Datenschutz für NGOs

Ein Forum für Expert*innen und Praktiker*innen aus der lokalen Vereinslandschaft


Input von:


https://privatsphaere-leipzig.org/
@privacy_leipzig
@CryptoPartyLE
Leipzig, 13. 12. 2018

Worum es geht:

  • Bündnis Privatsphäre Leipzig
  • Warum Datenschutz?
  • Technik hilft, oder?
  • Rationalisierung von Risiken – Betrohungsmodelle
  • Diskussion
Das Bündnis Privatsphäre Leipzig e. V. ist eine überparteiliche Bürgerinitiative mit dem Ziel, Überwachung, Rechtsstaatlichkeit und Demokratie in einem breiten öffentlichen Diskurs zu thematisieren.

Monatliches Meetup (Stammtisch)

... immer am letzten Donnerstag des Monats ab 19 Uhr

  • 27. 12. 2018 – 35c3 TBA
  • 24. 01. 2019 – Café Telegraph
  • 21. 02. 2019 – Süß & Salzig
  • 28. 03. 2019 – Hotel Seeblick
  • 25. 04. 2019 – Café Maître

CryptoParty Season 2/2018 (Herbst/Winter) in der naTo

  • 07. Januar 2019 – Der elektronische Briefumschlag – E-Mail-Verschlüsselung, asynchrone Verschlüsselung
  • 25. Februar 2019 – Thema: Clouldsysteme und Backups
  • März 2019 – Datei- und Festplattenverschlüsselung

Weitere Projekte (z. T. in Planung):

  • Lesungen für Privatsphäre (z. B. zum Safer Internet Day)
  • Teilnahme an den Kritischen Einführungswochen (KEW) an der Uni Leipzig
  • CryptoParties für Schüler*innen, Journalist*innen, Jurist*innen, Student*innn
  • Teilnahme an Podiumsdiskussionen, Interviewprojekten
  • Podcast zu Datenschutz und Datensicherheit

Warum Datenschutz?

Moderne Rechtsgrundlagen 1

Die Allgemeine Erklärung der Menschenrechte

Artikel 12

Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden. Jeder hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.

Moderne Rechtsgrundlagen 2

CHARTA DER GRUNDRECHTE DER EUROPÄISCHEN UNION

Artikel 7

Achtung des Privat- und Familienlebens
Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.

Moderne Rechtsgrundlagen 3

CHARTA DER GRUNDRECHTE DER EUROPÄISCHEN UNION

Artikel 8

Schutz personenbezogener Daten
  1. Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
  2. Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
  3. Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

Aspekte der Privatheit (Privacy)

Motive/Anlass für Datenschutz

  1. Rechtsrahmen
  2. Datensammlungen
    Surveillance by Datacrafted from the Noun Project                Surveillance by Luis Prado from the Noun Project
    a) staatlicher Akteure b) privater Akteure

Motive/Anlass für Datenschutz

Weitere Beispiele

Refugees by Gerald Wildmoser from the Noun Project Rainbow by Catherine Please from the Noun Project unemployment by nayeli zimmermann from the Noun Project

Herausforderungen

technische Analyseverfahren

  • Digitale, massive Datensammlungen -> Einsatz von BigData-Algorithmen zur Analyse
  • BigData als Geschäftsmodell
  • Public-Private-Partnership (Indifferenz)

Herausforderungen

Big Data als Überwachungskapitalismus

  • beschreibt BigData als neue Form des Informationskapitalismus
  • kommerzialisiert und verwertet werden soll jede Äußerung des täglichen Lebens (everydayness)
  • als neue Ware(nfiktion) steigt Verhalten auf (Verhalten symbolisiert Bewusstsein am Markt)

Herausforderungen

Überwachungskapitalismus als Risiko

  • Marktkontrolle durch (vermeintliche) Verhaltenskontrolle (Nudging, Microtargeting)
  • Tendenz des Totalen und Schaffung von Monopolen (Machtasymmetrien)

gesellschaftlicher Rahmen

Datenschutz und Digitalisierung

  • Digitalisierung als Kulturwandel → Nutzungsänderungen
  • Überwachung und Manipulation als Machttechniken (min. seit der Disziplinargesellschaft)
  • Welche Gesellschaft streben wir an? (Panoptikum, Banoptikum, Synoptikum) -> Verhältnis von Überwachung, Disziplin und Kontrolle (Focault/Deleuze/Han)

gesellschaftlicher Rahmen

Transformation

Technik hilft, oder?

Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.

Verschlüsselung funktioniert

  • gute Nachricht weil Verschlüsselung – nahezu immer – technische Grundlage von Datenschutz ist
  • aber:
    • richtige Implementierung -> setzt deren Überprüfbarkeit voraus -> OpenSource
    • starke Crypto-Systeme -> standardisierte, aktuelle und öffentlich überprüfte Verfahren und Algorithmen
  • Also quelloffene, empfohlene Lösungen im eigenen Alltag einsetzen und alles ist gut?

Verschlüsselung umgehen

Verschlüsselung schwächen

Schief gegangen

Beispiele von Sicherheitsbrüchen

Grenzen ausloten

Risikoanalyse an Hand von Bedrohungsmodellen

Bedrohungsmodelle:

  • beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können
  • helfen Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung besser einzuschätzen und eigenes Verhalten anzupassen.

Bedrohungsmodell

Übersicht

schützenswerte Güter

Was möchte ich schützen?

  • Passwörter
  • Geld
  • Dateien (Fotos, Videos, Dokument, etc.)
  • Chats, Unterhaltungen, Korrespondenzen
  • Metadaten
  • Betriebsgeheimnisse, Geheimnisse Dritter

Angreifer

Vor wem möchte ich es schützen?

  • Nachrichtendienste mittels Massenüberwachung (NSA, GCHQ, BND)
  • (neugierige) Kolleg*Innen
  • (neugierige) Sicherheitsbehörden (BKA, Verfassungsschutz, Polizei)
  • Diebe, kriminelle Elemente, Hacker
  • Unternehmen die Dienste anbieten um Profilbildung für Werbeeinnahmen zu betreiben

Risiken bei Schutzversagen

Was sind die Konsequenzen, wenn der Schutz versagt?

  • Identitätsdiebstahl: Hacker/Script-Kiddie übernimmt Facebook-Account/Website
  • rechtliche Probleme: Schadenersatzforderungen
  • Vertrauensverlust/Imageschaden
  • Übernahme/Verlust der Gerätekontrolle: Smartphone, Laptop, Tablet, E-Book-Reader
  • Datenverlust: Verschlüsselung von Dateien / Lösegelderpressung

Angriffspotentiale

Welche Angriffswege könnten genutzt werden?

  • physischer Gerätezugriff Angreifer*In installiert Überwachungssoftware auf meinem Gerät
  • Zugriff auf den Transportweg der Daten Angreifer*In könnte das LAN/WLAN ausspionieren
  • Phishing/Trojaner, Manipulation des Endpunktes der Kommunikation Angreifer*In könnte eine Website gefälscht haben
  • Manipulation des Systems/von Anwendungen Angreifer*In nutzt Sicherheitslücken im System/ Applikationen

Die W-Fragen

Schutzintressen und -rahmen ermitteln

  • Was möchte ich schützen?
  • Vor wem möchte ich es schützen?
  • Was sind die Konsequenzen, wenn der Schutz versagt?
  • Welche Angriffswege könnten genutzt werden?
  • Wie wahrscheinlich ist die Notwendigkeit es schützen zu müssen?
  • Wie viel Aufwand und Umstände möchte ich in Kauf nehmen und worauf möchte ich verzichten, um es zu schützen?

Risiken vs. Gegenmaßnahmen

I

Risiken Gegenmaßnahmen (Empfehlung)
Personenüberwachung
Passwortdiebstahl und Identitätsdiebstahl Ein Passwort pro Dienst verwenden
Sicherheitslücken in Diensten und Systemen Schwachstellen-Handling (responsible disclosure policy)

Risiken vs. Gegenmaßnahmen

II

Risiken Gegenmaßnahmen (Empfehlung)
Viren neue Dateien direkt scannen, Virenscanner (bedingt)
Würmer keine unbekannten E-Mail-Anhänge öffnen, Virenscanner (bedingt)
Trojaner (z. B. Ransomware, Keylogger, Videoüberwachung) Backups; Kamera abkleben; Virenscanner (bedingt)

Exkurs: Virenscanner

Fazit

Bedrohungsmodelle als Mittel zur Selbstermächtigung

  • Bedrohungsmodelle unterstützen bei der Abwägung von Risiken in Bezug auf Datensicherheit und -schutz
  • Bedrohungsmodelle identifizieren schützenswerte Güter (Assets), Angreifer*Innen, Risiken und Angriffspotentiale
  • Identifizierte Bedrohungen können besser eingeschätzt werden (Entscheidung für oder gegen Maßnahmen)
  • Rationalisierung: Kosten-Nutzen-Abwägung (zu einem bestimmten Grad)

Vielen Dank für Ihre Aufmerksamkeit!