• IT-Karriere:
  • Services:

DSGVO: Datenschutzauskunft als Sicherheitsrisiko

Die DSGVO verpflichtet Anbieter zur Herausgabe aller gespeicherten Daten mit Personenbezug. Die Vorschrift lässt sich auch zum Identitätsdiebstahl einsetzen.

Artikel veröffentlicht am ,
Mit einem manipulierten Kontoauszug ließ sich eine falsche Identität vorgaukeln.
Mit einem manipulierten Kontoauszug ließ sich eine falsche Identität vorgaukeln. (Bild: James Pavur/Screenshot: Golem.de)

Zahlreiche Organisationen geben offenbar ohne ausreichende Identitätskontrolle personenbezogene Daten von Nutzern heraus. Das geht aus einer Studie des britischen Studenten James Pavur hervor, die vergangene Woche auf der Sicherheitskonferenz Black Hat in Las Vegas vorgestellt wurde. Dabei nutzte Pavur die EU-Datenschutz-Grundverordnung (DSGVO) aus, die ein Auskunftsrecht für Nutzer verankert hat. Obwohl er eine gefälschte E-Mail-Adresse für seine Auskunftsersuchen nutzte, gelangte er an zahlreiche Daten seiner Freundin, die als Testperson fungierte.

Stellenmarkt
  1. IDS GmbH, Ettlingen
  2. über SCHAAF PEEMÖLLER + PARTNER TOP EXECUTIVE CONSULTANTS, Nordrhein-Westfalen

Die im Mai 2018 in Kraft getretene DSGVO garantiert den Nutzern ein Recht auf Auskunft (Artikel 15) und ein Recht auf Datenportabilität (Artikel 20). Mehrmonatige Untersuchungen von Verbraucherschützern haben ergeben, dass Verbraucher bei sozialen Medien trotz entsprechender Vorgaben "keine zufriedenstellende Antwort auf ihre Auskunftsersuchen" erhielten. Für die Studie nutzten die Verbraucherschützer einen fiktiven Account, der jedoch Zugriff auf das Konto bei Facebook oder Twitter hatte.

Pavur ging den umgekehrten Weg. Er gab sich als seine Freundin und Mitautorin Casey Knerr aus und legte sich einen neuen E-Mail-Account unter deren Namen zu. Dann verschickte er eine Standardanfrage an 150 Organisationen, wobei er nicht wusste, ob Knerr deren Dienste überhaupt einmal genutzt hatte. Dabei berief er sich auf das Auskunftsrecht nach der DSGVO und bat um die Herausgabe aller personenbezogenen Daten an die angegebene Adresse. In dem Anschreiben gab er jedoch nicht nur die Fake-Adresse an, sondern auch weitere öffentlich zugängliche Daten von Knerr, um die Legitimität des Ersuchens zu erhöhen.

Fake-Adresse und öffentliche Daten

Laut Pavur reagierten immerhin 72 Prozent der angeschriebenen Organisationen auf die Anfrage. In 23 Prozent der Fälle erhielt er keine Antwort. Fünf Prozent der Anbieter wiesen das Auskunftsersuchen zurück, was einen Verstoß gegen die DSGVO darstellen würde. Darunter waren laut der Studie vier große Anbieter, die vor allem auf dem US-Markt aktiv sind. Deren Ansicht nach haben EU-Bürger kein Anrecht auf die Datenauskunft.

Aus den ersten Antworten der Anbieter ging laut Pavur in zwei Drittel der Fälle immerhin hervor, ob von Knerr überhaupt Daten gespeichert waren. Darunter seien auch Dating-Plattformen gewesen. Selbst dieses Wissen kann für Betroffene schon unangenehm sein, wie der Hack der Seitensprungplattform Ashley Madison von einigen Jahren gezeigt hat.

Keine Identitätskontrolle bei vielen Anbietern

Was noch erschreckender ist: 24 Prozent der Organisationen, die reagierten, übermittelten ohne weiteren Identitätscheck die gespeicherten Daten. Weitere 16 Prozent forderten einen schwachen Identitätscheck, der laut Pavur einfach zu umgehen gewesen wäre. Dazu zählten Geräte-Cookies oder eine schriftliche Erklärung, tatsächlich die betroffene Person zu sein. Fünf Prozent der Plattformen gaben an, keine Daten gespeichert zu haben, obwohl Knerr dort einen Account angelegt hatte. Was ärgerlich sein könnte: Drei Prozent verstanden die Anfrage falsch und löschten den Account, anstatt die Daten herauszugeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. heute Logitech MK470 Slim Combo Tastatur-Maus-Set 33€
  2. (heute u. a. DJI Drohnen und Cams, Philips-TVs, Gesellschaftsspiele)
  3. 99,00€
  4. (u. a. Need for Speed Most Wanted, NfS: The Run, Mass Effect 3, Dragon Age 2, Kingdoms of Amalur...

chewbacca0815 14. Aug 2019

Zusätzlich zur Urkundenfälschung: § 42 BDSG, Absatz 2 sowie § 202 StGB, Absatz 2 für das...

keksperte 14. Aug 2019

Und hättest du mal nachgelesen (anstatt nur wie aktuell en vogue stumpfes DSGVO-Bashing...

chewbacca0815 14. Aug 2019

Sehe ich genauso, demnach haben 24% einen Verstoss gegen die DSGVO gegangen: "... 24...

trinkhorn 14. Aug 2019

Sie sind vielleicht nicht in einer Datenbank als "Name, Vorname, Geburtstdatum, etc...


Folgen Sie uns
       


Apple TV Plus ausprobiert

Wir haben uns Apple TV+ auf einem Apple TV angeschaut. Apples eigener Abostreamingdienst lässt viele Komfortfunktionen vermissen.

Apple TV Plus ausprobiert Video aufrufen
Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Galaxy Fold im Test: Falt-Smartphone mit falschem Format
Galaxy Fold im Test
Falt-Smartphone mit falschem Format

Samsung hat bei seinem faltbaren Smartphone nicht nur mit der Technik, sondern auch mit einem misslungenen Marktstart auf sich aufmerksam gemacht. Die zweite Version ist deutlich besser geglückt und aufregend in ihrer Neuartigkeit. Nur: Wozu braucht man das Gerät?
Ein Test von Tobias Költzsch

  1. Samsung Galaxy Fold übersteht weniger Faltvorgänge als behauptet

Quantencomputer: Intel entwickelt coolen Chip für heiße Quantenbits
Quantencomputer
Intel entwickelt coolen Chip für heiße Quantenbits

Gebaut für eine Kühlung mit flüssigem Helium ist Horse Ridge wohl der coolste Chip, den Intel zur Zeit in Entwicklung hat. Er soll einen Quantencomputer steuern, dessen Qubits mit ungewöhnlich hohen Temperaturen zurechtkommen.
Von Frank Wunderlich-Pfeiffer

  1. AWS re:Invent Amazon Web Services bietet Quanten-Cloud-Dienst an
  2. Quantencomputer 10.000 Jahre bei Google sind 2,5 Tage bei IBM
  3. Google Ein Quantencomputer zeigt, was derzeit geht und was nicht

    •  /