Suchen

Forschung für mehr Datenschutz Betroffene korrekt über einen Identitätsdiebstahl informieren

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Das Projekt „EIDI“ (Effektive Information von Betroffenen nach digitalem Identitätsdiebstahl) hat das Ziel, über den Diebstahl digitaler Identitäten zu informieren, ohne dass man sich für einen entsprechenden Monitoring-Dienst angemeldet hat. Dr. Matthias Wübbeling von der Universität Bonn hat uns Einblicke in das Projekt und die Verwendung der Resultate gegeben.

Firma zum Thema

Ziel des EIDI-Projekts ist eine angemessene Warnung betroffener Personen, nach einem Identitätsdiebstahl.
Ziel des EIDI-Projekts ist eine angemessene Warnung betroffener Personen, nach einem Identitätsdiebstahl.
(Bild: gemeinfrei / Pixabay )

Digitale Identitätsdaten, Konto- oder Kreditkarteninformationen sowie E-Mail-Adressen und Passwörter werden in großen Mengen von Cyber-Kriminellen gesammelt und gehandelt. Strafverfolgungsbehörden und IT-Sicherheitsforscher finden bei der Aufklärung von IT-Sicherheitsvorfällen und der Analyse von Schadsoftware häufig umfangreiche Sammlungen von Identitätsdaten, die Kriminelle angelegt haben.

Eine angemessene, proaktive Warnung betroffener Personen ist das Kernziel des EIDI-Projekts. Illegale Identitätsdaten-Sammlungen sollen auf Aktualität und ihre Gültigkeit überprüft werden. Dies geschieht durch neu entwickelte technische Verfahren, die unter Einhaltung der hohen Anforderungen des Datenschutzes vorhandene Datensammlungen analysieren können. Im Anschluss an die Analyse sollen die Betroffenen automatisiert informiert werden. Dabei dürften solche Warnungen nicht zu häufig vorkommen, damit die nötige Aufmerksamkeit erhalten bleibt.

Rechtssicherheit von Warnsystemen muss geklärt sein

Ein wesentlicher Punkt ist auch die Rechtssicherheit von Warn- und Überprüfungssystemen. Wenn solche Frühwarnsysteme gegen Cyberkriminalität in Deutschland etabliert werden sollen, müssten zunächst die rechtlichen Grundlagen für solche Systeme geschaffen werden. Unter anderem muss dafür klar sein, wer als Betreiber eines solchen Systems in Deutschland in Frage kommt. Mögliche Betreiber sind das Bundesamt für Sicherheit in der Informationstechnik, die Datenschutzaufsichtsbehörden oder Verbraucherschützer.

Das Projekt EIDI wird bereits seit 2017 vom Bundesministerium für Bildung und Forschung (BMBF) gefördert. Im Konsortium arbeitet die Universität Bonn mit dem Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, dem Leibniz-Institut für Informationsinfrastruktur FIZ Karlsruhe, der Universität Duisburg-Essen, dem Sozialen Netzwerk XING, der Verbraucherzentrale NRW und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen.

Wo das Projekt steht und wie es genutzt wird

Security-Insider: Es gibt ja eine Reihe von Frühwarnsystemen für gestohlene, digitale Identitäten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt zum Beispiel HIBP. Ein anderes Beispiel ist der HPI Identity Leak Checker. Was ist das Besondere an dem Ansatz von EIDI?

„In den meisten Fällen bemerken betroffene Personen zunächst nicht einmal, dass sie Opfer einer Straftat geworden sind. Häufig erfahren sie erst sehr viel später davon, dass sich die Täter ihrer persönlichen Daten bemächtigt haben.“ Dr. Matthias Wübbeling, Akademischer Rat an der Universität Bonn.
„In den meisten Fällen bemerken betroffene Personen zunächst nicht einmal, dass sie Opfer einer Straftat geworden sind. Häufig erfahren sie erst sehr viel später davon, dass sich die Täter ihrer persönlichen Daten bemächtigt haben.“ Dr. Matthias Wübbeling, Akademischer Rat an der Universität Bonn.
(Bild: Matthias Wübbeling, Universität Bonn)

Matthias Wübbeling: Die von Ihnen genannten Systeme sind keine Frühwarnsysteme im eigentlichen Sinne. Vielmehr können Sie dort, wenn Sie interessiert und fachlich halbwegs versiert sind, entsprechende Anfragen stellen und erhalten dann entsprechende Antworten. Bei HIBP können Sie auch einen E-Mail-Service abonnieren, wenn Ihre Daten (basierend ausschließlich auf der E-Mail-Adresse) erneut in einem Leak enthalten sind.

Mit EIDI verfolgen wir ein etwas anderes Ziel, nämlich dass Sie, auch ohne sich vorher aktiv dafür zu registrieren, Informationen enthalten, wenn Ihre Accountsicherheit gefährdet ist. Und in unserer Wahrnehmung können das am Besten die Dienste erledigen, bei denen Sie auch Ihren Account haben. Das hat viele Vorteile, die ich hier für die einzelnen Aspekte noch einmal erwähnen möchte:

1) Vertrauen

Als ich das erste Mal von HIBP erfahren habe, das ist schon einige Jahre her, hatte ich ein mulmiges Gefühl, dort nun alle meine E-Mail-Adressen bereitwillig zur Verfügung zu stellen. Zwar hat Troy Hunt es mittlerweile geschafft, sich eine entsprechende Reputation zu erarbeiten, aber diese hat er hauptsächlich im Bereich von technikaffinen Personen. Der BSI-Sicherheitstest zum Beispiel (diesen gibt es ja so nicht mehr) hat in einigen Foren richtig für Entrüstung gesorgt, man werde wohl kaum einem Bundesamt, wie dem BSI, nun persönliche Daten mitteilen.

Das Vertrauen möchten wir uns gar nicht selbst erarbeiten, sondern wir möchten auf dem Vertrauen aufbauen, welches ein Benutzer bereits in einen Dienst hat (sonst hätte er dort vermutlich kein Benutzerkonto). Es gibt also bereits eine Geschäftsbeziehung und damit eben auch eine Vertrauensstellung. Diese eignet sich aus unserer Sicht auch viel besser zur vertrauensvollen Information betroffener Benutzer. Eine E-Mail von einem BSI oder einer Universität Bonn würden vermutlich wegsortiert und nicht weiter beachtet. Daher waren wir auf der Suche nach alternativen Informationsverfahren - und haben diese auch gefunden.

2) Qualität der Daten

Durch die Kooperation mit den Dienstleistern selbst (die Unternehmen XING / New Work SE und G-Data haben als Unterauftragnehmer direkt an dem Projekt mitgearbeitet, darüber hinaus haben wir mit mailbox.org oder Otto noch weitere assoziierte Partner), lassen sich vor allem die Korrektheit und die Qualität der Daten unmittelbar einschätzen. Diese Dienste können die Daten, die sie von uns erhalten, gegen ihre Benutzerdatenbank testen und so auch nur dann warnen, wenn die Accountsicherheit tatsächlich gefährdet ist.

Wir sehen immer wieder große Leaks, die eigentlich nur Sammlungen (engl. Collections) von bereits bekannten Leaks sind. Benutzer müssen dann unter Umständen gar nicht mehr gewarnt werden.

3) Direkte Kommunikation und Warnung der Betroffenen

Ein betroffener Kunde, der sich mit einem betroffenen Account bei einem unserer Partner anmeldet, kann direkt beim Login darüber informiert werden, welche Daten verfügbar sind, ob sein Account betroffen ist und was er tun kann, um die Accountischerheit wiederherzustellen. XING testet dafür etwa, ob mit den Daten tatsächlich ein Login möglich wäre. Ist dies nicht der Fall, kann sich ja auch ein Krimineller nicht an dem Dienst anmelden, es besteht somit keine unmittelbare Gefahr.

4) Datenschutz

Bei HIBP können Sie ohne weitere Überprüfung auch Informationen für andere Personen erhalten. Das ist nach deutscher und europäischer Gesetzeslage problematisch. Wenn wir uns etwa an den Datenleak der Fremgehplattform Ashley Madison erinnern, so gab es in den USA bestätigte Selbstmorde von Betroffenen, deren Daten ja dann über HIBP auch etwa für die betrogenen Ehepartner einsehbar waren. Um das auszuschließen ist zum einen eine direkte Kommunikation mit den Betroffenen gewünscht und natürlich auch eine entsprechende Diskretion gegenüber der Dienste. Benutzen Sie dasselbe Passwort für Ihren XING-Account und etwa für Webseiten mit Erwachseneninhalten, so werdenwir die Quelle der Daten nicht an unsere Partner (in dem Fall XING) weiterleiten.

5) Weitere unmittelbare Information über den Leakchecker

Wenn Sie von einem Partner informiert werden, dass Ihre Accountsicherheit gefährdet ist, dann erhalten Sie nur die notwendige Information zur Wiedererlangung der Accountsicherheit bei diesem Diensteanbieter. In der Information ist auch ein Verweis auf unseren Leakchecker enthalten, wo Sie persönlich dann weitere Informationen, auch über den (vermuteten) Ursprung der Daten, oder über Benutzername und Passwort hinaus enthaltene Daten erhalten können. Diese werden dann per E-Mail zugestellt. Darüber hinaus ermöglicht dieser Dienst die Datenauskunft, die in der DSGVO (Datenschutz-Grundverordnung) für Sie als Endverbraucher vorgesehen ist.

Zusammenfassen lässt sich Ihre Frage also so beantworten, dass wir gemeinsam mit unseren Partnern alle Kunden informieren können, wenn ihre Accountsicherheit bei den Partnern beeinträchtigt ist. So erreichen wir auch "Oma Erna", die vermutlich weder den HPI-Leakchecker noch HIBP kennt. Unser Ziel ist es, möglichst viele Partner anzubinden und so die Accountsicherheit für alle zu erhöhen.

Security-Insider: Um welche Formen digitaler Identitäten geht es insbesondere, neben Mail-Adressen? Geht es zum Beispiel auch um Bankdaten?

Matthias Wübbeling: Tatsächlich muss es nicht nur um digitale Identitäten gehen. Zwar haben wir das als vordergründiges Ziel ausgelobt und im Ergebnis auch abgedeckt, es können aber auch alle anderen Identitätsdaten mit abgeglichen werden. Alles, was in einem Leak enthalten ist, können wir im Grunde bedienen. Dabei gibt es jedoch eine Einschränkung, weshalb wir uns zunächst ganz bewusst auf einige Datentypen eingeschränkt haben (E-Mail-Adressen, Namen, Vornamen, Nachnamen, Adressen, Kontodaten, Kreditkartennummern, Telefonnummern). In Artikel 9 der DSGVO werden einige Daten weitergehend geschützt, die „besonderen Kategorien“ zugeordnet werden können. Um diese Daten nicht versehentlich mit zu verarbeiten, haben wir also eine Whitelist der Datentypen und ein Verfahren zur automatischen Erkennung und Zuordnung der Information zu diesen Datentypen entwickelt.

Die Daten, die von Art. 9 DSGVO abgedeckt sind, haben zwar für Sie eine hohe Relevanz, und Sie haben vermutlich ein besonders hohes Interesse, auch diese Daten zu schützen, aufgrund der Beschaffenheit unserer Umsetzung lässt sich das aber nicht mit dem Datenschutz vereinbaren.

Security-Insider: Informieren Sie nur die Betroffenen oder auch zum Beispiel die Unternehmen, die erfolgreich angegriffen wurden und dabei zum Beispiel die Mail-Adressen preisgegeben haben?

Matthias Wübbeling: Eine Attributierung von Leaks ist immer eine schwierige und heikle Sache, die am Ende auch juristische Folgen haben kann. Daher vermeiden wir eigentlich eine eindeutige Zuordnung. Allerdings erhalten wir vonunseren Partnern anonymisierte Statistiken zurück und empfehlen den Partnern bei besonders hohen Trefferraten einmal näher auf die eigenen Systeme zu schauen. Bewegen sich die Trefferraten im normalen Bereich (im Hinblick auf Passwort-Reuse, bereits bekannte Daten, etc.) sehen wir dafür keinen Bedarf. So bieten wir im Grunde auch ein implizites Monitoring für die Partnerunternehmen.

Eine Zuordnung zu Diensten für die betroffenen Personen selbst können wir versuchen zu ermöglichen. Das funktioniert dann über implizites Attributieren der Leakdaten selbst. Wenn Sie also nach der Information durch einen unserer Partner den Leakchecker benutzen, um weitere Informationen zu erhalten, dann steht dort etwa auch drin, dass Ihre persönlichen Daten in einer Datei namens "Dienst.txt" gefunden wurden. Passt das gefundene Passwort mit dem überein, das Sie bei diesem Dienst verwendet haben, können Sie selbst weitere Schritte einleiten und die Kritikalität einschätzen.

Uns ist besonders wichtig: wir möchten nicht mit dem Zeigefinger auf Dienste zeigen, sondern diese bewusst unterstützen, die Accounts ihrer Kunden dauerhaft abzusichern bzw. die Sicherheit nach einem Vorfall zeitnah wiederherzustellen. Selbst dann, wenn der Dienst selbst nicht die Quelle für den Datenleak ist.

Security-Insider: Hilft Ihre Lösung auch bei der Einhaltung der Datenschutz-Grundverordnung (Meldepflichten, Meldung an Betroffene)?

Matthias Wübbeling: Wenn Sie als Partner feststellen, dass Sie als Dienst eine abweichend hohe Trefferrate haben, dann können Sie unsere Daten als Grundlage für weitere Untersuchungen hernehmen. Auch unterstützen wir gern dabei, die Meldepflicht entsprechend umzusetzen und den Betroffenen weitere Informationen zur Verfügung zu stellen. Das können wir grundsätzlich auch für offline bereitgestellte Medien (etwa Festplatten), auf denen Leakdaten enthalten sind.

Security-Insider: Das Projekt wurde laut Projektseite Ende 2019 abgeschlossen. Welche Resultate gibt es? Was können Unternehmen testen oder nutzen?

Matthias Wübbeling: Das Projekt wurde vom Projektträger noch einmal verlängert, läuft aktuell also noch. Tatsächlich sind wir aber schon in einem Produktivbetrieb mit XING und beenden gerade die Testphase mit mailbox.org. Wenn Sie also XING-Kunde sind, dann kann es passieren, dass Sie in der nächsten Zeit eine Warnung über Ihre Accountsicherheit von XING erhalten. Alle unsere Partner haben mit großem Eifer und aus unmittelbarem Schutzinteresse für Ihre Kunden an dem Projekt mitgewirkt.

Wenn Sie als Unternehmen keine Dienste anbieten, sondern die Daten Ihrer Mitarbeiter schützen möchten, dann können Sie ebenfalls auf unsere Dienste zurückgreifen. Wir entwickeln gerade ein Produktportfolio, welches wir Unternehmen für diesen Zweck anbieten können. Aktuell wird etwa ein monatlicher Lagebericht über die E-Mail-Adressen der Angestellten am häufigsten nachgefragt. Das halten wir für unheimlich wichtig, weil diese Daten ja regelmäßig auch für Logins bei Kunden oder Zulieferern und auch bei internen Diensten genutzt werden. Haben Sie Mitarbeiter identifiziert, die betroffen sind, so können diese dann individuell über unseren Leakchecker die tatsächlichen Informationen abfragen. Diese dürfen wir ohne weiteres (aus Datenschutzgründen, etwa weil die private Nutzung nicht untersagt ist) nicht an die Unternehmen selbst liefern.

Security-Insider: Haben Sie bereits weitere Anwender aus der Wirtschaft?

Matthias Wübbeling: XING, G-Data, Otto und mailbox.org sind als direkte bzw. assoziierte Partner bereits frühzeitig als Anwender in das Projekt eingebunden und darüber hinaus eingeplant. Tatsächlich bauen wir gerade weitere Kooperationen auf, etwa, um auch Hochschulen und Universitäten an unseren Dienst anzubinden. Mit einigen Telekommunikationsanbietern sind wir bereits im Gespräch, auch einige Anfragen von Banken haben wir schon erhalten.

Insbesondere für transaktionsbasierte Vorgänge, etwa bei Banken oder Online-Shops, können wir eine Schnittstelle anbieten, die für das aktive Kundenkonto überprüft, ob die Accountsicherheit nach unserer Datenlage eingeschränkt ist. Sollte dies der Fall sein, kann der Dienstanbieter auf einen weiteren Faktor (telefonische Rückfrage, SMS-TAN, oder ähnliches) zurückgreifen, um diese laufende Transaktion abzusichern. Im nächsten Schritt müsste dann gemeinsam mit dem Kunden die Accountsicherheit wiederhergestellt werden. Das schützt sowohl den Endverbraucher als auch unsere Partner, die diesen Prozess im Rahmen des Fraud-Managements mit anbinden können.

XING warnt mittlerweile aktiv seine Kunden, wenn ein Login mit den gefundenen Daten bei XING möglich wäre. Das erhöht unmittelbar die Accountsicherheit der XING-Accounts. Das führt bisweilen auch zu Verwirrung, einige Kunden glauben, XING hätte einen Datenleck. Diese können wir schnell beruhigen, vielmehr handelt es sich um Passwort-Reuse, also die Verwendung desselben Passworts bei unterschiedlichen Diensten. Kriminelle können damit dann auch das XING-Konto übernehmen. Wenn Sie also eine Warnung von XING bekommen, dann sollten Sie überlegen, bei welchem anderen Dienst Sie dieses Passwort ebenfalls verwendet haben und es zeitnah bei diesen Diensten ändern.

(ID:46670068)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research