Wie der Permission Policy Header beim Datenschutz hilft

Urprünglich war dieser Header als Feature Policy Header bekannt und wurde im März 2020 in Permission Policy umbenannt. Der “permission-policy”-Header ermöglicht die Steuerung verschiedener Funktionen (Features) und APIs in einer Webanwendung und auch aller eingebetteter Seiten. Ein Webseiten Betreiber kann über diesen entscheiden, mit Hilfe welcher Sensoren ein User getrackt werden kann. Dieser Header stellt somit eine wichtige Eingriffsmöglichkeit für Datenschutz By Default dar.

Hier sind einige Beispiele für Features, die mit diesem Header gesteuert werden können:

  1. Geolocation: Ermöglicht den Zugriff auf die Geolokalisierungsfunktionen des Geräts, um den Standort des Benutzers zu bestimmen.Beispiel: Permission-Policy: geolocation 'self'
  2. Kamera und Mikrofon: Steuert den Zugriff auf die Kamera und das Mikrofon des Geräts für WebRTC-Anwendungen und Video-/Audioaufnahmen.Beispiel: Permission-Policy: camera 'self'; microphone 'none'
  3. Gyroskop, Beschleunigungssensor, Magnetometer: Erlaubt oder blockiert den Zugriff auf diese Sensoren des Geräts.Beispiel: Permission-Policy: gyroscope 'self'
  4. Fullscreen: Steuert, ob die Webseite den Vollbildmodus aktivieren kann.Beispiel: Permission-Policy: fullscreen 'self'
  5. Autoplay für Videos und Audiodateien: Erlaubt oder blockiert das automatische Abspielen von Multimedia-Inhalten.Beispiel: Permission-Policy: autoplay 'none'
  6. Payment Request API: Kontrolliert die Verwendung der Zahlungsfunktionalität für Online-Zahlungen.Beispiel: Permission-Policy: payment 'self'
  7. Eingabeaufforderungen (Prompts): Ermöglicht das Anzeigen von Benutzerdialogen wie “Bestätigen Sie die Standortfreigabe” oder “Erlauben Sie Benachrichtigungen”.Beispiel: Permission-Policy: sync-xhr 'self'
  8. Sync XHR: Steuert die Synchronisierung von XMLHttpRequests (XHR) in einem Service Worker.Beispiel: Permission-Policy: sync-xhr 'self'
  9. Picture-in-Picture (PiP): Kontrolliert die Nutzung des PiP-Modus für Videos.Beispiel: Permission-Policy: picture-in-picture 'self'
  10. VR und AR: Steuert den Zugriff auf Virtual Reality (VR) und Augmented Reality (AR)-Funktionen.Beispiel: Permission-Policy: vr 'self'

Diese sind nur einige Beispiele, und es gibt noch weitere Funktionen und APIs, die durch den “feature-policy”-Header gesteuert werden können. Webentwickler können dieses Header-Attribut verwenden, um die Sicherheit und das Datenschutzniveau ihrer Webanwendungen zu erhöhen, indem sie den Zugriff auf bestimmte Funktionen auf vertrauenswürdige Domains beschränken.

Related Posts

Verzeichnis der technisch-organisatorischen Maßnahmen (TOM)

Ein wichtiger Aspekt der DSGVO sind die Technisch-Organisatorischen Maßnahmen (TOM), die dazu dienen, personenbezogene Daten zu schützen und die Datenschutzprinzipien der Verordnung umzusetzen.

Read More

Wie wendet man die DIN Spec 27076 an?

Die Din Spec 27076 wurde speziell für kleine Unternehmen entwickelt, die weniger als 50 Beschäftigte haben, sich aber auf Grund des hohen Aufwands die Einführung eines Informationssicherheits-Managementsystems wie die DIN ISO/IEC 27001 nicht leisten können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht hier auch von Cyber Risiko Check. Die Entstehung der DIN Spec 27076 Ein Konsortium bestehend aus BSI und Bundesverband mittelständische Wirtschaft (BVMW) und 20 weiteren Partnern wie das Deutsche Institut für Normung (DIN), Datenschutz Experten und IT-Security Experten entwickelten innerhalb von 8 Monaten ein praktische Werkzeug zur Ermittlung des Handlungsbedarfes in Sachen IT Sicherheit in kleinen Unternehmen. Das Bundesministerium für Wirtschaft und Klimaschutz finanzierte das Projekt im Rahmen des Programmes Mittelstand Digital. Es wurden laut Geschäftsplan der ISO 27001, ISO 27002, VdS 10000 und VdS 10005 bei der Erarbeitung miteinbezogen.

Read More

Datenschutz Audit

Was ist ein Datenschutz-Audit? Ein Datenschutz-Audit ist ein systematischer und dokumentierter Prozess, der die Einhaltung gesetzlicher Bestimmungen im Bereich des Datenschutzes durch eine Organisation überprüft. Das Hauptziel ist es, Schwachstellen zu identifizieren und Maßnahmen zu ergreifen, um diese zu beheben. Bei einem solchen Audit werden alle datenschutzrechtlich relevanten Abläufe in einem Unternehmen untersucht​​.

Read More