PrivacyScore.org - Uni Bamberg
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
PrivacyScore.org Eine Plattform zum Vergleich von Privacy- und Security-Eigenschaften von Webseiten Prof. Dr. Dominik Herrmann ZD.B Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen Otto-Friedrich Universität Bamberg Folien: https://dhgo.to/pspa19
MOTIVATION
Wer erfährt eigentlich davon, dass ich mich für Sozialhilfe interessiere?
!
2
2
> 13.000 Wörter
65 min. Lesezeit
3
Art. 12 (1) DSGVO
90% „unverständlich“ […] in präziser, transparenter, verständ-
licher und leicht zugänglicher Form in
einer klaren und einfachen Sprache zu
86% „zu lang“ übermitteln.
warum?
meistens gelogen …
Bitkom Research (2015): https://www.bitkom.org/Presse/Presseinformation/Internetnutzer-gehen-pragmatisch-mit-Datenschutz-um.html 4
5
Die rechtlichen Anforderungen sind erfüllt.
Aufsichtsbehörden sind überlastet.
rechtskonform ≠ ethisch korrekt
6
ethisch korrekt
hohe Erwartungen an Anbieter und Empörungskultur
Wir könnten Transparenz bzgl. Verarbeitungspraktiken herstellen.
Anreiz für besseren Schutz der Privatsphäre?
7
Viele Scan-Dienste
untersuchen lediglich
einzelne Seiten. Ist das viel?
Ist das gut oder schlecht?
8
Ziel: öffentliche Benchmarks, Jeder kann (annotierte) Listen von
um Anreize für Betreiber zu Webseiten hochladen und das
schaffen, den Schutz der Ranking beeinflussen.
Privatsphäre zu verbessern.
Open Source (GPLv3+)
Open Data
9
Sortierung ändern Öffentliches Ranking
Tests von PrivacyScore
Privatsphäre Verschlüsselung Verschlüsselung andere
und Tracking Webserver Mailserver Angriffe
HTTPS/STARTTLS verfügbar? Referer-Policy
Third Par)es
Zertifikat: gültig / Schlüssellänge Security-Header
Bekannte Tracker
Unsichere Protokolle: SSLv3, …
Problematische
Server-Standorte Schwachstellen: Heartbleed, … Inhalte
HSTS server-status
Mixed Content
phpinfo.php server.key
Automa)sche
Umleitung zu
HTTPS backup.sql .git
.svn 11Transparenz durch Vergleichbarkeit
12https://httpsecurityreport.com/site_survey.html
noch nicht öf fentlich
Transparenz durch Vergleichbarkeit
(November 2017)
Deutsche
Gesamt Kommunen
Anzahl Seiten 19.794 8.466
Alexa
Anzahl Scans 150.872 70.285
Top 500
82 %
HTTPS verfügbar 5.428 27 % 19 % 1.636
mit Umleitung 4.564 23 % 19 % 1.636
veraltetes SSL: v2/v3 381 2% 1% 106
Informationslecks 585 3,0 % 2,7 % 230
Status/Debuginfo 503 2,5 % 2,0 % 174
Repositories (git/svn) 87 0,4 % 0,0 % 7
Datenbank-Dumps 17 0,0 % 0,0 % 8
Private-Keys 2 0,0 % 0,0 % 0
Anz. Cookies (Mittelwert) 4,5 1,6
für Third-Party-Tracking 2,0 0,3
13Wie verbreitet ist Tracking auf Seiten von Kommunen? (November 2017)
Known Third Party Third Party
Top 20 Cities Trackers Servers Cookies Web: HTTPS Mail: STARTTLS
Hamburg 40 81 49 no redirection minor issues
Berlin 22 37 17 minor issues no TLS 1.2
Leipzig 6 10 5 no redirection minor issues
München 5 11 3 enforces HTTP ! minor issues
adnxs.com googlesyndication.com
Betrieb Bremen 4 13 3 minor issues no TLS 1.2
mxcdn.net adsafeprotected.com
durch Dresden 3 8 4 no redirection minor issues
tealiumiq.com youtube.com
Media- Düsseldorf 2 3 3 certificate issue check timed out
mookie1.com adform.net criteo.com
agentur Hannover 2 3 1 minor issues
adtech.de minor issues
google-analytics.com
Köln 2 3 1 enforces HTTP !
gstatic.com minor issues
truste.com oms.eu
Stuttgart 1 7 2 no redirection minor issues
tiqcdn.com adnet.de mathtag.com
Bielefeld 1 2 0 no redirection minor issues
refinedads.com stickyadstv.com
Bonn 1 1 0 check timedgoogleapis.com
out minor issues
smartadserver.com
Duisburg 0 4 0 no redirection check timed out
doubleclick.net theadex.com m6r.eu
Essen 0 2 1 minor issues minor issues
mpnrs.com adition.com fqtag.com
Wuppertal 0 2 0 minor issues
2mdn.net minor issues
intelliad.de ioam.de
Münster 0 0 0 minor issues
meetrics.net no turn.com
TLS 1.2 fonts.com
Dortmund 0 0 0 no TLS 1.2 minor issues
cloudfront.net mp-success.com
Nürnberg 0 0 0 no TLS 1.2sascdn.comminor
adscale.de
issues nuggad.net
Bochum 0 0 0 content-recommendation.net
minor issues minor issues […]
Frankfurt 0 0 0 minor issues minor issues
14Anteil mit NoTrack Anteil mit EncWeb 15
Detail-Ergebnisse
16Ausgangspunkt für
explora2ve Untersuchungen
17Google Analy+cs rechtskonform?
18Comic People by @blinry (CC BY-NC 4.0)
19Nur ein Einzelfall?
Überprüfung von 100 Webseiten
davon
48 kein Google Analytics
25 kein „IP-Masking“
Laufende Studie (1,3 Mio. DE-Seiten):
ca. 13% ohne korrektes IP-Masking…
20unwirksam da
vertauscht
Comic People by @blinry (CC BY-NC 4.0)
21potenzielle Sicherheitslücken
phpinfo.php test.php backup.sql server-info server-status
.git .svn server.key .key …23
Szenario nachgestellt
24Szenario nachgestellt
83D21A252177B867CA9FD76471D8AA16-memc1.pla3tom0
ersetzen
max. 16
Möglichkeiten
durchprobieren
25Szenario nachgestellt
83D21A252177B867CA9FD76471D8AA16-memc1.pla3tom0
ersetzen
26Szenario nachgestellt
27potenzielle Sicherheitslücken
phpinfo.php test.php backup.sql server-info server-status
.git .svn server.key .key …5.5.9-1ubuntu4.22
war (damals) die
aktuelle Version
http://www.xxxxxxxxxx.bg/phpinfo.php
ZENSIERT
In Entwicklung:
Versionserkennung für gängige CMS rein anhand charakteristischer Dateien
Test auf veralteten Versionen bzw. kritischen CVEs (Sicherheitslücken)
29Reaktionen
30Transparenz über Änderungen im Zeitverlauf
(Darstellung in Entwicklung)
NO. OF KNOWN TRACKERS
14 Aug 27 Oct Delta
Piraten 0 0 –
Linke 0 1 ‼
Die PARTEI 0 0 –
CDU 1 1 –
Grüne 1 2 ‼
SPD 1 0 J
FDP 2 2 –
Alle URLs werden (mehr
AFD 4 4 –
oder weniger) regelmäßig
erneut überprü;. CSU 5 38 ‼
⁉
Update 30. Jan. 2019:
nur noch 1 Tracker auf www.csu.de
31Studie mit 152 Krankenkassen und -versicherungen (erscheint auf WI 2019)
1. Wie reagieren Anbieter wenn sie 2. Verhalten sie sich anders, wenn ihnen
erfahren, dass eine Bewertung ihrer mitgeteilt wird, dass es auch ein
Seite gemäß Privacy- und Security- öffentliches Ranking gibt?
Kriterien veröffentlicht worden ist?
Gruppe A: sah nur Detail-Ergebnisse
Gruppe B: zusätzlich Rang im Ranking
Gründe für schlechten Zustand: Unkenntnis datenschutzfreundlicher Alterna]ven,
keine Möglichkeit zur Änderung oder keine BereitschaP
M. Maass et al., On the Difficulties of Incentivizing Online Privacy through Transparency: A Qualitative Survey of the
German Health Insurance Market, WI 2019, https://arxiv.org/abs/1811.12775 (2019). 32Rechtliche und
ethische Aspekte
33Reaktionen überwiegend positiv
nur wenige Beschwerden
11.06.2018
Auf einzelnen Seiten unserer Homepage werden in
geschützten Bereichen auch personenbezogene Daten
gespeichert. […] Ich darf Sie bitten, derartige
Tests künftig zu unterlassen, da ich mich anderen-
falls gezwungen sehe, eine Strafanzeige nach
§ 202a StGB zu stellen.
Betrieb in Deutschland rechtlich zulässig
siehe arxiv.org/abs/1705.08889 (GI INFORMATIK 2017)
34RECHTLICHE ZULÄSSIGKEIT
Drei relevante Fragestellungen
1 Untersuchung von Webseiten ohne
Zus2mmung der Betreiber
2 Rechtliche Bewertung
der Untersuchungsergebnisse
3 Veröffentlichung der Ergebnisse auf
der PrivacyScore-Webseite
351 Untersuchung von Webseiten ohne Zus2mmung der Betreiber
Können Anbieter automatisierten Abruf ihrer Webseite verbieten?
Kein Eigentumsrecht (§ 903 BGB) an Daten
… weil es Daten an körperlicher Eigenschaft von Sachen (§ 90 BGB) fehlt;
daher auch kein ausschließliches Nutzungsrecht an Daten.
Kein absolutes „virtuelles Hausrecht“ für öffentliche Teile einer Seite
… weil vertragliche Vereinbarungen oder Nutzungsbedingungen nur dann
verbindlich, wenn vom Nutzer anerkannt (z.B. durch Registrierung).
361 Untersuchung von Webseiten ohne Zustimmung der Betreiber
Zugriff und Verwertung kann verboten sein:
Datenschutz (DSGVO, BDSG, TMG)
… falls beim Scannen pers.-b. Daten erhoben werden – i.d.R. nicht der Fall
Urheberrecht (UrhG)
… falls Werk i.S.v. § 2 Abs. 1 oder geschützte Datenbank i.S.v. § 4 Abs. 2;
i.d.R. fehlt aber geforderte geistige Schöpfungshöhe
… falls Leistungsschutzrecht anwendbar – nur bei „wesentlichen Teilen“
… falls Webseite ein Computerprogramm (§ 2 Abs. 1 Nr. 1, 69a Abs. 1);
HTML ist nur Beschreibungssprache
Gesetz gegen unlauteren Wettbewerb (UWG)
… bei Beeinträchtigung der Verfügbarkeit – Schutz durch Rate Limiting
Strafgesetzbuch (StGB)
… falls Zugangssicherung (§ 202a) umgangen wird – i.d.R. nicht der Fall
372 Rechtliche Bewertung der Untersuchungsergebnisse
Ergebnisse werden lediglich dargestellt, rechtliche Bewertung
muss Umstände des Einzelfalls berücksichtigen.
Ausführlich disku3 Veröffentlichung auf der PrivacyScore-Webseite
Können Anbieter die Veröffentlichung der Ergebnisse unterbinden?
Ergebnisse („17 Tracker“) sind Rankings („abc.de ist Platz 8“)
Tatsachenbehauptungen sind Werturteile
fallen unter die grundrechtlich normierte Meinungsfreiheit
Informationelle Selbstbestimmung der Seitenbetreiber verletzt?
Ergebnisse betreffen i.d.R. nicht die Privatsphäre, sondern die
Sozialsphäre (berufliche, politische, andere öffentliche Aktivitäten)
39Nicht alles was erlaubt ist, ist auch ethisch vertretbar.
„Die Veröffentlichung hil1
doch den Angreifern!“
Sehr gut – zusätzlicher Anreiz!
Addressierung von „Dual Use“
keine Suchfunktion für verwundbare Seiten
Rate-Limiting als Schutz vor DoS
Blacklisting auf Wunsch (aber transparent)
in Entwicklung: responsible disclosure bei
Sicherheitslücken
40
Comic People by @blinry (CC BY-NC 4.0)Von weiteren Scans ausgenommen
Die Betreiber der hier aufgeführten Seiten haben uns gebeten,
keine weiteren Scans durchzuführen. Aus Gründen der
Transparenz archivieren wir das Ergebnis des letzten
erfolgreichen Scans in der folgenden Tabelle. Beachten Sie, dass
es möglich ist, dass Seitenbetreiber in der Zwischenzeit
Änderungen an ihrer Website vorgenommen haben, die sich
nicht in diesen veralteten Ergebnissen widerspiegeln.
41PrivacyScore.org Eine Pla1orm zum Vergleich von Privacy- und Security-Eigenscha;en von Webseiten Prof. Dr. Dominik Herrmann ZD.B Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen Otto-Friedrich Universität Bamberg Folien: h*ps://dhgo.to/pspa19
Sie können auch lesen
