Präsentation - cc-Camp
Transcrição
Präsentation - cc-Camp
CC-Camp 25. Juni 2016 Dr. Manfred Wöhrl Sicherheit und Risiken beim Onlineshopping Was ist beim online-Einkauf zu beachten? [email protected] R.I.C.S.EDV-GmbH Schönbrunner Schloßstr. 5/2 A-1120 Wien http://www.rics.at Innovation BCM Security Digital Networking Internet Universität Wien (Experimentalphysik) Versuchsanstalt f. DV (HTL-Spengergasse) Cloud Signage R.I.C.S. EDV-GmbH (Research Institute for Computer Science) Das Klondyke von heute Claims abstecken und Geld machen – über den Rest reden wir später….. Der Einkaufsmarkt verändert sich schneller, als wir denken! – der Kunde als gläserner Mensch ? • Wer sorgt für meine Privatsphäre ? • Wer schützt mich vor kriminellen Angriffen beim Web-Shopping ? • Wie schnell reagiert die Gesetzgebung ? • Wer hat Interesse daran, meine Privatsphäre zu schützen ? „Der Bedarf an Sicherheitsmaßnahmen ist unendlich, das Bedürfnis der Benutzer ist gleich Null.“ Zitate: Meine Daten interessieren niemanden. Ich habe nichts zu verbergen. Ich vertraue meiner EDV (meinem Betreuer). Es trifft immer die Anderen. …bis mir selbst das Handy gestohlen wird oder ich meinen USB-Stick verliere….. oder jemand unter meinem Namen eingekauft hat…… Anmerkung: FOR IMMEDIATE RELEASE Tuesday, September 01, 2015 Contact: Office of Communications Tel: (202) 606-2402 DoD Announce Identity Theft Protection and Credit Monitoring Contract Victims of Cybercrime to Receive Three Years of Services ? https://www.ftc.gov/ Computerdaten, die uns nützen muss man vor fremdem Zugriff schützen. Die vielen Infos, die dort liegen darf nicht problemlos jeder kriegen. M.Wöhrl Datenschutz Datensicherheit Recht Praxis Zukunft Gegenwart If privacy is outlawed, only outlaws will have privacy. Das DiTech-Syndrom • beraten lassen ja, einkaufen nein • ich informiere mich über Produkte bei kompetenten Verkäufern im Geschäft • Ich gehe nach Hause und überprüfe den Preis bei geizhals.at • Ich bestelle bei AMAZON • Frage: Granatie? Hotline? Der Greissler - Paradigmenwechsel • Anschreiben war einmal Vertrauen ist gut, Kontrolle ist besser • Das Risiko des Zahlens vorab Rückforderungen international ein Problem • Persönlicher Kontakt war gestern Missing-Social-Contacts • Die Lager-Vielfalt geht verloren Wer hat noch ein Lager? • Probieren und angreifen nur mehr virtuell Die Katze im Sack. Rsikopotentiale im Webshopping • Risiken im Einkaufs-Prozeß allg. Gefahren durch die Webnutzung Kreditkarte, Direct-Banking Bekanntgabe von Daten Folgen • Risiken über das gekaufte Produkt Softwarekauf Installationsrisiken Produkt-Lieferung, Produktrückgabe Umgang mit persönlichen Daten • Was sind persönliche Daten ? Es handelt sich dabei um Angaben über Betroffene, deren Identität mittels dieser Daten bestimmt oder bestimmbar ist (zB Name, Adresse, Telefonnummer, Personalnummer, Familienstand, etc.). • Was sind sensible Daten ? Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, ihre Gesundheit oder ihr Sexualleben. Die Verwendung sensibler Daten ist an strenge Voraussetzungen gebunden. Registrierung, Vorabkontrolle und jederzeitige Überprüfung durch die Datenschutzbehörde. Anmerkung: Das DSG 2000 kennt darüber hinaus – im Gegensatz zur EU – noch den Begriff der “besonders schutzwürdigen Daten“; darunter fallen: strafrechtliche Daten, Daten zur Beurteilung der Kreditwürdigkeit einer Person sowie Daten aus Informationsverbundsystemen (Daten, zu denen mehrere Auftraggeber Zugang haben). *** Shop-Verbund *** Umgang mit persönlichen Daten Sparsam Informationen weitergeben Pflichtfelder bei Anmeldungen im Webshop ? Welche sind bekannt Mehrmals falsch ist einmal richtig Wann bin ich zu Hause Dokumente eingescanned Tresore im Web für Anmeldedaten Thema Telefonumfrage Trick der anonymen Umfrage Umgang mit persönlichen Daten „Indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann. Dies ist zB bei verschlüsselten Daten der Fall, wenn der Verschlüsselungscode nicht zugänglich ist. "Indirekt personenbezogene Daten“ sind datenschutzrechtlich privilegiert: insb gelten bei ihrer Verwendung schutzwürdige Geheimhaltungsinteressen als nicht verletzt; der Datenverkehr ins Ausland ist genehmigungsfrei, wenn die Daten für den Empfänger nur indirekt personenbezogen sind; Datenanwendungen, die nur indirekt personenbezogene Daten enthalten, sind nicht meldepflichtig. Webshop-Anbieterproblem: • • • • • Gesetze unklar oder zu streng im B2C Große internationale Unterschiede Risiko für Unternehmer zu hoch Schaden nicht kalkulierbar Life Long Warranty Rückzug von Anbietern ? Was ist ein sicheres Passwort ? • Länge 20+ • Zeichen mischen, Merksatz Ziffern, Buchstaben, Sonderzeichen • Keine Verbindung zur Person Geburtstag, Haustier….. • Nach Möglichkeit Wechsel zur HW-Lösung „Token“ • Anti-Lexikon-und-Phrasen-Prüfung „Brute-Force-Checker“ http://password-checker.online-domain-tools.com/ Wie merke ich mir einen PIN ? • Niemals aufschreiben Umfeld Arbeitsplatz....Bankomartkarte • Umkehrbare pers. Algorithmen definieren Spiegeln 3412 2143 3412 Positionstausch (z.B. aussen ) 3412 2413 3412 Rotieren im Kreis um x Positionen (1 x rechts) 3412 2341 3412 (1 x links) 9-Komplement 3412 6587 3412 • Algorithmen kombinieren zB. Spiegeln + 9-Komplement 3412 2143 7856 • Coded-PIN 7856 notieren Verwenden auch als Teil eines Passwortes Security-Forderung Identifikation des Benutzers durch Wissen & Besitzen Ziel: Kundenkarten mit Chip Device (z.B.: Handy) mit Challenge-Response-Verfahren RFID-subdermales-Implantat? http://lines-and-dots.com/bodymod/rfid-implantat/ Die 10 Gebote der Shopauswahl 1. Die Anbieterin/der Anbieter ist eindeutig durch Firmenname, Anschrift, Telefonnummer, E-Mail-Adresse, Nennung einer Kontaktperson und Firmenbuchnummer zu identifizieren. 2. Die Anbieterin/der Anbieter stellt leicht zugängliche und transparente Vertragsbedingungen für das Online-Shopping bereit. 3. Die Leistungsmerkmale der angebotenen Produkte und die Garantiebedingungen sind genau und übersichtlich dargestellt. 4. Der Produktpreis enthält – einzeln aufgelistet – sämtliche Zusatzkosten für Lieferung, Verpackung, bestimmte Zahlungsformen etc. 5. Eine technisch sichere, für die Konsumentin/den Konsumenten nachvollziehbare Zahlungsmöglichkeit ist gewährleistet Quelle: https://www.help.gv.at/ Die 10 Gebote der Shopauswahl 6. Jede Bestellung wird von der Anbieterin/dem Anbieter nochmals per E-Mail bestätigt 7. Ein Rücktritts- und Rückgaberecht wird der Konsumentin/dem Konsumenten ausdrücklich zugestanden und die Bedingungen dafür werden genau erläutert 8. Die voraussichtliche Lieferzeit ist exakt angegeben 9. Die Anbieterin/der Anbieter verpflichtet sich, keine Kundendaten an Dritte weiterzugeben 10. Angebote, Produktbeschreibungen und Support erfolgen durchgängig in der jeweiligen Landessprache der Anbieterin/des Anbieters bzw. in der Sprache, in der die Bestellung abgewickelt wird Quelle: https://www.help.gv.at/ In Österreich können sich vertrauenswürdige Online-Shops mit dem E-Commerce-Gütezeichen auszeichnen lassen. (295 zertifizierten Shops) Am sichersten ist es, bei Anbieterinnen/Anbietern einzukaufen, die zumindest über eine Niederlassung im Inland verfügen. Bei Problemen mit Bestellungen im Ausland ist es oft schwierig, die eigenen Rechte durchzusetzen. www.e-rating.at Problem: Letzte News aus 2010 Eine Gesellschaft, in der „Stabilität, Frieden und Freiheit“ gewährleistet scheinen. Mittels mentaler Indoktrinierung bereits der Kleinkinder werden die Menschen in gewisse Gruppen (Kasten) geprägt. Allen Kasten dieser visionären Gesellschaft gemeinsam ist die Konditionierung auf eine permanente Befriedigung durch Konsum, Sex und die Droge Soma, die den Mitgliedern dieser Gesellschaft das Bedürfnis zum kritischen Denken und Hinterfragen ihrer Weltordnung nimmt. Nach einem Einkauf über ein Webshop wird die Lieferung erfolgen • • • • • • durch Dienstleister in Abholcontainer in den Kofferraum meines Autos durch Drohnen durch autonome Roboter-Fahrzeuge Downloads eines Konfigurationsfiles und Ausgabe des Produktes am 3D-Drucker zu Hausen Vom Einkaufen zum Eye-Shopping das Lusterlebnis "Einkaufen" wird auf Gustier-Ausflüge reduziert Die Vereinsamung ist vorprogrammiert auch das Eye-Shopping wird zum virtuellen Einkaufsspaziergang im Netz mit Google-Brille, Augmented Reality & Cyber-Gloves …wer entscheidet, welche Daten ich sehe ? Der gläserne Mensch der Zukunft ist der glückliche Konsument. Nach Analyse meines Einkaufsverhaltens weiß der Computer, was ich brauche, was ich mir wünsche und auch was ich mir leisten kann. Er kennt mich und schlägt mir entsprechende Angebote vor, die ich nur mehr zu quittieren habe. Big-Data macht es möglich. Der Einkauf entartet schlussendlich zu einer Konfiguration meiner Systeme zur Erfüllung meiner Bedürfnisse: Der Eiskasten weiß genau, wie viel Milch ich pro Tag verbrauche oder wann ich wie viele und welche Biere mir wünsche. Er sorgt proaktiv und automatisch für die entsprechende Bestellung, die Lieferung wird durch Roboter erledigt. IoT macht es möglich. • Sicherheit bedeutet Aufwand o Ohne Einsicht werden Methoden umgangen o Unerkannter „Mehrwert“ des SEC-Prozesses • Der Mensch lebt monoton o Veränderungen im tägl. Ablauf sind unbeliebt o Token werden abgelehnt (Verlust?) • Risiken werden verdrängt o „Mir wird schon Nichts passieren“ • Der Mensch braucht Leitfiguren o Ein „Vorbild“ muß Security vorleben Sie haben Fragen ? Wir haben die Antwort ! R.I.C.S.EDV-GmbH Schönbrunner Schloßstr. 5/2 A-1120 Wien http://www.rics.at Dr. Manfred Wöhrl [email protected]