1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
|
%include "default.mgp"
%default 1 bgrad
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
%nodefault
%back "blue"
%center
%size 6
Privatsphaere, Datenschutz und Ueberwachung
%size 3
Risiken und Nebenwirkungen der modernen Kommunikationstechnik
%center
%size 3
von
Harald Welte <laforge@gnumonks.org>
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Inhalt
Zur Person
Einleitung
Datenschutz
Informationelle Selbstbestimmung
Staatliche Ueberwachung
Private Datensammler
Brave New World
Neue Medien
Ausblick
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Zur Person
Harald Welte, Freiberufler
Forschung, Entwicklung und Beratung
Netzwerksicherheit
Datensicherheit
Systemsicherheit
Kommunikationssicherheit
Ehrenamtliche Taetigkeit beim Chaos Computer Club e.V.
Sicherheitsaspekte bei IT-Grossprojekten
Datenschutz / Privatsphaere
Digitale Buergerrechte
Freie Software im IT-Sicherheitsbereich
Linux Firwall (http://netfilter.org/)
RFID / ePassports (http://openmrtd.org/)
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Einleitung
wie Sie wissen,
weiss Ihr Online-Buchhaendler genau, fuer welche Fachliteratur Sie sich interessieren
weiss Ihr Internetprovider, dass Sie sich vorwiegend fuer arabische Nachrichtenseiten interessieren, und mit welchen Freunden Sie emails austauschen
weiss Ihr Mobilfunkanbieter (aber nicht Ihre Frau), dass Sie gestern bei Ihrer Geliebten, und nicht im Buero waren. Damit machen Sie sich erpressbar.
weiss Ihr Supermarkt dank Kundenkarte, wieviel Alkohol sie einkaufen. Eine Versicherung kauft diese Einkaufsdaten und verweigert einen Vertrag mit Ihnen.
Realitaet oder Utopie?
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Datenschutz
Was ist Datenschutz?
Urspruenglich: Schutz Personengebundener Daten vor Missbrauch
Heute: Schutz vor Beeintraechtigung des Rechts auf informationelle Selbstbestimmung
Was ist informationelle Selbstbestimmung?
das Recht des Einzelnen, grundsaetzlich selbst ueber die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.
nach der Rechtsprechung des Bundesverfassungsgerichts um ein Datenschutz-Grundrecht, obwohl es im Grundgesetz nicht explizit erwaehnt wird
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Datenschutz
Informationelle Selbstbestimmung
Auspraegung des allgemeinen Persoenlichkeitsrechts
Bundesverfassungsgericht leitete dieses Recht aus Artikel 2 Absatz 1 des Grundgesetzes (Recht auf freie Entfaltung der Persoenlichkeit) und aus Artikel 1 Absatz 1 des Grundgesetzes (Unantastbarkeit der Menschenwuerde) ab (Volkszaehlungsurteil (BVerfGE 65, 1) 1983)
Ueberlegungen zur expliziten Erwaehnung des Rechts im Grundgesetz fanden keine Mehrheit bei Wiedervereinigung 1989/90
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Datenschutz
Rechtliche Grundlage
Bundesdatenschutzgesetzt (BDSG)
Landesdatenschutzgesetze
Bereichsspezifische Datenschutznormen
Konkretes Recht als Buerger
Auskunftsanspruch an datenverarbeitende Stellen
Sperrung der Daten fuer Werbezwecke, etc. (jedoch: Kein Loeschungsanspruch)
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Ueberwachung / Datenerfassung
Durch den Staat
Telekommunikationsuebewachung nach TKG, TKUeV
Berechtigte Stellen:
BKA
Bundesamt fuer Verfassungsschutz
Zollkriminalamt
Generalbundesanwalt
Rechtlich erlaubt bei
Katalogstraftaten 100a StGB
Vorratsdatenspeicherung auf EU-Ebene (seit 14.12.2005)
EU-Mitgliedsstaaten haben 18monate Zeit zur Umsetzung
Verbindungsdaten werden zw. 6 und 24 Monate gespeichert
Ermittlungsbehoerden koennen dann rueckwirkend alle gespeicherten Daten einsehen
Nein des Bundestags am 14.2.2005 nun nichtig
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
TK-Ueberwachung
Staatliche TK-Ueberwachung
Geregelt in
Telekommunikationsgesetzt (TKG)
Telekommunikationsueberwachungsverordnung (TKUeV)
Technische Richtlinien zur TKUeV (TR-TKUeV)
Zahl der Abhoermassnahmen lt. BfD
1995: 4.674
2001: 19.896
2002: 21.874
2003: 24.501
2004: 29.017 Massnahmen.
[http://www.bfd.bund.de/Presse/pm20050331.html]
Jede Massnahme kann lange dauern, und viele Leute betreffen
Gesetzlich vorgeschriebene Benachrichtigung der Betroffenen erfolgt meist nicht
Benachrichtigung der sog. 'uebrigen Beteiligten' nicht vorgesehen
wiederholt versuche, praeventiv zu ueberwachen (2003: Niedersaechsisches Gesetz ueber die Oeffentliche Sicherheit und Ordnung (NSOG), Verfassungswidrig erklaert durch Bundesverfassungsgericht, 1 BvR 668/04)
%% http://www.mi.niedersachsen.de/master/C516709_N13666_L20_D0_I522.html
%% http://www.bundesverfassungsgericht.de/entscheidungen/rs20050727_1bvr066804
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
TK-Vorratsdatenspeicherung
Welche Daten?
Begleitumstaende der Kommunikation
Absender, Empfaenger
Zeitpunkt, dauer
Ort / Anschluss
Erfolgreicher/-loser Versuch?
Grund des verbindungsabbaus
werden teils zu Abrechnungszwecken gespeichert
Wo?
Beim TK-Anbieter
Wie lange?
Fristen Zwischen 3 Monaten und 2 Jahren im Gespraech
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Ueberwachung / Datenerfassung
Durch die Privatwirtschaft
Regulaere Kundendaten
Zusaetzliche Daten durch Kundenbindungsprogamme (Payback, etc)
Angebliche Gratisangebote
Pseudonymisiertes Tracking
z.B. gleiche EC-Karten-Nr bei jedem Einkauf
Datenerfassung im Online-Handel
Gebot der Datensparsamkeit wird staendig verletzt
Wozu wird Geburtsdatum bei einer Bestellung benoetigt?
'Sicherheitsfragen' (Geburtsname der Mutter, Geburtsstadt)
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Neue Medien
Neue Medien / Neue Technologien
bisher unueberwachte Bereiche des taeglichen Lebens werden 'digital durchdrungen'
Reisepass
Gesundheitskarte
Elektronischer tachograph bei LKW (statt fahrtenschreiber)
RFID in Kundenkarten
Jede Datenverarbeitung inhaerent datenintensiv
notwendige Daten zur Vermittlung einer Nachricht
notwendige Daten zur Abrechnung
notwendige Daten zur Lokalisierung eines Empfaengers
Folge: Exponentielle steigerung des Datenaufkommens im Alltag
Recht auf informationelle selsbtbestimmung kaum mehr wahrnehmbar
vielfach werden Daten ausserhalb des deutschen Rechtsraums verarbeitet
grosse Zahl an beteiligten datenverarbeitenden Stellen macht Suche nach verantwortlichem Ansprechpartner unmoeglich
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Neue Medien
Datenintensives Internet
Gefahren
Jedes Ende einer Verbindung hat (zu gegebenem Zeitpunkt) eindeutige Adresse
Provider speichert zu Abrechnungszwecken die Zuordnung, welche IP Adresse wann welchem Kunden zugewiesen wurde ('Fahrtenbuch' einer IP-Adresse)
Provider erhebt 'accounting'-Daten ueber Datenvolumen fuer Abrechnungszwecke, selbst bei sog. Flatrate-Angeboten
Jede an der Vermittlung eines Datenpakets beteiligte Stelle sieht Absender und Empfaengeraddresse
Jede an der Vermittlung beteiligte Stelle kann den Inhalt der Datenpakete einsehen, automatisiert auswerten und/oder speichern (auch wenn in Deutschland wohl rechtswidrig)
Durch transnationale Architektur und dynamische Routingentscheidungen kann ein Paket z.B. zwischen zwei Deutschen Teilnehmern trotzdem z.B. ueber die USA oder andere Laender mit wenig bzw. keinem Datenschutz geroutet werden. Dies kann durch den Anwender nicht beeinflusst werden.
Dienste wie e-mail und WWW erzeugen darueberhinausgehende Daten auf ihrer Protokollebene
Internetzugang ueber Satellit i.d.R. voellig unverschluesselt, jeder kann bei jedem mitlesen (!)
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Neue Medien
Datenintensives Internet
Schutz
Verschluesselung schuetzt vor mitlesen, jedoch zu wenig verbreitet
Verschluesselung hilft nicht gegen Analyse 'wer mit wem'
Anonymizer (z.B. "TCP Onion Routing" finden wenig Verbreitung
Besondere Vorsicht bei 'Gratisangeboten'
z.b. Google Mail erlaubet explizit die Auswertung der Email-Inhalte zu werbezwecken
Community-Sites wie z.B. Orkut behalten sich vor, die einmal eingestellten Informationen beliebig lange zu veroeffentlichen, auch nach Ende der Nutzung
Datenintensive Online-Dienste oft mit Firmensitz im Ausland
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Neue Medien
Datenintensives Mobilfunknetz
Jedes eingeschaltete Telefon muss sich bei Mobilfunkanbieter anmelden
Es wird staendig die jeweils naeheste (d.h. mit bestem Empfang) Funkzelle gewaehlt -> Bewegungsprofile
Durch Triangulierung der empfangenen Funksignale von mehreren Basisstationen kann Aufenthaltsort relativ genau bestimmt werden
Jedes Telefon hat eine eigene weiltweit eindeutige Seriennummer
Jede SIM-Karte hat eine mit dem Teilnehmer vernkuepfte eindeutige Identitaet
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Brave New World
Datenintensive LKW-Maut
Kennzeichenerkennung an Mautbruecken
Protokollierung der GPS-Koordinaten des Fahrzeugs
Kombination mit vorgeschriebenem elektronischem Tachograph laesst Utopien wahr werden (Geschwindigkeitsuebertretungen werden ein Jahr auf Vorrat im Tachograph vorgehalten)
Politik denk immer wieder darueber nach, zweckbindung der Daten aufzuheben/einzuschraenken
DECT-Schnurlos-Telefone
urspruenglich geheimer Verschluesselungsalgorithmus wurde inzwischen geknackt und im Internet veroeffentlicht
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Brave New World
Schnurlostastaturen
Viele arbeiten mit Funk
Aeltere Modelle ohne jegliche Verschluesselung
Neuere Tastaturen mit Bluetooth (siehe unten)
Bluetooth
Schwache Sicherheitsstandards
Viele Geraete mit Default-PIN '0000' ausgeliefert
Viele fehlerhafte Implementierungen, v.a. in Mobiltelefonen.
Hacker konnte durch Fahrradfahren im Regierungsviertel die Telefonbuecher vieler Abgeordneten und des Sicherheitspersonals auslesen [http://www.heise.de/newsticker/meldung/60542]
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Brave New World
Wireless LAN
Liste der Datenschutz/Sicherheitsprobleme endlos
nicht nur unerlaubte Nutzung der Netze durch Dritte (wardriving), sonderen auch
'Einfangen' eines Notebooks (Rogue AP)
passive Ueberwachung des Datenverkehrs, z.B.an Hotspots
Kfz-Kennzeicherkennung
Einige Landespolizeigesetze (z.B. Bayern, Hessen) erlauben der Polizei, auf Autobahnen per Videokamera und Kennzeichenerkennung abgleich mit Datenbank gestohlener Fahrzeuge bzw. ausgeschriebenen Fahndungen
Enormer Datenanfall, weckt begehrlichkeiten
Technisch eigentlich bei jeder Verkehrsueberwachung
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Brave New World
Elektronisches Ticket
BVG denkt immer wieder ueber elektronisches Ticket nach
Feldsversuche wurden schon gemacht
Ticket wuerde per RFID erfassen, wer wann wo ein- und aussteigt
Jede Bewegung im OePNV jedes Kunden zu jeder Zeit bekannt!
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Brave New World
Elektronischer Reisepass
Innenminister der EU umgehen Bundestag
seit 1.11. werden nur noch ePaesse ausgestellt
enthalten digitalisierte informationen ueber passinhaber
ab 2007 auch Fingerabdruecke (!!!)
Hohe anforderungen an Fotos soll automatische Gesichtserkennung ermoeglichen
Daten werden per Funkschnittstelle (RFID) ausgelesen
optionale Verschluesselung wird in Deutschland eingesetzt
Authentisierung mit MRZ zu schwach
Elektronischer Personalausweis
in Planung
Auch hier wieder ueber EU-Schiene
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Brave New World
Farbkopierer (z.b. Canon)
Jede Kopie wird mit fuer Auge unsichtbarem Code aus Seriennummer und Nummer der Kopie versehen
Ueber Servicevertraege ist dem Hersteller bei 90% der Kopierer bekannt, wo diese stehen
Durch Kundenkarten im Copy-Shop ist die Verknuepfung moeglich, wer eine bestimmte Kopie an welchem Geraet gemacht wird
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Brave New World
RFID allgemein
[fast] alle RFID-Karten haben eine eindeutige Seriennummer
Fuer kartenausgebende Stelle werden damit alle anfallenden Daten personenbezogen
ueber diese Seriennummer ermoeglicht es jedem Dritten, pseudonymisiertes tracking zu betreiben
z.B. Bewegungsprofile durch in Wand/Tuerrahmen/Durchgang eingelassene Reader
pseudonymisierte Daten unterliegen kaum Datenschutz (!)
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Zukunft / Ausblick
Alltag wird weiter von Technologie durchdrungen
Sensibilitaet zu Risiken und Nebenwirkungen kaum vorhanden
Politik verlaesst sich zu oft auf Sicherheitsversprechen der Privatwirtschaft
Wachsender Datenanfall in der weckt Begehrlichkeiten
bei Ermittlungsbehoerden
bei Kriminellen
Zweckgebundenheit der Daten nur noch in der Theorie
Datenverluste bei Datensammlungsfirmen an der Tagesordnung
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Links (1/2)
Deutsche Vereinigung fuer Datenschutz (DVD) e.V.
http://www.datenschutzverein.de/
Humanistische Union e.V.
http://www.humanistische-union.de/
FoeBUD e.V.
http://www.foebud.de/
Big Brother Awards
http://www.bigbrotherawards.de/
Forum InformatikerInnen fuer Frieden und gesellschaftliche Verantwortung (FIfF) e.V.
http://rayserv.upb.de/fiff/
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%page
Privatsphaere, Datenschutz und Ueberwachung
Links (2/2)
Chaos Computer Club e.V.
http://www.ccc.de/
Stop1984 Initiative
http://stop1984.com/
European Digital Rights Initiative (EDRI)
http://www.edri.org/
Electronic Fronteer Foundation (EFF)
http://www.eff.org/
|
