutzgesetze, Signaturgesetze, Informationsfreiheits-/Transparenzgesetze DE-Mail-Gesetz

The Tallinn Manual NATO-Treffen in Tallinn Cyberwar-Doktrin US-Vertreter: Wenn jemand Sicherheitsprobleme veröffentlicht, die US-Infrastruktur betreffen, so kann die USA diese Person zu einem Kriegsziel erklären.

Exportregulierung für Überwachungstechnik Reporter ohne Grenzen, Digitale Gesellschaft, CCC, Privacy International,... Vor drei Jahren praktisch alternativlos, aber nun eventuell eine Gefahr Fokus: Schmutzige/fragwürdige Geschäftsmodelle (z.b. Gamma Group) Infection Proxies, Angriffswerkzeuge gegen Dissidenten Problem: Die Definition von Digitalen Waffen

Ein bisschen Theorie

Worüber reden wir? Universalmaschinen Computer sind universelle Maschinen, die programmierbare Vorschriften verarbeiten. Aber: Nicht alles lässt sich in entsprechende Vorschriften pressen. Es gibt theoretische und praktische Grenzen.

Die universelle Maschine: Grundlegende Modelle Die Turingmaschine ist ein mathematisches Konzept zur formalen Definition eines Begriffes der Berechenbarkeit. Die Von-Neumann-Architektur (VNA) ist ein Referenzmodell für Computer, wonach ein gemeinsamer Speicher sowohl Computerprogrammbefehle als auch Daten hält.

Die universelle Maschine: Grundsätzliche, formale Probleme ergeben sich u.a bei der Software-Verifikation, z.b.: Halteproblem (auch: Problem der Unentscheidbarkeit) Gödelscher Unvollständigkeitssatz

Die universelle Maschine: Turings Halteproblem Erreichen formale Systeme einen bestimmten Grad an Komplexität, so kann über deren Zustand nichts mehr ausgesagt werden. In jeder Turingmaschine lassen sich Aussagen formulieren, die weder bewiesen noch widerlegt werden können.

Die universelle Maschine: Erster Unvollständigkeitssatz Der Erste Unvollständigkeitssatz besagt, dass es in hinreichend starken widerspruchsfreien Systemen immer unbeweisbare Aussagen gibt. Jedes hinreichend mächtige formale System ist entweder widersprüchlich oder unvollständig.

Die universelle Maschine: Zweiter Unvollständigkeitssatz Der Zweite Unvollständigkeitssatz besagt, dass hinreichend starke widerspruchsfreie Systeme ihre eigene Widerspruchsfreiheit nicht beweisen können. Jedes hinreichend mächtige konsistente formale System kann die eigene Konsistenz nicht beweisen.

Was sind Exploits? Mehrfachbedeutung: Gefundene Lücke, aber auch Code, der diese ausnutzt In unbeweisbaren Systemen kann es zu Zuständen kommen, die nicht mit Annahmen übereinstimmen Unintended/Unwanted/Unauthorized Code Execution Evil Computation Must Read: Avoiding a War on Unauthorized Computation: Why Exploit Regulation is the Biggest Danger to Coder Freedom and Future Security - Paper von Sergey Bratus und Anna Shubina (Dartmouth)

Was wir brauchen

Welche Fragen sind wichtig? Was braucht die Zivilgesellschaft um technische (sprich: reale) Sicherheit herzustellen? Wo beisst sich das mit der militärischen Sicht/die Sicht der Geheimdienste auf kritische Infrastruktur? Helfen z.b. Geheimdienste, kritische Infrastruktur sicherer zu machen?

Was wir brauchen Generell: Eine von Technik abhängige Gesellschaft muss jederzeit in der Lage sein, Soft- und Hardware zu prüfen und Probleme zu fixen Das generelle Recht, Unsicherheit zu thematisieren Fail FTW: Ordentliche Fehlerkultur

Was wir brauchen Konkret: Bessere Gewährleistung: Keine Sanktionen für Bugs, aber für nicht gefixte Sicherheitslücken Sanktionen anhand Motivation und Schaden ausrichten; klarere Schwellen definieren Kein Vendor-only Disclosure Verbot für Geheimdienste, Backdoors in öffentlicher Infrastruktur oder per Order in kommerzieller Software zu hinterlegen, bewusst Crypto oder Standards zu schwächen Source Escrow(?)

Danke für die Aufmerksamkeit!

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback