Suchen

Passwort-Reset und starke Authentifizierung Welche Probleme bereitet der Datenschutz bei Sicherheitsfragen im Web?

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Bei der Authentifizierung oder einem Kennwort-Reset setzen Website-Betreiber gerne auf Sicherheitsfragen. Und so gibt man bereitwillig den Mädchenname der Mutter, die Schule, den Heimatverein oder auch die Lieblingsmusik an. Doch wer ist in dem Zusammenhang schon mal mit Datenschutz-Richtlinien konfrontiert worden?

Firmen zum Thema

Martin Kuppinger: „Auch der Mädchenname der Mutter gehört zu den persönlichen Daten.“
Martin Kuppinger: „Auch der Mädchenname der Mutter gehört zu den persönlichen Daten.“
( Archiv: Vogel Business Media )

Sicherheitsfragen sind ein beliebter Ansatz, um entweder eine eher unsichere Authentifizierung zu verstärken oder um beim Zurücksetzen von Kennwörtern die Identität einer Person zu verifizieren. Letzterer wird oft als Alternative zum Versand einer E-Mail mit dem Kennwort oder einem Link für den Reset verbunden. Ersteres ist ein zusätzlicher „Means“, also in dem Fall ein zusätzliches Wissen in Ergänzung zu Benutzername, PIN und/oder Kennwort.

Sicherheitsfragen sind ein durchaus interessantes Verfahren. Immerhin erhält man nicht – wie so oft – vergessene oder zurückgesetzte Kennwörter in unverschlüsselter Form per Mail. Und bei der Authentifizierung erspart sich der Provider die Investition in Hardware-Tokens für Einmal-Kennwörter oder andere aufwändige Verfahren.

Natürlich gibt es inzwischen genug interessante Ansätze mit Soft-Zertifikaten und Soft-Tokens für die einmalige Kennwort-Generierung, die auch ohne die Logistik auskommen und eine Alternative zu Sicherheitsfragen sind. Allerdings kosten auch diese Verfahren Lizenzgebühren, was bei Sicherheitsfragen durchaus vermeidbar ist.

Wie kritisch sind Sicherheitsfragen aus Datenschutz-Sicht

Nur: Wie steht es um den Datenschutz bei Sicherheitsfragen? Alle eingangs genannten Punkte sind ganz offensichtlich personenbezogene Daten. Manche davon sind keineswegs so unkritisch. Wenn nach der Lieblingsband gefragt wird und die Antwort irgendwo zwischen Motörhead und einer Death-Metal-Band liegt, dann könnte das fehlerhafte Rückschlüsse zulassen. Die Schule kann mit der gemutmaßten Schulbildung in Beziehung gesetzt werden. Und je mehr Fragen der Website-Betreiber stellt, desto mehr weiß er über die Person.

Ob das nun tatsächlich dazu führt, dass hier sensitive Analysen gefahren werden, ist durchaus fraglich. So viele Informationen sind es nun auch wieder nicht – und der Sinn von Rückschlüssen auf Basis einer kleinen Informationsbasis ist ohnehin zweifelhaft. Unzweifelhaft ist aber, dass es sich um personenbezogene Daten handelt und dass damit auch das Datenschutzrecht greift.

Gerade bei der firmeninternen Nutzung kann es aber durchaus zur Verfestigung eines Profils eines Mitarbeiters beitragen – und passt damit in das populäre Thema der „Mitarbeiterbespitzelung“. Ich habe das Thema in letzter Zeit mit einigen Personen diskutiert. Dabei habe ich nur ganz wenige Personen gefunden, bei denen der Datenschutzbeauftragte bei diesem Thema involviert worden war. Mit anderen Worten: Es scheint sich um etwas zu handeln, das oft schlichtweg übersehen wurde.

Von seiner Bedeutung her sollte man dieses Thema nicht allzu hoch hängen, weil der Website-Betreiber wirklich nicht so viel mit den Antworten auf die Fragen anfangen kann. Es kann aber durchaus eine offene Flanke beim Datenschutz sein – und die sollte man so schnell wie möglich schließen. Abgesehen davon handelt es sich meist auch um eine Sicherheitslücke, weil die Antworten gar zu selten als Hash gespeichert werden – im Klartext gespeichert werden sollten diese „Quasi-Kennwörter“ aber keinesfalls.

(ID:2047826)