Privacy & Security

Gegensätze / Gemeinsamkeiten

Vorgetragen von René Pfeiffer / @luchsat auf der Privacyweek 2018

Privacy 🚻

  • (Schutz der) Privatsphäre
  • Datenschutz
  • Fokus personenbezogene Daten
  • technische Anforderungen
  • starke rechtliche Aspekte

Daten 💾

  • Daten sind allgegenwärtig…
  • (…früher bekannt als Informationen)
  • …müssen jetzt klassifiziert werden
  • (…mussten sie schon immer…)
  • …werden erstellt, geschützt, verteilt, modifiziert
  • (…nennt sich Datenverarbeitung…)

Persönliche Daten ☣

Skizze persönlicher Daten

Security 🛂

  • Informationssicherheit
  • (Datensicherheit)
  • Vertraulichkeit, Integrität, Echtheit von Daten
  • Manipulation und Missbrauch von Soft-/Hardware
  • Manipulation von Menschen (Social Engineering)
  • Verfügbarkeit von Infrastruktur / Daten
  • rechtliche Aspekte
  • (geo)politische Aspekte

Typische Methoden

  • abgeteilte Sicherheitsbereiche
  • Zugriffskontrollen / Schleusen
  • Verschlüsselung und Authentisierung
  • Protokollierung
  • Auswertung sicherheitsrelevanter Daten/Code

Implementation / Realität

Quelle: https://www.army.mil/article/160541/21st_theater_sustainment_command_best_of_2015 (Photo Credit: Chief Warrant Officer 2 Jonathon Crane, 5th Quartermaster Theater Aerial Delivery Company)

Typisches Heimnetzwerk 🏡

Übersicht über Heimnetzwerk

Heimnetzwerk mit Schleusen 🛃

Übersicht über Heimnetzwerk mit einfachen Sicherheitskontrollen

Typische Infrastruktur 🔌

Übersicht über anfallende Logdaten

📜 Logs & Metriken 🔢

  • Systeme und Applikationen erzeugen Logs
  • Logs sind oft Basis für Diagnose
  • Logs führen zu Metriken über
    • Betriebsdaten
    • Aktivität (von Konten/Systemen/Code)
    • Chronologie
  • zwangsläufige Existenz von reichlich Metadaten

🤢 Nebenwirkungen 🤒

Nebeneffekt Zeitstempel ⏱

Twitter Tool Sleepingtime.org

Nebeneffekt Kommunikation 📢

Graph von E-Mail Konversationen; die Dicke der Linien gibt die Anzahl der Nachrichten an

Nebeneffekt Interaktion 🗣

Typische Einträge von fehlgeschlagenen Loginversuchen an einem Server

Rare Events 🦄

Quelle: https://commons.wikimedia.org/wiki/File:Comet_20171025-16_gif.gif

Anomalien ⚡

Quelle: https://www.nps.gov/mora/learn/news/glacial-outburst-flood.htm

🎤 Parallelen zur Überwachung 🎥

  • Sicherheitsmassnahmen verbunden mit Logs / Detektoren
  • je Datenmenge, desto kritisch – Korrelationen
  • generierte Daten meist sensitiv
  • Rückhaltezeit – je kürzer, desto besser (für Privacy)
  • Was ist kurz/wenig genug?
  • Suchobjekt meist später erst bekannt

🔎 Thinthread 🔍

Thinthread Grafik aus dem Film „A Good American“

🧠 Thinthread 👁

  • NSA Projekt 1990er bis 2001
  • Überwachung digitaler Kommunikation
  • Verschlüsselung personenbezogener Daten
  • effiziente Analyse bestimmter Kriterien
  • Entschlüsselung Identitäten nur nach Verdacht
  • …nach wie vor Massenüberwachung
  • …wahrscheinlich besser als Status Quo

Fazit 💬

  • Privacy verwendet Security zum Schutz
  • Security benötigt Privacy nicht
  • Security kann Privacy bedrohen
  • Kontext stellt Übereinstimmung/Abweichung her
  • Privacy & Security haben beide Geheimnisse
  • Privacy Awareness für Security wichtig

❓ Noch Fragen? ❓

Über die Crowes Agency OG

Die Crowes Agency OG ist eine Gruppe von Experten aus verschiedenen Feldern. Wir bieten unsere Erfahrungen im Rahmen von großen und kleinen Projekten an. Der Fokus liegt auf den Gebieten Grafikdesign, Software-Entwicklung, öffentlichen Erscheinungen (wie beispielsweise Webseiten und Kommunikation mit der „Außenwelt“), Systemadministration, IT Sicherheit und Unternehmensberatung. Die Crowes Agency stellt aus ihrem Pool von Mitarbeitern Teams für die Lösung von Kundenproblemen zusammen.

Über die DeepSec

Die DeepSec GmbH veranstaltet seit 2007 jährlich im November die DeepSec In-Depth Security Conference in Wien. Die DeepSec bringt als neutrale Plattform die Sicherheitsexperten aus allen Bereichen zum Gedanken- und Erfahrungsaustausch zusammen. Dort erhalten IT- und Security-Unternehmen, Anwender, Behördenvertreter, Forscher und die Hacker-Community in über 42 Vorträgen und Workshops die Chance, sich über die aktuellen und zukünftigen Sicherheitsthemen auszutauschen. Die Konferenz möchte insbesondere dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind.

Über den Autor

René Pfeiffer ist selbstständiger Systemadministrator und Vortragender an der Fachhochschule Technikum Wien im Bereich Computer- und Datensicherheit. Mit über 15 Jahren Berufs- und 30 Jahren Computererfahrung sowie einem akademischen Hintergrund in theoretischer Physik verbindet er in Schulungen und Projekten erfolgreich Theorie und Praxis.

Seine Themenschwerpunkte liegen im Bereich IT Administration, Aufbau sicherer Infrastrukturen (Host-/Netzwerkbereich), sichere Kommunikation in Organisationen und Infrastruktur (VPN Technologien, Nachrichtensysteme), Wireless Security, technische Dokumentation, Betreuung von Forschungsarbeiten in der IT Security, technischem Auditing und Evaluierung von Software.

Herr Pfeiffer hält seit 2000 jährlich Fachvorträge und Schulungen auf Tagungen und Seminaren (Institute for International Research (I.I.R.), Business Circle, Confare, Linuxwochen Österreich, SAE Institute Wien, DeepSec In-Depth Security Conference, Bundesverband Sicherheitspolitik an Hochschulen, Kundenveranstaltungen).

Kontaktmöglichkeiten

  • E-Mail: rene@crowes.eu / pfeiffer@luchs.at
  • PGP/GPG: 0x28CAC51F8C413583 / 0x518A0576C3A9FF76
  • Mobil: +43.676.5626390 (Signal verfügbar)
  • Threema: 4WFYBWCJ

Weiterführende Artikel


Die Quellen sind zusätzlich oder teilweise statt in dieser Liste an den Bildern selbst angebracht.