Liest die NSA Patientendaten?

Präsentation zum Thema: "Liest die NSA Patientendaten?"—  Präsentation transkript:

1 Liest die NSA Patientendaten?
Dipl.-Ing. Sebastian Unger -- Name Sebastian Unger -- Arbeite als Doktorand im Graduiertenkolleg MuSAMA -- am Insitut für angewandte Mikroelektronik und Daten Technik bei Prof. Dirk Timmermann -- Teil der WS4D Arbeitsgruppe, die sich mit spontaner ad-hoc-Vernetzung von Geräten befasst -- Ich beschäftige mich dabei damit, wie Geräte sicher (z.B. verschlüsselt und authentifiziert) miteinander kommunizieren können

2 Liest die NSA Patientendaten
Kurzzusammenfassung Der Fall Ellen Richardson Kanadierin Geplante Einreise in die Staaten, um Kreuzfahrt anzutreten Einreise verweigert wegen früherem Aufenthalt in psychiatrischer Einrichtung Keine Erstattung der $6000 Viele ähnlich gelagerte Fälle bekannt ([cbc11]) Fall Ellen Richardson - Nachrichtenmagazin TheStar.com [thestar13]  Ja, die NSA liest Patientendaten! © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

3 Die Snowden-Enthüllungen: Was machen NSA, GCHQ und BND?
Agenda Die Snowden-Enthüllungen: Was machen NSA, GCHQ und BND? Ein Blick in die (nicht so ferne) Zukunft Wie schützt uns Politik? Wie kann ich mich schützen? Zusammenfassung Worum geht es? -- Was passiert um uns rum? -- -- Wir werden sehen, dass unsere -- Was bedeutet das für den Alltag einer Klinik, eines Arztes © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

4 Die Snowden-Enthüllungen: Was machen NSA, GCHQ und BND?
Agenda Die Snowden-Enthüllungen: Was machen NSA, GCHQ und BND? Edward Snowden Wie beschafft die NSA Daten? Was macht die NSA mit diesen Daten Was sind Metadaten? Nichts zu verbergen? Ein Blick in die (nicht so ferne) Zukunft Wie schützt uns Politik? Wie kann ich mich schützen? Zusammenfassung © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

5 Die Snowden-Enthüllungen
Wer ist Edward Snowden? US-Amerikaner Seit 2005 direkt oder als externer Dienstleister für CIA und NSA tätig Administrator / Techniker Voller Zugriff auf Dokumente Leaks Vorher: Gutes Leben in Hawaii Held für die einen, Vaterlandsverräter für die anderen  USA haben nichts dementiert! (Leumund f. Edward Snowden) -- Alle Erkenntnisse beruhen auf seinen Leaks -- Admininistrator / Techniker bei der CIA, später als externer Dienstleister für die NSA -- Erklären was er aufgegeben hat -- Held für die einen, Vaterlandsverräter für die anderen -- USA haben nicht dementiert © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

6 Die Snowden-Enthüllungen
Wie werden Informationen beschafft? Zugriff auf transatlantische Unterseekabel Internet dezentral, transatlantische Unterseekabel bündeln jedoch Verkehr GCHQ (GB) kopiert alle Daten, die über Unterseekabel laufen Brisant durch Vielzahl US-Dienste Überwachungsschnittstellen bei allen Providern Briefe fotografieren Ziel von Geheimdiensten (NSA, GCHQ, BND, DGSE, … alles eine Soße) -- Informationen beschaffen -- Verbreitung von Informationen kontrollieren und ggf. Informationen manipulieren Wie werden Informationen beschafft? -- GCHQ hängt an Transatlantikkabeln (abgebildet: TAT-14) -- Abhörschnittstellen bei ALLEN Providern -- >  Speichern aller SMS -- >  Speichern aller s -- >  Ganz neu: Videochats -- >  Speichern aller Telefonate (mindestens Verbindungsdaten) -- Briefumschläge fotografieren, vereinzelt weiterleiten an USA © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

7 Die Snowden-Enthüllungen
Wie werden Informationen noch beschafft? Erzwingen geheimer Hintertüren in Sicherheitshard- und -software Ausnutzen z.T. bekannter Sicherheitslücken in Betriebssystemen oder Anwendungssoftware Wie weiter? Angriffe auf Verschlüsselung: -- Hintertüren in kommerziellen Hard- und Softwarelösungen (erzwungen) -- Ausnutzen bekannter Schwachstellen -- Abfangen von Postsendungen -- „Besorgen“ von Schlüsseln (Bsp: LavaBit) -- -- Zwangen Betreiber zur Herausgabe seiner SSL-Schlüssel  Mitlesen der s möglich -- -- Betreiber wehrte sich, Gericht zwang ihn ($5000/d) -- -- FBI forderte direkten Zugriff auf seine Infrastruktur, um ohne sein Zutun Passwörter, s, Schlüssel und Metadaten zu erhalten -- -- Betreiber schloss sofort den Dienst Dass Geheimdienste auf Auslandskorrespondenz festgelegt sind hat nichts zu heißen, „Five Eyes“, BND spielt mit Abfangen von Postsendungen Erzwingen von Herausgabe von Schlüsseln © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

8 Die Snowden-Enthüllungen
Was passiert mit den Informationen? XKeyScore: Gesammelte Daten werden Analysten automatisch aufbereitet zur Verfügung gestellt. Analyst darf Daten über Zielperson anfragen, wenn „vernünftigerweise“ davon ausgegangen werden kann, dass es sich dabei um einen Ausländer außerhalb der USA handelt. Mehrere bekannte Fälle, in denen NSA-Analysten Ehepartner oder einen Schwarm als Zielperson klassifiziert haben Auch BND nutzt XKeyScore als Werkzeug -- Bis hier hin alles nur „Big Data“, Daten sammeln -- im Verständnis d. Amerikaner noch keine Überwachung -- Überwachung beginnt mit XKeyScore -- Analyst darf komplette Datensätze (gesammelte s, SMS, Telefonate, Suchanfragen und SM-Aktivitäten) einsehen (falls vermutlich Ausländer außerhalb der USA) -- ABER: Fälle bekannt, in denen NSA-Analysten ihre Macht missbraucht haben, um Partner auszuspionieren -- ABER: BND arbeitet ebenfalls mit XKeyScore © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

9 Die Snowden-Enthüllungen
„Sind doch nur Metadaten“ Metadaten: Wer ruft wen wie lange an? ? ? -- gerne hervorgehoben: Sind doch nur Metadaten von Telefonaten und häufig wird behauptet, es würden nur Metadaten gespeichert -- Metadaten: Daten über Daten, z.B. Wer hat wem wann eine geschrieben oder wer hat wie lange und wann mit wem telefoniert? -- Anruf von Arzt, danach Anruf an mehrere Frauen (die ggf. wieder ihre Gynäkologen anrufen) -- Seelsorge von der Rheinbrücke -- Anruf vom Arbeitgeber, danach Anruf ans Arbeitsamt ? © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

10 Die Snowden-Enthüllungen
Nichts zu verbergen? Überwachung ist vorurteilsfrei und nichtdiskriminierend Speicherung zur späteren Verwendung  Wissen um Überwachung führt zu Schere im Kopf -- keine Ausnahme bei Richtern, Anwälten, Geistlichen oder Ärzten -- sammeln zur späteren Verwendung  -- Wissen um Überwachung führt zu Schere im Kopf © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

11 Die Snowden-Enthüllungen
Fazit Jedwede Kommunikation wird gespeichert und kann zu beliebigem Zeitpunkt eingesehen werden. Snowden: „Was legal und technisch möglich ist, wird auch gemacht.“ Wenn es das eigene Netzwerk verlässt, ist es eine „Postkarte“. -- Wir WERDEN abgehört, -- „Was legal und technisch möglich ist, wird auch gemacht“ -- Wenn es das eigene Netz verlässt, ist es eine Postkarte © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

12 Die Snowden-Enthüllungen: Was machen NSA, GCHQ und BND?
Agenda Die Snowden-Enthüllungen: Was machen NSA, GCHQ und BND? Ein Blick in die (nicht so ferne) Zukunft Dynamische Vernetzung im Wohnzimmer Zukunftsmusik: Dynamische Vernetzung im OP Das OR.NET Projekt Internet im OP? Wie schützt uns Politik? Wie kann ich mich schützen? Zusammenfassung © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

13 Ein Blick in die Zukunft
Ein Wohnzimmer -- Geräte verschiedenster Hersteller arbeiten zusammen -- Möglich durch sauber definierte Schnittstellen -- Man möge sich vorstellen, dem wäre nicht so Sorgfältig definierte Schnittstellen ermöglichen herstellerübergreifende Lösungen © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

14 Ein Blick in die Zukunft
Mein Wohnzimmer -- MEIN WOHNZIMMER -- Bis dahin ist das etwas, was wir seit Jahrzehnten machen (auch, wenn das Scart-Kabel gegen HDMI ausgetauscht wird) -- Funktionsumfang explodiert regelrecht, wenn Geräte vernetzt werden -- -- Filme und Musik aus dem Internet -- -- Smartphone/Tablet zur Fernsteuerung oder als Companion -- -- Fotos/Musik/Filme vom heimischen Netzwerkspeicher ins ganze Haus (Musik verfolgt) -- -- iPod (eigener oder der eines Gasts) kann Musik über Anlage wiedergeben -- -- Einbindung von Überwachungskamera / Babymonitor / … -- Wenn auch eher was für den technischen Enthusiasten, so funktioniert das heute ohne Spezialwissen Funktioniert heute out-of-the-box © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

15 Ein Blick in die Zukunft
Wohnzimmertechnologie im Krankenhaus Endoskopie- arbeitsplatz KIS-Datenbank Puls- oxymeter -- Ich bin kein Mediziner und habe noch nie in einem OP gestanden, wir haben uns aber sagen lassen, dass es bei medizinischen Geräten nicht so einfach sein soll wie im Wohnzimmer -- Jetzt stellen wir uns folgendes Szenario vor -- Unser Anwendungsfalls: Endoskopiearbeitsplatz (wird/ist bei und als Prototyp aufgebaut) - -- Patientendaten aus elektronischer Akte per Netzwerk auf Geräte -- Fehlerbericht an Hersteller  Update kommt per Netzwerk / Internet in einem „sicheren Moment“ automatisch -- Zuschalten von Kollegen per Video-Chat -- Stellen wir uns weiterhin vor, dass das nicht als Komplettlösung gekauft werden muss, sondern wir können uns jede Komponente von einem anderen Hersteller aussuchen, und uns dabei für das jeweils beste, schönste, preiswerteste entscheiden © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

16 Ein Blick in die Zukunft
Der vernetzte OP-Saal: OR.NET BMBF Projekt mit über 50 Partnern Herstellerunabhängige Vernetzung im OP Dabei auch juristische und organisatorische Fragen klären Prototyp am Institut MD: Endoskopiearbeitsplatz von Karl Storz per Smartphone steuerbar -- OR.NET will genau das ermöglichen -- BMBF-Projekt mit über 50 Partnern -- Soll medizinische Geräte herstellerunabhängig vernetzen -- Dabei auch juristische Fragen klären -- Vernetzung im OP im Grunde mit den gleichen Mitteln wie im Wohnzimmer: Internettechnologien Warum das? -- Technologien, die wir z.T. seit Dekaden kennen (ist in der IT eine Ewigkeit) -- Nur weil wir Sachen erfinden heißt das nicht, dass wir nicht manchmal eine Weile brauchen, um zu lernen, damit umzugehen -- Bestmöglich Anbindung an IT-Außenwelt -- -- Updates „live“ vom Hersteller -- -- (De)zentrale Datenhaltung … © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

17 Ein Blick in die Zukunft
Technischer Hintergrund von OR.NET Genau wie im Wohnzimmer: Internettechnologien Technologien sind erprobt Bestmöglich an die Außenwelt angebunden  Internet im OP Überwachung? -- Vernetzung im OP im Grunde mit den gleichen Mitteln wie im Wohnzimmer: Internettechnologien Warum das? -- Technologien, die wir z.T. seit Dekaden kennen (ist in der IT eine Ewigkeit) -- -- Nur weil wir Sachen erfinden heißt das nicht, dass wir nicht manchmal eine Weile brauchen, um zu lernen, damit umzugehen -- Bestmöglich Anbindung an IT-Außenwelt -- -- Updates „live“ vom Hersteller -- -- (De)zentrale Datenhaltung … © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

18 Die Snowden-Enthüllungen: Was machen NSA, GCHQ und BND?
Agenda Die Snowden-Enthüllungen: Was machen NSA, GCHQ und BND? Ein Blick in die (nicht so ferne) Zukunft Wie schützt uns Politik? Bezogene Stellungen verantwortlicher Politiker D Nationales bzw. Schengen-Routing … Wie kann ich mich schützen? Zusammenfassung © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

19 Wie schützt uns die Politik?
Ronald Pofalla Zuständig für BND und Geheimdienstkoordination Nach schriftlicher Versicherung: „Es gibt in Deutschland keine millionenfache Grundrechtsverletzung.“ „Die Vorwürfe sind vom Tisch.“ Nach Bekanntwerden des Lauschangriffs auf Angela Merkel: „schwerer Vetrauensbruch“ der USA -- „Es gibt in Deutschland keine millionenfache Grundrechtsverletzung“ -- „Die Vorwürfe sind vom Tisch“ -- „schweren Vertrauensbruch“ seitens der USA © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

20 Wie schützt uns die Politik?
Hans-Peter Friedrich Damaliger Innenminister Recht auf Sicherheit steht über den Grundrechten, „Sicherheit ist ein Supergrundrecht“ -- Supergrundrecht"Sicherheit ist ein Supergrundrecht", © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

21 Wie schützt uns die Politik?
Hans-Peter Uhl Damaliger Innenexperte der Union Recht auf informationelle Selbstbestimmung ist ein „Idylle aus anderen Zeiten“ -- Innenexperte der Union -- Recht auf informationelle Selbstbestimmung ist eine „Idylle aus anderen Zeiten“ © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

22 Wie schützt uns die Politik?
Zusammenfassung der unmittelbaren Reaktionen Reaktionen entweder -- Vogelstrauß (schriftliche Versicherung, Thema vom Tisch) -- „Ja und? Was willste jetzt machen?“ (Supergrundrecht, Idylle)  Von der Politik ist keine Hilfe zu erwarten © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

23 Wie schützt uns die Politik?
D Das Ziel Folgende Eigenschaften gewünscht: Ende-zu-Ende (E2E) -Sicherheit Vertraulichkeit Authentizität Integrität Nichtabstreitbarkeit Ziel: Sichere elektronische Kommunikation mit Behörden und zwischen Privatpersonen -- Gesetzesvorgabe zur D -- Ziel war sichere elektronische Kommunikation mit folgenden Schutzzielen: -- Ende-zu-Ende-Sicherheit: Nur der Empfänger kann Nachrichten entschlüsseln -- Vertraulichkeit: Niemand unbefugtes darf mitlesen -- Authentizität: Die Nachricht stammt definitiv vom angegebenen Absender -- Integrität: Die Nachricht wurde unterwegs nicht verändert -- Nichtabstreitbarkeit: Nachweis, dass Sie die Nachricht wirklich geschrieben haben © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

24 Wie schützt uns die Politik?
D Die Umsetzung I -- Jeder Teilnehmer identifiziert sich persönlich mit seinem Personalausweis bei einem Provider -- Provider werden vom BSI zertifiziert -- Jetzt kann zwischen jedem Teilnehmer vertraulich und authentifiziert kommuniziert werden -- Die Geheimdienste scheinen nicht mitlesen zu können © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

25 Wie schützt uns die Politik?
D Die Umsetzung II Hallo Bob! Hallo Bob! u6buw7buv6y6 62199hdhbvxk 7fdbz87dbbb2 -- Im laufenden Betrieb: Alice will Nachricht an Bob schicken -- Alice verschlüsselt Nachricht für ihren Provider und schickt sie ab -- Provider entschlüsselt die Nachricht, signiert sie, und verschlüsselt sie für Bobs Provider -- Bobs Provider entschlüsselt die Nachricht, überprüft die Signatur, verschlüsselt die Nachricht für Bob und schickt sie ihm -- Bob entschlüsselt die Nachricht Hallo Bob! Hallo Bob! © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

26 Wie schützt uns die Politik?
D Die Probleme I Hallo Bob! Hallo Bob! E2E Sicherheit? Vertraulichkeit? Authentizität? Integrität? Nichtabstreitbarkeit? -- Problem bei diesem Ansatz: Nachrichten liegen im Klartext beim Provider -- Hier können wir davon ausgehen, dass Nachrichtendiensten Schnittstellen bereitgestellt werden -- Keine Sicherstellung einer Verschlüsselung zwischen den Providern, denen muss man vertrauen -- Schutzziele durchgängig nicht erfüllt Hallo Bob! ? Hallo Bob! © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

27 Wie schützt uns die Politik?
D Die Probleme II Definierte Schutzziele verfehlt  Änderung der Gesetzesvorlage  D per Definition sicher (nicht etwa technisch) Bundesministerium des Inneren (BMI): D ist „ein absolut sicheres Verfahren.“ D unterliegt dem Fernmeldegeheimnis, Einblick wäre strafbar. -- Schutzziele Verfehlt -- Änderung des Gesetzesentwurfs und damit Deklaration als „sicher“ -- BMI: D ist „ein absolut sicheres Verfahren“. Unterliegt dem Fernmeldegeheimnis und ein Einblick wäre strafbar. © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

28 Wie schützt uns die Politik?
Nationales / Schengenrouting: Idee Idee: Nationale bzw. innereuropäische Anfragen nur national bzw. innereuropäisch routen Beispiel: von Rostock nach München Nürnberg Berlin -- orientiert sich namentlich und inhaltlich an Schengenraum (freies Reisen und freier Warenaustausch in EU Mitgliedsstaaten) -- Einziger Vorteil: GB nicht Schengenraum -- Bedeutung von Routing & Metrik Rostock München Grund für derartiges Routing: Die kürzeste Verbindung ist nicht unbedingt die schnellste (und schon gar nicht die billigste) Frankfurt Boston NYC Innsbruck © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

29 Wie schützt uns die Politik?
Nationales / Schengenrouting: Bewertung Schengenrouting (oder nationales Routing) bedeutet Erschwerung der Überwachung durch fremdländische Dienste (keine Verhinderung) Geheimdienste tauschen sich aus! Hohe Investitionskosten in Infrastruktur Erhöhte Betriebskosten Erhöhte Anfälligkeit (Routenauswahl wird beschränkt) Schengenrouting Ausschließlich bei den wenigen nationalen Anfragen sinnvoll Teuer und praktisch nutzlos Schafft Zensurinfrastruktur --  Nationales / Schengenrouting sehr teuer (Mehrere Hundertmillionen Euro) und macht das Internet langsamer, anfälliger und teurer -- Überwachung keineswegs verhindert, nur ein bisschen erschwert -- Nur sinnvoll für Nationale Anfragen  Gibt es kaum ( Werbenetzwerke, Google Analytics, SM-Badges) © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

30 Die Snowden-Enthüllungen: Was machen NSA, GCHQ und BND?
Agenda Die Snowden-Enthüllungen: Was machen NSA, GCHQ und BND? Ein Blick in die (nicht so ferne) Zukunft Wie schützt uns Politik? Wie kann ich mich schützen? Infrastruktur schützen Cloud Speicher Messaging Sicher en ohne D Zusammenfassung © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

31 Wie kann ich mich schützen
Allgemein 100% Sicherheit Möglichst schwer machen -- Keine hundertprozentige Sicherheit erreichbar -- nur leicht machen braucht man es niemandem -- Was sollte man vermeiden? -- Wie kann man sich aktiv schützen? -- Unterscheidung von „Intranet“ (Klinik- / Praxis- / Heimnetz) und Internet Intranet Internet © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

32 Wie kann ich mich schützen
Infrastruktur schützen Kein massenhaftes Eindringen in Netzwerke, bei Interesse aber sicher möglich  Infrastruktur schützen Drahtlose Netzwerke verschlüsseln: WPA2 Antivirensoftware: Schützt auch vor Eindringlingen -- (Mutmaßlich) Kein massenhaftes Eindringen in Krankenhausinfrastrukturen -- Bei Interesse aber manuell möglich -- WLAN verschlüsseln (WPA2), Antivirensoftware, Firewalls -- Außenzugriffe beschränken (VPN) -- Schutz der Infrastruktur vor Eindringen von außen (AV-Software, Firewalls  Administratoren kennen sich mit sowas aus) -- Schutz anfallender Daten bei Lagerung und Transit -- Lagerung: Selber machen (besser) oder nationaler Dienstleister Schützt Daten während des Transits Aber: Wie Daten halten? Gesicherter Zugriff von außen: Virtuelle Private Netzwerke (VPN) © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

33 Wie kann ich mich schützen?
Cloudspeicher? Mit Bedacht! Cloudspeicher ist ausgelagerter Speicherplatz. Häufiges Feature: automatisches Synchronisieren der Clients. Wird als Dienst angeboten Kann man selbst einrichten: Eigene Kontrolle, eigene Verantwortung -- Dropbox, Google Drive, SkyDrive… -- US-Amerikanische Dienste, Server über die ganze Welt verteilt, keinerlei Kontrolle über die eigenen Daten -- -- okay für Urlaubsfotos, nicht okay für z.B. Patientendaten -- Eigene Cloud -- reine Softwarelösung wie Owncloud -- Hard- und Softwarelösung wie von Synology oder QNap -- Eigene Verantwortung! -- Dafür vollständige Kontrolle über Datenhaltung © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

34 Wie kann ich mich schützen?
„Nachrichtendienste“ Exemplarisch für Mail- und Messaging-Anbieter: Googl & WhatsApp Fallbeispiel: Schwedische Ermittlungsbehörden plaudern via WhatsApp [spiegel14] Komfortabler Dienst Speicher enorm Kontrolle bei Google (Werbung, …) Eigenverantwortung Daten unter Kontrolle Auf Benutzbarkeit achten (Quota)! Googl , Whatsapp, andere Messenger Bsp. Ermittlungsbehörden in Schweden -- „Lokale“ vorziehen (und falls möglich: Benutzbarer machen ( Uni-Quota)) -- Threema (iOS), TextSecret (OS) (Hype-Status!!) Hat quasi die SMS ersetzt Enorm einfach zu bedienen Lange keine Verschlüsselung Jetzt: Ein bisschen Verschlüsselung Teilt das Telefonbuch mit Anbieter TextSecure Akutes Hype-Thema Besser, End2End-Verschlüsselung Trotzdem eher für private Zwecke © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

35 Wie kann ich mich schützen?
Sichere s Ursprüngliches Ziel von D Ende-zu-Ende Sicherheit Erinnerung: Was sollte D werden und was wurde es nicht? Fertige Lösung gewährleistet genau das: OpenPGP bzw. GnuPG © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

36 Wie kann ich mich schützen?
Sichere s: Grundlagen „Klassische“ (symmetrische) Verschlüsselung geheimnis1234 geheimnis1234 Hallo Bob 7b4cb9bc948f Hallo Bob + + Problem: Sichere Verteilung der geheimen Schlüssel (Henne-Ei-Problem) Alternative: Asymmetrische Verschlüsselung Nicht ein Schlüssel sondern Schlüsselpaar. Einer ist geheim, einer ist öffentlich. Klassische (symmetrische Verschlüsselung): Man einigt sich auf einen geheimen Schlüssel, mit dem Botschaften ver- & entschlüsselt werden Eigenschaft: Was mit dem einen VERschlüsselt wird kann AUSSCHLIESSLICH mit dem anderen wieder entschlüsselt werden oi73büela1 Hallo Bob 7b4cb9bc948f Hallo Bob © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

37 Wie kann ich mich schützen?
Sichere s: OpenPGP Asymmetrische Kryptografie ermöglicht sichere -Kommunikation Hallo Bob! Hallo Bob! Erinnerung: Was sollte D werden und was wurde es nicht? u6buw7buv6y6 kj2ka1 u6buw7buv6y6 kj2ka1 © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

38 Wie kann ich mich schützen?
Sichere s: Bewertung E2E Sicherheit? Vertraulichkeit? Authentizität? Integrität? Nichtabstreitbarkeit? Erinnerung: Was sollte D werden und was wurde es nicht? © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

39 Wie kann ich mich schützen?
Muss das alles so kompliziert sein? Leider ja. Sicherheit gibt es nicht umsonst In vielen anderen Bereichen haben wir uns daran gewöhnt (Elektronische Wegfahrsperre, Zugangskontrollen, …) Problem im technischen Bereich Wir erlernen die Technologien ohne Sicherheit, das ist schon schwer genug Sicherheit macht alles nur noch komplizierter „Wir“ arbeiten an Vereinfachung und Erhöhung der Nutzerfreundlichkeit „Wir“ arbeiten an Benutzbarkeit / Nutzerfreundlichkeit -- Sicherheit gibt es nicht umsonst -- In anderen Bereichen haben wir uns daran gewöhnt und sehen die Notwendigkeit ein (Zugangskontrollen, Sicherheitsgurte, Ärzte kennen sicherlich massenhaft Beispiele) -- Problem: Ausgangspunkt: Es geht ohne. Mit Sicherheit dann noch komplizierter © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

40 Die Snowden-Enthüllungen: Was machen NSA, GCHQ und BND?
Agenda Die Snowden-Enthüllungen: Was machen NSA, GCHQ und BND? Ein Blick in die (nicht so ferne) Zukunft Wie schützt uns Politik? Wie kann ich mich schützen? Zusammenfassung © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

41 Flächendeckende Überwachung ist Alltag und keine Verschwörungstheorie
Zusammenfassung Zum Mitnehmen. Flächendeckende Überwachung ist Alltag und keine Verschwörungstheorie Wenn etwas das eigene Netz verlässt ist es in freier Wildbahn und ungeschützt Wichtig ist, dass man sich darüber im Klaren ist, wo die Daten entlangwandern und wo sie gespeichert werden Jeder kann sich schützen, Krypto ist ungebrochen -- !!Flächendeckende Überwachung ist Alltag und keine Verschwörungstheorie Bedrohung für Privatsphäre des einzelnen und für Betriebsgeheimnisse immens Überwachung noch immer durch Menschen -- !!Wenn etwas das eigene Netz verlässt ist es in freier Wildbahn und ungeschützt Bequemlichkeit hat ihren Preis: Wenn Du für einen Dienst nicht bezahlst, bist Du nicht der Kunde, sondern das Produkt -- !!Wichtig ist, dass man sich darüber im Klaren ist, wo die Daten entlangwandern und wo sie gespeichert werden -- !!Man KANN sich schützen. Krypto ist ungebrochen. Das bietet keine 100%ige Sicherheit aber doch sehr große So schützt man sich und andere © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

42 Quellen / Weiterführendes Material
[thestar13] [cbc11] [spiegel14] Fakten - Aufbereitung der Ereignisse beim Heise-Verlag - Aufarbeitung der Ereignisse bei Zeit Online Sensibilisierung: Sicherheitstipps - GnuPG- als fertiger Download für Windows © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“

43 Fragen? Vielen Dank für Ihre Aufmerksamkeit! Vielen Dank! Fragen?
Dipl.-Ing. Sebastian Unger Institut für Angewandte Mikroelektronik und Datentechnik, Uni Rostock GnuPG Fingerprint: 946A 5AA8 256E 05F7 41E3 BEAC 4997 F5B6 90F0 62AB © UNIVERSITÄT ROSTOCK | S.Unger: „Liest die NSA Patientendaten?“