1. eSpionage
Wie
sicher
sind
meine
Daten?
10.07.13
Folie:
1
Stefan
Beier,
Thomas
Gießel,
Florian
Kollmann
2. Wieso
wird
spioniert?
• Immer
mehr
personenbezogene
Daten
im
Internet
(E-‐Government,
Xing)
• Immer
mehr
UnternehmenskommunikaPon
über
Web
2.0
(Firmendaten
mit
persönlichen
Daten
verknüpT)
• Immer
mehr
Cloud
Dienste
(Webstorage,
Dropbox)
10.07.13
Folie:
2
3. Private:
-‐
Meistens
finanzielle
MoPve
(s.
IdenPty
TheT)
oder
Mobbing
Arbeitgeber:
-‐
Arbeitnehmer
in
Sozialen
Netzwerken
Wer
betreibt
eSpionage?
Bekommen
die
Eltern
Post
vom
Jugendamt?
10.07.13
Folie:
3
4. Unternehmen
:
-‐
Firmengeheimnisse
-‐
Kompromi^eren
der
Konkurrenz
Regierungen:
-‐
Staatsgeheimnisse
-‐
WirtschaTsstrategien
-‐
AnP
Terror
(NSA)
-‐
Kontrolle
Wer
betreibt
eSpionage?
10.07.13
Folie:
4
5. Was
ist
eSpionage?
• Ausspähen
von
digitalen
Daten,
meist
mit
dem
MoPv
einen
Vorteil
mit
diesen
zu
erlangen
• §
202
Verletzung
des
Briefgeheimnisses
• §
202a
Ausspähen
von
Daten
• §
202b
Abfangen
von
Daten
• §
202c
Vorbereiten
des
Ausspähens
und
Abfangens
von
Daten
10.07.13
Folie:
5
6. eSpionage
=
Hacking?
§
202a
(1)
Wer
unbefugt
sich
oder
einem
anderen
Zugang
zu
Daten,
die
nicht
für
ihn
besPmmt
und
die
gegen
unberechPgten
Zugang
besonders
gesichert
sind,
unter
Überwindung
der
Zugangssicherung
verschai,
wird
mit
Freiheitsstrafe
bis
zu
drei
Jahren
oder
mit
Geldstrafe
bestraT.
10.07.13
Folie:
6
7. eSpionage
=
Hacking?
§
202a
(1)
Wer
unbefugt
sich
oder
einem
anderen
Zugang
zu
Daten,
die
nicht
für
ihn
besPmmt
und
die
gegen
unberechPgten
Zugang
besonders
gesichert
sind,
unter
Überwindung
der
Zugangssicherung
verschai,
wird
mit
Freiheitsstrafe
bis
zu
drei
Jahren
oder
mit
Geldstrafe
bestraT.
10.07.13
Folie:
7
8. eSpionage
=
Hacking?
Computer
Fraud
and
Abuse
Act
(CFAA)
„…unerlaubt
in
Computern
und
Datenbanken
eindringt
macht
sich
stramar
und
kann
mit
einer
Freiheitsstrafe
mit
bis
zu
20
Jahren
verurteilt
werden…“
Unerlaubt
Zugang
verschaffen
-‐>
Sehr
weit
ausgelegt.
10.07.13
Folie:
8
9. eSpionage
=
Hacking?
Schutzmaßnahme
durch
Geheimnis:
• Private
URL,
Passwörter
/
Geheimfragen
Sicherheitslücke
in
Schutzmaßnahme
ausnutzen:
• Passwort
Atacken,
SQL
InjecPon,
XSS
Social
Hacking,
System
kompromi^eren
durch
Viren,
Einkauf
von
Driten
Gewaltsames
eindringen
• Computer
stehlen,
Rechenzentrum
stürmen
10.07.13
Folie:
9
10. eSpionage
=
Hacking?
24.05.2013:
Journalisten
decken
Datenleck
auf
und
werden
darauxin
angeklagt
„127,000
suppor-ng
documents
or
“proof”
files,
such
as
scans
or
photos
[…]
driver’s
licenses,
tax
records,
U.S.
and
foreign
passports”
“civil
li-ga-on
is
highly
likely”
10.07.13
Folie:
10
11. eSpionage
=
Hacking?
19.03.2013:
Das
Gesetz,
das
keine
guten
Hacker
kennt
„Andrew
Auernheimer
alias
‚Weev‘
muss
für
41
Monate
ins
Gefängnis,
weil
er
auf
ungesicherte
Daten
zugriff.
Das
Problem
ist
weniger
die
Tat
als
das
zugrundeliegende
Gesetz.“
10.07.13
Folie:
11
12. Spionage
durch
Regierungen
Edward
Snowden
Beruf:
Whisteblower
(=Hinweisgeber)
Arbeitete
früher
sowohl
für
die
NSA
als
auch
die
CIA
Übergab
Anfang
Juni
streng
geheime
InformaPonen
über
NSA-‐Programm
„PRISM“
samt
Dokumente
an
Guardian-‐Journalist
10.07.13
Folie:
12
13. PRISM
–
Was
ist
das?
Planning
Tool
for
Resource
IntegraPon,
SynchronizaPon
and
Management
Programm
der
NSA
zur
Überwachung
und
Auswertung
von
elektronischen
Medien
und
elektronisch
gespeicherten
Daten
Seit
2007
(evtl.
sogar
schon
2005)
10.07.13
Folie:
13
14. PRISM
–
Wer
ist
beteiligt?
Direkter
Echtzeit-‐Zugriff
auf
Server
beteiligter
Unternehmen
10.07.13
Folie:
14
15. PRISM
–
Was
wird
ausspioniert?
Zugriff
auf
alle
Nutzer-‐
und
Verbindungsdaten
•
E-‐Mails
•
Telefonate
•
Kreditkarten-‐
TransakPonen
•
Google-‐Suchanfragen
•
etc.
10.07.13
Folie:
15
16. PRISM
–
Wer
ist
betroffen?
US-‐Bürger
sind
rechtlich
geschützt
Für
Ausländer
in
Übersee
gibt
es
keinen
rechtlichen
Schutz
Ermöglicht
durch:
•
Patriot
Act
•
Foreign
Intelligence
Surveillance
Act
10.07.13
Folie:
16
17. PRISM
–
Was
kommt
als
nächstes?
Beteiligung
weiterer
Unternehmen
Neues
Datenlager
in
Bluffdale,
Utah
für
ca.
2
Mrd.
$
10.07.13
Folie:
17
19. Tempora
–
Was
ist
das?
Programm
des
GCHQ
zur
Überwachung
des
weltweiten
TelekommunikaPons-‐
und
Datenverkehrs
Seit
Ende
2011
Zwei
Komponenten:
•
Mastering
the
Internet
•
Global
Telecoms
ExploitaPons
10.07.13
Folie:
19
20. Tempora
–
Wie
wird
spioniert?
Anzapfen
von
Internetknotenpunkten
und
transatlanPschen
Datenverbindungen
(Glasfaserkabel)
von
und
nach
Großbritannien
Daten
werden
30
Tage
lang
gespeichert
10.07.13
Folie:
20
21. Tempora
–
Ausmaße
200
Glasfaserkabel
angezapT
21,6
Petabyte
täglich
500
Mitarbeiter
zur
Analyse
(GCHQ
und
NSA)
600
Millionen
Telefonate
täglich
(2012)
850.000
Mitarbeiter
der
NSA
und
deren
Subfirmen
mit
Zugriff
10.07.13
Folie:
21
23. Mehr
Au}lärung
10.07.13
Folie:
23
Onlineverhalten
mehr
in
Verbindung
mit
dem
echten
Leben
bringen
Stelle
nichts
auf
soziale
Netzwerke,
die
nicht
auch
wirklich
für
jeden
besPmmt
sind.
Au}lärungskampagnen
27. Mehr
Au}lärung
10.07.13
Folie:
27
Anzahl
Zeichen
Verwendete
Zeichen
VariaPonen
Angriffsdauer
max.
6
A-‐Z
308
Mio.
<1
Min.
8
A-‐Z
208
Mrd.
ca.
6
Std.
8
A-‐Z
a-‐z
53
Bil.
ca.
64
Tage
8
A-‐Z
a-‐z
0-‐9
218
Bil.
ca.
264
Tage
8
A-‐Z
a-‐z
0-‐9
!$.,-‐
()&%§+#;:<>/@?
722
Bil.
ca.
2,4
Jahre
12
A-‐Z
a-‐z
0-‐9
!$.,-‐
()&%§+#;:<>/@?
19
Sext.
ca.
64
Mio.
Jahre
Sichere
Passwörter
wählen
Quelle:
2012_05_02_Unternehmerforum_Datenschutz_Datensicherheit_IHK_Herford
28. Literatur
für
InformaPker
Sicherheit
von
Webanwendungen
Maßnahmenkatalog
und
Best
PracPces
htps://www.bsi.bund.de/SharedDocs/Downloads/
DE/BSI/PublikaPonen/Studien/WebSec/
WebSec_pdf.pdf?__blob=publicaPonFile
10.07.13
Folie:
28