trusted privacy datensicherheit und …...2016/06/04 · themen datensicherheit und datenschutzes...
TRANSCRIPT
TRUSTED PRIVACY
Datensicherheit und Datenschutz bei Medical Apps
Prof. Dr. Christoph BauerePrivacy GmbH
Wachstumsmarkt Mobile HealthKieler Wirtschaftsforderungs- und Strukturentwicklungs GmbHKiel, 6.6.2016
ePrivacy European Seal for your privacy
Zahlen und Fakten
vergebene eprivacyseal
Version EU / DE
vergebene OBA Trust Seal Zertifizierungen
Consulting Projekte:Big Data
Privacy by Design
andere Zertifikate: DTSG Brand Safety
Targeting Siegel, …
eprivacy ist in vielen Ländern tätigweltweit
OBA Frameworkbestimmt den MarktstandarD
geprüfte
mobile apps
Kooperation mit verschiedenen Institutionen
beteiligte Auditoren und Gutachter
Kunden der eprivacy GmbH
16
250
800
20
15
150
80
70
10
20 2011
2
ePrivacy European Seal for your privacy
Referenzen
3
ePrivacy European Seal for your privacy
Datensicherheit ISO 27001
Datenschutz Workshops
Gütesiegel & OBA Zertifizierung
Externer Datenschutzbeauftragter
Privacy Evaluierung
Analyse des Status Quo, Beratung und Erstellung aller Standard-Dokumente
Hauptansprechpartner für Behörden, interner Ansprechpartner in allen Datenschutzangelegenheiten
Angebot im Überblick
1
2
3
4
5
Produktanalyse – Privacy by Design
Erforderliche und empfohlene Anpassungen; erweiterte Zusammenarbeit
Komplette Produktanalyse und Bewertung – Privacy by Design
Offizielle Dokumentation von ePrivacy
Detaillierte technische und rechtliche Evaluierung – Wettbewerbsvorteil durch unser Siegel
Offizielles Siegel von ePrivacy und von der EDAA, powered by ePrivacy
Siegel und Evaluation können zur externen Kommunikation verwendet werden
Schlüsselkunden
Webseiten
Datenschutzbehörden
Andere Prüfer oder Investoren
Detaillierte technische Beratung und Zertifizierung
Offizieller Anbieter der ISO 27001 Prüfung
OBA ZERTIFIZIERUNG
EPRIVACYSEAL EU VERSION
EPRIVACYSEAL DE VERSION
4
ePrivacy European Seal for your privacy
Ziel
goal
5
1.
2.
3.4.
5.
aufg
abe
anal
yse
zertifizierung
optimierungfinaler audit
ZertifizierungsprozesssiegelerstellungePrivacyseal DE VersionePrivacyseal EU Version
ziel
ziel
ziel
Datenschutzkonforme Produkte
Datenschutzkonforme Prozesse
Datenschutz in der Nutzer-und Kunden-Kommunikation
Aktiver Datenschutz für Marketing und Kundenbindung
Datenschutz als Wettbewerbsvorteil
Technische ProdukteOrganisation / Prozesse, Datenfluss und -architektur
Rechtliche Grundlagen
Nutzer-Rechte, Opt-out/ Opt-in
Verträge, etc.
TransparenzStand der TechnikHandlungsbedarfKonzept und Planung
Vorbereitung auf die PrüfungOrganisation Prüfungsverfahren
Optimierungdes Status Quo durch Kunden
SchwerpunkteDatenvermeidung und -transparenz, Nutzungen rechtlicher Gestaltungen, UseCases, Anonymisierung von Daten
Zertifizierung und GutachtenErteilung Gütesiegel
Prüfung durch GutachterTechnik, Prozesse und Rechtslage
Auflagenfür das Gütesiegel
Empfehlungenfür weitere Verbesserungen
Antragsverfahrenfür das Gütesiegel
GütesiegelerteilungePrivacyseal
ePrivacy European Seal for your privacy
Blackbox-Testing und Whitebox-Testing
Hohe Zertifizierungsstandards
Prüfung von Datensicherheit und Datenschutz
Prüfung von Apps und Zertifikat / Siegel
Datensicherheit für alle gespeicherten DatenDatenschutz von personenbezogenen DatenÜber 150 automatisierte und manuelle Prüfungen
ePrivacyApp - das Konzept
1
2
3
4eigene Software zur Prüfung von AppsVerbindung mit manuellen Tests und Software-AnalysePrüflabor eingerichtet mit automatisierten Prozessen und Prüfungen
Prüfung von Apps auf Datenschutz und DatensicherheitZertifikat und Siegel „ePrivacyApp“ optional
Hoher Standard für Datenschutz auf der Basis von BDSG, TMG, EU-Recht und allgemeine MarktstandardsHoher Standard von Sicherheit / heutiger Stand der Technik
erwartete Weiterentwicklung in Technik und DatenschutzVeröffentlichter Kriterienkatalog / akkreditierte Auditoren
5
ePrivacy European Seal for your privacy
Datensicherheit
Datenschutz
Online Behavioral Advertising / OBA
Datenschutzerklärung / AGBDatenschutzeinstellungen durch NutzerNutzung von Daten durch die App
Zugriff auf persönliche Daten des Nutzers oder KontakteWeitergabe von Daten an Dritte
Einhaltung der Datenschutzgesetze (u. a. BDSG, TMG)
ePrivacyApp - Überblick Prüfungskriterien
1
2
3
Untersuchung von DatenpaketenAnalyse des ein- und ausgehenden DatenverkehrsVerschlüsselung des Datenverkehrs
Sichere Speicherung von DatenDatenprüfung mit White-Hat-Hack
Authentifizierung der Empfänger von Daten (WHOIS)
Erstellen von Nutzerprofilen durch die AppOpt-out-MöglichkeitenKontaktmöglichkeiten mit dem Betreiber
6
ePrivacy European Seal for your privacy
1. Benutzernamen und Passwörter können abgefangen werden
2. Anwendungen verlangen Rechte, die für den Betrieb der Applikationen nicht benötigt werden (z.B. Kontaktliste oderKalenderdaten des Nutzers)
3. Kein Schutz gegen einen Man-In-The-Middle Angriff
4. Vertrauliche Informationen werden an unbeteiligte Dritte, ohneEinwilligung des Nutzers, weitergeleitet
5. Ungenügender Schutz der übermittelten Daten
6. Ungenügende Verschlüsselung der Daten auf dem Gerät
7. Personenbezogene Informationen können durch Dritte mitgelesenund verarbeitet werden
Folgende Sicherheitslücken werden häufig von unserenExperten festgestellt:
App Testing – Wesentliche Ergebnisse
7
ePrivacy European Seal for your privacy
Es existieren Peripheriegeräte für Smartphones/Tablets, mit welchen der Blutzuckerspiegel des Nutzers über eine App ermittelt werden kann.Durch eine Manipulation des Datenverkehrs können hierbei falsche Messergebnisse angezeigt und im schlimmsten Fall eine falsche Medikamentendosis intravenös eingenommen werden.
Image: http://bermudasun.bm/Content/LIFESTYLE /Lifestyle/Article/N ew-device-tests-blood-glucose-v ia-smartphone/9/230/60626
Smartphone Peripherien zur Messung des Glukosewertes (Blutzucker)
Angriffsszenario - Beispiel
11
ePrivacy European Seal for your privacy
Ca. 140 wurden im Zeitraum Aug/Nov 2015 getestet
iOS und Android
ePrivacy’s selbstentwickelte Technologiekam zum Einsatz
E-Health Kriterienkatalog, entwickelt von ePrivacy auf Basis internationalerStandards von Datenschutz/Datensicherheit
Geprüfte Apps wurden nachBekanntheitsgrad und Downloadzahlenausgewählt
Kategorie “Medical Apps”
Wachsende Bedeutung von Medical Apps
Vertrauliche Informationen werden in den Apps verarbeitet
Datenmissbrauch / und falsche Handhabungenkönnen gesundheitliche Risiken nach sich ziehen
Wichtige Punkte für App Anbieter:
1. Ist der Umgang mit den Nutzerdatensicher und angemessen?
2. Wie vermeide ich rechtlichen Streit/ negative PR?
3. Wie trägt die App zur Verbesserung von Transparenz und Vertrauen der Nutzer bei?
à Datenschutz als Wettbewerbsvorteil
auf dem Markt!
Einige Fakten Warum ist das so wichtig?
Studie „Medical Apps“
10
ePrivacy European Seal for your privacy
4
Konnten Logindaten abgefangenwerden?
YesNo
80 %
20 %
Konnten Gesundheitsdatenabgefangen werden?
YesNo
48 %52 %
Konnten sonstige personenbezogeneDaten abgefangen werden?
YesNo
60 %
Konnte der Datenverkehr manipuliertwerden (z.B. empfohlene Medikation)
YesNo75 %
40 %25 %
Studie „Medical-Apps“ – wichtige Ergebnisse
11
ePrivacy European Seal for your privacy
0%
20%
40%
60%
80%
100%
Android iOS
YesNo
Existiert eine Datenschutz-erklärung für die Medical App?
0%
20%
40%
60%
80%
100%
Android iOS
YesNo
0%
20%
40%
60%
80%
100%
Android iOS
NoYes
Ist eine Manipulation der ein- und ausgehenden Daten möglich
Existiert ein Schutz gegen Man-In-The-Middle Angriffe?
Kommuniziert die App über SSL (gesicherte Verbindung)?
Studie „Medical-Apps“ – wichtige Ergebnisse
12
0%
20%
40%
60%
80%
100%
Android iOS
YesNo
ePrivacy European Seal for your privacy
Social Engineering ist die zwischenmenschlicheManipulation mit dem Ziel, bestimmte Reaktionen beiPersonen hervorzurufen, um an vertraulicheInformationen zu gelangen.Das beste Verschlüsselungsverfahren ist nutzlos, wennder Mensch die Schwachstelle ist.Für diesen Test wurden zusätzlich Apps andererKategorien verarbeitet, die Gesundheitsdatenverarbeiten (u.a. Versicherungen)
“Hallo Frau XY, wir haben die neue Emailadressemit ihrem Konto verknüpft und die alte gelöscht. MfG”
“Hallo Frau XY, aus datenschutzrechtlichenGründen können wir keine Details Ihres Kontosändern. […] Viele Grüße”
Allg. Informationen Typische Antworten
Unser Angriff
Erstellung eines Email Accounts zur Registrierungin der AppErstellung eines zweiten, ähnlich klingenden Accounts um vorzugeben der erste Account zu seinEmail an den App Anbieter mit folgendem Inhalt:
- Ich habe mein Passwort für die App vergessen- Mein Email Account wurde gehacked und ich kann
nicht mehr darauf zugreifen- Anfrage die alte Email Adresse durch die neue zu
ersetzen
1
2
3
4 Ergebnisse
Access to sensitive dataNo access to sensitive data
In 47% aller Fälle konnten persönlicheInformationen (z.B. Logindaten eines unbeteiligtenDritten) ohne Verifizierung “erfragt” werden.Bei 53% aller Fälle war der Angriff nicht erfolgreich.
Studie „Medical-Apps“ – Social Engineering
13
ePrivacy European Seal for your privacy
1. Datenschutzerklärlung einbauen, die über alle Verwendungen der Daten aufklärt
2. Datenschutzerklärung vor Nutzung der App und auch bei Nutzung der App verfügbar halten
3. Nur Daten der Konsumenten nutzen bzw. An Dritte weitergeben, wenn es für den Zweck der App
erfoderlich ist und darüber aufgeklärt wurde.
4. Verschlüsselung aller Daten (pers.bez. Daten und Gesundheitsdaten) zum Schutz vor Manipulationen
5. Man-in-the Middle Schutz einbauen
6. Identität der Nutzer durch effektive Prozesse schützen, gerade abei verlorenen Passwörtern etc.
Für alle Punkte gilt: Prüfung und ggf. Zertifizierung der App ist ein idealer Nachweis !
Einige wesentliche Lösungsmöglichkeiten der aktuellenDatenschutz-Probleme für der Medical-Apps:
„Medical Apps“ – Lösungsmöglichkeiten
14
ePrivacy European Seal for your privacy
Detaillierte Dokumentation
Überprüfung Ihrer App durch eine neutrale Instanz
Erteilung unseres ePrivacyApp Siegels (optional)
Manuelle und softwareseitige PrüfungÜber 150 einzelne Prüfkriterien
ePrivacyApp – Ablauf unserer Prüfung
1
2
3
Detaillierter PrüfberichtEmpfehlungen
Auflagen
Umsetzung erteilter AuflagenErstellung des Zertifikats
ePrivacy European Seal for your privacy
Team
Technologie
Prüflabor
Einsatz neuartiger und aktuell einzigartiger Prüf-SoftwareAuf dem modernsten Stand der Technik
Über 150 Einzelprüfungen möglichPrüfung aktueller und potenzieller zukünftiger Angriffsszenarien
ePrivacyApp – sichert Vorsprung
1
2
3
Technische und juristische ExpertenIT-Sicherheitsexperten und „White-Hat-Hacker“
Hochqualifizierte Auditoren
Eingerichtetes Lab – Organisation / RessourcenSoftware-Prüfung mit standardisierten Abläufen
Schnelle und hochqualifizierte Prüfungen
ePrivacy European Seal for your privacy
Häufig festgestellte Mängel
Benutzernamen und Passwörter leicht auslesbar
Nutzung von Daten, die eigentlich nicht benötigt werden
(Kontakte, Kalender, Standort, …)
Leichte Angreifbarkeit in unsicheren Netzwerken
High Security Kriterien
Prüfung von Apps für sehr hohe Sicherheitsstufen
Reale und erwartete Angriffsszenarien
Apps, welche im Zusammenhang mit einem Mobile-Device- Management angewandt werden sollenApps für Kommunikation, Geldtransfer, Banking, …
Apps, die mit vertraulichen Daten umgehen
1
2
3
Zu den über 150 Standard-KriterienWeitere 60 Kriterien
Angriffe der App von außenAngriffe der App von innenSocial Engineering
ePrivacyApp HS - High Security PrüfungFür höchste Sicherheitsstufen unsere High Security Prüfung
Weitersenden vertraulicher Daten unbemerkt an
ungewollte Empfänger
Ungenügende Verschlüsselung von Daten auf dem Gerät
Erlangung von persönlichen Daten unbeteiligter Dritter
18
ePrivacy European Seal for your privacy 18
Unsere Expertise Um das höchste Niveau von Know-How und Support für unsere Kunden zu garantieren,haben wir ein Netzwerk von Partnern und Verbänden aufgebaut. Wir stellen sicher, dassdie Diskussionen über den Datenschutz und die Sicherheit der User vorsichtig in Medienund Politik platziert werden. Die Publikationen von ePrivacy werden als Fachartikel vonanerkannten Medien und Organisationen veröffentlicht. Wir sind auch Teilnehmer des EURound Table (Data Protection).
Anerkannt vom ULD Mitglied des IT-Gipfels Mitglied von Verbänden
Prof. Dr. Bauer und Dr. Eickmeier sindanerkannte Sachverständige beimUnabhängigen Landeszentrum fürDatenschutz Schleswig-Holstein (ULD).Deswegen is ePrivacy dazu berechtigt,das ULD-Siegel zu vergeben. Das ULDnimmt die Posit ion staatlicher Kontrolleund eine Beraterfunktion ein.
Der Nationale IT-Gipfel ist die zentralePlattform für die Zusammenarbeit vonPolitik, W irtschaft und Wissenschaft,um den IKT-Standort Deutschland zustärken. ePrivacy is t M itglied derArbeitsgruppe „Mobile Security“ mit IT-Sicherheit von Smartphones und Tabletsals Kernthema.
ePrivacy ist Mitglied etlicher deutscherund internationaler Verbände undOrganisationen mit Fokus aufDatenschutz und Datensicherheit.BVDW, BITKOM, IAB Europe, LB MAsind e in wicht iger Bestandteil derVernetzung und des Austauschs vonSpezialisten.
ePrivacy European Seal for your privacy
ePrivacy Management
Rechtsanwalt und Partner der (IT/IP) Kanzlei UNVERZAGT VON HAVE,Consultant für bekannte Online-Marketing Firmen, Targeting Provider,Media Agenturen, Content Produzenten und Web 2.0 Plattformen.Publikationen zu Privatsphäre und Datenschutz, akkreditierterGutachter beim ULD.
Dr. Frank EickmeierHead of Legal
20 Jahre Erfahrung in der Medienindustrie, CFO und COO bei Bertelsmannund AOL, CFO/COO bei wunderloop. Mitglied mehrerer Gruppen zu denThemen Datensicherheit und Datenschutzes (IAB EU, BVDW, BITKOM, BvD,GDD), mit einer Vielzahl an Publikationen zu Online Behavioral Targeting,Privatsphäre und Datenschutz. Akkreditierter Gutachter beim ULD,zertifizierter Prüfer ISO 27001 / Datensicherheit.
Prof. Dr. Christoph BauerCEO
19
ePrivacy European Seal for your privacy
ePrivacy GmbHGrosse Bleichen 2120354 HamburgGermany
+49 40 6094518-10
Unser Büro befindet in derschönen Hamburger Innenstadt, indirekter Nähe zur Alster. Dienächstgelegene Station heißt„Jungfernstieg“.Sie erreichen uns mit den S-Bahn-Linien S1, S2 und S3 - mit den U-Bahn-Linien U1, U2 und U4 -oder mit zahlreichen Buslinien.
Besuchen Sie uns gerne -
oder rufen Sie uns an
Sie finden uns hier
linkedin.com/company/eprivacy-gmbhEPRIVACY
Die Zeitpläne der Bahnen undBusse finden Sie hier:
www.hvv.de
xing.com/companies/eprivacygmbh
20