Anforderungen Identitätsfeststellung
Anforderungen an Authentifizierungsverfahren zur Identitätsfeststellung
Die Identifizierung und Authentifizierung von Nutzer:innen gehören zu den Grundbausteinen eines modernen Informationssystems, das individualisierte Dienste anbietet. Für diese Datenverarbeitungen gilt im Hinblick auf die Sicherheit der Verarbeitung nach Art. 32 DSGVO: Je höher der Schutzbedarf, desto höher muss das Schutzniveau der getroffenen Maßnahmen sein. An einem uns vorliegenden Fall wird deutlich, worin die Anforderungen an die Identifizierung und Authentifizierung bei erhöhtem Schutzbedarf bestehen.
Die Datenschutzbehörde hat ein Unternehmen geprüft, das zwischen verschiedenen Vertragsparteien als Informationsvermittler tätig ist. Aufgrund des hohen Schutzbedarfs der ausgetauschten Informationen hat das Unternehmen die Nutzung des Informationsdienstes an die Bedingung geknüpft, dass die Nutzer zuvor sicher identifiziert werden müssen. Das Unternehmen bietet im Rahmen der Registrierung zwei Optionen zur Identitätsfeststellung an – via Ausweisfoto oder Onlinebanking. Diese beiden Identifizierungsmethoden werden dem hohen Schutzbedarf der Daten jedoch nicht ohne Weiteres gerecht.
Tatsächlich gelang es einer Sicherheitsforscherin, eine Sicherheitslücke aufzudecken, die kurzzeitig das unbefugte Abrufen und Verändern von Daten erlaubt hätte. Unsere Prüfung hinsichtlich der Sicherheit der Verarbeitung nach Art. 32 DSGVO ergab, dass kein angemessenes Schutzniveau zum Zeitpunkt der Prüfung gewährleistet war. Nach Art. 32 DSGVO müssen Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau zu gewährleisten.
Die erste Option, die das Unternehmen im Rahmen der Registrierung anbot, beinhaltete die Identifizierung mittels eines Dienstleisters anhand eines Abgleichs des Personalausweisfotos mit einem Gesichtsfoto. Dieses Verfahren kann bereits mit relativ überschaubaren Mitteln überlistet werden und bietet daher kein angemessenes Sicherheitsniveau. Die Datenschutzbehörde hat folglich auf die Funktion des elektronischen Personalausweises, sich per Chip und über ein Berechtigungszertifikat auch online ausweisen zu können, als alternatives Identifizierungsmittel hingewiesen.
Die zweite Option zur Identifizierung erfolgt über den Abgleich mit den Bankkontodaten. Hierbei werden die Nutzer aufgefordert, ihre Namen und Angaben zu ihrer kontoführenden Bank anzugeben, um sich anschließend über eine Weiterleitung beim Onlinebankingdienst anzumelden. Bei erfolgter Anmeldung erhält das Unternehmen einen lesenden Zugriff auf die Stammdaten, um die Namen der Nutzer:innen mit denen der Kontoinhaber zu vergleichen und auf diese Weise die Identität zu bestätigen. Allerdings ist ein Abgleich allein der Namen aufgrund von möglichen Namensgleichheiten für daran anschließende personenbezogene Verarbeitungen in der Regel nicht ausreichend. Hier müssen weitere Informationen über die Nutzer, wie etwa Geburtsdatum, Adresse und Kontonummer, abgeglichen werden, um die Richtigkeit der Verarbeitung zu gewährleisten. Ein weiteres Problem der Identifizierung über Onlinebanking ist die unzureichende Datensparsamkeit: Das Unternehmen erhält zusätzlich Zugriff auf Kontoumsatzdaten eines langen Zeitraums.
Unabhängig von der gewählten Authentifizierungsmethode sind automatisierte Tests als Teil einer guten Softwareentwicklungspraxis bei kritischen Funktionen wie der Zugriffskontrolle unerlässlich. Die nachträgliche Veränderung von Daten, die als nicht veränderbar gelten, ist ein typisches Problem im Kontext von Identifizierungs- und Authentifizierungsdiensten und muss durch geeignete Schutzmaßnahmen nachweisbar verhindert werden. Wir haben festgestellt, dass bei der Gestaltung des Identifizierungsvorgangs mittels eines Bankkontos grundlegende Anforderungen an ein sicheres Systemdesign nicht erfüllt waren. Zudem hält die Datenschutzbehörde in Anbetracht des erhöhten Schutzbedarfs eine Absicherung der Konten allein über Name und Passwort der Nutzer für nicht ausreichend. Hier müsste zumindest eine Zwei-Faktor-Authentifizierung (2FA) über die Kombination eines Passworts mit einer TAN oder eines Ausweisdokuments mit der zugehörigen PIN erfolgen.
Verantwortliche müssen bei Datenverarbeitungen, die mit erhöhten Risiken für die Rechte und Freiheiten betroffener Personen verbunden sind, geeignete technische und organisatorische Maßnahmen treffen, die ein entsprechend hohes Schutzniveau gewährleisten. Hierzu gehört die Auswahl starker, aber datensparsamer Identifizierungsmittel, wie etwa der Einsatz eines Ausweisdokuments mit der zugehörigen PIN. Eine Identifizierung über ein Bankkonto ist so zu gestalten, dass nicht mehr als die erforderlichen Daten für den Zweck der eindeutigen Identifizierung erhoben werden. Das schließt in der Regel einen unbeschränkten Zugriff auf das Bankkonto über das Onlinebanking aus.
Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit
Sind Sie sicher, dass Ihr Unternehmen im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks