Identifizierungsverfahren von Online-Portalen müssen ein angemessenes Sicherheitsniveau gegen unberechtigte Ausleseversuche aufweisen.
Die Aufsichtsbehörde erreichtet eine Beschwerde gegen ein Unternehmen, das dem Kunden die Möglichkeit gibt, seine Daten im Internet einzusehen. Der Beschwerdeführer legte dar, dass sämtliche personenbezogene Daten per Online-Link ins Internet gestellt seien.
Um auf die Daten zuzugreifen, seien lediglich 5-stellige alphanumerische Zeichen notwendig, die an eine URL angehängt werden. Die Aktenzeichennummer zum Vorgang erscheine nach dem Aufruf der URL automatisch. Als Passwort würde die Postleitzahl des Kunden erfragt. Die für die Anmeldung erforderlichen Daten, URL und Postleitzahl samt Aktenzeichen werden als verschlossener kuvertierter Brief zur Verfügung gestellt. Der Beschwerdeführer bemängelte, dass nach Aufruf der URL als Passwort ausschließlich die Postleitzahl abgefragt werde und somit ein hohes Sicherheitsrisiko bestehe.
Das Unternehmen wurde zur Stellungnahme aufgefordert und den Sachverhalt sowie die organisatorischen und technischen Maßnahmen in einem Vororttermin überprüft.
Dabei wurde festgestellt, dass die individuelle Kurz-URL tatsächlich mit nur fünf angehängten Zeichen zum Schluss verwendet und durch die weitere Abfrage der Postleitzahl gesichert wird. Diese Konzeption allein ist aus Sicherheitsgründen nicht ausreichend, weil zu kurz und zu leicht zu überwinden. Erfahrungen aus der Vergangenheit zeigen, dass gegen Kurz-URLs sogenannte Brute-Force-Angriffe einfach durchzuführen sind. Entsprechendes gilt für das Auslesen der Postleitzahl.
Die Brute-Force-Methode ist eine beliebte Methode, um Passwörter oder Daten herauszufinden. Dazu probiert sie automatisiert wahllos verschiedene Buchstabenfolgen oder Zeichenketten aus. Mit steigender Komplexität und Länge der URL steigt die Anzahl an benötigten Rechenoperationen für den Brute-Force-Angriff.
Für ein erhöhtes Schutzniveau sind deshalb normalerweise mindestens zehn bis zwölf Zeichen vorzusehen.
Durch die Kontrolle konnte allerdings auch festgestellt werden, dass im vorliegenden Fall weitere Sicherheitsmaßnahmen getroffen wurden, so dass in der Gesamtschau die Sicherungsmaßnahmen aus datenschutzrechtlicher Sicht ausreichten. So war die Kurz-URL zufallsgeneriert und wurde sofort auf 7-stellig erweitert. Um einen Brute-Force-Angriff zum Scheitern zu bringen, waren Sicherheitsmaßnahmen zudem so gesetzt, dass eine automatisierte Überwachung der Anzahl der Anmeldeversuche mit einer Netzwerküberwachungssoftware erfolgte, die umgehend anschlägt, wenn diese Anzahl das Übliche erheblich übersteigt.
In diesem Fall wird ein Angriff unterstellt, die Webseite vom Netz getrennt und die jeweiligen IT-Verantwortlichen des Unternehmens unverzüglich informiert. Selbst für den unwahrscheinlichen Fall, dass ein Angreifer eine zutreffende Login-Seite herausfindet, sind weitere IT-Sicherheitsmaßnahmen implementiert, die ein Ausprobieren von Anmeldungsdaten unterbindet bzw. meldet und ggf. den Eintrag sperrt.
Im Ergebnis waren die getroffenen organisatorischen und technischen Maßnahmen auf einem angemessenen Schutzniveau. Insbesondere die Überwachung der Anzahl der Anmeldeversuche ist unverzichtbar, um ein angemessenes Sicherheitsniveau zu gewährleisten.
Quelle: HBD
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks