DSGVO – Schlechte Umsetzung ermöglicht Diebstahl von Identitäten

Die DSGVO ist das Traumticket eines Identitätsdiebs um an die Daten der europäischer Bürger zu gelangen. Als Europa die Datenschutz-Grundverordnung (DSGVO) einführte, bedeutete dies einen wichtigen Schritt in Richtung Datensicherheit. Eine schlampige Implementierung und in Kombination mit Social Engineering machen es zum Paradies für Identitätsdiebe.

DSGVO: Sicherheitslücken
In einer Präsentation auf der Black-Hat-Sicherheitskonferenz in Las Vegas erläuterte ein Hacker, wie er dank der DSGVO an persönliche Daten seiner Verlobten gelangte. Darunter waren alle möglichen nützlichen Informationen, wie die Nummern von Kreditkarten und der Sozialversicherung, Passwörter und selbst der Mädchenname ihrer Mutter. Wie alle Sicherheitsmaßnahmen, weist auch die DSGVO Schwachstellen auf.

DSGVO: Es begann mit einem Witz
Die Recherchen des Hackers begannen an einem unwahrscheinlichen Ort, nämlich der Abflughalle eines Flughafens. Weil sich ein Flug verspätete, machten er und seine Verlobte Witze darüber, dass die Fluggesellschaft mit DSGVO-Anfragen überschüttet worden sei. So entstand die Idee, herauszufinden, welche Informationen sie über andere Menschen erhalten könnten. Die Partnerin des Hackers sollte als Versuchskaninchen dienen.

DSGVO: Gesetz erleichtert das Sammeln von Informationen
Für Social Engineering haben die Vorgaben und Bestimmungen der DSGVO eine Reihe von echten Vorteilen. Die Unternehmen haben lediglich einen Monat Zeit, um auf Anfragen zu antworten. Es drohen Bußgelder in Höhe von bis zu vier Prozent des Umsatzes, wenn sie diese Vorgabe nicht einhalten. Die DSGVO-Anfragen bearbeiten in der Regel von Administratoren oder Juristen. Diese sind, im Gegensatz zu IT-Sicherheitsleuten, nicht auf dem gleichen Niveau mit Social-Engineering-Taktiken vertraut. Dies erleichtert das Sammeln von Informationen merklich.

DSGVO: US-Unternehmen verweigerten Herausgabe
Innerhalb von zwei Monaten sandte der Hacker 150 DSGVO-Anfragen im Namen seiner Verlobten. In allen bat er um die Herausgabe, der über sie gespeicherten Daten. Insgesamt antworteten 72 Prozent der Unternehmen und 83 Unternehmen gaben an, Informationen über sie zu haben. Interessanterweise gaben fünf Prozent der Antworten an, dass sie nicht den Regeln der DSGVO unterliegen. Es handelte sich in diesen Fällen um große US-Unternehmen, die mit der Begründung die Herausgabe verweigerten, nicht der DSGVO zu unterliegen.

DSGVO: Untaugliche Identifizierungsmethoden
Drei Prozent der Unternehmen reagierten mit der drastischsten Maßnahme und löschten sofort alle Daten. Weitere 16 Prozent verlangten eine Identifizierung mit dem letztlich leicht zu fälschenden Informationen des Personalausweises. 24 Prozent der Unternehmen verlangten nur eine E-Mailadresse und Telefonnummer als Identitätsnachweis und schickten alle vorhandenen Informationen über die Verlobte. Einige Unternehmen verlangten klugerweise die ihre Zugangsdaten als Identitätsnachweis. Eine Firma gab sich allerdings mit der Auskunft zufrieden, die Login-Daten seien vergessen worden und schickten die Daten dann trotzdem.

DSGVO: Umfang der erhaltenen Informationen ist erschreckend
Das Informationsangebot der Unternehmen ist störend. Ein Unternehmen für Bildungssoftware schickte ihm die Sozialversicherungsnummer seiner Verlobten sowie ihr Geburtsdatum und den Mädchennamen ihrer Mutter. Eine andere Firma hat über zehn Ziffern ihrer Kreditkartennummer, deren Ablaufdatums, den Kartentyp und ihrer Postleitzahl gesendet.

DSGVO: IT-Sicherheitsfirma versendet Passwörter
Eine nicht von ihm angeschriebenes Unternehmen schickte seiner Partnerin, ohne Aufforderung, eine Liste ihrer E-Mail-Adressen und Passwörtern die bei Angriffen kompromittiert wurden. Einige dieser Passwörter verwendete sie noch für andere Konten. Das eigentlich schockierende ist jedoch die Tatsache, dass eine Organisation, von der sie zuvor noch nie etwas gehört hatte, über derartig sensible persönliche Informationen verfügt.

DSGVO: Standard für Identifizierung muss her
Gesetzgeber und Unternehmen müssen diese Sicherheitslücken schnell schließen. Es muss ein Standard für eine legitime Identifizierung für DSGVO-Anfragen festgelegt werden. Damit kann vermieden werden, was bei der Anfrage an ein Bahnunternehmen geschah. Die akzeptierten als Identitätsnachweis, einen benutzten Briefumschlag, der an die Verlobte adressiert war und schickten ihr daraufhin alle über sie gespeicherten Daten.

DSGVO: Mögliche Maßnahmen
Das Anfordern von Anmeldedaten für das Konto sind eine gute Sache, aber bieten auch keinen hundertprozentigen Schutz. Das Vorzeigen von Personalausweisen oder Führerscheinen ist ebenfalls nur eine geeignete Ergänzung, da gefälschte Dokumente weit verbreitet sind. Solange es kein legitimes Identifizierungsverfahren gibt, sollten Unternehmen Informationsanfragen zunächst ablehnen. Das könnte zwar ein Gerichtsverfahren nach sich ziehen. Ein solches wäre aber überschaubar und würden eine sichere Identifizierung des Anfragenden erzwingen.

Resch Datenschutz – Experten für DSGVO und Expertise im Datenschutz
Wenn Sie Fragen zur DSGVO oder allgemein zum Datenschutz haben, rufen Sie an unter 030 885 9770, oder füllen Sie den Fragebogen aus. Sie erhalten dann eine kostenlose erste Einschätzung Ihres Falles.