TL;DR
Das DSGVO-Auskunftsrecht schafft einen neün Seitenkanalangriff: Beim GDPiRate, entwickelt von AWARE7-Mitgründer Matteo Große-Kampmann, verschicken Angreifer gefälschte Subject Access Requests (SARs) und erhalten private Nutzerdaten zurück. Von 14 in Deutschland angefragten Unternehmen sendeten 10 Informationen an unbefugte Dritte; auf der Black Hat Conference belegte Pavur, dass 72 % von 150 kontaktierten Firmen auf SARs antworteten und Daten versendeten. Die erbeuteten Informationen eignen sich direkt für gezielte Social-Engineering-Angriffe. Unternehmen müssen ihre SAR-Prozesse um Identitätsverifikation ergänzen - die meisten haben bislang keine Schutzmechanismen gegen gefälschte Anfragen etabliert.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).
Inhaltsverzeichnis (3 Abschnitte)
Die Datenschutzgrundverordnung (DSGVO) ist letztes Jahr im Mai in Kraft getreten. Seitdem gab es viele Umstellungen, wobei die gravierendste und offensichtlichste beim täglichen Surfen wohl die Cookie-Banner sind, die jetzt überall auftauchen. Eine weitere Neuerung ist das Recht auf Zugriff auf persönliche Daten durch die Nutzer. Drei Studien zeigen nun, dieser Zugriff ermöglicht Angreifern den Diebstahl von Daten. GDPiRate, ein Seitenkanalangriff, ist dabei von unserem Gründer Matteo Große-Kampmann erstellt worden und deckt DSGVO-Sicherheitslücken auf.
GDPiRate und andere Angriffe erklärt
Seitenkanalangriffe sind eigentlich nichts neues in der Informatik. Wir berichteten beispielsweise über die vier Angriffe auf Intel Prozessoren im April. Hier werden eigentlich geheime Informationen, die auch tatsächlich verschlüsselt vorliegen, über Seitenkanäle, beispielsweise den Stromverbrauch eines Mikrochips, abrufbar gemacht. Die DSGVO hat nun ebenfalls einen Seitenkanal eingeführt, nämlich den Abruf von privaten Informationen durch unberechtigte Dritte. Eigentlich läuft ein „Subject Access Request“ (SAR) so ab:
- als Nutzer möchte ich Zugang zu meinen Daten erhalten also schreibe ich eine E-Mail, dass ich von diesem Recht Gebrauch machen möchte.
- entweder erhalte ich die Daten direkt auf die Mail zurück oder ich werde auf einen Punkt innerhalb eines Portals verwiesen, auf dem ich die Daten abrufen kann oder es werden weiterer „Identifizierungsmerkmale“ abgefragt.
Soweit, so simpel. Was wir uns nun aber gefragt haben ist: Was, wenn im Namen einer anderen Person Daten angefragt werden?
Angriffe wie GDPiRate zeigen DSGVO-Sicherheitslücken auf
Werden wir auf eine Funktion innerhalb der Plattform wie beispielsweise bei Spotify oder Facebook verwiesen, dann sind die privaten Daten so sicher, wie die Passwörter die wir auf der Plattform zum Login vergeben. Diese Form der Datenabfrage ist nach allen drei Studien wohl die sicherste. Digitalkonzerne verwenden meist diese Form der Bereitstellung. Mariano di Martino zeigt in seiner ausführlichen Studie zu Datenabfragen in Belgien, dass hier viele Unternehmen noch nicht soweit sind. 15 der von ihm getesteten 41 Unternehmen geben private Daten auf gefälschte Anfragen preis. Pavur zeigt in seiner Studie, die er auf der Blackhat veröffentlichte, dass auf 150 seiner Anfragen 72% der Unternehmen antworteten und Daten versendeten. Unser Mitgründer Matteo analysierte gezielt Unternehmen in Deutschland auf deren Reaktion und die Resultate sind ebenfalls schockierend. Von 14 angefragten Unternehmen schicken 10 private Informationen zurück. Der Angriff ist im folgenden Bild schematisch aufgezeigt. 
Ablauf des GDPiRate Angriffs. Darstellung aus der Studie von Matteo Große-Kampmann GDPirate
Was bedeuten Angriffe wie GDPiRate für Nutzer und Unternehmen?
Die DSGVO-Sicherheitslücken zeigen, dass Unternehmen private Nutzerdaten vor solchen Fremdzugriffen besser schützen müssen. Auch wenn die Reaktionszeit auf einen SAR mit einem Monat recht kurz ist, sind die Ergebnisse aller drei Studien erschreckend. Sie zeigen, dass die wenigsten Unternehmen Prozesse oder Mechanismen etabliert haben, um sich vor gefälschten SARs zu schützen. Ein besserer Mechanismus zur Identifikation von Nutzern muss eingesetzt werden. Ein möglicher Lösungsansatz könnte XignQR der XignSys sein, der aktuell hier in Gelsenkirchen entwickelt wird. Die erbeuteten Informationen eignen sich wunderbar für einen (gezielten) Social Engineering Angriff auf einzelne Nutzer - eines der aktuell größten Risiken im Bereich Cybersecurity. Ein Angreifer braucht also nichts weiter tun, als SARs zu fälschen und die Ergebnisse an sich zurückzuschicken, um Informationen über seine Opfer zu erhalten. Dabei kann er wählen ob finanzielle, gesundheitliche oder sonstige Informationen für ihn relevant sind. Nutzer haben am Ende kaum die Möglichkeit sich effizient zu schützen. Als Nutzer bleibt mir nur mit sogenannten „identitätsstiftenden Merkmalen“, beispielsweise dem Geburtsdatum, noch sparsamer umzugehen und genau bedenken, wo ich diese Informationen preisgebe und wer diese Informationen einsehen kann. Die Privatsphäreeinstellungen der einzelnen Plattform können dabei helfen, Daten nur für bestimmte Personen sichtbar zu machen. Accounts die nicht mehr benötigt werden, können mit der Hilfe unserer Website cyberpflege.de gelöscht werden. Daten, die nicht vorhanden sind, können auch nicht in fremde Hände gelangen. Das kann sich für beide Seiten lohnen, denn nicht selten werden Strafen im sechsstelligen Bereich verhängt. Zu einem potenziellen Datenleck können auch Daten auf einer Festplatte führen, die gestohlen wird.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst - mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
