 Nächster Vortrag, I. Flav, seines Zeichens Ingenieur und CISO, wie er mir eben erklärt hat, zum OVASP-Projekt. Untertitel die Top 10 der Privacy Risks. Er sagte mir eben auf Web-Applikationen. Er würde aber auch ein bisschen berichten zur neuen GDPR. Das steht für General Data Protection Regulation der EU und auch über die DSGVO, die Datenschutz-Grundverordnung. Bitte heißen wir willkommen, I. Flav. Danke. Genau, also GDPR und DSGVO ist das Gleiche. Das ist eines der Englischer noch steut, aber weil man manchmal die ein und die andere Abkürzungen hört, habe ich lieber beide drauf, dann weiß man, es ist dasselbe. Genau, heute geht es primär um die Privacy-List. Aber da bietet sich das an, da auch mal ganz kurzen Überflug über die neue Regulatorik in der EU zu machen, dann kann man das gleich ein bisschen mit dem Kontext dazu setzen. So, was ist jetzt eigentlich OVASP? Wer war gestern in dem Talk? Okay, dann wird es nicht zu langweilig. Schön, die anderen, weil das Kleider kleine Vorspannen. OVASP steht für Open Web Application Security Projekt und das ist eine Non-Profit-Organisation, die sich irgendwie mit diesem Thema beschäftigen, aber nicht mehr nur mit Web Application Security, sondern hat auch mit einer ganzen Menge drum rum. Und es ist halt also Non-Profit-Organisiert, gibt auch ein paar Leute in Karlsruhe, da bin ich auch immer mal da, da gibt es hier ein Stammtisch am ersten Montag im Monat. Wenn man Lust hat, kann man da vorbeikommen. Da gibt es immer einen Vortrag von jemandem aus der Gruppe zu irgendeinem Thema, was meistens was mit IT-Sicherheit zu tun hat. Genau, es gibt eine Mading List und eine WIGI-Seite in dem OVAS-Bereich kann man nachschauen, kann man sich anmelden. Genau, OVASP ist halt wie gesagt nicht mehr nur Web Application Security, sondern sind so drei Arten von Dingen, die dort gemacht werden, Tools, Dokumentationen und Guidelines. Und das sind ungefähr 140 verschiedene Projekte, also das hat schon eine relativ große Bandbreite. Die werden eingeteilt in so drei Arten, die Top 10 Risken, die kennen wahrscheinlich die meisten, das ist so das bekannteste, was man mit OVAS verbindet. Und dieses hier, weil das ich heute rede, ist vielleicht ein bisschen weniger bekannt. Das ist auch noch so im Lab-Modus, das ist so die zweite Entwicklungsstufe und dann gibt es noch Inkubator-Projekte, wenn was ganz neues angefangen wird, wo man noch nicht weiß, ob das weiterläuft oder die Leute, die das machen. Genau, das sind so ein paar Beispiele. Wie gesagt, die Top 10 Risken sind wahrscheinlich die bekanntesten. Der Zap Attack Proxy ist zum Beispiel für ein Tool. Die Privacy-Wiss, da rede ich heute drüber. Aber es gibt halt auch eine ganze Menge, wie man Dinge testen, wie man sich entwickeln kann und so weiter. So, genau, basiert auf viel freiwilliger Mitarbeit. So sieht die Webseite zurzeit aus. Es gibt da auch ein Projekt, wo die Webseite neu zu machen. Da wird auch noch Hilfe benötigt. Also wer sich berufen fühlt, ein bisschen seinerzeit zur Abwand, kann sich da einfach melden und ein bisschen mitmachen. Genau, Privacy in Web-Anwendung hat auch irgendwie was mit Software-Entwicklungen zu tun. Das zeige ich auch mal ganz gern. Das ist auch aus einem Projekt von, das nennt sich OpenSAM, für Software-Schwurz-Majority-Modell. Da geht es darum, was muss man eigentlich alles tun, um sichere Software, also auch Web-Anwendung zu bauen oder auch wenn wir jetzt über Privacy reden. Das ist halt eine komplexere Sache. Ich muss Leute schulen, ich muss irgendwie das in den Anforderungen berücksichtigen. Das sehen wir auch gleich noch in der neuen EU-Regulatorik. Wie ist das eine Anforderung Privacy by Design? Das heißt, ich muss in der Entwicklung da drauf gucken und ich muss das auch dokumentieren, dass ich es gemacht habe. Privacy by default, sichere Settings, das ist dann so auf der rechten Seite, die Standard Settings, Environment, Hardening, sichere, default, ist jetzt gesetzlich gefordert sogar. Da komme ich aber auch gleich nochmal drauf zu sprechen. Das ist immer so ein kleiner Blick und der Fall heute betrifft quasi auch ein paar von den Punkten, die man da sieht von diesen 12 Elementen. Genau, besser nach vorne schauen und vorbereiten, als hinterher festzustellen, oh, man hätte was tun sollen. Das trifft mich jetzt plötzlich auch. Wer hat schon davon gehört von GDPA und DSGVO? Ungefähr die Hälfte. Genau, also das ist schon in Kraft, aber es gibt da immer so eine Übergangsregelung oder eine Übergangszeit bei EU-Gesetzen. Das ist übrigens auch ein Gesetz, eine Verordnung. Es ist ein EU-Gesetz, da steht über nationalem Recht. Es gibt zwar noch so eine kleine Anpassung jetzt im Deutschen Datenschutzrecht, das war ja auch letzte oder vor zwei Wochen release sozusagen oder halt am Bundestag abgesignet, wo man noch ein paar Kleinigkeiten von dieser EU-Gesetzgebung noch mal national anpassen kann. Aber im Prinzip ist das ein bindendes Recht dann und das gilt ab dem nächsten Mai. Also in einem Jahr müssen das alle in der EU und gleich sehen wir auch nicht nur in der EU irgendwie berücksichtigen. Lernen das der Unterschied zu einer Richtlinie. Die EU-Richtlinie ist nur eine Policy und muss immer im nationalem Recht abgebildet werden während eine Verordnung quasi direkt gesetzgeberische Kraft hat. Also das EU-Parlament ist nicht ganz so zahndos, wie es immer dargestellt wird. Und das ist ein Beispiel dafür, wo auch viele Leute viel Arbeit reinstecken müssen. Genau, was ist das jetzt? Da gibt es irgendwie nur so drei Dinge. Es gibt ein, fangen wir mal unten an, ein Data Subject, das ist die Person. Das sind die Daten von dieser Person, die dann irgendwie der Controller, das ist der, der die Daten erhebt und besitzt im Prinzip. Und der Prozessor, es könnte auch ein Subunternehmen sein, kann aber auch der gleiche sein wie der Controller, ist der, der sie dann am Bundestag tatsächlich verarbeitet. Ich gehe aber auch nur ganz kurz über die Datenschutzgrundverordnung, also keine Sorge. Das wird jetzt nicht furchtbar technisch oder giegelmäßig. Aber es glaube ich ganz gut, sich mal ein Bild davon zu machen, was verändert sich, was bleibt gleich, was kommt vielleicht nur dazu. Scope. Hatt ich eben schon gesagt, es ist ja erstmal ein EU-Gesetz, gilt in der EU logisch, aber es ist so geschrieben, dass sobald jemand Daten von einem EU-Bürger verarbeitet, fällt er quasi unter diese Regelung. Oder wenn er ist natürlich ein bisschen sehr breit, aber gemeint ist es so, wenn jemand zum Beispiel eine Webseite in den USA betreibt und die ist auf Deutsch, dann zieht sie offensichtlich auf deutsche Nutzer ab, damit fällt er unter die Regelung. Man muss keine Niederlassungen in der EU haben, fällt aber unter diese Regelung. Wird noch spannend bei den möglichen Strafen. Genau, die Idee ist, das Ganze zu vereinfachen. Im Moment haben wir ja noch 28 Mitglieder. Und jeder hat seinen eigenen Regeln, Standards, die sind nicht immer gleich. In Deutschland haben wir eins mit der besten oder härtesten Gesetze in Richtung Privacy, wie man sagt. Und jetzt erhitzt man das so ein bisschen auf die EU-Immene. Wir sehen auch gleich, da sind eine ganze Menge Sachen dabei, die verschärfen sich tatsächlich. Genau, Responsibility und Accountability. Ja, verantwortlich ist man auch jetzt schon, wenn man Daten von jemandem verarbeitet, die unter diese Definition von privaten Daten fallen. Und in Zukunft ist auch die Accountability noch mal ein bisschen härter gefasst. Aktuell ist es so, dass es im Prinzip immer nur der Dateneigentümer ist verantwortlich und muss sich darum kümmern. Und wenn er das an Superunternehmen gibt, dann müssen die das zwar auch, sind aber quasi nicht haftbar. Das ist jetzt für ein eigenes Projekt vielleicht nicht so spannend, aber in der Industrie schon. Das heißt, der Datenverarbeiter, der ist in Zukunft auch mithaftbar oder kann in Haftung genommen werden, wenn ich nicht an den Controller rankomme. Das ist eine wesentliche Änderung von den ganzen Konsens, Zustimmung. Da es ändert sich insofern, das kennt vielleicht die meisten schon, man hat jetzt immer diese schönen Dropdowns in Feldovers, wo steht, ja, das mit den Cookies und so, okay. Weil jetzt wird immer eine explizite Zustimmung gefordert in Zukunft. Es kann nicht mehr implizit erfolgen. Also weil ich die Seite benutze, habe ich implizit zustimmen, muss das jetzt irgendwie explizit machen. Und da ist auch immer noch so ein bisschen die Diskussion, ob diese Cookie-Disclaimer, die da jetzt immer auf der Seite kommen und man da draufliegen muss, das ist für eine explizite Zustimmung. Da wird es also noch spätestens ab nächsten Mai oder Juni dann spannende Erkenntnisse geben, wie das denn tatsächlich ausgelegt wird von den Aufsichtsbehörden. Genau, Data Protection Officer, den muss ich jetzt im Prinzip auch schon haben. Da sind halt noch ein paar Antworten, das hat sich nicht wesentlich geändert. In einigen Fällen muss ich den jetzt vielleicht haben, wo ich ihn auch heutzutage nach deutschem Recht nicht zwingend brauche. In Zukunft braucht man immer ein und er muss auch entsprechend qualifiziert und ausgebildet sein. Solidarnization ist noch mal wichtiger Punkt. Man darf schon noch Daten verarbeiten, aggregieren und auch Statistiken führen, muss aber nachweisbar, das spielt immer eine ganz große Rolle, Dinge, also nachweisbar, das soll anonymisieren oder anonymisieren auch, wenn man es richtig anonymisiert, fällt man aus der Regelung raus, deswegen steht das da nicht drin. Mit anonymisierten Daten kann man alles machen, fällt man auch nicht unter diese Datenschutzregeln, müssen aber richtig anonymisiert sein. Bei der Absondonymisierung, das ist ja so ein Zwischenschritt, da werden dann manche Sachen schon einfacher, man kann bestimmte Dinge ohne explizite Zustimmung mit diesen Daten durchführen. Muss sie aber nachweisbar richtig zu anonymisieren, so dass man die Daten nicht zurückrechnen kann. Dann stellt sich hier die Frage, wie macht man das? Also, es sind eine ganze Menge technische Herausforderungen drin, die vielleicht auch noch gar nicht gelöst sind. Genau. Data breaches, dafür gibt es jetzt Berichtspflichten. Man muss die melden innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde. Also, auch wenn das jetzt ein Gesetz ist und das europaweit ist, hat man immer noch eine nationale Aufsicht und man unterlegt auch immer der jeweiligen Datenschutzbehörde, wo sozusagen der Hauptsitz ist, wenn man jetzt von Unternehmen oder Organisationen spricht, aber die Regelungen sind die gleich, man muss jetzt also nicht immer mit einer Behörde in Brüssel reden oder so, man kann immer noch mit den deutschen Datenschutz reden. Und da muss man dann halt auch Vorfälle melden und es gibt eine Meldepflicht. Und die ist relativ kurz, wenn man das auf größere Organisationen überträgt. Man muss also innerhalb von 72 Stunden merken, also nachdem man es gemerkt hat, muss man es an die Behörde gemeldet haben. Man muss vielleicht noch nicht alle Daten haben, man kann dann auch noch was nachmelden, aber das ist so die Initiative für drei Tage. Wenn das Freitagabend passiert, bleibt nicht viel Luft. Jetzt mal so aus einer kommerziellen Sicht gesehen. Das ist also schon eine deutliche Verschärfung des existierenden Zustandes. Das habe ich hier gar nicht als T-Shirt stehen. Im Moment ist es eine gute... Also die Frage war, ein Vorfall ist, wenn Daten geklaut wurden, jein. Das muss man ja erst mal mitgekannt sein, dass man jemanden eine falsche Auskunft gegeben hat und der sich nicht richtig authentifiziert hat. Komm aber gleich noch bei den Stellen, man hat ja ein Recht auf Korrektur, aber wenn ich jetzt bei irgendwem Daten habe, wie weiß ich denn nach, dass ich, ich bin? Das ist gar nicht so einfach. Aber Data Breaches... Also erst mal muss man sie melden. Ja, die Definition habe ich jetzt aber so, wie sie dort definiert ist, nicht genau am Kopf. Da müsste ich auch noch mal nachlesen. Was aber wichtig ist in dem Punkt Data Breaches oder halt auch nachher bei den möglichen Strafen, ist der, man hat jetzt eine Beweislastumkehr. Bisher ist es ja so, wenn ich feststelle, irgendeine Firma macht das im Datenschutz nicht richtig, verarbeitet meine Daten nicht richtig, muss ich dem Unternehmen nachweisen, dass sie es falsch machen. Es ist maximal schwierig für so normale Menschen. Jetzt in der neuen Regelung ist es so, das Unternehmen muss nachweisen, dass sie es richtig machen. Und man kann auch schon dafür bestraft werden, dass man bestimmte Dokumentationspflichten nicht erfüllt. Das heißt, es gab gar keinen Datenschutzvorfall. Es ist alles in Ordnung. Die Daten sind da, die sind super gesichert. Aber ich kann nicht nachweisen, dass meine Prozesse und Maßnahmen ausreichend sind. Dann kann ich dafür ein Strafzettel bekommen, sozusagen. Das ist auch neu. Also alle, die persönliche Daten verarbeiten, müssen in Zukunft nachweisen, dass sie das richtig tun. Das ist also entsprechend der Technik, der verfügbaren Mittel, die einsetzen und auch sinnvoll nutzen. Das ist auch noch eine wesentliche Veränderung, diese Beweislastunkehr oder diese Pflicht. Man hat auch viel mehr Dokumentationspflichten, wenn man jetzt Daten verarbeitet. Sanktions. Ah ja, schöner Punkt. Sanktion. Also was können die Behörden machen? Die Daten im deutschen Datenschutzrecht kann man ja auch heutzutage schonen Sanktionen aussprechen. Auch finanzieller Art, aber die haben relativ niedrige Maximal-Werte. Das heißt, der liegt jetzt bei 50.000 Euro, glaube ich, pro Vorfall. Ja, das interessiert praktisch keinen. Und in der Realität, da das ja die maximal höchste Strafe ist, sind die ja eher so zwischen 10.000 und 15.000 oder sowas. Lächerlich verschwindend klein. In Zukunft ist es so. Es gibt zwei Kategorien. Und also zunächst kann man auch erstmal einfach nur, wenn man aus Versehen das verletzt hat, kriegt man halt erstmal bestimmte Zusatzpflichten oder Audits, regelmäßige Audits. Aber die finanziellen Strafen, die können halt signifikant groß werden. Es gibt da zwei Blöcke. Der eine Block ist bis 10 Millionen Euro oder zwei Prozent vom Gesamtjahres-Umsatz, nicht Gewinn-Umsatz, des Konzerns. Vom Vorjahr. Das sind also schon signifikant hohe Werte. Und der zweite Block ist 20 Millionen oder vier Prozent vom Gesamtumsatz. Und ja, also bisher musste man sich, wenn man Datenschutz falsch gemacht hat, mussten die anderen einem erstmal beweisen, dass man es falsch gemacht hat. Und wenn man es nachweisbar falsch gemacht hat, war es nicht teuer. Das ändert sich jetzt signifikant. Und es gilt jeweils der höhere Wert. Also 20 Millionen oder 10 Millionen gelten für Unternehmen, die halt einen kleineren Jahresumsatz haben und welche die so Million oder Milliarden-Umsätze haben. Bei denen gelten dann die zwei oder vier Prozentregeln. Jeweils was größer ist. Und das wird sicherlich dazu führen, dass da ganz viel passiert jetzt im nächsten Jahr und in den folgenden Jahren auch. Weil das Jahr und Zweifel auch zu einer Insolvenz führen kann, wenn man das nicht richtig macht und entsprechend hohe Strafe bekommt. Das Ding ist halt kein Papiertiger, sondern das hat richtig Zähne dran. Das wird dann auch nächstes Jahr sehr spannend an wem und in welcher Form und wie dann die ersten Datenschutzbehörden das mal austesten oder sich entsprechende Dokumentationsnachweise bringen lassen. Wie gesagt, man muss gar nichts falsch machen im Sinne der Datenverarbeitung, sondern es reicht, bestimmten Pflichten nicht nachzukommen, die jetzt im Gesetz stehen, um schon Strafen zu bekommen. Wird also sehr spannend. Genau, jetzt gibt es hier irgendwie das Recht, seine Daten löschen zu lassen. Das haben wir ja jetzt auch schon mehr oder weniger, aber natürlich das Enforcement ist halt relativ klein. Dann wird es größer, aber wie lösche ich jetzt von jemandem dann vielleicht auch noch nachweisbar die Daten? Leg ich dann ein Ticket an und schreibe den Namen von denjenigen rein, dann habe ich ja schon wieder persönliche Daten von jemandem. Also das Recht ist schön, aber es ist vielleicht in der technischen praktischen Umsetzung etwas komplexer. Geht ja dann auch weiter, da hatten wir jetzt auch immer schon, dann gibt es irgendwo Backups und gehe ich dann in mein Backup und lösche dann einen einzelnen Datensatz aus meinem Backup-Haus und wenn ja, wie, die meisten heutzutage verfügbaren Systeme unterstützen das nicht. Aber das steht dann da drin, dass das gehen muss. Das muss ab 25. Mai 2018 funktionieren. Geht das schon bei allen? Und ein Jahr ist schnell vorbei. Also das Gesetz ist ja quasi schon seit einem Jahr in Kraft, aber das Enforcement ist halt erst dann in Zweiern und jetzt ist die Hälfte rum und so langsam werden alle nervös. Also ich sehe das so ein bisschen wie aber für die Finanzindustrie. Die beschäftigen sich schon ein bisschen länger damit, wenn das manchmal nicht so aussieht, dass sie das nicht so ernst nehmen. Sie tun das tatsächlich, aber das sind schon Herausforderungen hinten dran, technischer Natur. Diese Regelung, die ja für uns alle eigentlich ganz positiv sind, dann tatsächlich sinnvoll umsetzen zu können. Das ist auch ein schöner Punkt. Telefonnummer kann man heutzutage mitnehmen, kein Problem. Meistens Anbieterwechsel, Teiko, die kennen das schon. Jetzt gilt das plötzlich irgendwie für alle. Ich habe jetzt ein Recht darauf, dass ich meine Daten mitnehmen kann. Ich habe mir das noch nicht so richtig für den Einzelhandel vorgestellt, aber ich kaufe mal in der Hand. Dann sage ich, jetzt kaufe ich wo anders. Und ich möchte aber alle Daten exportiert haben. Also alle Organisationen, die Daten, die in die Privats, in die Privacy-Regulierung dieses Gesetzes fallen, müssen Export-Schnittstelle anbieten. In gängigen Formaten, in Zweifels, dann hat wahrscheinlich auch eine CSV-Datei oder sowas. Aber hat das auch schon jeder? Also da kommt einiges auf die Technik zu. Hier sitzen ja viele Leute, die Dinge bauen. Und für die Nutzer ist das natürlich super. Also ich freue mich da auch schon drauf. Ich möchte mal sehen, ob das dann auch tatsächlich geht. Bei großen Unternehmen, Facebook, Google und Co. da kann man heutzutage seine Daten schon relativ gut und komfortabel exportieren. Die haben das schon. Aber die Kleinen, die kleineren, andere Unternehmen, haben da glaube ich noch nicht mal drüber nachgedacht. Genau. Und dann, das habe ich vorhin schon erwähnt, ein Kernpunkt Privacy bei Design und bei Default. Wenn ich in Zukunft Systeme baue, bin ich per se erst mal gesetzlich verpflichtet, das mitzudenken. Und dann auch nachzuweisen, dass ich dann eine Analyse gemacht habe und sowas. Wenn es um Daten geht, die in die Kategorien fallen, dass ich mir der Gedanken drum gemacht habe. Da habe ich dann schon wieder so ein Dokumentationspflicht dahinter. Und dann bei Default, da geht es halt um Settings und Sieb muss die Anwendung oder die Web-Anwendung oder das System immer mit den höchstmöglichen Privacy-Settings ausgeliefert werden. Natürlich kann der User das dann wieder de-crain runtersetzen. Aber das ist ja dann freiwillig. Also quasi so ein Enforces opt out. Das wird auch spannend, wie das funktioniert. Genau. Und dann noch ein letzter Punkt. Das ist auch eine Forderung. Diese Disclaimer, die man heutzutage hat, die sind schön, manchmal versteht die auch im Rechtsanwalt, aber der normale Mensch nicht. Und jetzt steht da plötzlich drin, muss jeder verstehen. Normale Sprache, verständlich, nachvollziehbar für den normalsteblichen Menschen, der keine Rechtsanwältausbildung hat. Das wird auch nochmal sehr spannend. Also diese Policies, die man heutzutage auch seitensfindet, die gerade auch um die Privacy-Sachen gehen, so wie die sind, können die sehr wahrscheinlich nicht bleiben, um der neuen Regulatorik zu entsprechen. Auch noch spannend, wie das wird. Für uns ist es gut. Dann versteht man vielleicht auch mal, was in so einem Disclaimer drinsteht und weiß dann, was es bedeutet. Aber für die Unternehmen, die es bauen müssen, wird es vielleicht gar nicht so eine leichte Aufgabe, weil die Rechtsanwälte sind es nicht gewohnt, das so formulieren zu müssen. Auch nicht. Ja, wird also nochmal spannend, auch an der Stelle. Da habe ich auch nochmal so eine Idee aufgeschrieben, die ist natürlich auch schon älter. Dann kommen wir aber nachher noch drauf. Genau, hier nur nochmal eine kurze Zusammenfassung. Genau, so von den wesentlichen Sachen. Sag ich mal, die so ein bisschen am Christian sind. Was jetzt hier fehlt, das habe ich nicht aufgeschrieben, ist diese Beweislastumkehr. Die ist vielleicht auch nochmal ganz spannend, weil das macht es dann auch für den Einzelnen einfacher, vielleicht mal Informationen einzufordern. Was ich auch gerade gesehen habe, ist, es gibt natürlich auch noch ein Recht darauf, dass die Daten immer aktuell sind und stimmen. Wird dann vielleicht auch für so die Schufer spannend, wenn dann da falsche Infos drinstehen. Jetzt hat man dann plötzlich so ein teures Gesetz hinten dran, dass die verpflichtet, das zu reparieren, wenn sie falsche Daten haben. Kann man ja dann ab dem nächsten Jahr alles ausprobieren. Mal schauen, macht vielleicht auch der ein oder andere. Genau, so, jetzt zum eigentlichen Canned-Thema des Vortrags, Private Series in Web-Anwendung, ist halt auch so ein bisschen an die Top 10-Liste angelehnt. Heißt natürlich nicht, dass es nur 10 Risiken gibt, können auch mehr sein. Da muss ich jetzt mal das Slide-Tag wechseln. Mal sehen, ob das einfach so geht. Ach, der ist super. Genau, ist nicht von mir, aber ich habe mir gedacht, es ist eine gute Idee, da mal drüber zu reden, weil ich fand das ein ganz tolles Projekt. Gibt es auch eine sehr schöne Infografik, zeige ich nachher noch. Kann man sich dann im Büro aufhängen oder so, wo die 10 Punkte nochmal visualisiert sind. Genau, was ist jetzt das Ziel? Genau, einmal so, also ihr seht, das ist so ein bisschen aus dem Jahr 2015, gibt es wahrscheinlich den nächsten auch mal wieder ein Update. Aber da das ja alles so Non-Profit ist, dann hängt das auch immer mal, bis es auf den Seiten passiert oder wenn sich noch ein paar Freiwillige finden, die mithelfen, wäre es auch nicht schlecht. Genau, was erzähle ich jetzt hier einmal, wo komme ich her? Warum wurde zum Beispiel dieses Projekt gegründet? Natürlich hat es in Deutschland gemacht, mit dem deutschen Leidenschutz im Hintergrund. Aber das ist tatsächlich so in dem Fall. Und auch, wie ist hier die Methodologie? Gestern habe ich ja auch so erzählt, da gibt es einen Risken dahinten dran, hier hat man auch Daten eingesammelt von mehreren Leuten und Organisationen und dann überlegt, was sind die höchsten Risiken. Wo kommen wir her? Es gibt irgendwie Gesetze, aber die Gesetze haben halt nicht so oft was mit der Lebensrealität zu tun. Die neue EU-Regulatorik ist da vielleicht ein positives Beispiel, weil sie viele Dinge auch für den Verbraucher oder den eigentlichen Dateneigentümer, Besitzer besser stellt, als das jetzt der Fall ist, auch besser stellt als nach jetzigen deutschen Datenschutzrecht. Und genau. Und die tatsächlichen Risiken mit diesen ganzen in der Underworld sind durch die aktuellen Gesetze nur mehr oder weniger gut abgedeckt. Die meisten Systeme, die so existieren, sind eben nicht Privacy bei Design gebaut, sondern haben halt eher einen bestimmten Use Case im Fokus. Und genau. Und das ist ein Problem im Prinzip. Globalisation. Es gibt halt nicht nur Einregelungen. Jetzt haben wir so eine kleine Vereinfachung, in dem man in der EU nur noch einem globalen Set anregenfolgen muss. Aber natürlich gibt es ja noch ein paar Länder mehr, als die 28, die in der EU sind. So 100 Länder mehr ungefähr, 120 mehr. Die man irgendwie ja auch berücksichtigen muss. Dann, ja, es gibt Abkommen zwischen Ländern oder Staatenbündenden. Das eine ist dann wieder aufgehoben worden, was passiert dann. Aber das sollte man eigentlich auch unabhängig davon tun. Sehen wir auch gleich. Genau. Und dann gibt es noch die ganzen schönen Geheimdienste, die sich sowieso nicht um diese Gesetze kümmern, die besser Welt gelten. Unsere eingeschlossen. Die anderen auch. Da stehen wir auch heute noch, auch wenn das von 2015 ist, da hat sich eigentlich nicht viel dran verändert. Genau. Ja, es gibt hier Real Privacy in Web Applications. Also eigentlich sind wir auch als Entwickler oder Leute, die solche Dinge bauen, gefragt, uns darum zu kümmern und das einfach mitzumachen. Und natürlich ist es auch heutzutage noch so, dass viele Anwendungen eben risiken werden. Wir haben entweder Lasche Defaults, weil halt der, das ganze Projekt darauf basiert, diese Daten zu analysieren, auszuwerten und zu verarbeiten. Dann versuche ich die natürlich nicht so ernst zu nehmen. Das ändert sich dann jetzt vielleicht, zumindest innerhalb der EU. Genau. Und was macht man noch, um daraus zu kommen? Man hostet oder betreibt das dann vielleicht in einem anderen Land. Es gibt auch in Deutschland so eine Kreditvergabefirma, die darf in Deutschland noch keine Kredite vergeben. Einmal wegen den Finanzgesetzen, aber auch wegen Privacy-Rechten. In anderen EU-Ländern machen die da schon nur in Deutschland nicht. Das ist auch so ein Beispiel. Genau. Und ja, ansonsten schauen die Unternehmen, dass sie vielleicht den Gesetzen genüge tun, aber das heißt nicht, dass es für den Nutzer gut ist. Es gibt auch sehr wenig statistische Daten dazu und deswegen wurde dieses Projekt gegründet, um die Situation zu verbessern. Wir haben ungefähr 100 Leute mitgemacht. Genau. Und das Ziel war jetzt noch mal aufgrund von ein bisschen Statistik-Daten, also nicht nur gefühlt, sondern vielleicht auch mit einer gewissen Grundlage zu sagen, okay, das sind sehr wahrscheinlich die zehn größten Risiken, wenn es um Privatsphäre im App-Umfeld geht. Hier sehen wir auch, das ist jetzt nicht auf irgendein bestimmtes lokales Gesetz. Oh, mo sorry. Ich sehe bei mir schon mehr, ich bin schon, oh, das ist ein guter Hinweis. Warum geht es da nicht weiter? Ja, das sehe ich nicht, genau. Also, wenn was komisch ist, ist es immer gut, mal gescheit zu sagen. Ja, genau, das habe ich jetzt schon alles erzählt. Genau, noch kurz lesen, mache ich weiter. Sorry, habe ich nicht gemerkt. Aber deswegen, also wenn was ist, einfach bescheid zu sagen. Genau, so. Genau, das habe ich auch gerade schon erzählt. Aber kann man später mal nachlesen. So, sieht man das jetzt? Ja, super. Also, was sind die Ziele des Projektes? Genau, irgendwie sinnvoll Risiken in Webbandwendungen sind, um die Staatsphäre zu tun haben. Deswegen fokussiert es auch nicht auf einer speziellen nationalen oder Staatenbund-Regelung, sondern orientiert sich an der OECD. Privacy Principles, OECD. Kennt jeder? Wer kennt es nicht? Was heißt das? Was machen die? Genau. Also, ich habe hier auch mal das Dekorium aufgeschrieben, also geht es auch wieder um wirtschaftliche Zusammenarbeit, aber halt nicht auf bestimmte Nationalitäten beschränkt. Genau, Fokus ist auch Real-Life-Rist. Hier steht halt jetzt noch Data Subject und Data Owner drin. In Zukunft, zumindest in der EU, heißt das dann ein bisschen anders, habe ich vorhin erklärt. Und das Projekt soll auch gerade und auch wenn man neue Geschäftsfälle definiert, ein bisschen helfen, auch den Liegeleuten zu verstehen, was das in der Web-Anwendung oder im Web-Kontext bedeutet. Sachen transparent machen, was aber nicht drin ist, wie kann man sich selber schützen oder was kann man tun, um seine eigene Privatsphäre besser zu schützen. Das ist nicht Teil des Projektes. Das Projekt selber, das ist wahrscheinlich auch ein Form des Leads, ist Teil in IPen. Wer kennt IPen? Ich kannte das auch noch nicht. Das ist auch so ein EU-Projekt. Sieht man da auch, ist 2014 von der EU gegrillt worden. Die machen viele tolle Sachen, das weiß nur keiner. Bring Together Privacy Experts fürs Developers. Wahrscheinlich hat noch nie ein Developer davon gehört. Deswegen machen wir hier mal und ändern das ein bisschen. Ich habe mir jetzt aber auch noch nicht alle Details zu angeschaut, aber kann man ja vielleicht mal machen, klingt nach einem spannenden Projekt. Aber da ist halt dieses Projekt in Form dann halt dieses Project Leads auch mit involviert. Und da sitzen noch ein paar mehr Leute im Tisch, wie man sieht. Aber ich kannte das jetzt auch noch nicht so. Wie sind die vorgegangen? Wir haben sich Modell ausgelegt. Wir haben diese Privacy Principles genommen. Wir haben geschaut, was passt da vielleicht nicht zusammen mit Webprojekten in der Welt, in dem wir uns befinden. Das dann bewertet. Auch noch schaut, wie oft passiert das. Und daraus ist diese Liste entstanden. Und entsprechend wurden auch Ideen definiert, wie kann man damit umgehen mit diesem Problem. Das sind die Countermashes und natürlich auch Best Practices für Entwicklung. Das überschneidet sich dann auch mit ein paar anderen Sachen, aber das ist logisch, weil Privacy hat immer viel mit IT-Sicherheit zu tun, wenn man solche sensiblen Daten verarbeitet. Deswegen werden da vielleicht die Dinge, die dann da stehen, bekannt vorkommen. Was für Experten das waren, habe ich jetzt auf die Schnelle mit 63 Menschen involviert. Es wurden 20 Sachen identifiziert. Und ein Beispiel ist, Daten mit einer dritten Partei teilen kommt sehr oft vor, sehr wahrscheinlich in der Realität. Genau. Dann haben wir auch so ein Impact-Rating gemacht. Ist so ein bisschen wie gestern bei den Overspritz, bei den Top 10-Rists. Natürlich hat nicht alles eine gleich starke Auswirkung. Und das ist jetzt wieder das Beispiel mit dem third party. Reputation Brand Value ist medium. Je nachdem, könnt es auch mal high sein. Financial loss for operator, wahrscheinlich niedrig. Social Standing Reputation of Data Subject, je nachdem was da drin stand. Könnt das ungemütlich werden. Und dann kommt halt irgendwie so eine Gesamt- oder eine Bewertung aus, in dem Fall dann halt 2. Genau. Das sind jetzt die Ergebnisse. Die erste ist das größte Problem also auch nach der Analyse von diesen Menschen ist das Lotierzeug nicht patchen oder nicht richtig bauen. Web Application Vulnerabilities. Das zweite ist der Operator verliert Daten. Jetzt gewollt oder ungewollt aber hat auch mit dem ersten Punkt zu tun oder in der Top 10-List ist das ja dann, dass sensible Daten abhanden kommen. Punkt 5 oder 6 ist das glaube ich was natürlich hier jetzt mit Fokus auf Privats wäre relativ weit oben steht ist. Also das kann ja mal passieren aber ein Großteil der Organisationen ist vermutlich nicht vorbereitet wenn es denn passiert. Wir haben sich noch nie Gedanken darüber gemacht, wie gehen sie mit der Situation um. Dann der vierte Punkt hatten wir auch gerade schon so ein bisschen, dass mit dem Löschen von Daten ist halt maximal schwierig weil auf der anderen Seite muss ich auch sicherstellen dass ich keine Daten verliere. Also auch in der EU-Regulierung ist, dass ich jetzt von jemandem persönlich Daten erfasse dann kann ich mir auch kein Datenverlust erlauben weil er sagt ja, weil ich dachte die Daten sind dort und ich kriege sie von dort wieder also einerseits muss ich Backups machen um sicher, um eine Eigenschaft sicherzustellen, dass ich nämlich keine Daten verliere und zum anderen muss ich später das Zeug wieder sicher, nachvollziehbar, nachweisbar können. Genau, können die meisten nicht. Wenn es Policies gibt, dann sind sie meistens nicht besonders leicht für einen normalen Menschen zu verstehen zu lesen, zu finden die Auswirkungen und so weiter, aber das wird jetzt zum Beispiel in der EU dann sich ändern müssen, weil es vielleicht unter Umständen teuer wird, wenn man es nicht hinkriegt. Genau, mehr Daten sammeln braucht, um das eigene den Use Case abzudecken kennt ja der ein oder andere vielleicht dann Weitergabe an Daten Weitergabe an Dritte ohne oder mit Zustimmung aber ist halt ein Problem, dann genau P8, es wird halt auch schärfer in Zukunft, dass die nicht mehr aktuell sind, nicht mehr stimmen. Ich muss auch nach neuer EU-Gesetzslage sicherstellen, dass die Daten aktuell sind und stimmen. Ja, das ist jetzt wieder so ein technisches Ding, es haben die nochmal extra aufgeführt zu den Vulnerabilität, Session Expiration, also Session Authentication Handling, gibt es auch auf der Top 10 Risk Liste, spielt auch hier eine Rolle, wenn sich die Session nicht automatisch beendet und jemand kommt an den Rechnern, dann kann das halt auch sehen, betrifft dann wahrscheinlich immer nur eine Einzelperson, aber trotzdem ist das ein Risiko für diese Person konkret und ja, Datenübertragung ist das ganze HTTPS, also wie werden Daten oder dass Daten nicht sicher übertragen werden. Das sind jetzt die 10 Punkte, die da in Summe rausgekommen sind. Wenn ich umziehe und da steht meine alte Adresse drin, dann ist das ein outdated personal data und dann musst du sicherstellen, dass das gefixt wird. Ganz vereinfacht, ich habe jetzt den Gesetzestext nicht im Kopf, aber im Prinzip ist das schon eine Forderung oder du musst als Nutzer die Möglichkeit haben, das aktualisieren zu können. Aber die Forderung ist, der Prozessor, der muss sicherstellen, dass die aktuell sind. Im Zweifel muss er dich auch einmal im Jahr fragen, ob sich was geändert hat, damit du es aktualisierst. Du musst nachweisen, dass du die Frage gestellt hast und sagst, ich habe eine E-Mail rausgeschickt. Deswegen, das ist technisch maximal komplex. Diese ganzen Anforderungen sind halt für die Nutzer sehr gut. Die sehen auch erstmal einfach aus und wenn man dann drüber nachdenkt wie will man das dann organisatorisch oder technisch lösen wird das an einigen Stellen ziemlich eklig. Ja, aber das ist dann halt zu erhöhen. Ja, aber dann kannst du hinterher nicht kommen und denjenigen blämen und sagen, es ist falsch. Es geht ja darum, dass du ein Recht auf Korrektur hast. Wenn du z.B. bei der Schufer Beispiel wenn da irgendwelche komischen Ratings drinstehen, wenn du schon nicht weißt wie die das berechnen. Zum Teil muss man das jetzt auch ein bisschen mehr auflegen, aber natürlich gibt es immer noch Geschäftsgeheimnisse, die dagegen stehen. Dann müssen die Wert korrigieren oder irgendwas tun. Wenn es falsch ist, dann darum geht es ja. Es geht ja um, dass man das Recht hat und der andere hat die Pflicht und jetzt wird es auch teuer wenn er meint, er muss der Pflicht nicht nachkommen. Moment, es ist quasi egal. Aber das wird nicht mehr so sein. Gab es noch eine Frage? Das habe ich mich auch schon gefragt. Die habe ich jetzt noch nicht wieder raus, weil ich habe dann gesehen, dass es in den Slides noch nicht drin ist. Ja, das ist eine gute Frage. Die Frage war es in den OECD-Prinzipien. Die sollte man sich vielleicht auch mal schon offenbar gibt. Das kennt auch kein Mensch. Außer den 60 Leuten, die da irgendwie immer zusammensitzen. Kannst du im Netz nachlesen? Was? Kannst du im Netz nachlesen? Ich habe eine Seite gefunden. Ja, das ist richtig. Ich habe aber, als ich das vorhin nochmal zusammenwort habe und mir nochmal genau angeschaut habe, dann auch, aber da habe ich jetzt noch keine Info zu. Gibt es noch eine Zwischenfrage? Gut. Genau, dann haben die diese 10 Dinger auch mal bewertet. Wie vorhin gezeigt, nach Vorkommen und Impact ist fast alles immer high and very high, low oder medium low taucht gar nicht auf. Medium gibt es ein bisschen. Kann man wahrscheinlich nicht so suchen, ja doch geht. Ja, das Schwarz auf Rot ist natürlich nicht für optimal. Schön Vortrag. Also, man sieht, die ersten 3 kommen ziemlich oft vor und der Impact ist immer auf die Masse oder auf das, was passieren kann. Ja, die Daten kommen abhanden. Wer sie nicht lesen soll, ziemlich hoch. Dann nicht vernünftig löschen. Die Policy sind nicht gut und mehr Daten einsammeln als man angegeben hat. Kommt sehr oft vor. Kann man wahrscheinlich auch so falsifizieren. Der Impact ist dann ein bisschen niedriger als bei den ersten 3. Sharing with third parties ist ein bisschen mixed. Outdated personal data kommt relativ oft vor und natürlich kann die Auswirkungen ziemlich blöd sein. Da passt halt wieder, nehm ich jetzt immer mal so die Rating Agenturen für die Kreditwürdigkeit oder sowas. Das kann natürlich sehr starke Auswirkungen auf den einzelnen haben. Session Handling und so weiter identisch. Genau. Hier in dem Slide Deck von 2015 sind jetzt halt nur 4 Punkte drin. Ich hab mir noch den ersten mit reingemacht. Weil es gibt schon ein paar aktualisierteren aber die sind noch nicht auf der Projektseite. Genau. Web Application Mobilities wobei da hab ich gestern mehr oder weniger auch einen kleinen Vortrag zugehalten. Muss ich jetzt vielleicht nicht so viel zu erzählen. Im Raum werden sich damit mehr oder weniger gut auskennen. Aber da sind halt wieder so Dinge Penetration Test Training von den Leuten auch vorhin auf der Übersicht gesehen. Security Guidelines werden die Komponenten aus denen die Anwendung gebaut ist regelmäßig aktualisiert und so weiter. Das sind Fragen die man sich stellen kann und dann kann man halt schauen ob man da auch ein paar neue Modelle Security Development Lifecycle manchmal ist auch SSDL weil Software Development Lifecycle drei Buchstaben im kurzen Sinn hat immer ein bisschen gefährlich. Penetration Test Durchführen von extern wobei Penetration Tests haben halt auch Vor- und Nachteile aushindert nur Möglichkeiten da besser zu werden und zumindest ein gewisses Grundzeit sicherzustellen. Oder halt auch regelmäßig Updates, Operator-Site-Data-Legage Was gibt's da eigentlich für Risiken? Wo kommen die her? Einmal von den Mitarbeitern die diese Anwendung oder die Daten betreuen Da kann jeder auf alles zugreifen halt nur weil er da arbeitet vielleicht auch der Student der nur einmal die Woche kommt da hat halt auch Zugriff auf alles Die Leute sind sich gar nicht darüber bewusst dass sie mit sensiblen Daten arbeiten wenn sich selber betreffen würde vielleicht schon aber dann ist man plötzlich in einem anderen Kontext dann geht man anders damit um es wird immer alles Mögliche noch mal kopiert, könnte man ja noch mal brauchen wahrscheinlich auch bei Support-Geschichten und dann halt auch ja dass die Anonymisierung nicht funktioniert genau wir sind so ein paar Beispiele aufgeführt ja, Frage Anonymisierte Daten fallen nicht drunter, aber wenn ich sie falsch mache oder nicht ausreichend mache falle ich wieder drunter das weiß ich dann, das lerne ich dann hinterher im Zweifel oder auf jeden Fall ist es ein Risiko jetzt geht es ja hier nicht um die EU Gesetze, sondern um die Risiken und das ist auf jeden Fall ein Risiko dass das Unternehmen, dass die Daten verarbeitet das denkt, dass sie es können aber sie machen es falsch und das ist ein Risiko und dann habe ich plötzlich ein Data Leakage und hier ist ja ein Beispiel angegeben AOL Search wo dann halt Probleme auftauchen und alle dachten, da kann ja gar nichts passieren und hinterher kommt ein schlauer Mensch und kann es halt komplett auf den Einzelnen zurückrechnen aber prinzipiell immer wenn ich richtig anonymisiere falle ich aus diesen ganzen Privacy-Regelungen raus weil dann gibt es ja nichts mehr was da drunter fallen könnte Pseudonymisierung bin ich immer noch im Gesetzesrahmen unterwegs und muss mich, ich habe niedrigere Anforderungen ich kann mehr mit den Daten machen auch ohne explizite Zustimmung wenn sie pseudonymisiert sind aber ich fall immer noch unter die Regelung und muss mehr tun um komplett zu sein aber hier geht es ja auch darum zu motivieren dass man mehr tut auch wenn da kein Gesetz hinten dran steht mit 20 Millionen Rechnungen im Zweifel pro Vorfall ist ja jetzt nicht die Idee von diesem Projekt genau dann nicht transparente Policy-Terms und Conditions ist ein Risiko weil ich verstehe vielleicht gar nicht was die mit meinen Daten machen und wem sie das alles weitergeben weil ich das nicht ja, verstehe gar nicht ewig lange Texte sind und dass er auf Sicherheit geschrieben ist um nicht verklagt zu werden und nicht um jemandem zu erklären was gemacht wird dann Sharing of Data with third parties ist ja ausgeführt weil das kommt natürlich wahrscheinlich sehr sehr oft vor die meisten Web-Anwendungen machen irgendeine Art von Tracking und die stehen, wer kommt überhaupt und was machen die User mit meiner Anwendung manche haben auch Werbung drauf oder man hat einfach Funktionalität woanders hin, Ortgesourced und dann schickt man da alle möglichen Daten mit und dann kann man das auch nicht mehr kontrollieren das ist auch was ich vorhin vergessen hab zu sagen in der EU Regelung ist auch was Neues Schickes drin das wird auch mal spannend wie das funktioniert wenn ich jetzt Daten an der dritte Partei weitergebe muss ich denjenigen informieren von dem ich sie bekommen hab und der andere der sie kriegt der muss mir auch sagen wo er sie herbekommen hat also bestimmte Szenarien die man heutzutage findet vor allem in der Werbeindustrie die werden dann nicht mehr so einfach funktionieren aber natürlich gibt es ja auch wieder Möglichkeiten da ein bisschen Rost kommen wenn man Zeudonymisierung macht aber das ist auch noch eine spannende Anforderung dass man das Datasubject in Kenntnis setzen muss oder ich kann auch fragen oh wo haben sie denn meine Daten herbekommen ich hab sie nicht eingegeben und dann muss man quasi die Quelle offenlegen aus der Adressdatenbank oder so wo man die Daten für die Marketingaktion herbekommen hat also das spielt ja auch auf diesen Punkt ein hatte ich vorhin nicht auf der Folie wird auch spannend ob und wie das funktioniert oder wo dann nationaler Ausnahmen irgendwie greifen weil so ein bisschen die Kritik dass die Deutschen da dann das doch eher wieder lockerer machen genau Session Handling muss ich glaube ich jetzt hier nicht weiter drauf eingehen genau hier ist ein schönes Beispiel das war aber schon in den Vorjahren aber das ist halt ein Beispiel wie man die Leute auch ein bisschen schonen kann dass das richtig ist sich auszulangen genau was kann man denn jetzt tun ja Erwärmnis deswegen hat ich auch den schönen Vortrag und gestern erstmal ein Bewusstsein schaffen dass es vielleicht was zu tun gibt oder alles nicht so toll ist wie es aussieht und es müssen halt nicht nur die Entwickler es müssen auch eine ganze Menge andere Leute sich überhaupt darüber bewusst sein dass man Dinge auch anders machen kann und man muss es dann auch wollen manchmal braucht man ein bisschen Hilfe von draußen durch den Gesetzgeber aber natürlich wäre es schön im Sinne der Data Privacy wenn alle von sich aus mehr tun jeder in seinem Projekt oder in seinem Business in dem er tätig ist kann dazu beitragen ja und das ist halt nochmal es fängt halt vorne beim Produktdesigner an natürlich Entwicklung IT spielt eine große Rolle aber auch die Liegelabteilung die Rechtsanwälte müssen sich vielleicht anders aufstellen genau wer hat so ein Liegel Background ja genau aber vielleicht muss man sich auch als Entwickler manchmal mit diesen unspannenden Themen einiges grundlegend auseinandersetzen genau Web Applications und Privacy Programmen oder andersherum haben wahrscheinlich die wenigsten genau man braucht Prozesse also organisatorische Maßnahmen man kann das nicht alles mit Technik erschlagen um das an den passenden Stellen zu berücksichtigen ist ein bisschen wie mit IT-Sicherheit kann man auch an allen möglichen Stellen mitmachen oder weglassen und in Zukunft muss man nachweisen dass man es nicht weglassen hat sondern dass man es tatsächlich gemacht hat und mindestens irgendwo ein Stück Papier abheften wo drauf steht ja wir haben uns bei der Funktion weil wir dort sensible Daten verarbeiten die wir dann gemacht haben sind zu denen und den Ergebnissen gekommen und dann kann die Datenschutz die Aufsichtsbehörde kommen sagen zeig doch mal und wenn man dann nichts zeigen kann sagen sie hier ist die Quittung und das nächste Mal macht man es dann besser beim ersten Mal kostet es meistens nichts aber es wird halt noch spannend wie ich das dann ausnutze die neuen Möglichkeiten genau was haben wir jetzt hier noch drauf ja genau manchmal kann der Entwickler im Rahmen seiner Möglichkeiten vielleicht auch mal mehr tun als er muss aber das ist oft eingeschränkt zumindest in kommerziellen Bereichen und ja genau also muss organisatorische Dinge tun man muss beim Design drüber nachdenken in der EU muss man ist man dann verpflichtet die Top 10 Sachen kann man benutzen oder drauf gucken ich zeig dann auch gleich nochmal kurz das Bildchen ah was kann man noch machen ja vernünftiges Software bauen das ist jetzt restriktive Access Management das muss natürlich auch funktionieren also muss Sicherstände funktioniert Anonymisierung machen wo es sinnvoll ist und versuchen es richtig zu machen DLP finde ich jetzt nicht so es ist ein schwieriges Thema kann man so und so sehen kann sinnvoll sein um Privatsäge zu schützen dann kriege ich aber auch immer die komme ich immer ganz schnell in diese DM-Ecke weil wie will ich das technisch sinnvoll umsetzen und wenn ich es einmal richtig funktionieren das wenn ich das DRM habe wer anders kann man DLP nicht machen dann kann ich es natürlich auch für andere Zwecke gebrauchen passend zu unserem Thema dieses Jahr deswegen ist es schwierig auf der einen Seite schützt das private Daten auf der anderen Seite kann ich diese Technologie wenn die richtig gut ist und richtig gut funktioniert natürlich auch für andere Dinge gebrauchen und dann kann man bestimmte Daten die man vielleicht wieder öffentlich kriegen wenn so ein System tatsächlich funktioniert und der Breite ausgeräut ist deswegen ein bisschen zweischneidiges Schwert aber meistens kriegt man das eine nicht ohne das andere Session Timeouts hatten wir schon aber da ist nochmal Educate Users also das ist auch mal was so eine Anwendung kann ja auch den User mal darauf hinweisen das letzte mal hast du dich nicht abgemeldet vielleicht das nächste mal bewusst machen einfach um die Leute die eigenen die die Anwendung bauen oder die Betreiben, sondern auch die Nutzer immer mal dezent darauf hinzuweisen was sie vielleicht anders machen könnten um ihre eigene Privatsphäre zu schützen hier sind noch ein paar Technologie Beispiele die sind jetzt von 2015 aber das ist wahrscheinlich ganz spannend damals drauf zu schauen genau also es gibt immer noch viele Privacy Risiken also langweilig große IT Security Risiken haben werden wir die Privacy Risiken wahrscheinlich auch nicht los deswegen war es ja auch P1 Wunderbilities Compliance ist schön aber viele Organisationen nutzen das auch nur um Compliance zu sein und nicht um die Privatsphäre der Nutzer zu schützen Awareness ist wichtig und deswegen gibt es das Projekt und deswegen geht ich heute auch mal darüber weil es finde ich ein schöner Summary genau und denkt dran wie man die Sachen baut oder auditiert und macht vielleicht mal mehr als notwendig ist hier ist jetzt noch die Webseite aber findet man glaube ich auch einfach über Google da ist auch die IPen verlinkt genau und dann habe ich noch 2-3 Slides bei mir so, halte ich mal kurz zurück zu den anderen hat er das schon automatisch geswitched genau die Idee war so ein bisschen für Privacy machen damit das mit den Disclaimern leichter wird also sowas nur anders aber natürlich war ich nicht der erste der die dumme Idee hatte P3P wer kennt P3P einer jetzt bin ich aber enttäuscht das ist ein W3C-Standard sollten eigentlich alle hier sitzen die haben das damals schon vor langer Zeit versucht 2020 schon eine Weile her ist auch eine technische Lösung damit sich Systeme austauschen können was macht denn die Seite eigentlich mit den Daten des Nutzers und dann der Browser das zum Beispiel darstellen kann oder dann den Nutzern den Hinweis anzeigt dass er da nicht hin will hat aber nicht so richtig funktioniert kennt keiner benutzt wahrscheinlich auch kaum einer das ist so ein extra HDTP herr da auch, falls ihr danach suchen wollt den gibt's auf manchen Seiten und die hatten auch die Idee diese Informationen also so zu vereinfachen, dass sie für Nutzer da schwimmen ist aber irgendwie schief gegangen dann gab's dann mal ein Rechtsanwalt 2000 da gibt's einen schönen ARS-Techniker Artikel drüber in kurzen 2009 ASA Raskin muss man jetzt auch nicht kennen, war mal beim Mozilla hatte die Idee auch schon mal war da schon relativ weit, die haben aber auch nie angefangen eigens zu malen und jetzt gibt's hier Ian Odell der ist glaube ich in Dublin ein Rechtsprofessor da hat er jetzt auch an 2 Vorträge drüber gehabt und kann man auch schön googeln aber so richtig erscheint maximal schwierig zu sein also mit den Lizenzen für Intellektuelle Arbeit ist es einfacher als mit Privatsfernsachen haben schon viele was versucht aber wir sollten nicht aufgeben und das war das ich fände das schon praktisch und jetzt hat man auch noch dieses schöne EU-Gesetz hinten dran, dass das ja so ein bisschen fördert dass da was passieren muss bin ich mal gespannt aber wenn jemand schöne Ideen hat kann man vielleicht was da voran bringen genau, fertig ja mit dem Applaus glaubt schon gut wir haben noch ein bisschen Zeit nachdem wir eben schon die Zwischenfragen hatten haben wir noch offizielle Fragen hallo gibt's was zu Verschlüsselung wird auch gesagt wenn Daten verschlüsselt sind ist das Risiko für Datenprozesshoren Menschen ob das dann tatsächlich Data Leakage geben könnte oder nicht oder gibt es da eher so wo in der Gesetzgebung oder auch in der Praxis die sie schon kennen oder ist generell ausgeschlossen dass man sagt verschlüsselt und ich habe den Private Key nicht zum entschlüsseln also ist es nicht datenschutzrelevant für mich weil die Aussage höre ich oft ja dann kann ich dann bewahr ich die Daten ja nur auf und ich weiß ja, ich kann ja auch nicht reingucken wobei man kann ja auch ein paar mathematische Operationen auf Verschlüsselten Daten machen aber weiß ich jetzt auch nicht so genau aber so ein bisschen ist das schon wenn die das ja auch die Übertragen, wenn man das Verschlüssel überträgt und dann auch Verschlüsselt speichert ist das schon mal eine gute Idee und wenn das dann sowieso nur der Nutzer den Key hat dann kommt ja irgendwo muss ich es ja wieder entschlüsseln uns zu benutzen dann muss ich mir halt um das System mehr Gedanken machen aber dann da wo es gespeichert ist wenn ich es richtig und gut verschlüsselt hab kann ich mir dann da vielleicht ein paar Gedanken weniger drum machen also das ist auf jeden Fall eine sinnvolle Maßnahme das wird auch anerkannt wir haben das auch ganz viel bei uns in der Praxis dass das auch die Unternehmen gar nicht so sehr die europäischen denkt man immer nicht aber Verbraucherschutz in Nordamerika ist schon teuer die haben zwar kein Persönlichkeits-Datenschutzrecht aber die haben teuren Verbraucherschutzrecht und der funktioniert ziemlich gut und Target kennt ja noch jeder also da werden auch Chefs gefeuert wegen Datenschutz in Europa ist das noch nicht so oft passiert glaube ich obwohl wir vielleicht die besseren Gesetze haben und ja also verschüsseln ist eine gute Idee das hilft und die fordern das halt auch also gerade die Nordamerikaner da müssen wir alles verschüsselt in der Datenbank speichern das müssen dann echt die Rechtsanwälte klären das kann ich nicht ich bin keiner dass manche Teile davon wie das so immer ist werden auch erst in den nächsten Jahren definiert wie die genau ausgelegt werden aus rechtlicher Sicht und dann gibt es halt noch die andere Sicht was will man selbst als Unternehmen tun und sicherstellen unabhängig davon was man muss noch eine Frage du hast ja die Texte nämlich schon ein bisschen angeschaut also sind die auch für ein Techniker verständlich wenn man die sich im Detail anschaut ja schon aber es sind halt ein paar Seiten aber das ist ja keine technische Spezifikation das ist ja ein Gesetz und das soll ja das Zusammenleben regeln und dann steht halt drin man muss bestimmte Dinge erfüllen wie man das dann technisch macht steht dann nicht drin man muss das halt nachweisbar löschen oder so was oder korrigieren oder wenn dann jemand eine Anfrage stellt dann muss ich den ja irgendwie identifizieren um zu gucken habe ich Daten von dem kann ich dem das dann einfach schicken um sich jemanden die Daten von jemandem anders wie mache ich das denn kommt einer schicken mir eine E-Mail reicht das in der Praxisschickenunternehmen das dann halt zum Beispiel auch per Brief an die hinterlegte Adresse raus weil wie kriege ich denn sonst den Datenschutz sichergestellt um die Anfrage zu beantworten da steht da alles nicht im Gesetz natürlich gibt es auch so eine Ausführung also so immer noch Zusatztexte und Interpretation aber das ist jetzt gerade ganz viel in der Entwicklung und im Stehen tatsächlich weil alle anfangen das zu implementieren und dann denken ja aber wie mache ich das denn jetzt das steht da nicht drin es ist ein Gesetz es ist keine RFC oder so was man kann das schon verstehen was da drin steht aber die technische Umsetzung muss man sich dann quasi selber noch gucken ja natürlich da steht halt drin die Daten müssen sicher gelöscht werden wie gesagt, steht da vielleicht ein paar Sätzen mehr so nachweisbar wie weiß ich denn danach, dass ich von dem Nutzer die Daten gelöscht habe ohne noch Daten von dem Nutzer zu haben also das geht dann halt nicht mehr irgendwo hört es dann halt auch aber also das sind so weil er sagt dann habt ihr jetzt alles gelöscht dann sage ich ja ich kann ja nicht nachweisen, dass es nicht da ist technisch wie geht das? geht nicht also manche Sachen sind technisch nicht umsetzbar die sind dann halt Vertrauenssache wie will ich das nachweisen? was nicht da ist hat noch keiner geschafft glaube ich es ist ein nicht entscheidbares Problem ja genau dazu sieht das Gesetz vor wenn solche Probleme, aber ich könnte mir jetzt ein Backup vorstellen und das dann irgendwo verweist wie ist das bestimmte Daten beim Restore nicht übernommen werden sollten ist es dann gelöscht? was weiß ich naaaahhh ne, weil dann ist es ja noch da aber es wird da halt auch Auslegungssachen geben es gibt ja auch auf Gesetze die eine Aufbewahrungsfrist erzwingen die muss ich natürlich zuerst erfüllen im Arztbereich oder auch im Health Care Bereich muss ich ja bestimmte Daten auch eine bestimmte Mindestzeit aufheben auch wenn wenn der den Arzt wechselt oder die Bank wechselt dann müssen die das Zeug ja trotzdem 10 Jahre aufheben es kommt ja noch dazu dann kann ich das ja nicht einfach löschen weil ich hab ja auch noch aus dem Handels gesetzt und so weiter, es gibt ja noch andere Gesetze wo ich Aufbewahrungspflichten habe den ich auch nachkommen muss die stehen dann natürlich den Datenschutz Pflicht das zu löschen erstmal entgegen aber da ist das so dass man das dann erstmal so lange aufhebt wie man muss danach muss ich es aber schnellstmöglich loswerden das ist quasi die Herausforderung dabei also erstmal vielen Dank für den schönen Vortrag, der war wirklich gut ja, gern du hast bei Peter Reinor einen zweiten Satz gesagt über die Penetrationstests dass es da vor Nachteile gibt von externen Penetrationstests was werden denn aus deiner Sicht Nachteile ne der Nachteil also ein Penetrationstest ist ja meistens eine manuelle Anmeldingheit und ein bisschen aufwendiger und wenn man sich Release-Züblen von Anwendung heutzutage anschaut dann erkennt man vielleicht das Problem wenn ich im Zweifel jeden Tag ein Release mache man skaliert nicht das heißt man muss sich da auch Gedanken machen wie man es anders macht also man braucht da halt auch Automatisierung und irgendwie automatisierte Tests aber die können halt bestimmte Dinge noch nicht abdecken die ein Mensch halt immer noch kann mit seiner Kreativität ja aber vielleicht lasse ich dann jedes Mal einen bestimmten automatisierten Standardtest drüber laufen dass ich bestimmte Basics sicherstellen kann dass meine Settings nicht kaputtgegangen sind oder halt auch eine Art Regression-Test im Sinne von Security oder dass meine Settings nicht kaputtgegangen sind aber dann jedes Mal ein Pen-Test machen das ist a. viel zu aufwendig und b. kann das keiner bezahlen und c. das korreliert zeitlich nicht mehr das kann ich ab und zu mal machen das ist schön fürs Papier vielleicht findet man auch nochmal ein größeres oder kleineres Problem aber ich kann das da nicht sehen wenn man ein Pen-Test von gestern vielleicht wertlos weil dann habe ich genau das Problem Deployed wo jemand auf alle meine Daten zugreifen kann dann kann ich so sagen, ich habe gestern ein Pen-Test gemacht das ist das Problem dabei also das ist schon sinnvoll aber man sollte die Grenzen der Methode kennen und was sie einem bringt und was sie halt nicht kann und das nächste Deployment kann sie halt nicht ja man muss halt eine Kombination von Dingen machen sinnvolle Kombination von Dingen ein automatisierter Test kann halt nicht alles aber der kann halt einfach laufen und da hebt dann schon mal die Hand wenn was kaputtgegangen ist und das manuelle mache ich halt ab und zu mal um Dinge zu finden die so ein automatisierter Test halt heutzutage noch nicht finden kann sonst noch Fragen? keine mehr? ja dann sage ich auch d.i. für den tollen Vortrag dass wir das neue kommen tschüss, viel Spaß noch lasst nichts liegen