Seminar Bald wissen wir alles über dich Datenschutz im Alltag Teil 4: Datenschutz und Sicherheit im Netz 19.6.2010 in Bempflingen beim BDP Baden-Württemberg Stefan Pfeil mail@nachgehakt.org
Hinweis Die Texte sind unter einer Creative Commons Lizenz verfügbar Sie dürfen: das Werk bzw. den Inhalt vervielfältigen, verbreiten und öffentlich zugänglich machen Abwandlungen und Bearbeitungen des Werkes bzw. Inhaltes anfertigen Zu den folgenden Bedingungen: Namensnennung Sie müssen den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen. Keine kommerzielle Nutzung Dieses Werk bzw. dieser Inhalt darf nicht für kommerzielle Zwecke verwendet werden. Um die Lizenz anzusehen, gehen Sie bitte auf http://creativecommons.org/licenses/by-nc/3.0/de/ Sollten Sie Fehler in den Folien finden oder Teile für eigene Arbeiten wiederverwenden, würde ich mich über eine kurze Nachricht sehr freuen.
Inhalt Gefahren im Netz Gefahren früher & Gefahren heute Trojaner, Viren und Würmer Phishing Datenschutz im Netz (Tracking-) Cookies & Flash Cookies Profilbildung und Web-Analyse Geolokalisation & Personalisierte Werbung Suchgigant Google, Google Dienste Tipps für sicheres Surfen Emails Spam & Trash-Mailadressen Emails sind... Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 3
Gefahren früher noch vor einigen Jahren waren Microsoft-Programme das größte Sicherheitsrisiko Schädlinge nutzen vor allem Lücken in Office (Word, Power Point, Excel) oder dem Internet Explorer aus danach folgten Lücken in Windows selbst oder weiteren Microsoft- Programmen wie dem Windows Media Player wegen ihrer damals noch geringen Verbreitung gab es kaum Schadsoftware ( Exploits ), die Lücken in Open Source Software nutzen Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 4
Gefahren heute drastisch zugenommen haben Exploits für Sicherheitslücken populärer Browser-Plugins: Adobe Flash und Adobe Reader Java Apple Quicktime viele dieser Lücken können nur mit aktiviertem Javascript genutzt werden, oftmals reicht dann aber ein Besuch der Seite aus, um sich zu infizieren ( drive-by ) weiterhin gefährlich sind Lücken in den Browsern selbst, in Windows oder anderen Programmen Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 5
Schadsoftware (1) Virus Wurm ein Virus installiert sich über eine Aktion des Benutzers (z.b. bei der Ausführung einer Datei) im Gegensatz zum Virus verbreitet sich ein Wurm von selbst weiter, indem er andere verwundbare Rechner sucht Von Viren oder Würmern übernommene PCs können oftmals über einen Server im Internet ferngesteuert werden und so zum Spam- Versand oder zu DDoS-Angriffen (stark vereinfacht: Versuch durch massenhaften Zugriff Server oder Nutze zu überlasten) benutzt werden Wegen der Fernsteuerung spricht man auch von Bot-Netzen. Einige Bot-Netze bringen es auf mehrere Millionen Zombie- Rechner Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 6
Schadprogramme (2) Trojaner Trojaner installieren sich versteckt im System und übertragen Daten an einen entfernten Server, teilweise manipulieren sie auch die angezeigten und abgesandten Daten ( man-in-themiddle -Attack) u.a. spionieren Trojaner Online-Banking-Daten, Passwörter (z.b. für Online-Spiele, Mailkonten) oder E-Mail-Adressen aus spezielle Trojaner, sog. Keylogger protokollieren sogar jeden Tastendruck Scareware Scareware täuscht eine Viren-Warnung vor und versucht den Nutzer zum Kauf einer kostenpflichtigen Lösung zu animieren auch wenn das Entfernungs-Tool gekauft wurde, werden weitere Meldungen angezeigt die Verbreitung von Scareware steigt in letzter Zeit deutlich an Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 7
Phishing Phishing ist mittlerweile eine Art Volkssport für Internetkriminelle, 2009 stiegen die Phishing-Fälle um 64% im Regelfall wird über eine Mail versucht, den Nutzer einzuschüchtern und ihn auf eine täuschend echte Kopie z.b. der Online-Banking-Webseite zu locken gibt der Kunde dort seine Daten ein, haben die Kriminellen freie Bahn teilweise gibt es aber auch gezieltes Phishing Informationen über die Zielperson werden gesammelt (z.b. über soziale Netzwerke) mit einer täuschend echt gefälschten Mail z.b. eines Freundes, versucht man an die Login-Daten zu kommen dieses Vorgehen wurde z.b. beim Spionageangriff auf Google Anfang 2010 eingesetzt Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 8
Datenschutz im Netz (Tracking-) Cookies & Flash Cookies Profilbildung, Browser-Fingerprint (EFF) und Google Analytics Geolokalisation Personalisierte Werbung Suchgigant Google, Google Dienste Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 9
Cookies Cookies sind kleine Textdateien, die ein Server im Internet-Browser des Rechners speichert Cookies werden z.b. zur Authentifizierung oder Identifizierung verwendet (z.b. (dauerhafter) Login in eine Webseite) sie können aber auch eingesetzt werden, um zu speichern, welche Unterseiten der Nutzer auf der Homepage aufgerufen hat, welche Produktseiten er sich angesehen hat problematisch werden Cookies z.b. bei langer Lebensdauer ( 30 Jahre) oder wenn mittels Tracking-Cookie auf vielen Seiten Daten durch den gleichen Anbieter gesammelt werden (z.b. Google Doubleclick oder Google Analytics) auf fast allen Seiten kommt man problemlos ohne Cookies zurecht Cookies zu blocken ist ein Ansatz, weniger Spuren im Netz zu hinterlasen Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 10
Flash-Cookies sehr viel unbekannter als Browsercookies sind Flash Cookies nur wenigen Nutzern ist überhaupt bekannt, dass es Flash Cookies gibt während alle Browser mittlerweile detaillierte Einstellungen für Browsercookies haben, gilt dies nicht für Flash-Cookies Einstellungen können nur auf einer speziellen Seite des Flash- Herstellers Adobe vorgenommen werden Flash Cookies können dort auch komplett geblockt werden dies kann aber zu Problemen z.b. beim Ansehen von Videos führen alternativ können Browser-Addons eingesetzt werden, die die Cookies z.b. beim Beenden löschen Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 11
Surfen heißt Spuren hinterlassen... Jeder normale Zugriff auf eine Webseite hinterlässt Spuren, wenn diese nicht vom Benutzer verwischt oder vom Serverbetreiber nicht erhoben werden Beispielsweise wird übertragen: IP-Adresse Referrer (d.h. die verweisende Seite) Browser-Kennung mit Betriebssystem über Cookies und Analysesoftware können noch weitere Daten gewonnen werden Ziel der Datensammlung ist in vielen Fällen eine Profilbildung (z.b. Hauptnutzer der Seite sind junge Männer unter 30 aus Deutschland), um Werbung und Internetseite zu optimieren je mehr man (ungewollt?) über sich preis gibt, desto genauer wird das Profil Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 12
Google Analytics (1) Google Analytics wird von Webseiten-Betreibern eingesetzt, um mehr über die Nutzer zu erfahren neben den sowieso anfallenden Informationen bietet Google- Analytics weitere Informationen wie z.b. Bildschirm-Auflösung, Lokalisierung und Prognosen über den Nutzer Google Analytics kann mit Google AdWords verwoben werden, um noch bessere Auskünfte zu erhalten (z.b. welche Anzeigen angeklickt wurden) bis vor kurzem bot Google keine Möglichkeit an, Analytics zu blockieren außerdem wurden die kompletten IP-Adressen gespeichert ebenso wurde kritisiert, dass die Nutzer keine Möglichkeit haben, gegenüber dem Seitenbetreiber der Speicherung ihrer Daten zu widersprechen Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 13
Google Analytics (2) in einem gemeinsamen Entschluss der Datenschützer von Bund und Ländern wurde Google Analytics als unvereinbar mit dem deutschen Datenschutzrecht eingestuft Google hat auf die Kritik (teilweise) reagiert und stellt ein Browser- Plugin zur Verfügung, mit dem Nutzer Google Analytics blockieren können außerdem können Seitenbetreiber optional IP-Adressen nur verkürzt und damit stärker anonymisiert erfassen insbesondere kleinere Unternehmen oder private Seitenbetreiber sollten aber lokale, datenschutzfreundlichere Analyse-Skripte wie z.b. Pikwik nutzen zu kritisieren bleibt neben der Marktmacht Googles auf dem Webanalyse-Sektor die mögliche Verknüpfung mit anderen Google- Diensten, auch wenn Google dies bisher ausschließt Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 14
Browser-Fingerabdruck die EFF (Electronic Frontier Foundation) hat eine Testseite ins Netz gestellt, unter der man testen kann, wie einzigartig und damit wiedererkennbar! - der eigene Browser ist 500.000 Nutzer testeten ihren Browser unter https://panopticlick.eff.org/ 84% aller Browser hatten einen eindeutigen Fingerabdruck waren Flash oder Java aktiv, stieg dieser Wert auf 94% dies macht es leicht, Nutzer im Netz eindeutig zu identifizieren! am Besten schnitten Browser ab, die das Anonymisierungsnetzwerk TOR (The Onion Router) nutzten Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 15
Geolokalisierung ein zunehmender Trend ist die Geolokalisierung einerseits für ortsbasierte soziale Netze (z.b. Foursquare, Gowalla) andererseits für lokalisierte Werbung und Dienste wie Preisvergleiche, Gutscheinangebote usw. bisher basierte die Lokalisierung meist auf der IP und war daher teilweise ungenau mittlerweile unterstützen auch die Browser Geolokalisierung, allerdings nur mit Einwilligung des Nutzers besondere Bedeutung hat natürlich die zunehmende Verbreitung von GPS-Empfängern in Handys, die eine genaue Ortung ermöglicht je genauer die Ortung, desto höher aber auch das Risiko eines Missbrauchs (z.b. missbräuchliche Ortung des Handys Partners) Nutzer sollten sich der Risiken bei der Nutzung ortsbasierter Dienste im Klaren sein (z.b. Einbruch, wenn nicht zu Hause; Stalking, abpassen ) Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 16
Datengigant Google (1) 90% aller Suchanfragen in Deutschland gehen über Google Google bietet mittlerweile eine Vielzahl von Diensten an Google Mail Google Text und Tabellen Google Maps Google Reader Google Street View (fotografierte Straßen- und Hausansichten) Google Earth Chrome (Internetbrowser) Android (Betriebssystem für mobile Geräte) demnächst: Chrome OS (Betriebssystem, dessen Anwendungen hauptsächlich internetbasiert sein sollen) Google AdSense und Ad Manager (Internetwerbung)... Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 17
Datengigant Google (2) Google bietet seine Dienste im Regelfall kostenlos an und finanziert sie über Werbung je mehr Dienste der Nutzer verwendet, umso mehr Daten sammelt Google die meisten Menschen sind sich nicht darüber bewusst, was Google alles über sie weiß, einziger Konkurrent in puncto Datenfülle dürfte mittlerweile Facebook sein Google speicherte Suchdaten ursprünglich bis zu 24 Monate, mittlerweile werden die IP-Adressen nach nur 9 Monaten gelöscht bei aller Kritik an der Datenfülle geht Google sorgsam mit den Daten um kritisiert wurde z.b. aber die Herausgabe von Daten an totalitäre Staaten Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 18
Tipps für sicheres Surfen (1) Software aktuell halten Betriebssystem Plugins/Hilfsprogramme (Java, PDF, Flash) Browser (Firefox, Chrome, Safari,...) Medien Player (Quicktime, Real Player,...) Instant Messenger... TIPP: Secunia Personal Software Inspector mit dem Tool lässt sich sehr einfach prüfen, welche Programme aktualisiert werden müssen Virenscanner, der (mind.) täglich aktualisiert wird Firewall (die Windows-Firewall reicht völlig aus) Links zu Login-Seiten nie aus Mails aufrufen, sondern eintippen oder aus Lesezeichen öffnen (Online-Banking!) Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 19
Tipps für sicheres Surfen (2) nicht mit Admin-Rechten arbeiten/surfen, immer ein Kennwort für das Benutzerkonto vergeben Javascript beim Aufruf unbekannter Seiten deaktivieren wer ganz sicher gehen will, sollte Online-Banking nur von einem speziell dafür installierten, eigenem Betriebssystem oder einer Live- CD betreiben automatische Cookie-Behandlung aufheben und z.b. entweder alle Cookies beim Schließen des Browsers löschen lassen oder nur gezielt erlauben History/Surf-Chronik deaktivieren oder regelmäßig löschen (diese kann ausspioniert werden) wo immer möglich SSL-verschlüsselte Seiten nutzen, insbesondere bei Logins TOR einsetzen Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 20
Tipps für sicheres Surfen (3) nur auf sicheren PCs einloggen nicht im Internetcafe nicht im offenen WLAN Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 21
Emails: Spam (1) ca. 85% aller E-Mails sind Spam selbst bei ungenutzten E-Mail-Adressen geht meist nach einiger Zeit Spam ein, da versucht wird gültige Adressen zu finden wer seine E-Mail-Adresse lesbar im Netz hinterlässt, muss auch mit Spam rechnen Email-Adressen sollten entweder per Javascript verschlüsselt, gebrochen (@ ersetzen, allerdings nicht durch [at] sondern umschrieben, bei, usw.) oder als Bilddatei dargestellt werden es empfehlen sich mind. 2 E-Mail-Adressen eine für enge Kontakte eine zweite für Registrierungen und weniger nahe Bekannte mind. bei der Haupt-Mailadresse empfiehlt sich, Freunde entweder zu bitten, Kettenmails ganz zu unterlassen oder sie nur an versteckte Absender (BCC) zu schicken Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 22
Emails: Spam (2) muss man eine Mailadresse definitiv nur 1 Mal benutzen, empfiehlt sich ein Trash-Mail-Anbieter Trash-Mail-Adressen gibt es in versch. Formen, z.b. für jeden frei abrufbare E-Mail-Adresse (hier dann kryptische Zahlen- und Ziffernfolge verwenden) oder als Weiterleitung, entweder in der Anzahl oder zeitlich begrenzt (für die Weiterleitung sollte dann aber nicht die Hauptadresse verwendet werden...) Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 23
Trugschluss E-Mail für uns sind E-Mails wie Briefe, wir schreiben anderen teils auch intime Details der Vergleich mit dem Brief ist aber falsch! E-Mails sind Postkarten! sie sind leicht abzufangen und zu lesen wichtige/intime Dinge sollten daher (eigentlich) nur verschlüsselt versendet werden Problem: sowohl Absender als auch Empfänger muss verschlüsseln/entschlüsseln können Verschlüsselung funktioniert also nur, wenn auch der Gegenüber mitmacht Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 24
Quellen [1] Electronic Frontier Foundation. Is Every Browser Unique? Results Fom The Panopticlick Experiment. URL: http://bit.ly/byehlj (Abgerufen 2010-06-18) [2] heise online. Facebook, das neue Phishing-Ziel. URL: http://bit.ly/ac9h0e (Abgerufen 2010-06-18) Seminar Datenschutz Teil 4: Datenschutz und Sicherheit im Netz 25