Zum Inhalt der Seite gehen
Und los geht es mit unserer BfDI-Technik-Fragestunde: Schreibt uns eure Datenschutz-Technik-Fragen und Fragen zu unserem Labor. Ihr könnt die Fragen direkt unter diesem Beitrag schreiben oder uns taggen mit @bfdi .

Unser Laborteam antwortet mit dem Kürzel "LT". Wir freuen uns auf eure Fragen 😊 / ÖA
Auf dem Bild sind zwei Mitarbeitenden des Labors zu sehen, die die Fragen beantworten.
@BfDI

2 Personen haben dies geteilt

microbloggertom
An welchen Projekten arbeitet Ihr aktuell im Labor?
BfDI
Wir beschäftigen uns mit Methoden zur Untersuchung von Androids-Apps. /LT
Dieser Beitrag wurde bearbeitet. (6 Tage her)
microbloggertom
Was genau untersucht Ihr an Android-Apps?
BfDI
Ein Standardvorgehen ist es, Endpunkte der Kommunikation zu identifizieren, mit einem Man-in-the-Middle-Ansatz Inhalte der Kommunikation anzusehen. All das tun wir in der Regel im Rahmen vorher definierter, klar abgegrenzter "Aktionen", um so anfallende Daten besser mit App-Funktionen korrelieren zu können. /LT
Dieser Beitrag wurde bearbeitet. (6 Tage her)
Sliven
mit Welchen Tools
Analysit das @BfDi Metadaten weitergabe in Software
Dieser Beitrag wurde bearbeitet. (6 Tage her)
BfDI
Wir arbeiten mit verschiedenen Tools; u.a. nutzen wir Wireshark und Mitmproxy. Zur Instrumentierung verwenden wir Frida zusammen mit eigenen Frida-Skripten. /LT
Sliven
Vielen Dank
CapitalB
Das sind ja eigentlich Hackertools. Arbeitet ihr für die Abachaffung aller Werkzeugverbote?
BfDI
Wir setzen ausschließlich Open-Source-Produkte ein und zusätzlich spezielle Eigenentwicklungen. /LT
Dieser Beitrag wurde bearbeitet. (6 Tage her)
CapitalB
Achso, klar, weil es ja andere(im liberaleren Ausland) herstellen ist es erlaubt.

https://de.wikipedia.org/wiki/Vorbereiten_des_Aussp%C3%A4hens_und_Abfangens_von_Daten

Sehr Deutsch das alles.
jomo
1) [wie] unterstützt ihr die Entwickler der verwendeten Open Source Software?

2) könnt ihr eure Frida-Skripte veröffentlichen? Die sind sicherlich auch für andere interessant.

3) verwendet ihr auch decompiler und wenn ja, welche? Steht das UrhG euch dabei im Weg?
BfDI
Manchmal können wir Entwickler dadurch unterstützen, dass wir Support-Lizenzen erwerben. Außerdem lassen unterstützen wir mit Bug-Reports und ab und zu Pull-Requests.

Die Frida-Skripte sind an unser "Frida-Framework" angepasst und allein vielleicht nicht so hilfreich. Aber theoretisch könnten wir sie veröffentlichen. Müssten wir uns überlegen, ob und wie.

Unser Schwerpunkt ist derzeit die dynamische Untersuchung; wir haben aber auch schon statisch analysiert, z.B. mit JADX. /LT
Dieser Beitrag wurde bearbeitet. (6 Tage her)
jomo
danke!

Vielleicht in einem git repo, z.b. auf @Codeberg gehosted.

Auf das UrhG seid ihr leider nicht eingegangen. Laut § 69e darf man nur mit Zustimmung des Rechtsinhabers oder zur Herstellung der Interoperabilität dekompilieren. Gibt es da für euch Ausnahmen oder dürft auch ihr das nicht ohne Zustimmung machen?
@Codeberg.org
BfDI
Es gibt auch die openCode-Plattform des ZenDiS: https://gitlab.opencode.de/explore

Eine Antwort zum UrhG hat eben das Zeichenlimit verhindert.

Im Rahmen ihrer Aufgaben hat die BfDI weitreichende Kompetenzen. Einzelheiten müssen Juristen erklären. ;) / LT

Explore projects · GitLab

GitLab Enterprise Edition
GitLab
Dieser Beitrag wurde bearbeitet. (6 Tage her)
Christian Rickert
Wann schmeißt der Bund endlich Microsoft-Produkte aus den Behörden?
BfDI
Diese Frage müssten Sie der @Bundesregierung stellen. / ÖA
@Bundesregierung
Christian Rickert
Dankeschön! Ihr seid klasse! <3

@Bundesregierung
Ist jetzt die Zeit für digitale Souveränität in Deutschland oder spendet ihr weiterhin Geld und Bürgerdaten an die Trump-Regierung?
@Bundesregierung
Björn-Lars Kuhn ☠️
Die Bundesregierung kann die Frage nicht mal im Ansatz intellektuell erfassen.
Martin R
Sieht der #BfDI Abhängigkeit von Techkonzernen als Bedrohung für den Datenschutz und falls ja, wie wird dem entgegengewirkt?

*Edit, weil falsch formuliert.
#bfdi
Dieser Beitrag wurde bearbeitet. (6 Tage her)
BfDI
Wir antworten heute primär Fragen zu unserem Labor. Vielleicht machen wir auch nochmal eine Fragerunde zu allgemeinen datenschutzpolitischen Fragen, aber heute bitten wir darum, bei den Themen unserer Fachleute zu bleiben. / ÖA
Imagine
Wäre es möglich (oder gibt es das schon) eine Analyse von Apps und Bewertung rauszubringen ähnlich exodus privacy?
BfDI
Erste Ergebnisse haben wir auf unsere Webseite veröffentlicht: https://www.bfdi.bund.de/DE/Buerger/Technische-Anwendungen/Smartwatch/Smartwatch_node.html
/LT
Chris 4630
Habt ihr Labor-Kittel und falls ja, sind diese als Merchandise erhältlich? 🤩
BfDI
Gute Merch-Idee -- oder vielleicht kleine Daten-Reagenzgläser? :)

Kleidervorschriften gibts im Labor nicht. /LT
Datavizzard
Habt ihr euch mal überlegt ob ihr Livestreams zu interessanten Sachen macht?
BfDI
Wir wollen in Zukunft insgesamt gerne neue Dinge in der Öffentlichkeitsarbeit machen. Wir halten euch dazu auf dem Laufenden. / ÖA
Sliven
Als Idee:
Vorstellung der Technik oder Arbeitsweißen.
Auf Peetube zum beispiel.

Mir würde zumindestens das gefallen.
BfDI
Wie gesagt, wir sind da dran. Unsere technik-Fragestunde ist jetzt auch ein erster Versuch, um mal zu schauen, wie das bei euch ankommt. Und wenn wir dann neue Formate entwickeln, bekommt ihr es als erstes mit. Versprochen. 🙂 / ÖA
BfDI
Wir hatten schon mal an einen Podcast gedacht. /TL
Rhandos
Welche Datenformate helfen euch (und Landesbehörden) am besten bei der Verfolgung von „Cookieverstößen“? Screenshots vom Banner und der gespeicherten lokalen Daten alleine stellen ja nicht den Zeitverlauf der Verarbeitung dar.

Ein Kollege aus Berlin hatte mir mal ein Datenformat dafür genannt, ich finde es aber leider nicht wieder…

Danke für eure Arbeit!
BfDI
Mitschnitte, auch einfach mit den Developertools der Browser erstellt, könnten eine gute Wahl sein. Das Format nennt sich dann HAR. /LT
Dieser Beitrag wurde bearbeitet. (6 Tage her)
franz_flint
Was passiert mit den Ergebnissen eurer Untersuchungen?
BfDI
Aufgrund der Zuständigkeit der Länder für viele Produkte können wir öffentlich oft nur allgemeine Hinweise geben. Unsere Ergebnisse können aber auch in die Beratung anderer Bundesbehörden und der Bundesregierung einfließen.
Generell braucht guter Datenschutz Kompetenz auf dem Gebiet der aktuellen Technologien. /LT
Dieser Beitrag wurde bearbeitet. (6 Tage her)
Michael
Wie seht ihr auf die Zusammenarbeit mit der kommenden Regierung, vll im Bezug was seht ihr positiv, was schwierig im Vergleich zur letzten?
BfDI
Das lässt sich in der Kürze nicht beantworten. Aber wir haben auf unserer Homepage ja veröffentlicht, was wir der nächsten Regierung empfehlen: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Datenschutzpolitische-Agenda/Datenschutzpolitische-Agenda-21-WP.html / ÖA
nobs
Könnt ihr vielleicht eine Einschätzung dazu geben, inwieweit die Angaben in den Appstores zum Datenschutz der Apps vertrauenswürdig sind?
BfDI
Das haben wir noch nicht systematisch untersucht (auch hier wären wir wahrscheinlich nicht zuständig).
Die Angaben in den Stores sind Eigenerklärungen der Anbieter, die dort im Rahmen des Veröffentlichungsvorgangs Häkchen setzen.
Wichtiger ist es, die tatsächlichen Datenschutzerklärungen zu lesen. /LT
Dieser Beitrag wurde bearbeitet. (6 Tage her)
Felix Eckhardt
könnt ihr hierzu was sagen?

https://det.social/@felix_eckhardt/114196641101690781

Felix Eckhardt (@felix_eckhardt@det.social)

@bfdi@social.bund.de die technische Basis für viele security Tools und auch andere Informationen liegt in den USA, bei Organisationen, wie Mitre, NIST oder CISA.
det.social
BfDI
Das ist eher eine datenschutzpolitische Frage, die auch deutlich über unseren Bereich hinausgeht. Für heute würden wir gerne vor allen Dingen bei Fragen rund um unser Datenschutz-Labor bleiben. / ÖA
Felix Eckhardt
Danke für die Rückmeldung. Ich finde Eure Aktion übrigens echt klasse 👍
srsh
Wie wollt ihr verhindern das die neue Regierung die personenbezogenen Daten der Menschen im öffentlichen Raum (Biometrie) ungefiltert an Schlangensaftverkäufer wie Palantir übermittelt.
Dieser Beitrag wurde bearbeitet. (6 Tage her)
BfDI
Wir beraten die Bundesbehörden natürlich bei allen Projekten und unsere Kolleginnen und Kollegen aus der Abteilung 3 schauen ihnen auch bei Kontrollen regelmäßig auf die Finger. / ÖA
w00p
Könnt ihr Bücher oder Dokumentationen (am Liebsten in Englisch) empfehlen, die erklären, wie eine forensische Analyse eines mobilen Geräts durchgeführt wird?
BfDI
Gerne. @kuketz hat einen interessanten Artikel geschrieben: https://www.kuketz-blog.de/in-den-datenstrom-eintauchen-ein-werkzeugkasten-fuer-analysten-von-android-apps/
Auch wir haben einen Artikel veröffentlichen (https://rdcu.be/d1sDC ) und arbeiten an weitere technischen Publikationen.
Auf Englisch könnten man einen Blick auf PiRogue tool suite (PTS) (https://pts-project.org/) werfen. /LT

In den Datenstrom eintauchen: Ein Werkzeugkasten für Analysten von Android-Apps

Der Beitrag stellt die Vorbereitung des Testgeräts sowie Werkzeuge (Frida, Magisk) zur Analyse des Datensendeverhaltens von Apps vor.
www.kuketz-blog.de
@kuketz
w00p
@kuketz Cool, danke ! :)
@kuketz
Aerofreak | DE/EN
Beeinflussen die aktuellen politischen Veränderungen in den USA Eure Arbeit? Oder sind Projekte so langfristig angelegt, dass Ihr darauf keine Rücksicht nehmen könnt?
BfDI
Wir schauen natürlich durchaus mit Sorge auf das, was in den USA passiert. Aber erstmal hat sich an unserer täglichen Arbeit nichts geändert. Wir schauen uns das natürlich durchgehend an. / ÖA
Aerofreak | DE/EN
Danke. Ich find's super, dass Ihr das hier macht. Abgesehen von Eurer Arbeit generell!
BfDI
Danke. Wir freuen uns natürlich immer über positives Feedback 🤗 / ÖA
Malte
Wie Forschungsnah operiert euer Labor?

Mitm-Traffic-Analye von Android Apps machen wir z.B. im akademischen Kontext auch viel :)
BfDI
Aktuell forschen wir nicht 😉 aber wir sind an einem Austausch durchaus interessiert /LT
Dirk Blank :nonazis: 🇩🇪
Arbeitet ihr mit oder teilt ihr eure Ergebnisse auch mit anderen EU Staaten oder mit der #EU ? Gibt es vergleichbare Labore auf #EU Ebene?
#eu
BfDI
Wir fangen damit an, uns mit den Kolleginnen und Kollegen der Datenschutzaufsichtsbehörden der Länder zu vernetzten und über Untersuchungsmethoden auszutauschen. BfDI hat die ersten beiden Treffen veranstaltet. Die informellen Treffen finden ca. zwei mal im Jahr statt. /LT
Dirk Blank :nonazis: 🇩🇪
Danke! Auch für eure Arbeit!👍
Mel S.
Vielleicht mal eine Laienfrage: Wie würdet Ihr Euren (Groß-)Eltern erklären, was Ihr beruflich macht? 🙂
BfDI
Wir versuchen, Technologien zu verstehen, um mit dem gewonnenen Wissen beizutragen, dass die Menschen nicht zu gläsernen Bürgern werden, sondern Souveränität über ihre personenbezogenen Daten behalten.

Und es macht richtig Spaß! :)
/LT
Dieser Beitrag wurde bearbeitet. (6 Tage her)
BfDI
Tolle Frage. Wir verfolgen, analysieren und verstehen technische Entwicklungen und deren Auswirkungen auf dem Datenschutz. Auf jeden Fall macht es uns Spaß /LT
Dieser Beitrag wurde bearbeitet. (6 Tage her)
C.Suthorn :prn:
Ich stelle eine DSGVO-Anfrage per Email an die Adresse, von der ich 5 minuten zuvor eine Email erhalten habe. Der Mailserver der domain von der emailadresse antwortet, es gebe die Email-Adresse nicht. Auch später erhalte ich emails von der "inexistenten" adresse. Gilt dis dsgvo-anfrage als zugestellt oder können dsgvo-anfragen verhindert werden, indem die annahme vetweigert wird?
Karsten
ich lese nur mit und finds klasse was Ihr macht und wie Ihr Einblicke gebt.
Welche Android-Apps konkret schaut Ihr Euch an? Und wer ist /TL?
/ÖA und /LT sind ja klar. 😉
BfDI
TL ist ein Tippfehler 😆 / ÖA
Kadettin
wird ggf. ein offizielles Testwerkzeug für Websites in Betracht gezogen, mit der Konformität offiziell überprüfen kann um wenigstens halbwegs sicher zu sein, keine Fehler gemacht zu haben? Um z.B. den Datenschutzgelderpressern (nicht die Datenschützer, die Abkassierer) Das würde dem Datenschutz vllt. zu mehr positiver Resonanz verhelfen, wenn die Angst aus dem Thema raus wäre.
Lars Bartsch
Tolle Aktion🫠