Upload
eschna-pur
View
415
Download
1
Embed Size (px)
Citation preview
eSpionage
Wie sicher sind meine Daten?
10.07.13 Folie: 1
Stefan Beier, Thomas Gießel, Florian Kollmann
Wieso wird spioniert?
• Immer mehr personenbezogene Daten im Internet (E-‐Government, Xing)
• Immer mehr UnternehmenskommunikaPon über Web 2.0 (Firmendaten mit persönlichen Daten verknüpT)
• Immer mehr Cloud Dienste (Webstorage, Dropbox)
10.07.13 Folie: 2
Private: -‐ Meistens finanzielle MoPve (s. IdenPty TheT) oder Mobbing Arbeitgeber: -‐ Arbeitnehmer in Sozialen Netzwerken
Wer betreibt eSpionage?
Bekommen die Eltern Post vom Jugendamt?
10.07.13 Folie: 3
Unternehmen : -‐ Firmengeheimnisse -‐ Kompromi^eren der Konkurrenz Regierungen: -‐ Staatsgeheimnisse -‐ WirtschaTsstrategien -‐ AnP Terror (NSA) -‐ Kontrolle
Wer betreibt eSpionage?
10.07.13 Folie: 4
Was ist eSpionage?
• Ausspähen von digitalen Daten, meist mit dem MoPv einen Vorteil mit diesen zu erlangen
• § 202 Verletzung des Briefgeheimnisses • § 202a Ausspähen von Daten • § 202b Abfangen von Daten • § 202c Vorbereiten des Ausspähens und Abfangens von Daten
10.07.13 Folie: 5
eSpionage = Hacking?
§ 202a (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn besPmmt und die gegen unberechPgten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschai, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraT.
10.07.13 Folie: 6
eSpionage = Hacking?
§ 202a (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn besPmmt und die gegen unberechPgten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschai, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraT.
10.07.13 Folie: 7
eSpionage = Hacking?
Computer Fraud and Abuse Act (CFAA) „…unerlaubt in Computern und Datenbanken eindringt macht sich stramar und kann mit einer Freiheitsstrafe mit bis zu 20 Jahren verurteilt werden…“
Unerlaubt Zugang verschaffen -‐> Sehr weit ausgelegt.
10.07.13 Folie: 8
eSpionage = Hacking?
Schutzmaßnahme durch Geheimnis: • Private URL, Passwörter / Geheimfragen Sicherheitslücke in Schutzmaßnahme ausnutzen: • Passwort Atacken, SQL InjecPon, XSS
Social Hacking, System kompromi^eren durch Viren, Einkauf von Driten Gewaltsames eindringen • Computer stehlen, Rechenzentrum stürmen
10.07.13 Folie: 9
eSpionage = Hacking?
24.05.2013: Journalisten decken Datenleck auf und werden darauxin angeklagt
„127,000 suppor-ng documents or “proof” files, such as scans or photos […] driver’s licenses, tax records, U.S. and foreign passports”
“civil li-ga-on is highly likely”
10.07.13 Folie: 10
eSpionage = Hacking?
19.03.2013: Das Gesetz, das keine guten Hacker kennt
„Andrew Auernheimer alias ‚Weev‘ muss für 41 Monate ins Gefängnis, weil er auf ungesicherte Daten zugriff. Das Problem ist weniger die Tat als das zugrundeliegende Gesetz.“
10.07.13 Folie: 11
Spionage durch Regierungen
Edward Snowden Beruf: Whisteblower (=Hinweisgeber) Arbeitete früher sowohl für die NSA als auch die CIA Übergab Anfang Juni streng geheime InformaPonen über NSA-‐Programm „PRISM“ samt Dokumente an Guardian-‐Journalist
10.07.13 Folie: 12
PRISM – Was ist das?
Planning Tool for Resource IntegraPon, SynchronizaPon and Management Programm der NSA zur Überwachung und Auswertung von elektronischen Medien und elektronisch gespeicherten Daten Seit 2007 (evtl. sogar schon 2005)
10.07.13 Folie: 13
PRISM – Wer ist beteiligt?
Direkter Echtzeit-‐Zugriff auf Server beteiligter Unternehmen
10.07.13 Folie: 14
PRISM – Was wird ausspioniert?
Zugriff auf alle Nutzer-‐ und Verbindungsdaten • E-‐Mails • Telefonate • Kreditkarten-‐
TransakPonen • Google-‐Suchanfragen • etc.
10.07.13 Folie: 15
PRISM – Wer ist betroffen?
US-‐Bürger sind rechtlich geschützt Für Ausländer in Übersee gibt es keinen rechtlichen Schutz Ermöglicht durch: • Patriot Act • Foreign Intelligence Surveillance Act
10.07.13 Folie: 16
PRISM – Was kommt als nächstes?
Beteiligung weiterer Unternehmen Neues Datenlager in Bluffdale, Utah für ca. 2 Mrd. $
10.07.13 Folie: 17
Tempora
Snowden strikes again!
10.07.13 Folie: 18
Tempora – Was ist das?
Programm des GCHQ zur Überwachung des weltweiten TelekommunikaPons-‐ und Datenverkehrs Seit Ende 2011 Zwei Komponenten: • Mastering the Internet • Global Telecoms ExploitaPons
10.07.13 Folie: 19
Tempora – Wie wird spioniert?
Anzapfen von Internetknotenpunkten und transatlanPschen Datenverbindungen (Glasfaserkabel) von und nach Großbritannien Daten werden 30 Tage lang gespeichert
10.07.13 Folie: 20
Tempora – Ausmaße
200 Glasfaserkabel angezapT 21,6 Petabyte täglich 500 Mitarbeiter zur Analyse (GCHQ und NSA) 600 Millionen Telefonate täglich (2012) 850.000 Mitarbeiter der NSA und deren Subfirmen mit Zugriff
10.07.13 Folie: 21
PRISM & Tempora
Greifen perfekt ineinander Tempora (ungefiltert) PRISM (gezielt)
10.07.13 Folie: 22
Mehr Au}lärung
10.07.13 Folie: 23
Onlineverhalten mehr in Verbindung mit dem echten Leben bringen Stelle nichts auf soziale Netzwerke, die nicht auch wirklich für jeden besPmmt sind. Au}lärungskampagnen
Mehr Au}lärung
Mehr Au}lärung
10.07.13 Folie: 27
Anzahl Zeichen Verwendete Zeichen VariaPonen Angriffsdauer max.
6 A-‐Z 308 Mio. <1 Min. 8 A-‐Z 208 Mrd. ca. 6 Std. 8 A-‐Z a-‐z 53 Bil. ca. 64 Tage 8 A-‐Z a-‐z 0-‐9 218 Bil. ca. 264 Tage 8 A-‐Z a-‐z 0-‐9 !$.,-‐ ()&%§+#;:<>/@? 722 Bil. ca. 2,4 Jahre 12 A-‐Z a-‐z 0-‐9 !$.,-‐ ()&%§+#;:<>/@? 19 Sext. ca. 64 Mio. Jahre
Sichere Passwörter wählen
Quelle: 2012_05_02_Unternehmerforum_Datenschutz_Datensicherheit_IHK_Herford
Literatur für InformaPker
Sicherheit von Webanwendungen Maßnahmenkatalog und Best PracPces htps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/PublikaPonen/Studien/WebSec/WebSec_pdf.pdf?__blob=publicaPonFile
10.07.13 Folie: 28