Identitätsdiebstahl mittels DSGVO-Auskunft
Eigentlich soll die Datenschutzgrundverordnung (DSGVO) den Nutzerinnen und Nutzern mehr Kontrolle über ihre Daten geben. Nun hat der Oxford-Student James Pavur aber demonstriert, dass auch genau das Gegenteil möglich ist. Er nutzte das Auskunftsrecht der DSGVO unter falschem Namen, um personenbezogene Daten bei Organisationen zu sammeln, zu denen eigentlich nur der zugehörige Nutzer Zugriff haben sollte – in diesem Fall seine Freundin.
Die Black Hat Konferenzen führen Sicherheitsexperten und Hacker zusammen und finden weltweit an verschiedenen Orten statt.
Auf der Black Hat Konferenz in Las Vegas stellte Pavur seine Studie vor, für die er 150 Organisationen unter falschem Namen anschrieb und die Herausgabe aller personenbezogenen Daten forderte. Für die Kontaktaufnahme legte er sich eine E-Mail-Adresse auf den Namen seiner Partnerin und Mitautorin Casey Knerr an. Ob Knerr die Dienste jemals genutzt hatte und dort Daten hinterlegt waren, wusste Pavur nicht. Um die Glaubwürdigkeit seiner Anfragen zu untermauern, fügte er zusätzliche Informationen zu seiner Freundin in die Ersuchen ein – es handelte sich ausschließlich um öffentlich zugängliche Daten.
kaum Sicherheitsmechanismen
72 Prozent der Organisationen reagierten auf die Anfragen. Laut der Studie ging aus zwei Drittel der Antworten hervor, ob Knerr die Dienste nutzte beziehungsweise ob Daten vorlagen. Allein diese Information ist heikel, da es sich unter anderem um Dating-Platformen handelte. 24 Prozent der Unternehmen gaben sämtliche Daten heraus, ohne die Identität des Anfragenden nochmals zu überprüfen. Darunter befanden sich Kreditkartendaten, Passwörter und die Sozialversicherungsnummer. 16 Prozent forderten nur eine schwache Identitätsüberprüfung, die Pavur mit wenig Aufwand umging. Es ging beispielsweise um Geräte-Cookies oder eine einfache schriftliche Erklärung, tatsächlich die angegebene Person zu sein. 5 Prozent der Organisationen gaben an, keine Daten über Knerr gespeichert zu haben, obwohl sie Nutzerin war. Rund 3 Prozent verstanden die Anfrage falsch und löschten den Account, statt die Daten herauszugeben.
Der Fehler liegt allerdings nicht bei der DSGVO selbst als vielmehr bei den Firmen und Organisationen, die ihr gegenüber verpflichtet sind. Sie dürften eigentlich erst die gespeicherten Daten herausgeben, wenn die Identität des Anfragenden zweifelsohne geklärt ist. Zugleich müssen die Firmen aber innerhalb eines Monats auf die Anfrage reagieren, da sonst Geldbußen drohen. Für einige ist dies offensichtlich zu wenig Zeit oder schlichtweg ein Ressourcenproblem. Pavur plädiert dazu, den Unternehmen die Angst zu nehmen, Geldbußen zu kassieren, weil sie verdächtige Anfragen ablehnen. (hcz)