Präsentation - cc-Camp

CC-Camp
25. Juni 2016
Dr. Manfred Wöhrl
Sicherheit und Risiken beim
Onlineshopping
Was ist beim online-Einkauf zu
beachten?
[email protected]
R.I.C.S.EDV-GmbH
Schönbrunner Schloßstr. 5/2
A-1120 Wien
http://www.rics.at
Innovation
BCM
Security
Digital
Networking
Internet
Universität Wien
(Experimentalphysik)
Versuchsanstalt f. DV
(HTL-Spengergasse)
Cloud
Signage
R.I.C.S. EDV-GmbH
(Research Institute for Computer Science)
Das Klondyke von heute
Claims abstecken und Geld machen – über
den Rest reden wir später…..
Der Einkaufsmarkt verändert sich schneller, als
wir denken! – der Kunde als gläserner Mensch ?
• Wer sorgt für meine Privatsphäre ?
• Wer schützt mich vor kriminellen Angriffen
beim Web-Shopping ?
• Wie schnell reagiert die Gesetzgebung ?
• Wer hat Interesse daran, meine Privatsphäre
zu schützen ?
„Der Bedarf an Sicherheitsmaßnahmen ist unendlich,
das Bedürfnis der Benutzer ist gleich Null.“
Zitate:
 Meine Daten interessieren niemanden.
 Ich habe nichts zu verbergen.
 Ich vertraue meiner EDV (meinem Betreuer).
 Es trifft immer die Anderen.
…bis mir selbst das Handy gestohlen wird
oder ich meinen USB-Stick verliere…..
oder jemand unter meinem Namen eingekauft hat……
Anmerkung:
FOR IMMEDIATE RELEASE
Tuesday, September 01, 2015
Contact: Office of Communications
Tel: (202) 606-2402
DoD Announce Identity Theft Protection and Credit Monitoring Contract
Victims of Cybercrime to Receive Three Years of Services
?
https://www.ftc.gov/
Computerdaten, die uns nützen
muss man vor fremdem Zugriff schützen.
Die vielen Infos, die dort liegen
darf nicht problemlos jeder kriegen.
M.Wöhrl
Datenschutz
Datensicherheit
Recht
Praxis
Zukunft
Gegenwart
If privacy is outlawed, only outlaws will have privacy.
Das DiTech-Syndrom
• beraten lassen ja, einkaufen nein
• ich informiere mich über Produkte bei kompetenten
Verkäufern im Geschäft
• Ich gehe nach Hause und überprüfe den Preis bei
geizhals.at
• Ich bestelle bei AMAZON
• Frage: Granatie? Hotline?
Der Greissler - Paradigmenwechsel
• Anschreiben war einmal
Vertrauen ist gut, Kontrolle ist besser
• Das Risiko des Zahlens vorab
Rückforderungen international ein Problem
• Persönlicher Kontakt war gestern
Missing-Social-Contacts
• Die Lager-Vielfalt geht verloren
Wer hat noch ein Lager?
• Probieren und angreifen nur mehr virtuell
Die Katze im Sack.
Rsikopotentiale im Webshopping
• Risiken im Einkaufs-Prozeß
 allg. Gefahren durch die Webnutzung
 Kreditkarte, Direct-Banking
 Bekanntgabe von Daten  Folgen
• Risiken über das gekaufte Produkt
 Softwarekauf  Installationsrisiken
 Produkt-Lieferung, Produktrückgabe
Umgang mit persönlichen Daten
• Was sind persönliche Daten ?
Es handelt sich dabei um Angaben über Betroffene, deren Identität
mittels dieser Daten bestimmt oder bestimmbar ist (zB Name, Adresse,
Telefonnummer, Personalnummer, Familienstand, etc.).
• Was sind sensible Daten ?
Daten natürlicher Personen über ihre rassische und ethnische Herkunft,
politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder
philosophische Überzeugung, ihre Gesundheit oder ihr Sexualleben.
Die Verwendung sensibler Daten ist an strenge Voraussetzungen
gebunden. Registrierung, Vorabkontrolle und jederzeitige Überprüfung
durch die Datenschutzbehörde.
Anmerkung: Das DSG 2000 kennt darüber hinaus – im Gegensatz zur EU –
noch den Begriff der “besonders schutzwürdigen Daten“; darunter fallen:
strafrechtliche Daten, Daten zur Beurteilung der Kreditwürdigkeit einer
Person sowie Daten aus Informationsverbundsystemen (Daten, zu denen
mehrere Auftraggeber Zugang haben). *** Shop-Verbund ***
Umgang mit persönlichen Daten
 Sparsam Informationen weitergeben
Pflichtfelder bei Anmeldungen im Webshop ?
 Welche sind bekannt
Mehrmals falsch ist einmal richtig
Wann bin ich zu Hause
 Dokumente eingescanned
Tresore im Web für Anmeldedaten
 Thema Telefonumfrage
Trick der anonymen Umfrage
Umgang mit persönlichen Daten
„Indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister
oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten
derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger
die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen
kann. Dies ist zB bei verschlüsselten Daten der Fall, wenn der
Verschlüsselungscode nicht zugänglich ist. "Indirekt personenbezogene Daten“
sind datenschutzrechtlich privilegiert: insb gelten bei ihrer Verwendung
schutzwürdige Geheimhaltungsinteressen als nicht verletzt; der Datenverkehr
ins Ausland ist genehmigungsfrei, wenn die Daten für den Empfänger nur
indirekt personenbezogen sind; Datenanwendungen, die nur indirekt
personenbezogene Daten enthalten, sind nicht meldepflichtig.
Webshop-Anbieterproblem:
•
•
•
•
•
Gesetze unklar oder zu streng im B2C
Große internationale Unterschiede
Risiko für Unternehmer zu hoch
Schaden nicht kalkulierbar
Life Long Warranty
 Rückzug von Anbietern ?
Was ist ein sicheres Passwort ?
• Länge
20+
• Zeichen mischen, Merksatz
Ziffern, Buchstaben, Sonderzeichen
• Keine Verbindung zur Person
Geburtstag, Haustier…..
• Nach Möglichkeit Wechsel zur HW-Lösung
„Token“
• Anti-Lexikon-und-Phrasen-Prüfung
„Brute-Force-Checker“
http://password-checker.online-domain-tools.com/
Wie merke ich mir einen PIN ?
• Niemals aufschreiben
Umfeld Arbeitsplatz....Bankomartkarte
• Umkehrbare pers. Algorithmen definieren
Spiegeln
3412  2143  3412
Positionstausch (z.B. aussen )
3412  2413  3412
Rotieren im Kreis um x Positionen
(1 x rechts) 3412  2341  3412 (1 x links)
9-Komplement
3412  6587  3412
• Algorithmen kombinieren
zB. Spiegeln + 9-Komplement 3412  2143  7856
• Coded-PIN 7856 notieren
Verwenden auch als Teil eines Passwortes
Security-Forderung
Identifikation des Benutzers durch Wissen & Besitzen
Ziel: Kundenkarten mit Chip
Device (z.B.: Handy) mit Challenge-Response-Verfahren
RFID-subdermales-Implantat?
http://lines-and-dots.com/bodymod/rfid-implantat/
Die 10 Gebote der Shopauswahl
1. Die Anbieterin/der Anbieter ist eindeutig durch Firmenname, Anschrift,
Telefonnummer, E-Mail-Adresse, Nennung einer Kontaktperson und
Firmenbuchnummer zu identifizieren.
2. Die Anbieterin/der Anbieter stellt leicht zugängliche und transparente
Vertragsbedingungen für das Online-Shopping bereit.
3. Die Leistungsmerkmale der angebotenen Produkte und die Garantiebedingungen sind genau und übersichtlich dargestellt.
4. Der Produktpreis enthält – einzeln aufgelistet – sämtliche Zusatzkosten
für Lieferung, Verpackung, bestimmte Zahlungsformen etc.
5. Eine technisch sichere, für die Konsumentin/den Konsumenten
nachvollziehbare Zahlungsmöglichkeit ist gewährleistet
Quelle: https://www.help.gv.at/
Die 10 Gebote der Shopauswahl
6. Jede Bestellung wird von der Anbieterin/dem Anbieter nochmals
per E-Mail bestätigt
7. Ein Rücktritts- und Rückgaberecht wird der Konsumentin/dem Konsumenten
ausdrücklich zugestanden und die Bedingungen dafür werden genau erläutert
8. Die voraussichtliche Lieferzeit ist exakt angegeben
9. Die Anbieterin/der Anbieter verpflichtet sich, keine Kundendaten
an Dritte weiterzugeben
10. Angebote, Produktbeschreibungen und Support erfolgen durchgängig
in der jeweiligen Landessprache der Anbieterin/des Anbieters
bzw. in der Sprache, in der die Bestellung abgewickelt wird
Quelle: https://www.help.gv.at/
In Österreich können sich vertrauenswürdige
Online-Shops mit dem
E-Commerce-Gütezeichen auszeichnen lassen.
(295 zertifizierten Shops)
Am sichersten ist es, bei Anbieterinnen/Anbietern einzukaufen, die zumindest über eine
Niederlassung im Inland verfügen. Bei Problemen mit Bestellungen im Ausland ist es oft
schwierig, die eigenen Rechte durchzusetzen.
www.e-rating.at
Problem: Letzte News aus 2010
Eine Gesellschaft, in der „Stabilität,
Frieden und Freiheit“ gewährleistet
scheinen.
Mittels mentaler Indoktrinierung bereits der
Kleinkinder werden die Menschen in
gewisse Gruppen (Kasten) geprägt.
Allen Kasten dieser visionären Gesellschaft
gemeinsam ist die Konditionierung auf eine
permanente Befriedigung durch Konsum,
Sex und die Droge Soma, die den
Mitgliedern dieser Gesellschaft das
Bedürfnis zum kritischen Denken und
Hinterfragen ihrer Weltordnung nimmt.
Nach einem Einkauf über ein Webshop wird die
Lieferung erfolgen
•
•
•
•
•
•
durch Dienstleister
in Abholcontainer
in den Kofferraum meines Autos
durch Drohnen
durch autonome Roboter-Fahrzeuge
Downloads eines Konfigurationsfiles und Ausgabe
des Produktes am 3D-Drucker zu Hausen
Vom Einkaufen zum Eye-Shopping
 das Lusterlebnis "Einkaufen" wird auf Gustier-Ausflüge reduziert
Die Vereinsamung ist vorprogrammiert
 auch das Eye-Shopping wird zum virtuellen Einkaufsspaziergang im Netz
mit Google-Brille, Augmented Reality & Cyber-Gloves
…wer entscheidet, welche Daten ich sehe ?
Der gläserne Mensch der Zukunft ist der glückliche Konsument.
Nach Analyse meines Einkaufsverhaltens weiß der Computer,
was ich brauche, was ich mir wünsche und auch was ich mir
leisten kann.
Er kennt mich und schlägt mir entsprechende Angebote vor,
die ich nur mehr zu quittieren habe.
Big-Data macht es möglich.
Der Einkauf entartet schlussendlich zu einer Konfiguration
meiner Systeme zur Erfüllung meiner Bedürfnisse:
Der Eiskasten weiß genau, wie viel Milch ich pro Tag
verbrauche oder wann ich wie viele und welche Biere mir
wünsche. Er sorgt proaktiv und automatisch für die
entsprechende Bestellung, die Lieferung wird durch
Roboter erledigt.
IoT macht es möglich.
• Sicherheit bedeutet Aufwand
o Ohne Einsicht werden Methoden umgangen
o Unerkannter „Mehrwert“ des SEC-Prozesses
• Der Mensch lebt monoton
o Veränderungen im tägl. Ablauf sind unbeliebt
o Token werden abgelehnt (Verlust?)
• Risiken werden verdrängt
o „Mir wird schon Nichts passieren“
• Der Mensch braucht Leitfiguren
o Ein „Vorbild“ muß Security vorleben
Sie haben Fragen ?
Wir haben die Antwort !
R.I.C.S.EDV-GmbH
Schönbrunner Schloßstr. 5/2
A-1120 Wien
http://www.rics.at
Dr. Manfred Wöhrl
[email protected]