Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN...

27
Copyright © 2019 XITASO VERTRAULICH VERTRAULICH Christof Baumgartner [email protected] PRIVACY BY DESIGN 05.04.2019 PRIVACY BY DESIGN

Transcript of Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN...

Page 1: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICHVERTRAULICH

Christof Baumgartner – [email protected]

PRIVACY BY DESIGN

05.04.2019 PRIVACY BY DESIGN

Page 2: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH05.04.2019 PRIVACY BY DESIGN

IST DAS WICHTIG FÜR MICH?

Page 3: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Wie viel Kontrolle gebe ich meinen Nutzern?

› Welche Technologien nutze ich?

› Mit wem teile ich die Daten meiner Nutzer?

› Wie viel Daten muss mein Nutzer preisgeben?

› Wie lang speichere ich (personalisierte) Daten?

› Welche Rolle spielt Security für Privacy?

05.04.2019 PRIVACY BY DESIGN

FRAGEN, DIE WIR UNS HEUTE BETRACHTEN:

Page 4: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH05.04.2019 PRIVACY BY DESIGN

WIE VIEL KONTROLLE GEBE ICH MEINEN NUTZERN ÜBER IHRE PRIVATSPHÄRE?

Page 5: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Werden beim Nutzer in unterschiedlicher Form

gespeichert

› Bezieht sich meistens nur auf eine Domain

› Können vom Nutzer gelöscht werden

› Existiert dauerhaft und seitenübergreifend

› Kann vom Nutzer nicht gelöscht, aber unter

Umständen verändert werden.

05.04.2019 PRIVACY BY DESIGN

TRACKER: FINGERPRINT:

Page 6: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Das Einverständnis des Nutzers einholen

› Ein nachvollziehbares Expiry Date wählen

› Nur technisch notwendige Cookies setzen

› Same-Site Attribut für Cookies nutzen

› Auf Third Party Cookies von Plugins (z.B. embedded YouTube-Player) achten

05.04.2019 PRIVACY BY DESIGN

WIE MAN ES RICHTIG MACHT: COOKIES

Page 7: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Nutzen von Local Storage anstatt Session Storage

› Plugins: Flash(-Cookies), Java Persistence Storage, Silverlight Isolated Storage

› Zombie- bzw. Evercookies: Wiederherstellen der Cookies aufgrund anderer Infos (z.B. IP, Storage,

Cache, Fingerprint)

› Cache: Der Nutzer cached beim ersten besuch eine Datei die für ihn personalisiert ist. Beim

nächsten Besuch wird die Datei aus dem Cache geladen und informiert die Seite indirekt über die

Identität

05.04.2019 PRIVACY BY DESIGN

SCHLECHTE COOKIE (BZW. TRACKER) ALTERNATIVEN

Page 8: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

Attribut Einzigartig Value

User Agent <0.1%

Mozilla/5.0 (Windows NT 10.0; Win64; x64)

AppleWebKit/537.36 (KHTML, like Gecko)

Chrome/73.0.3683.86 Safari/537.36

Accept 0.30%

text/html,application/xhtml+xml,application/xml

;q=0.9,image/webp,image/apng,*;q=0.8,applic

ation/signed-exchange;v=b3

List of plugins 6.41%

Plugin 0: Chrome PDF Plugin; Portable

Document Format; internal-pdf-viewer. Plugin

1: Chrome PDF Viewer; ;

mhjfbmdgcfjbbpaeojofohoefgiehjai. Plugin 2:

Native Client; ; internal-nacl-plugin.

Canvas Hash <0.1% 743e97abe0b1466d9205b9f0d24354ac

Screen resolution 3.36% 1920x1200x24

WebGL Renderer <0.1%ANGLE (Intel(R) HD Graphics 630 Direct3D11

vs_5_0 ps_5_0)

... ... ...

05.04.2019 PRIVACY BY DESIGN

(UNGEWOLLTES) FINGERPRINTING

› Fazit: Einzigartig unter 1071513 getesteten Browsern

Page 9: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH05.04.2019 PRIVACY BY DESIGN

WELCHE TECHNOLOGIEN NUTZE ICH?

Page 10: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› HTTP-Header-Field das vom Nutzer im Browser gesetzt werden kann

› Signalisiert einer Website den Wunsch, dass diese über die Aktivitäten des Besuchers kein

Nutzungsprofil erstellt

05.04.2019 PRIVACY BY DESIGN

POSITIV: DO NOT TRACK

Page 11: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Silverlight

› Flash

› Java (Browser Plugin)

05.04.2019 PRIVACY BY DESIGN

VORSICHT VOR LEGACY-TECHNOLOGIEN

Page 12: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Steigerung an Security vs Reduzierung an Privacy

› Kann in einigen Fällen rechtliche Anforderung sein

› Tor-Endpoints könnnen über einen Service überprüft werden

› VPN-Blocking ist komplexer aber möglich

05.04.2019 PRIVACY BY DESIGN

HINTERGRÜNDE: KANN ICH VERHINDERN DASS NUTZER VPN/TOR NUTZEN?

Page 13: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Jede Art von eingebundenem Kontent von anderen Websites und Diensten erlaubt diesem Service

meine Nutzer zu tracken

› Die gesammelten Daten werden mit den Ergebnissen und Logins von anderen Seiten verknüpft

05.04.2019 PRIVACY BY DESIGN

MIT WEM TEILE ICH DIE DATEN MEINER NUTZER?

Page 14: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Dienste wie Google AdSense oder Contaxe erlauben einem Werbeanzeigen auf Webseiten

einzubinden

› Kostenlose Website-"Baukästen" binden diese Werbung meist automatisch ein

› Werbung wird mithilfe von Cookies personalisiert, was das Vertrauen der Nutzer beeinträchtigen

kann.

05.04.2019 PRIVACY BY DESIGN

BEISPIEL: WERBEANZEIGEN

Page 15: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Soziale Netzwerke wie Facebook bieten Plugins zum liken und sharen an

› Selbst wenn der Nutzer diese Funktion nicht nutzt, kann das soziale Netzwerk sein Verhalten

tracken, solange er mit dem Browser eingeloggt ist

05.04.2019 PRIVACY BY DESIGN

BEISPIEL: JAVASCRIPT-PLUGINS

Page 16: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Dienste wie Google Analytics tracken sämtliches Nutzerverhalten

› Die erhobenen Daten werden mit Google- bzw Doubleclick-Profilen verknüpft

05.04.2019 PRIVACY BY DESIGN

BEISPIEL: ANALYSE-SYSTEME

Page 17: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH05.04.2019 PRIVACY BY DESIGN

WIE VIELE DATEN MUSS MEIN NUTZER PREISGEBEN?

Page 18: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Dokumentation, Datenschutzhinweise, Vertragsdetails und Kosten sollten ohne Kontoerstellung

möglich sein

› Kann entgegen Marketing-Wünschen laufen

› Gegenbeispiel: Kreditkarten-Pflicht

05.04.2019 PRIVACY BY DESIGN

POSITIV: ANONYME NUTZUNG

Page 19: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Confirmshaming: Den Nutzer beim Ablehnen schlecht fühlen lassen

› Friend Spam: Zugriff auf Email/Social Media Profile unter einem Vorwand erfragen

› Roach Motel: Dem Nutzer das Verlassen des Angebots unnötig erschweren

05.04.2019 PRIVACY BY DESIGN

UIX-NEGATIV-BEISPIELE: DARK PATTERNS

Page 20: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH05.04.2019 PRIVACY BY DESIGN

WIE LANGE SPEICHERE ICH DATEN (PERSONALISIERT)?

Page 21: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Beispiele: Solid OAuth

› Daten müssen nur einmal gespeichert bzw gelöscht werden

› Der Nutzer kann seine Daten zentralisert verwalten und jederzeit den Zugriff beschränken

› Gefahr: Es können Verknüpfungen zwischen unterschiedlichen Profilen erstellt werden

05.04.2019 PRIVACY BY DESIGN

TRENNEN VON DATEN UND ANWENDUNG

Page 22: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Möglichkeit 1: Aggregierten Speichern von Daten

› Möglichkeit 2: Beibehalten der Datensätze aber mit Pseudonymisation statt Nutzerprofilen

› Kann beides in Kombination mit Retention-Policies automatisch für historische Daten verwendet

werden

05.04.2019 PRIVACY BY DESIGN

DATEN ANONYM SPEICHERN

Page 23: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH05.04.2019 PRIVACY BY DESIGN

SECURITY VS. PRIVACY

Page 24: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH05.04.2019 PRIVACY BY DESIGN

WARUM IST SECURITY WICHTIG FÜR PRIVACY?

Page 25: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Von gezielten Angriffen zu breit gefächerten Bedrohungen

› Von Einzelangreifern zu organisierten Gruppen

› Von Hobby-Angreifern zu "Berufs"-hackern

05.04.2019 PRIVACY BY DESIGN

WEB APPLICATION SECURITY VERÄNDERUNGEN IN DEN LETZTEN JAHREN

Page 26: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH

› Must-Have für Passwörter

› Verhindert dass der Angreifer Klartext-Daten hat, falls es zu einem Leak kommt

05.04.2019 PRIVACY BY DESIGN

SECURITY STANDARD BEISPIEL: HASHING

Page 27: Privacy By Design - zentrum-digitalisierung.bayern · VERTRAULICH Copyright © 2019 XITASO VIELEN DANK 05.04.2019 PRIVACY BY DESIGN ... Title: Privacy By Design Author: Christof Baumgartner

Copyright © 2019 XITASOVERTRAULICH Copyright © 2019 XITASOVERTRAULICH

VIELEN DANK

05.04.2019 PRIVACY BY DESIGN

XITASO

in Augsburg

Austraße 35

86153 Augsburg

Tel.

E-Mail

Web

+49 (0)821 885 882 0

[email protected]

www.xitaso.com

XITASO

in Magdeburg

Werner-Heisenberg-Straße 1

39106 Magdeburg

Tel.

E-Mail

Web

+49 (0)391 / 792 930 00

[email protected]

www.xitaso.com