EU-DSGVO
Forscher entdeckt Sicherheitslücke bei der EU-DSGVO im Auskunftsrecht
Privatsphäre kann durch Zugriffsberechtigungsanfragen ausgehebelt werden
Ein britischer Security-Forscher hat auf kuriose Weise eine Sicherheitslücke in der Allgemeinen Datenschutzverordnung der EU-DSGVO aufgedeckt – das Recht auf Auskunftsersuchen.
Das Auskunftsrecht , ist Teil der DSGVO-Verordnung, wonach Einzelpersonen und Organisationen um eine Kopie der über sie gespeicherten Daten bitten können.
Dies ist sinnvoll, da es wie bei jedem Datenschutzsystem für Benutzer einen rechtlich durchsetzbaren Mechanismus geben muss, der es ihnen ermöglicht, die Richtigkeit und Anzahl ihrer gespeicherten personenbezogenen Daten zu überprüfen.
Allerdings hat der Doktorand der Universität Oxford, James Pavur, in einer zufälligen Situation festgestellt, dass viele Unternehmen die persönlichen Datenanfragen, ohne eine entsprechende Identitätsprüfung an den Anfragesteller herausgeben.
In einer Session auf der BlackHat Show dokumentierte Pavur ein Szenario mit dem Titel GDPArrrrr: Verwendung von Datenschutzgesetzen zum Stehlen von Identitäten . Dabei beschreibt er wie einfach es wäre, über eine Zugriffsberechtigungsanfrage, an die persönlichen Daten bspw. seiner Verlobten zu kommen.
Berichten von Journalisten zufolge, die an der Demonstration teilnahmen, gab er sich bei 75 Unternehmen, als seine Freundin aus, indem er nur Informationen übermittelte, die er auch online finden konnte – vollständigen Namen, E-Mail-Adresse, Telefonnummern und Wohnadresse.
Mit diesen Informationen bewaffnet, kontaktierte er weitere 75 Unternehmen per E-Mail, mit der Bitte um die Auskunft der gespeicherten Daten. Danach erhielt er beispielsweise die Sozialversicherungsnummer seiner Verlobten, frühere Privatadressen, Hotelprotokolle, Schulnoten, evtl. genutzte Online-Dating Portale und sogar ihre Kreditkartennummern.
Pavur musste nicht einmal Ausweisdokumente oder Unterschriften fälschen, um an die Daten seiner Freundin zu kommen. Er fälschte auch nicht ihre echten E-Mail-Adressen, um seine Anfragen authentischer erscheinen zu lassen.
Pavur hat nicht bekannt gegeben, welche Unternehmen seine gefälschten Zugriffsberechtigungsanforderungen ohne Authentifizierung herausgaben, nannte aber einige, die zumindest gute Ergebnisse erzielten, weil sie seine Anforderungen anfochten, nachdem sie die fehlenden Authentifizierungsdaten entdeckt hatten. Trotzdem übergab, dass ein Viertel der angefragten Unternehmen, die Daten seiner Verlobten ohne Identitätsprüfung herausgaben. 16% fragten nach einer Art von Identität, die er allerdings nicht zur Verfügung stellte. Zumindest 39% der Firmen fragten nach einer eindeutigen Identität. Kurioserweise ignorierten 13% seine Anfragen gänzlich, was zumindest bedeutete, dass sie Daten nicht freiwillig herausgaben.
Das Potenzial für Identitätsdiebstahl muss man hier also nicht weiter betonen, bemerkte er zum Schluss seiner Dokumentation an. Es bestehe die Gefahr, dass Kriminelle dies bereits ausnutzen, ohne dass es jemand merkt. Pavur wies darauf hin, dass die Automatisierung gefälschter standardisierter Zugriffsanforderungen in großem Maßstab nicht schwierig ist, wenn man die grundlegenden Namen- und E-Mail-Adressdaten verwendet, die viele Menschen in sozialen Medien veröffentlichen.
Die Frage nach der Schuld
Wenn Pavurs Forschung ein Versagen aufzeigt, dann liegt dies an zu vielen Organisationen, die den Sinn der DSGVO immer noch nicht vollständig verstanden haben. Es reicht nicht aus, Daten im technischen Sinne zu sichern, wenn nicht auch der Zugriff darauf abgesichert wird. Wenn jemand anruft, um zu erfahren, welche Daten über ihn gespeichert sind, führt eine Nichtauthentifizierung dieser Anforderung, zu einer Verletzung der Privatsphäre. Es ist zwar richtig, dass dies schon lange vor dem Bestehen der DSGVO hätte passieren können, aber das Recht der Bürger, Daten anzufordern, hat Menschen mit schlechten Absichten auch einen standardisierten Mechanismus zum Versuch der Manipulation an die Hand gegeben.
Aber können diese Fehler wirklich ausgeschaltet werden? Wenn Unternehmen versuchen, die Identität einer Person zu überprüfen, was genau sollten sie dann anfordern? DSGVO oder nicht, es gibt immer noch kein universelles und zuverlässiges Identitätsprüfungssystem, mit dem überprüft werden kann, ob jemand die Person auch wirklich ist, von der er sagt, dass er sie wäre. In den heutigen Systemen geht es darum, Personen für eine App oder einen Dienst zu identifizieren. Bis dies geklärt ist, bleibt die DSGVO eine Rechtsvorschrift, die einige große Datenschutzlücken schließt, indem sie einige neue schafft.
naked security by Sophos
