Effektive Information nach digitalem Identitätsdiebstahl

Aktuelles

20. Juli 2018

Neue Veröffentlichungen
Während dieses Jahres sind einige Beiträge mit Bezug zu dem Projekt veröffentlicht worden. Es wurde darüber berichtet, wie Identitätsdaten für einen solchen geplanten Dienst gesammelt und verarbeitet werden können. Auch die Auswertung dieser Daten wurde untersucht. Genauso wurde aber auch über die juristischen und datenschutzrechtlichen Aspekte eines solchen geplanten Dienstes berichtet.

21. Sep. 2017

EIDI auf der Sommerakademie des ULD
Das Projekt EIDI präsentierte sich im Rahmen der Sommerakademie des ULD. Die Infobörse „Neues aus der Datenschutzforschung – Datenpannen, Transparenz, Dopingkontrolle“ stellte dem interessierten Fachpublikum unter anderem den Forschungsansatz sowie erste Erkenntnisse aus der bisherigen Arbeit von EIDI vor. Die Notwendigkeit von Transparenz im Umgang mit Datenpannen für den Betroffenen wurde in diesem Zusammenhang besonders hervorgehoben.

1. März 2017

Abschlussarbeiten der Uni Bonn
Die Arbeitsgruppe IT-Sicherheit der Abteilung Informatik IV der Rheinischen Friedrich-Wilhelms-Universität Bonn bietet Abschlussarbeiten aus dem Gebiet des Identitätsdiebstahls an.

Überblick

Motivation

Digitale Identitätsdaten, Konto- oder Kreditkarteninformationen sowie E-Mail-Adressen und Passwörter werden in großen Mengen von (Cyber-) Kriminellen gesammelt. In den meisten Fällen bemerken betroffene Personen nicht einmal, dass sie Opfer einer Straftat geworden sind. Je nach krimineller Aktivität erfahren sie erst sehr viel später davon, dass sich die Täter unter Verwendung ihrer persönlichen Daten bereichert haben. Strafverfolgungsbehörden und IT-Sicherheitsforscher finden bei der Aufklärung von IT-Sicherheitsvorfällen und der Analyse von Schadsoftware häufig umfangreiche Sammlungen von Identitätsdaten, die Kriminelle angelegt haben. Bisher gibt es keine erprobte oder standardisierte Methode mit der Opfer zuverlässig und proaktiv über den Missbrauch ihrer Daten informiert werden können. Reaktive Systeme, wie z. B. der BSI-Sicherheitstest wurden zwar gut angenommen, setzen aber das Interesse und die Aktivität eines jeden Einzelnen voraus.

Ziele und Vorgehen

Eine angemessene, proaktive Benachrichtigung und effektive Warnung betroffener Personen nach der Identifikation ist das Kernziel dieses Projekts. Das erfordert zunächst eine technische Komponente, um die illegal angelegten Identitätsdaten-Sammlungen auf Aktualität und Validität überprüfen zu können. Dies geschieht durch die Erforschung technischer Verfahren, die Sensordaten analysieren, fusionieren und korrelieren können. Im Anschluss müssen die Betroffenen informiert werden. Die Herausforderung besteht hier zum einen in einer verständlichen Warnung, die es dem Empfänger ermöglicht, die Art des Missbrauchs seiner Daten zu verstehen und notwendige Schritte einzuleiten. Gleichzeitig dürfen solche Warnungen nicht zu häufig vorkommen, damit die nötige Aufmerksamkeit erhalten bleibt. Ein dritter, wesentlicher Punkt ist die Rechtssicherheit solcher Warn- und Überprüfungssysteme. Die juristischen Partner im Projekt analysieren darum im Anschluss die Vereinbarkeit der Prozesse mit den rechtlichen Rahmenbedingungen und ihre Konformität mit den strengen Vorgaben des Datenschutzrechts der Bundesrepublik Deutschland.

Innovation und Perspektive

Es ist denkbar, dass die Warnung der Opfer digitaler Identitätsdiebstähle im Rahmen des öffentlichen Auftrags einer Behörde durchgeführt werden kann. Dafür ist aber auch zukünftig die Kooperation mit Identitätsdaten-Providern, wie Banken oder sozialen Netzwerken, notwendig. Nur so können die illegalen Datensammlungen zuverlässig bewertet werden und Betroffene über den Identitätsdiebstahl informiert werden – noch bevor ein Schaden entstanden ist. Allein in der deutschen Wirtschaft verursacht Computerkriminalität jährlich Schäden von mehr als 10 Milliarden Euro. Eine Absicherung der IT-Systeme gegen Cyberangriffe und Cyberspionage ist daher für die Wirtschaft und Gesellschaft entscheidend, um die Fortschritte und Chancen der Digitalisierung nutzen zu können. In den geförderten Vorhaben werden Verfahren erforscht, die auf der einen Seite mit innovativen forensischen Aufklärungsmethoden Angriffsszenarien untersuchen und verstehen. Auf der anderen Seite werden mit diesen Erkenntnissen neue Möglichkeiten geschaffen, wie solche Angriffe schon im Vorfeld und in Echtzeit erkannt und verhindert werden können.



Partner

Leibnitz-Institut für Informationsinfrastruktur GmbH, Karlsruhe

Universität Duisburg-Essen – Fachgebiet Allgemeine Psychologie: Kognition, Duisburg

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel

Rheinische Friedrich-Wilhelms-Universität Bonn: Institut für Informatik – AG IT-Sicherheit

XING SE, Hamburg

publikationen

Datenkrake Leak-Checker - Lösung in Sicht?

Susan Gonscherowski, Oliver Vettermann, Matthias Wübbeling, Timo Malderle

In: Bruno Baeriswyl, Beat Rudin, Bernhard M. Hämmerli, Rainer J. Schweizer, Günter Karjoth, David Vasella (Hrsg.), digma (Zeitschrift für Datenrecht und Datensicherheit). Zürich, Switzerland, 60-64, 2018.

Gathering and Analyzing Identity Leaks for a proactive Warning of affected Users (Short Paper)

Timo Malderle, Matthias Wübbeling, Sven Knauer, Arnold Sykosch, Michael Meier

In Proceedings of the ACM International Conference on Computing Frontiers (CF '16). ACM, New York, NY, USA, 2018.

Ein Werkzeug zur automatisierten Analyse von Identitätsdaten-Leaks

Timo Malderle, Matthias Wübbeling, Sven Knauer, Michael Meier

In: Langweg, H., Meier, M., Witt, B. C. & Reinhardt, D. (Hrsg.), SICHERHEIT 2018. Bonn: Gesellschaft für Informatik e.V.. (S. 43-54), 2018.

Forschungsprojekt zum digitalen Identitätsdiebstahl (research in progress)

Oliver Vettermann, Fabian Rack and Susan Gonscherowski

In: Paul Drews, Burkhardt Funk, Peter Niemeyer und Lin Xie (Hrsg.), Multikonferenz Wirtschaftsinformatik (MKWI) 2018. Lüneburg: Leuphana Universität Lüneburg, 2018.

Sammlung geleakter Identitätsdaten zur Vorbereitung proaktiver Opfer-Warnung

Timo Malderle, Matthias Wübbeling, Michael Meier

In: Paul Drews, Burkhardt Funk, Peter Niemeyer und Lin Xie (Hrsg.), Multikonferenz Wirtschaftsinformatik (MKWI) 2018. Lüneburg: Leuphana Universität Lüneburg, 2018.

Effektive Information von Betroffenen nach einem Identitästsdiebstahl - EIDI

Timo Malderle

Poster

details