Daten gegen Missbrauch impfen! Wie geht das? - DataVaccinator.com - Cyber ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DataVaccinator.com
Daten gegen
Missbrauch impfen!
Wie geht das?
Kurt.kammerer@regify.com
kurt@vaccinator.net
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 1
Das Problem hat viele Gesichter “Data Breach”
The security team at Microsoft had
their New Year’s Eve festivities ruined
as they worked to patch a massive
breach of 250 million customer service
and support records.
https://www.cpomagazine.com/cyber-security/250-million-microsoft-
customer-service-records-exposed-exactly-how-bad-was-it/
The Top 12 Data Breaches of 2019
(over 100 million records each)
https://www.securitymagazine.com/articles/91366-the-top-12-data-breaches-of-2019
The 10 Biggest Healthcare Data
Breaches of 2019, So Far
https://healthitsecurity.com/news/the-10-biggest-
Figure: https://resources.infosecinstitute.com/2013-data-breaches-need-know/#gref
healthcare-data-breaches-of-2019-so-far
Singapore Ministry of Health HIV registry: In Singapore, the Ministry of Health admitted to a data breach exposing
the confidential and highly sensitive records of over 14,000 individuals diagnosed with HIV. This information was then leaked online.
Apple FaceTime: A Fortnite player found a bug in Apple iOS that allowed users to eavesdrop on an iPhone's environment by calling
but without it being answered. It may have also been possible to view live video feeds.
... More https://www.zdnet.com/article/these-are-the-worst-hacks-cyberattacks-and-data-breaches-of-2019/
Datenpannen kosten deutsche Unternehmen 193 Dollar pro Datensatz
https://www.crn.de/security/datenpannen-kosten-deutsche-unternehmen-193-dollar-pro-datensatz.120445.html
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 2
Das Problem hat viele Gesichter “Data Theft”
Daten von mehr als 100 Millionen US-
Bankkunden gestohlen (Bank Capital One)
https://www.zeit.de/digital/datenschutz/2019-07/hackerangriff-bankdaten-capital-one-
usa-kreditkarten
Datendiebstahl: Hunderte Millionen
Zugangsdaten zum Kauf angeboten
https://www.internetworld.de/technik/cybercrime/datendiebstahl-hunderte-millionen-
zugangsdaten-kauf-angeboten-1678371.html
Unternehmen sehen steigende Gefahr
durch Datenklau
https://www.dw.com/de/unternehmen-sehen-steigende-gefahr-durch-
datenklau/a-51598851
Mitarbeiter, die zu Innentätern wurden
https://www.computerwoche.de/a/mitarbeiter-die-zu-innentaetern-wurden,3544625
Datendiebstahl 2020+
• Daten werden werthaltiger
• Datenmarkt wächst
• Datendiebstahl bleibt lukrativ
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 3
Das Problem hat viele Gesichter “Data Hack”
The 10 biggest data hacks of the decade
https://www.cnbc.com/2019/12/23/the-10-biggest-data-hacks-of-the-decade.html
Germany whacked by big data hack
https://www.politico.eu/article/germany-data-hack-merkel-whacked/
Hack und Veröffentlichung privater Daten
deutscher Politiker und Prominenter
2018/2019 https://de.wikipedia.org
Millionen Log-in-Daten abgegriffen
https://www.tagesschau.de/ausland/internet-sicherheit-cybercrime-101~_origin-d2d296be-2e39-48ac-8bc9-b679a0e85bc3.html
Data Hack 2020+
• Hacker arbeiten professioneller
• Aufmerksamkeit für Hacks garantiert
• Verwertbarkeit von Hacks steigt weiter
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 4
Das Problem hat viele Gesichter “Data Leak”
Data Leak 2020+
• Umgang mit Daten wird
noch komplexer
• Irren bleibt menschlich.
https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder- • Es kann jeden treffen.
3-Millionen-Kundendaten-offen-im-Netz-4643015.html
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 5
Das Problem hat oft eine zentrale Wurzel.
Werden die Daten zentralisiert vorgehalten, sind sie
unmittelbar verwertbar für Dritte, die Zugang erlangen.
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 6
Gefahren zentralisierter Datenhaltung
Konto-Daten Bank ABC: Account-Daten Telecom Private Krankenakte
PID + Kontobewegungen PID + Kommunikationsdaten PID + Medizindaten
Wer auch immer Zugang erhält, hat Zugriff auf die Gesamtdaten.
Diese werden in Zeiten der Datenökonomie immer einfacher
verwertbar – nicht selten zum Nachteil des Dateneigentümers.
Personal Identifiers (PID) are a subset of personally identifiable information (PII) data
elements, which identify a unique individual and can permit another person to “assume”
that individual's identity without their knowledge or consent.
https://en.wikipedia.org/wiki/Personal_identifier
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 7Pseudonymisierung schon an der Wurzel
PID + Contents PID Contents
Klassische Applikation Innovative Applikation
(nachträgliche (pseudonymisiert schon
Pseudonymisierung) bei der Entstehung)
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 8Risiken “Zentralisiert versus Getrennt”
PID + Contents PID Contents
Werthaltige
Gesamtdaten
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 9DataVaccinator
PID Contents DataVaccinator:
1. Pseudonymisierung
an der Quelle
2. Universeller Einsatz
(Health, IoT, Finanz…)
3. Qualitätsgeprüfte Verfahren
4. Einbindung in neue
Applikationen
5. “Impfen” bestehender
Applikationen
Die Zusammenführung der
Daten erfolgt nur temporär und
Applikation verwendet nach Bedarf in der Applikation.
Data Vaccinator
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 10Warum ist DataVaccinator Open Source?
1. DataVaccinator löst ein dringendes Grundproblem
2. Heutige Pseudonymisierung ist teuer und ineffizient
i. Individualentwicklungen
ii. Hoher Zeitaufwand
iii. Qualität schwankt von Projekt zu Projekt
3. Data Vaccinator ist ein “Community Produkt”
i. Fertige Software, ständige Weiterentwicklung
ii. Spart Zeit und Geld
iii. Hohe Qualität durch Wiederverwendung
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 11DataVaccinator - Struktur Implementation und Betrieb: DataVaccinator-Service (Open Source) Speichert verschlüsselte PID. Kann seinen Dienst an mehrere Service-Provider liefern. Service-Provisioning / Integration Anwendung integriert den DataVaccinator (Webanwendung, lokale Anwendung). Muss gegebenenfalls geringe Kommunikations-Funktionalität bereitstellen. DataVaccinator-Client (Open Source) Entwickler-Komponente zur Verwendung des DataVaccinator-Service. Heute verfügbar als JavaScript. Weitere Implementationen folgen (zB DLL). 03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 12
DataVaccinator - IT Umgebung • Der DataVaccinator ist ein Webservice. Er wird in einer LAMP* oder WAMP*-Umgebung gehostet. • Der Service-Provider integriert die DataVaccinator- Funktionalität. Zum Beispiel mittels DataVaccinator- JavaScript-Client-Komponente in eine Node.js- Anwendung oder Webanwendung. • Der Service-Provider stellt gegebenenfalls eine einfache Proxy-Funktionalität zur Verfügung (zum Beispiel bei einer Webanwendung). *) LAMP = Linux, Apache, MySQL, PHP WAMP = Windows, Apache, MySQL, PHP 03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 13
DataVaccinator – flexible Betriebsmodelle
Der DataVaccinator-Service kann durch
Drittparteien betrieben werden und seine Dienste
für viele Service-Provider kommerziell anbieten
(mit hohem SLA und weltweiter Erreichbarkeit).
Organisationen wie zum Beispiel Krankenhäuser,
Universitäten, Banken oder beliebige Hersteller
können auch eigene öffentliche oder interne
DataVaccinator-Service-Instanzen betreiben.
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 14DataVaccinator
Impfen Sie mit!
Vielen Dank.
kurt@vaccinator.net
volker@vaccinator.net
03 2020 Cybersecurity Fairevent Dortmund 04.03.2020 15Sie können auch lesen
