TOM, (OSINT)

Question 1

Privacy Enhancing Technologies (PETs) =

Answer 1

Technologien die Datenverarbeitung nach maximalen Datenschutz verarbeiten, ohne Zweck der Datenbearbeitung übermässig einzuschränken.

Question 2

Ziel von PETs

Answer 2

• Gesetzliche Vorgaben wie Datensparsamkeit technisch unterstützen
• Zweckbindung und Transparenz gewährleisten
• Vertraulichkeit sicherstellen
• Risiken für betroffene Personen minimieren

Question 3

Warum PETs?

Answer 3

Datenschutzgesetze (DSG, DSGVO) verlangen technische und organisatorische Massnahmen (TOM)

Question 4

Entstehung der Datenschutz-Risiken:

Answer 4

• nicht aus “klassischen Hacks”
• sondern durch problematische Datenverarbeitung

Question 5

Grundsatz von PETs

Answer 5

Risiken auf technischer Ebene bereits bei Design vermindern

Question 6

Typische Risiken ohn PETs:

Answer 6

• Re-Identifkation in anonymisierten Daten
• Profilbildung durch Tracking
• Datenabfluss an Dritte bei Cloud-Speicherung

Question 7

PETs Kategorien

Answer 7

• Datenminimierung und Maskierung
• Kontrolle und Transparenz
• Anonyme Nutzung

Question 8

Datenminimierung und Maskierung =

Answer 8

so früh wie möglich anonymisieren und pseudonymisieren
Bsp: Logging ohne IP-Adresse, nur mit Hashes (schützt vor Manipulation)

Question 9

Kontrolle und Transparenz =

Answer 9

Privacy Dashboards der Daten und Zwecke für Nutzer
Bsp: Google «My Activity», Consent-Management-Systeme

Question 10

Anonyme Nutzung =

Answer 10

Technische Verfahren für anonyme Kommunikation und Nutzung
Bsp: TOR/Onion Routing für anonymes Surfen, Mix-Nets für anonyme Kommunikation

Question 11

Geeignete PETs

Answer 11

• Differential Privacy
• Geo-Fencing / Blacklisting
• Thresholding

Question 12

Differential Privacy =

Answer 12

statistisches Rauschen verhindert Rückschluss auf einzelne Wege.

Question 13

Geo-Fencing / Blacklisting =

Answer 13

Bereiche mit hohem Risiko (Krankenhäuser, Wohnviertel) werden von Auswertung ausgeschlossen. Wird nicht in öffentlichen Berichten gezeigt

Question 14

Thresholding =

Answer 14

Schwelle ab wann es publiziert werden darf. Bspw. Strassenmessung 50 Autos/Tag

Question 15

DSGVO Art. 32 und DSG Art. 8 Abs. 1 Grundsatz:

Answer 15

Personendaten müssen durch angemessene technische und organisatorische Massnahmen (TOM) gegen unbefugte Bearbeitung geschützt werden.

Question 16

Organisatorische Massnahmen:

Answer 16

• Schulungen & Awareness-Programme
• Rollen und Verantwortlichkeiten definieren
• Notfallpläne und 24/7 Incident Response
• Compliance-Management
• Strenge Zutrittskontrollen

Question 17

Technische Massnahmen

Answer 17

• End-to-End Verschlüsselung
• Zugriffskontrollen und Protokollierung
• Pseudonymisierung und Anonymisierung
• Sichere Datenarchitekturen

Question 18

TOMs:

Answer 18

• Zutrittskontrolle (Physischer Schutz)
• Zugangskontrolle (Authentifzierung, Passwortschutz, 2FA)
• Zugriffskontrolle (RBAC)
• Weitergabekontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeitskontrolle
• Gebot der Datentrennung (unterschiedliche Zwecke, werden getrennt verarbeitet)

Question 19

Zuganskontrolle und Sicherheit

Answer 19

• Zugangskontrolle
• Verschlüsselung und Übertragung
• Dokumentation und Nachverfolgung

Question 20

Verfügbarkeit und Sicherheit

Answer 20

• Verfügbarkeitskontrolle und Belastbarkeit
• Network Security
• Privacy by Design/Default
• Monitoring und response

Question 21

Internationale Zertifizierungen

Answer 21

• ISO/IEC 27001 – Informationssicherheits-Management
• ISO/IEC 27701 – Privacy Information Management
• SOC 1, SOC 2, SOC 3 – Service Organization Controls
• C5 (BSI) – Cloud Computing Compliance

Question 22

Privacy by Design =

Answer 22

Rahmenkonzept, das die Integration von Datenschutzaspekten in die Gestaltung und Entwicklung von Produkten, Dienstleistungen und Systemen fördert

Question 23

Privacy by Design umfasst

Answer 23

• Proaktive Massnahmen, um Datenschutzmassnahmen von Anfang an die Architektur dieser Entitäten einzubetten.
• Datenschutzeinstellungen standardmässig auf datenschutzfreundlichste Option

Question 24

Privacy by Design soll Einzelpersonen…

Answer 24

standardmässig schützen. Weniger datenschutzfreundliche Einstellungen müssen aktiv gewählt werden.

Question 25

DSGVO Artikel 25: Datenschutz durch Technikgestaltung --> Grundsatz...

Answer 25

Grundsatz der Datenvermeidung und Datensparsamkeit

Question 26

Datenvermeidung und Datensparsamkeit (DSGVO Art. 25)

Answer 26

- Datenminimierung – Verarbeitung personenbezogener Daten minimieren - Pseudonymisierung – Personenbezogene Daten möglichst schnell pseudonymisieren - Transparenz – Transparenz bezüglich Funktionen und Verarbeitung personenbezogener Daten - Überwachung – Ermöglichung für betroffene Daten zu überwachen - Sicherheitsfunktionen – Verwantwortliche sollen Sicherheitsfunktionen schaffen und verbessern

Question 27

DSG Artikel 7: Privacy by Design Grundsatz:

Answer 27

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Question 28

DSG Artikel 7: Privacy by Design Absätze

Answer 28

Absatz 1: Verpflichtung zur Ausgestaltung --> Verantwortliche müssen TOMs nach Datenschutzvorschriften einhalten bei Datenbearbeitung Absatz 2: Angemessenheit der Massnahmen --> Angemessenheit der TOMs, Stand der Technik Absatz 3: Datenschutzfreundliche Voreinstellungen --> geeignete Voreinstellungen nach Verwendungszweck nötiges Mindestmass

Question 29

Open Source Tool with Privacy by Desgin

Answer 29

Databunker

Question 29

Privacy by Design - Technische Umsetzung

Answer 29

- Anonymity ** Onion Routing (TOR) ** Anonymous Credential (Zero-knowledge Proofs) ** Anonymisierung (k-Anonymität, l-Diversität) - Privacy preserving Computations ** Search over encrypted Data (keyword, order-preserving) ** Homomorphic Encryption ** Secure Multi-party Computation - Privacy Policies ** Private information Retrieval (PIR) ** Differential Privacy Policy-based Access Control

Question 30

OSINT =

Answer 30

Open Source Intelligence

Question 31

SOCMINT =

Answer 31

Social media Intelligence

Question 32

SIGINT =

Answer 32

Signal Intelligence (bspw. abhören)

Question 33

HUMINT =

Answer 33

Human Intelligence (Mensch als Quelle, gefährlich für diese Mensche die etwas verraten)

Question 34

IMINT =

Answer 34

Imagery Intelligence (Satelliten-Bilder von offenen und geschlossenen Quellen)

Question 35

OSINT und SOCINT wird betrieben von:

Answer 35

- Nachrichtendiensten - Strafverfolgung - Personalgewinnung - Journalismus

Question 36

Staatliche Sichten:

Answer 36

- Strafverfolgung (Ereignisse in der Vergangenheit aufklären) - Gefahrenabwehr (zukünftige Ereignisse verhindern bspw. Terrorismus) - Extremismus-Monitoring (häufig durch Nachrichtendiesnte) - Desinformations-Monitoring --> KI macht es immer schlimmer und schwieriger

Question 37

Was sind die bösen Seiten?

Answer 37

- Cyber-Kriminalität - Organisierte Kriminalität - Cyber Grooming (Nachstellung von Kindern) - Extremistische Gruppen - Autoritäre Regime

Question 38

Beispiel Quellen für SOCINT:

Answer 38

- Snapchat als Heatmap --> Explosion von Beirut aus diversen Winkeln - Strava --> Routen bspw. von Soldaten oder auch Personenschützer

Question 39

"Spielregeln" in der Arbeit mit OSINT

Answer 39

- Zureichende Gründe für die Recherche - Integrität der Motive - Verhältnismässigkeit und Nachvollziehbarkeit der Methoden - Äussere Kontrolle der Ergebnisse - Überwindung der Privatheitsschranken als Ultima Ratio

Question 40

Intelligence-Cycle:

Answer 40

1. Planung (Informationsbedarf, Grad der Recherche, Quellen) 2. Recherche 3. Analyse 4. Schlussfolgerung

Question 41

Tool bzw Automatisierung ersetzt nicht:

Answer 41

- Fragestellung bzw. Zielsetzung - Das logische Denken des Analysten - Nachvollziehbarkeit und händische Reproduktion der Ergebnisse - Rechtliche Voraussetzungen - Überprüfung der Authenzität der Eregebnisse

Question 42

Gibt es oft klare Hinweise im Internet auf mögliche bevorstehende Daten?

Answer 42

"Leaking Behavior" 71% offline 29% online Mobiliserung 4-7% online Klare Hinweise sind im Internet of NICHT sichtbar