![Page 1: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/1.jpg)
Privacy and Security in Information Systems GroupProf. Dr. Dominik HerrmannO0o-Friedrich Universität Bamberg
![Page 2: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/2.jpg)
Safety
Vertraulichkeit
TechnischerDatenschutz
Schwächen in heutigenSystemen identifizieren
DatenschutzfreundlicheSysteme gestalten
VerfügbarkeitIntegrität
SecurityArbeitsgebiete
Weiterbildung
![Page 3: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/3.jpg)
Beispiele
Privacy
Recht auf Datenauskunft
Transparenz mit PrivacyScore
Security
Tippfehler bei Paketverwaltung
![Page 4: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/4.jpg)
Frühere Buchungen:Bonn 01/16 78 €Florenz 08/16 99 €
Datenübermittlung
Anwender Anbieter
DatenschutzrechtAnspruch auf Auskun; und Löschung
BDSG § 34 f. und Art. 15 DSGVO
Weitergabe?
![Page 5: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/5.jpg)
Wie reagieren Anbieter auf Auskunftsanfragen?Evaluation von 120 Webseiten und 150 Apps
RegistrierungPaul MeierVogt-Kölln-Str. 3022527 Hamburg
[email protected]: 0151-21512491geb. am 05.03.1981
informelle Anfrage Sehr geehrte Damen und Herren,
ich würde mich gerne darüber informieren, welche Daten Sie über mein Profil [email protected] gespeichert haben und wie diese verwendet werden. BiQe lassen Siemir diese InformaSonen zeitnah zukommen.
Mit freundlichen GrüßenPaul Meier
Sender: Paul Meier <[email protected]>An: Datenschutzbeau[ragter (sonst: Kunden-Support)Sender: Paul Meier <[email protected]>An: Datenschutzbeau[ragter (sonst: Kunden-Support)
![Page 6: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/6.jpg)
Wie reagieren Anbieter auf Auskunftsanfragen?Evaluation von 120 Webseiten und 150 Apps
RegistrierungPaul MeierVogt-Kölln-Str. 3022527 Hamburg
[email protected]: 0151-21512491geb. am 05.03.1981
informelle Anfrage
formale Anfrage
Sehr geehrte Damen und Herren,
ich würde mich gerne darüber informieren, welche Daten Sie über mein Profil [email protected] gespeichert haben und wie diese verwendet werden. BiQe lassen Siemir diese InformaSonen zeitnah zukommen.
Mit freundlichen GrüßenPaul Meier
Sender: Paul Meier <[email protected]>An: Datenschutzbeau[ragter (sonst: Kunden-Support)
keine akzeptableAntwort innerhalb1 Woche?
Hiermit fordere ich Sie gem. § 34 BDSG auf … mir Auskunft zu erteilen, welche Daten über mich bzw. mein Profil [email protected] bei Ihnen gespeichert sind und zu welchem Zweck (§ 34 I-III BDSG i.V.m. § 6 II, § 28 Abs. 4) …
Für die Erledigung setze ich Frist auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie zuständige Aufsichtsbehörde gem. § 38 BDSG einzuschalten.
Sender: Paul Meier <[email protected]>An: Datenschutzbeauftragter (sonst: Kunden-Support)Sender: Paul Meier <[email protected]>
An: Datenschutzbeauftragter (sonst: Kunden-Support)
![Page 7: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/7.jpg)
Wie reagieren Anbieter auf Auskun0sanfragen?Evalua&on von 120 Webseiten und 150 Apps
RegistrierungPaul MeierVogt-Kölln-Str. 3022527 Hamburg
[email protected]: 0151-21512491geb. am 05.03.1981
informelle Anfrage
formale Anfrage
Sehr geehrte Damen und Herren,
ich würde mich gerne darüber informieren, welche Daten Sie über mein Profil [email protected] gespeichert haben und wie diese verwendet werden. Bitte lassen Siemir diese Informationen zeitnah zukommen.
Mit freundlichen GrüßenPaul Meier
Sender: Paul Meier <[email protected]>An: Datenschutzbeauftragter (sonst: Kunden-Support)
keine akzeptableAntwort innerhalb1 Woche?
Hiermit fordere ich Sie gem. § 34 BDSG auf … mir Auskun\ zu erteilen, welche Daten über mich bzw. mein Profil [email protected] bei Ihnen gespeichert sind und zu welchem Zweck (§ 34 I-III BDSG i.V.m. § 6 II, § 28 Abs. 4) …
Für die Erledigung setze ich Frist auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie zuständige Aufsichtsbehörde gem. § 38 BDSG einzuschalten.
Sender: Paul Meier <[email protected]>An: Datenschutzbeau\ragter (sonst: Kunden-Support)
Fake-Anfrage
Sehr geehrte Damen und Herren,
ich würde mich gerne darüber informieren, welche Daten Sie über mein Profil [email protected] gespeichert haben und wie diese verwendet werden. Bitte lassen Siemir diese Informationen zeitnah zukommen.
Mit freundlichen GrüßenPaul Meier
Sender: Paul Meier <[email protected]>An: Datenschutzbeauftragter (sonst: Kunden-Support)
keine akzeptableAntwort innerhalb1 Woche?
!
![Page 8: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/8.jpg)
Fake-Anfrage
nicht erreichbar verweigert
0.16
keine Reaktion (0.43) Auskunft verweigert (0.30)
unvollständig
unvollständig (0.28) 0.07keine ReakCon (0.31) 0.050.01
Konto verschwunden
0.02
unvollständig keine Reaktion (0.23) 0.080.080.01
OK (0.18) 0.07
informelle Anfrage
formale Anfrage
OK (0.28)
OK (0.43)
Ergebnisse für Datenauskun? bei Webseiten
![Page 9: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/9.jpg)
Beispiele
![Page 10: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/10.jpg)
Transparenz durch PrivacyScore.org
![Page 11: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/11.jpg)
Top20Cities
Known
Trackers
ThirdParty
Servers
ThirdParty
Cookies Web:HTTPS Mail:STARTTLS
Hamburg 40 81 49 noredirection minorissues
Berlin 22 37 17 minorissues noTLS1.2
Leipzig 6 10 5 noredirection minorissues
München 5 11 3 enforcesHTTP! minorissues
Bremen 4 13 3 minorissues noTLS1.2
Dresden 3 8 4 noredirection minorissues
Düsseldorf 2 3 3 certificateissue checktimedout
Hannover 2 3 1 minorissues minorissues
Köln 2 3 1 enforcesHTTP! minorissues
Stuttgart 1 7 2 noredirection minorissues
Bielefeld 1 2 0 noredirection minorissues
Bonn 1 1 0 checktimedout minorissues
Duisburg 0 4 0 noredirection checktimedout
Essen 0 2 1 minorissues minorissues
Wuppertal 0 2 0 minorissues minorissues
Münster 0 0 0 minorissues noTLS1.2
Dortmund 0 0 0 noTLS1.2 minorissues
Nürnberg 0 0 0 noTLS1.2 minorissues
Bochum 0 0 0 minorissues minorissues
Frankfurt 0 0 0 minorissues minorissues
adnxs.com googlesyndication.commxcdn.net adsafeprotected.comtealiumiq.com youtube.commookie1.com adform.net criteo.comadtech.de google-analytics.comgstatic.com truste.com oms.eutiqcdn.com adnet.de mathtag.comrefinedads.com stickyadstv.comgoogleapis.com smartadserver.comdoubleclick.net theadex.com m6r.eu mpnrs.com adition.com fqtag.com2mdn.net intelliad.de ioam.demeetrics.net turn.com fonts.comcloudfront.net mp-success.comcontent-recommendation.net […]
Betriebdurch
Media-agentur
Wie verbreitet ist Tracking auf Webseiten von Kommunen?(November 2017)
![Page 12: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/12.jpg)
14Aug
27Okt
Delta
Piraten 0 0 –
Linke 0 1
Die PARTEI 0 0 –
CDU 1 1 –
Grüne 1 2
SPD 1 0 J
FDP 2 2 –
AFD 4 4 –
CSU 5 38
NO. OF KNOWN TRACKERS
Änderungen im Zeitverlaufnachvollziehbar machen(in Entwicklung)
![Page 13: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/13.jpg)
Security in der So-ware-Entwicklung:
Tippfehler bei der Paketverwaltung
![Page 14: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/14.jpg)
Typosqatting bei Paketmanagern
Studie mit 214 PaketnamenInstallationsmeldung per HTTP-Request; Warnhinweis für Entwickler auf Konsole
Unterschätztes Problem>19.000 Installationen44 % als root, 25 mil/gov
Software-Repositorysz.B. PyPi (Python)
Jeder darf Pakete mit beliebigen Namen hoch-laden; diese sind sofort verfügbar; Schadcodebei Installation und zur Laufzeit ausführbar.Ausnutzen von Tippfehlern und Irrtümernreqeusts request req7ests
urllib json bs4
sudo pip install requests
in stdlib enthalten!
sudo pip install beautifulsoup4
import bs4 from BeautifulSoup
Konzept für sicheres Software-Repository:� Blacklisting von irreführenden Namen� Entwickler vor Paketen mit niedriger
Reputation warnen
![Page 15: Privacy andSecurity in Information Systems Group...2018/02/21 · Düsseldorf 2 3 3 certificate issue check timed out Hannover 2 3 1 minor issues minor issues Köln 2 3 1 enforces](https://reader034.vdocuments.mx/reader034/viewer/2022051903/5ff4577c6c88626863672700/html5/thumbnails/15.jpg)
Privacy and Security in Information Systems GroupProf. Dr. Dominik Herrmann
https://www.uni-bamberg.de/psi/
PrivacyUnaufdringliche techn. Lösungen
Anreize durch Transparenz
Mitarbeiterdatenschutz
Open Data für Smart Cars(Schweiz)
SecuritySicherheit im Bereich DevOps
Cyber-Defense-Strategien für D(Heinrich-Böll-SMNung)
Ethik für die Digitale Gesellscha=