Recent searches
Search options
Und los geht es mit unserer BfDI-Technik-Fragestunde: Schreibt uns eure Datenschutz-Technik-Fragen und Fragen zu unserem Labor. Ihr könnt die Fragen direkt unter diesem Beitrag schreiben oder uns taggen mit @bfdi .
Unser Laborteam antwortet mit dem Kürzel "LT". Wir freuen uns auf eure Fragen 
/ ÖA
@bfdi An welchen Projekten arbeitet Ihr aktuell im Labor?
@microbloggertom Wir beschäftigen uns mit Methoden zur Untersuchung von Androids-Apps. /LT
@bfdi Was genau untersucht Ihr an Android-Apps?
@microbloggertom Ein Standardvorgehen ist es, Endpunkte der Kommunikation zu identifizieren, mit einem Man-in-the-Middle-Ansatz Inhalte der Kommunikation anzusehen. All das tun wir in der Regel im Rahmen vorher definierter, klar abgegrenzter "Aktionen", um so anfallende Daten besser mit App-Funktionen korrelieren zu können. /LT
@bfdi mit Welchen Tools
Analysit das @BfDi Metadaten weitergabe in Software
@Sliven Wir arbeiten mit verschiedenen Tools; u.a. nutzen wir Wireshark und Mitmproxy. Zur Instrumentierung verwenden wir Frida zusammen mit eigenen Frida-Skripten. /LT
@bfdi Vielen Dank
Achso, klar, weil es ja andere(im liberaleren Ausland) herstellen ist es erlaubt.
https://de.wikipedia.org/wiki/Vorbereiten_des_Aussp%C3%A4hens_und_Abfangens_von_Daten
Sehr Deutsch das alles.
@jomo @Sliven Manchmal können wir Entwickler dadurch unterstützen, dass wir Support-Lizenzen erwerben. Außerdem lassen unterstützen wir mit Bug-Reports und ab und zu Pull-Requests.
Die Frida-Skripte sind an unser "Frida-Framework" angepasst und allein vielleicht nicht so hilfreich. Aber theoretisch könnten wir sie veröffentlichen. Müssten wir uns überlegen, ob und wie.
Unser Schwerpunkt ist derzeit die dynamische Untersuchung; wir haben aber auch schon statisch analysiert, z.B. mit JADX. /LT
Vielleicht in einem git repo, z.b. auf @Codeberg gehosted.
Auf das UrhG seid ihr leider nicht eingegangen. Laut § 69e darf man nur mit Zustimmung des Rechtsinhabers oder zur Herstellung der Interoperabilität dekompilieren. Gibt es da für euch Ausnahmen oder dürft auch ihr das nicht ohne Zustimmung machen?
@jomo @Sliven @Codeberg Es gibt auch die openCode-Plattform des ZenDiS: https://gitlab.opencode.de/explore
Eine Antwort zum UrhG hat eben das Zeichenlimit verhindert.
Im Rahmen ihrer Aufgaben hat die BfDI weitreichende Kompetenzen. Einzelheiten müssen Juristen erklären. ;) / LT
@bfdi Wann schmeißt der Bund endlich Microsoft-Produkte aus den Behörden?
@christianrickert Diese Frage müssten Sie der @Bundesregierung stellen. / ÖA
@bfdi
Dankeschön! Ihr seid klasse! <3
@Bundesregierung
Ist jetzt die Zeit für digitale Souveränität in Deutschland oder spendet ihr weiterhin Geld und Bürgerdaten an die Trump-Regierung?
@bfdi @christianrickert @Bundesregierung
Die Bundesregierung kann die Frage nicht mal im Ansatz intellektuell erfassen.
@christianrickert
Und oracle und alle, alle anderen....
@reyma85 Wir antworten heute primär Fragen zu unserem Labor. Vielleicht machen wir auch nochmal eine Fragerunde zu allgemeinen datenschutzpolitischen Fragen, aber heute bitten wir darum, bei den Themen unserer Fachleute zu bleiben. / ÖA
@Cathrin_ @reyma85 Erste Ergebnisse haben wir auf unsere Webseite veröffentlicht: https://www.bfdi.bund.de/DE/Buerger/Technische-Anwendungen/Smartwatch/Smartwatch_node.html
/LT
@bfdi Habt ihr Labor-Kittel und falls ja, sind diese als Merchandise erhältlich? 
@Chris Gute Merch-Idee -- oder vielleicht kleine Daten-Reagenzgläser? :)
Kleidervorschriften gibts im Labor nicht. /LT
@bfdi Habt ihr euch mal überlegt ob ihr Livestreams zu interessanten Sachen macht?
@datavizzard Wir wollen in Zukunft insgesamt gerne neue Dinge in der Öffentlichkeitsarbeit machen. Wir halten euch dazu auf dem Laufenden. / ÖA
Als Idee:
Vorstellung der Technik oder Arbeitsweißen.
Auf Peetube zum beispiel.
Mir würde zumindestens das gefallen.
@Sliven @datavizzard Wie gesagt, wir sind da dran. Unsere technik-Fragestunde ist jetzt auch ein erster Versuch, um mal zu schauen, wie das bei euch ankommt. Und wenn wir dann neue Formate entwickeln, bekommt ihr es als erstes mit. Versprochen. 
/ ÖA
@datavizzard Wir hatten schon mal an einen Podcast gedacht. /TL
@bfdi Welche Datenformate helfen euch (und Landesbehörden) am besten bei der Verfolgung von „Cookieverstößen“? Screenshots vom Banner und der gespeicherten lokalen Daten alleine stellen ja nicht den Zeitverlauf der Verarbeitung dar.
Ein Kollege aus Berlin hatte mir mal ein Datenformat dafür genannt, ich finde es aber leider nicht wieder…
Danke für eure Arbeit!
@rhandos Mitschnitte, auch einfach mit den Developertools der Browser erstellt, könnten eine gute Wahl sein. Das Format nennt sich dann HAR. /LT
@bfdi Was passiert mit den Ergebnissen eurer Untersuchungen?
@franz_flint Aufgrund der Zuständigkeit der Länder für viele Produkte können wir öffentlich oft nur allgemeine Hinweise geben. Unsere Ergebnisse können aber auch in die Beratung anderer Bundesbehörden und der Bundesregierung einfließen.
Generell braucht guter Datenschutz Kompetenz auf dem Gebiet der aktuellen Technologien. /LT
@bfdi Wie seht ihr auf die Zusammenarbeit mit der kommenden Regierung, vll im Bezug was seht ihr positiv, was schwierig im Vergleich zur letzten?
@mixal Das lässt sich in der Kürze nicht beantworten. Aber wir haben auf unserer Homepage ja veröffentlicht, was wir der nächsten Regierung empfehlen: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Datenschutzpolitische-Agenda/Datenschutzpolitische-Agenda-21-WP.html / ÖA
@bfdi Könnt ihr vielleicht eine Einschätzung dazu geben, inwieweit die Angaben in den Appstores zum Datenschutz der Apps vertrauenswürdig sind?
@nobs Das haben wir noch nicht systematisch untersucht (auch hier wären wir wahrscheinlich nicht zuständig).
Die Angaben in den Stores sind Eigenerklärungen der Anbieter, die dort im Rahmen des Veröffentlichungsvorgangs Häkchen setzen.
Wichtiger ist es, die tatsächlichen Datenschutzerklärungen zu lesen. /LT
@bfdi könnt ihr hierzu was sagen?
@felix_eckhardt Das ist eher eine datenschutzpolitische Frage, die auch deutlich über unseren Bereich hinausgeht. Für heute würden wir gerne vor allen Dingen bei Fragen rund um unser Datenschutz-Labor bleiben. / ÖA
@bfdi Danke für die Rückmeldung. Ich finde Eure Aktion übrigens echt klasse 
@bfdi Wie wollt ihr verhindern das die neue Regierung die personenbezogenen Daten der Menschen im öffentlichen Raum (Biometrie) ungefiltert an Schlangensaftverkäufer wie Palantir übermittelt.
@srsh Wir beraten die Bundesbehörden natürlich bei allen Projekten und unsere Kolleginnen und Kollegen aus der Abteilung 3 schauen ihnen auch bei Kontrollen regelmäßig auf die Finger. / ÖA
@bfdi
Könnt ihr Bücher oder Dokumentationen (am Liebsten in Englisch) empfehlen, die erklären, wie eine forensische Analyse eines mobilen Geräts durchgeführt wird?
@w00p Gerne. @kuketz hat einen interessanten Artikel geschrieben: https://www.kuketz-blog.de/in-den-datenstrom-eintauchen-ein-werkzeugkasten-fuer-analysten-von-android-apps/
Auch wir haben einen Artikel veröffentlichen (https://rdcu.be/d1sDC ) und arbeiten an weitere technischen Publikationen.
Auf Englisch könnten man einen Blick auf PiRogue tool suite (PTS) (https://pts-project.org/) werfen. /LT
@bfdi Beeinflussen die aktuellen politischen Veränderungen in den USA Eure Arbeit? Oder sind Projekte so langfristig angelegt, dass Ihr darauf keine Rücksicht nehmen könnt?
@aerofreak Wir schauen natürlich durchaus mit Sorge auf das, was in den USA passiert. Aber erstmal hat sich an unserer täglichen Arbeit nichts geändert. Wir schauen uns das natürlich durchgehend an. / ÖA
@bfdi Danke. Ich find's super, dass Ihr das hier macht. Abgesehen von Eurer Arbeit generell!
@aerofreak Danke. Wir freuen uns natürlich immer über positives Feedback 
/ ÖA
@bfdi Wie Forschungsnah operiert euer Labor?
Mitm-Traffic-Analye von Android Apps machen wir z.B. im akademischen Kontext auch viel :)
@maltee Aktuell forschen wir nicht 
aber wir sind an einem Austausch durchaus interessiert /LT
@dirkblank Wir fangen damit an, uns mit den Kolleginnen und Kollegen der Datenschutzaufsichtsbehörden der Länder zu vernetzten und über Untersuchungsmethoden auszutauschen. BfDI hat die ersten beiden Treffen veranstaltet. Die informellen Treffen finden ca. zwei mal im Jahr statt. /LT
Danke! Auch für eure Arbeit!