PrivacyScore.org - Uni Bamberg
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
PrivacyScore.org Eine Plattform zum Vergleich von Privacy- und Security-Eigenschaften von Webseiten Prof. Dr. Dominik Herrmann ZD.B Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen Otto-Friedrich Universität Bamberg Folien: https://dhgo.to/pspa19
Art. 12 (1) DSGVO 90% „unverständlich“ […] in präziser, transparenter, verständ- licher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu 86% „zu lang“ übermitteln. warum? meistens gelogen … Bitkom Research (2015): https://www.bitkom.org/Presse/Presseinformation/Internetnutzer-gehen-pragmatisch-mit-Datenschutz-um.html 4
Die rechtlichen Anforderungen sind erfüllt. Aufsichtsbehörden sind überlastet. rechtskonform ≠ ethisch korrekt 6
ethisch korrekt hohe Erwartungen an Anbieter und Empörungskultur Wir könnten Transparenz bzgl. Verarbeitungspraktiken herstellen. Anreiz für besseren Schutz der Privatsphäre? 7
Viele Scan-Dienste untersuchen lediglich einzelne Seiten. Ist das viel? Ist das gut oder schlecht? 8
Ziel: öffentliche Benchmarks, Jeder kann (annotierte) Listen von um Anreize für Betreiber zu Webseiten hochladen und das schaffen, den Schutz der Ranking beeinflussen. Privatsphäre zu verbessern. Open Source (GPLv3+) Open Data 9
Tests von PrivacyScore Privatsphäre Verschlüsselung Verschlüsselung andere und Tracking Webserver Mailserver Angriffe HTTPS/STARTTLS verfügbar? Referer-Policy Third Par)es Zertifikat: gültig / Schlüssellänge Security-Header Bekannte Tracker Unsichere Protokolle: SSLv3, … Problematische Server-Standorte Schwachstellen: Heartbleed, … Inhalte HSTS server-status Mixed Content phpinfo.php server.key Automa)sche Umleitung zu HTTPS backup.sql .git .svn 11
Transparenz durch Vergleichbarkeit 12
https://httpsecurityreport.com/site_survey.html noch nicht öf fentlich Transparenz durch Vergleichbarkeit (November 2017) Deutsche Gesamt Kommunen Anzahl Seiten 19.794 8.466 Alexa Anzahl Scans 150.872 70.285 Top 500 82 % HTTPS verfügbar 5.428 27 % 19 % 1.636 mit Umleitung 4.564 23 % 19 % 1.636 veraltetes SSL: v2/v3 381 2% 1% 106 Informationslecks 585 3,0 % 2,7 % 230 Status/Debuginfo 503 2,5 % 2,0 % 174 Repositories (git/svn) 87 0,4 % 0,0 % 7 Datenbank-Dumps 17 0,0 % 0,0 % 8 Private-Keys 2 0,0 % 0,0 % 0 Anz. Cookies (Mittelwert) 4,5 1,6 für Third-Party-Tracking 2,0 0,3 13
Wie verbreitet ist Tracking auf Seiten von Kommunen? (November 2017) Known Third Party Third Party Top 20 Cities Trackers Servers Cookies Web: HTTPS Mail: STARTTLS Hamburg 40 81 49 no redirection minor issues Berlin 22 37 17 minor issues no TLS 1.2 Leipzig 6 10 5 no redirection minor issues München 5 11 3 enforces HTTP ! minor issues adnxs.com googlesyndication.com Betrieb Bremen 4 13 3 minor issues no TLS 1.2 mxcdn.net adsafeprotected.com durch Dresden 3 8 4 no redirection minor issues tealiumiq.com youtube.com Media- Düsseldorf 2 3 3 certificate issue check timed out mookie1.com adform.net criteo.com agentur Hannover 2 3 1 minor issues adtech.de minor issues google-analytics.com Köln 2 3 1 enforces HTTP ! gstatic.com minor issues truste.com oms.eu Stuttgart 1 7 2 no redirection minor issues tiqcdn.com adnet.de mathtag.com Bielefeld 1 2 0 no redirection minor issues refinedads.com stickyadstv.com Bonn 1 1 0 check timedgoogleapis.com out minor issues smartadserver.com Duisburg 0 4 0 no redirection check timed out doubleclick.net theadex.com m6r.eu Essen 0 2 1 minor issues minor issues mpnrs.com adition.com fqtag.com Wuppertal 0 2 0 minor issues 2mdn.net minor issues intelliad.de ioam.de Münster 0 0 0 minor issues meetrics.net no turn.com TLS 1.2 fonts.com Dortmund 0 0 0 no TLS 1.2 minor issues cloudfront.net mp-success.com Nürnberg 0 0 0 no TLS 1.2sascdn.comminor adscale.de issues nuggad.net Bochum 0 0 0 content-recommendation.net minor issues minor issues […] Frankfurt 0 0 0 minor issues minor issues 14
Anteil mit NoTrack Anteil mit EncWeb 15
Detail-Ergebnisse 16
Ausgangspunkt für explora2ve Untersuchungen 17
Google Analy+cs rechtskonform? 18
Comic People by @blinry (CC BY-NC 4.0) 19
Nur ein Einzelfall? Überprüfung von 100 Webseiten davon 48 kein Google Analytics 25 kein „IP-Masking“ Laufende Studie (1,3 Mio. DE-Seiten): ca. 13% ohne korrektes IP-Masking… 20
unwirksam da vertauscht Comic People by @blinry (CC BY-NC 4.0) 21
potenzielle Sicherheitslücken phpinfo.php test.php backup.sql server-info server-status .git .svn server.key .key …
23
Szenario nachgestellt 24
Szenario nachgestellt 83D21A252177B867CA9FD76471D8AA16-memc1.pla3tom0 ersetzen max. 16 Möglichkeiten durchprobieren 25
Szenario nachgestellt 83D21A252177B867CA9FD76471D8AA16-memc1.pla3tom0 ersetzen 26
Szenario nachgestellt 27
potenzielle Sicherheitslücken phpinfo.php test.php backup.sql server-info server-status .git .svn server.key .key …
5.5.9-1ubuntu4.22 war (damals) die aktuelle Version http://www.xxxxxxxxxx.bg/phpinfo.php ZENSIERT In Entwicklung: Versionserkennung für gängige CMS rein anhand charakteristischer Dateien Test auf veralteten Versionen bzw. kritischen CVEs (Sicherheitslücken) 29
Reaktionen 30
Transparenz über Änderungen im Zeitverlauf (Darstellung in Entwicklung) NO. OF KNOWN TRACKERS 14 Aug 27 Oct Delta Piraten 0 0 – Linke 0 1 ‼ Die PARTEI 0 0 – CDU 1 1 – Grüne 1 2 ‼ SPD 1 0 J FDP 2 2 – Alle URLs werden (mehr AFD 4 4 – oder weniger) regelmäßig erneut überprü;. CSU 5 38 ‼ ⁉ Update 30. Jan. 2019: nur noch 1 Tracker auf www.csu.de 31
Studie mit 152 Krankenkassen und -versicherungen (erscheint auf WI 2019) 1. Wie reagieren Anbieter wenn sie 2. Verhalten sie sich anders, wenn ihnen erfahren, dass eine Bewertung ihrer mitgeteilt wird, dass es auch ein Seite gemäß Privacy- und Security- öffentliches Ranking gibt? Kriterien veröffentlicht worden ist? Gruppe A: sah nur Detail-Ergebnisse Gruppe B: zusätzlich Rang im Ranking Gründe für schlechten Zustand: Unkenntnis datenschutzfreundlicher Alterna]ven, keine Möglichkeit zur Änderung oder keine BereitschaP M. Maass et al., On the Difficulties of Incentivizing Online Privacy through Transparency: A Qualitative Survey of the German Health Insurance Market, WI 2019, https://arxiv.org/abs/1811.12775 (2019). 32
Rechtliche und ethische Aspekte 33
Reaktionen überwiegend positiv nur wenige Beschwerden 11.06.2018 Auf einzelnen Seiten unserer Homepage werden in geschützten Bereichen auch personenbezogene Daten gespeichert. […] Ich darf Sie bitten, derartige Tests künftig zu unterlassen, da ich mich anderen- falls gezwungen sehe, eine Strafanzeige nach § 202a StGB zu stellen. Betrieb in Deutschland rechtlich zulässig siehe arxiv.org/abs/1705.08889 (GI INFORMATIK 2017) 34
RECHTLICHE ZULÄSSIGKEIT Drei relevante Fragestellungen 1 Untersuchung von Webseiten ohne Zus2mmung der Betreiber 2 Rechtliche Bewertung der Untersuchungsergebnisse 3 Veröffentlichung der Ergebnisse auf der PrivacyScore-Webseite 35
1 Untersuchung von Webseiten ohne Zus2mmung der Betreiber Können Anbieter automatisierten Abruf ihrer Webseite verbieten? Kein Eigentumsrecht (§ 903 BGB) an Daten … weil es Daten an körperlicher Eigenschaft von Sachen (§ 90 BGB) fehlt; daher auch kein ausschließliches Nutzungsrecht an Daten. Kein absolutes „virtuelles Hausrecht“ für öffentliche Teile einer Seite … weil vertragliche Vereinbarungen oder Nutzungsbedingungen nur dann verbindlich, wenn vom Nutzer anerkannt (z.B. durch Registrierung). 36
1 Untersuchung von Webseiten ohne Zustimmung der Betreiber Zugriff und Verwertung kann verboten sein: Datenschutz (DSGVO, BDSG, TMG) … falls beim Scannen pers.-b. Daten erhoben werden – i.d.R. nicht der Fall Urheberrecht (UrhG) … falls Werk i.S.v. § 2 Abs. 1 oder geschützte Datenbank i.S.v. § 4 Abs. 2; i.d.R. fehlt aber geforderte geistige Schöpfungshöhe … falls Leistungsschutzrecht anwendbar – nur bei „wesentlichen Teilen“ … falls Webseite ein Computerprogramm (§ 2 Abs. 1 Nr. 1, 69a Abs. 1); HTML ist nur Beschreibungssprache Gesetz gegen unlauteren Wettbewerb (UWG) … bei Beeinträchtigung der Verfügbarkeit – Schutz durch Rate Limiting Strafgesetzbuch (StGB) … falls Zugangssicherung (§ 202a) umgangen wird – i.d.R. nicht der Fall 37
2 Rechtliche Bewertung der Untersuchungsergebnisse Ergebnisse werden lediglich dargestellt, rechtliche Bewertung muss Umstände des Einzelfalls berücksichtigen. Ausführlich disku
3 Veröffentlichung auf der PrivacyScore-Webseite Können Anbieter die Veröffentlichung der Ergebnisse unterbinden? Ergebnisse („17 Tracker“) sind Rankings („abc.de ist Platz 8“) Tatsachenbehauptungen sind Werturteile fallen unter die grundrechtlich normierte Meinungsfreiheit Informationelle Selbstbestimmung der Seitenbetreiber verletzt? Ergebnisse betreffen i.d.R. nicht die Privatsphäre, sondern die Sozialsphäre (berufliche, politische, andere öffentliche Aktivitäten) 39
Nicht alles was erlaubt ist, ist auch ethisch vertretbar. „Die Veröffentlichung hil1 doch den Angreifern!“ Sehr gut – zusätzlicher Anreiz! Addressierung von „Dual Use“ keine Suchfunktion für verwundbare Seiten Rate-Limiting als Schutz vor DoS Blacklisting auf Wunsch (aber transparent) in Entwicklung: responsible disclosure bei Sicherheitslücken 40 Comic People by @blinry (CC BY-NC 4.0)
Von weiteren Scans ausgenommen Die Betreiber der hier aufgeführten Seiten haben uns gebeten, keine weiteren Scans durchzuführen. Aus Gründen der Transparenz archivieren wir das Ergebnis des letzten erfolgreichen Scans in der folgenden Tabelle. Beachten Sie, dass es möglich ist, dass Seitenbetreiber in der Zwischenzeit Änderungen an ihrer Website vorgenommen haben, die sich nicht in diesen veralteten Ergebnissen widerspiegeln. 41
PrivacyScore.org Eine Pla1orm zum Vergleich von Privacy- und Security-Eigenscha;en von Webseiten Prof. Dr. Dominik Herrmann ZD.B Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen Otto-Friedrich Universität Bamberg Folien: h*ps://dhgo.to/pspa19
Sie können auch lesen