Datensicherheit und Datenschutz

BuFaTa SoSe2014 in Berlin
Anwesend: Igor Krawczuuk (TU München), Stefan Schiller (OTH Regensburg), Stefan Punzet ( OTH Regensburg), Roland Zettler (TU Graz), Patrick Ebner (TU Graz), Roy Ledermüller (TU Dresden), Christian Krämer (KIT), Frederic Becker (HS Karlsruhe), Florian RInke (HS Karlsruhe), Nils Barkawitz (RWTH Aachen)
Leitung des AK: Igor Krawczuuk, TU München
Protokoll: Florian Rinke

Aufgrund der aktuellen Enthüllungen (Snowden) scheint es angemessen, das Thema Datenschutz/Datensicherheit anzugehen. Ziel ist, für verschiedene Gruppen Hilfestellung bei typischen Problemen zu geben.

• Fachschaften
  • Was ist bei eigenen Services zu beachten
• Studis mit Ahnung
  • HowTo
• Studis ohne Plan
  • Warum sollte ich meine Daten (oder die Daten anderer) schützen?

Erhoffte Ergebnisse der Teilnehmer

• Wie anonym im Internet bewegen?
  • TOR
    • Onion-Routing zur Verschleierung des Ursprungs
    • Problem: Zweifelhaft ob Nicht-Verfolgbarkeit noch gewährleistet ist, Tatsache der Verbindung ist feststellbar, Traffic am Exit-Node ist überwachbar
    • Nutzung: natürlich auch gerne/viel für illegale Inhalte
• Wie umgehen mit Servern, die nicht verschlüsslt weitervermitteln?
• Was beachten beim Betrieb eigener Dienste?

Verlust von Speichermedien Böses Element in der Gruppe Kommerzielle Datenhändler Anfragen von Firmen, Adressen der Studis zu bekommen Sammlung von Adressen für Kontaktlisten Gefahren durch Viren/Phishing

Prioritätenliste:

1. Rechtslage von crypto in ländern, Verpflichtungen der Fachschaften bzgl Datenschutz:\\Handbuch/ Checkliste erstellen.
2. Sammlung existierender Anleitungen für Fachschaftsbezogene Anwendungen

Themen die in den Howtos angeschnitten werden sollten.

• auswahlkriterien für Software und dienstleister
• Verschlüsselte eMails
  • GPG
  • S/MIME
• Zertifikate
  • cacert
  • Zerftifikatsverwaltung ( programme die eigene mitbringen)
• Festplatten verschlüsselung (einzelne Daten, Komplett)
  • Windows, Mac, Linux: http://www.truecrypt.org/downloads
• Instant Messenger ( siehe sammlung von anleitungen)
  • Textsecure / whisper https://whispersystems.org/
• Best Practices
  • crypto 101 für eigene datenkritische Anwendungen
  • Prism Break
  • Guardian Project Handbuch
  • Zertifikats HOWTO
• Smartphone Absicherung

• Best Practises für Dienstanbieter
  • Usability = Security ^-1
• Rechtliche Anforderungen beim Betrieb von Diensten/Netzen
• Daten Vernichten
• Festplatten/USB Sticks physikalisch zerstoeren https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/RichtigLoeschen/richtigloeschen_node.html;jsessionid=1771774419BCFBAB660F01D6E4CB2595.2_cid369 (Vorsicht, Link fuehrt zum BSI)
  • Wenn das Speichermedium weitergegeben wird sollten die Daten geloescht und ueberschrieben werden
• Daten trennen, zB Name und Matrikelnummer und Passwort getrennt voneinander speichern.
• Daten, die im Besitz der Fachschaften sein können:
  • Hohe Prioritaet, niedrige Benutzungsfrequenz:
    • Kontodaten, Vetraege von Angestellten
  • Hohe Prioritaet, hohe Nutzungsfrequenz:
    • Name, Adressen, EMailadressen
  • Niedrige Prioritaet:
    • Altklausuren, Uebungsblaetter

Fazit : So wenig wie moeglich Daten erheben und speichern!!

• Webserver (https ab login)
• SSH (Shell, SCP)
• Mailserver weitgehend über Uni-RZ
• eigene Arbeitsrechner (LDAP, Kerberos, NFS) + Server (crypted)

• internes Wiki ( Infra unbekannt)

• eigener vServer extern
  • Webserver (teilweise zwangsverschlüsselt, überall möglich)
  • Mailserver
• Eigenes Subnetz im FS-Raum über Gateway
• planung zukünftig komplett eigenes Studi-Netz HS-weit mit zentralem LDAP etc.

Physical Server im Keller + Server vom Rechenzentrum,LDAP Dienste, Mailserver, FTP,SSH, normale Website

Eigene Infrastruktur

• Physikalischer Server neben den Fachschaftsräumen, Anbindung über LRZ, Zugang zu Infrastruktur über LDAP, Kerberos
• Interne Mailinglisten selbst verwaltet
• Webseite größtenteil ohne HTTPS

Die meiste Infrastruktur wird Zentralinformatikdienst gehandelt, ein Professor betreut einen SSH Server zur Abgabe von Projekten

• IT-Infrastruktur in Semesterbericht aufnehmen?

In D ist der Datenschutz teilweise durch Gesetze geregelt. Dazu gibt es eine/n bundesweite/n Datenschutzbeauftragte/n. Das Datenschutzgesetz kann unter http://www.bfdi.bund.de/ eingesehen werden. Zudem gibt es länderweite Datenschutzbeauftragte und -dienste, zum Beispiel das ZENDAS für Baden-Württemberg. Jede Hochschule hat eine/n Datenschutzbeauftragten, an den/die man sich im Zweifelsfall oder bei datenschutzrechtlichen Problemen wenden kann.

ToDo

• Zugangsbeschränkung: die Daten sollen nur von Personen eingesehen werden können, für die es unbedingt notwendig ist. Somit ist der Zugriff auf die Daten auf einen Personenkreis beschränkt.
• Datentrennung: Name und Matrikelnummer müssen getrennt gespeichert werden. Zur Erhebung muss jede Person einen eigenen Bogen erhalten. Das bedeutet: keine Listen mit Namen und Matrikelnummer!
• Je schützenswerter die Daten sind, umso höher sollte der Aufwand zum Schutz dieser sein.
  • ToDo: Beispiele einfügen
• Die Daten dürfen ohne explizite Einwilligung nicht an Dritte weitergegeben werden. Zuwiderhandlung ist strafbar.
• Daten sollten so früh wie möglich vernichtet werden, d.h. nachdem der Zweck, zu welchem sie erhoben wurden, erfüllt ist.
• Pseudonymisierung: ToDo

ToDo

• Studierende sollen nicht dazu gezwungen werden, sich in einem sozialen Netzwerk anzumelden, um Informationen über Fachschaftsarbeit, Termine, Altklausuren o.ä. zu erhalten.
• Dazu sollte die eigene Fachschafts-/Iniseite verwendet und auch promoted werden.

• Einspruchsrecht:
• Einsichtsrecht: was wird warum wofür gespeichert?
• Widerrufsrecht:

Beginn: 10:20 Uhr
Ende: 11:45Uhr
Der AK ist bei weitem nicht fertig / sollte auf weiteren Tagungen besprochen werden