Eintrag markiert ‘E-Mail’

Vertrauliche Daten in E-Mails

Freitag, 15. Februar 2019

Privat musste ich den Stromanbieter wechseln. Ein neuer Anbieter war Dank der diversen Vergleichsportale schnell gefunden, ein Vertrag über einen dieser Vermittler schnell beantragt.

Der Vermittler stellte mir die Vertragsunterlagen über einen personalisierten Link zur Verfügung, bei dem ich mich mittels meines Geburtsdatums authentifizieren musste. Nicht optimal, besser wäre es gewesen beim Bestellprozess ein „Geheimnis“ zu vereinbaren, aber eine Möglichkeit.

Das Problem: E-Mail mit vertraulichen Daten im Klartext

Das böse Datenschutzerwachen kam dann, als der neue Versorger mir seine Auftragsbestätigung per E-Mail schickte: unverschlüsselt als für jeden lesbare PDF-Datei und inklusive sensibler personenbezogener Daten.

Ich dachte mir, dass in dem Unternehmen offensichtlich nicht genügend über Datenschutz, den aktuellen Stand der Technik und die notwendigen technischen und organisatorischen Maßnahmen zum Datenschutz nachgedacht worden war und schrieb den Datenschutzbeauftragten des Unternehmens an. Hierbei schlug ich als Lösungen die Vereinbarung eines Geheimnisses beim Vertragsschluss, eben die Verwendung des Geburtsdatums oder der Bankverbindung als Geheimnis zur Verschlüsselung oder zum Download der Unterlagen vor.

Die Stellungnahme des Unternehmens

Meine Anfrage wurde, das war positiv, sehr schnell vom Datenschutzbeauftragten von einer Mail-Adresse des Mutterkonzerns aus Süddeutschland aus beantwortet.

Der Inhalt lässt jedoch leider nicht auf zu geringes Nachdenken, sondern auf Ignoranz der Risiken schließen. Ich zitiere wörtlich:

[…] Nach Ziffer 6 der AGB der [Namen des Unternehmens entfernt] für Strom- oder Gaslieferverträge verpflichtet sich die [Namen des Unternehmens entfernt] zur Online-Kommunikation mit dem Kunden. Dies bedeutet u.a., dass die [Namen des Unternehmens entfernt] die vertragliche Korrespondenz dem Kunden per E-Mail sendet oder in den passwortgeschützten Online-Kundenbereich „Mein [Namen des Unternehmens entfernt]“ einstellt. Mit der Tarifauswahl entscheidet sich der Kunde freiwillig für diese Form der Kommunikation und bestätigt diese über das Einverständnis in die AGB per Opt-In.[…]

Antwort des Datenschutzbeauftragten, Firmen- und Produktnamen entfernt

Der Vollständigkeit halber sei der Passus aus den AGB hier auch aufgeführt:

(1) Wenn Sie sich für Online-Kommunikation entschieden haben, werden Rechnungen und sämtliche sonstigen Mitteilungen zur Durchführung dieses Stromvertrags Ihnen per E-Mail zugesendet oder in Ihrem persönlichen „Mein [Namen des Unternehmens entfernt]“ Bereich als PDF-Dateien zur Verfügung gestellt.
[Namen des Unternehmens entfernt] wird Sie stets über eine neue Einstellung in Ihrem „Mein [Namen des Unternehmens entfernt]“ Bereich per E-Mail informieren. Sie verzichten ausdrücklich auf den postalischen Versand von Rechnungen und sonstigen Mitteilungen durch [Namen des Unternehmens entfernt]. [Namen des Unternehmens entfernt] behält sich das Recht vor, einzelne Mitteilungen, wie z. B. Mahnungen, per Post versenden zu dürfen.
(2) [Namen des Unternehmens entfernt] stellt Ihnen zur Abwicklung des Vertrags einen passwortgeschützten persönlichen Zugang zum geschlossenen „Mein [Namen des Unternehmens entfernt]“ Bereich online zur Verfügung. Hierfür müssen Sie sich mit Ihrer E-Mail Adresse und einem Passwort registrieren. Um die Online-Vertragsabwicklung gewährleisten zu können, sind Sie verpflichtet, die technischen Voraussetzungen, wie insbesondere Zugang zu einem PC mit Internetanschluss und installiertem Browserprogramm und E-Mail-
Adresse, zu schaffen sowie zu unterhalten. Sie sind verpflichtet, [Namen des Unternehmens entfernt] stets eine aktuelle empfangsbereite E-Mail-Adresse anzugeben

relevanter Auszug aus den AGB des Versorgers, Firmen- und Produktnamen entfernt

Bewertung der Antwort des Datenschutzbeauftragten

Die Antwort des Datenschutzbeauftragten und das Verhalten des Unternehmens kranken hier gleich an zwei wichtigen Punkten:

  1. Bedeutet eine Vereinbarung zur elektronischen Kommunikation keine Vereinbarung zur unsicheren elektronischen Kommunikation. Es gibt technische Maßnahmen, auch elektronischen Kommunikation sicher zu machen und diese Maßnahmen sind von Unternehmen als Verantwortlichen zu ergreifen.
  2. Außerdem kann eine „Einwilligung in AGB“, die durch das Setzen eines Hakens stattgefunden hat, niemals eine datenschutzrechtliche Einwilligung i.S.d. Artikels 7 DSGVO sein. Es fehlen Aufklärung des Betroffenen, Hervorhebung der Erklärung etc.

Das Verhalten macht also leider deutlich, dass man sich bei dem Unternehmen entweder zu wenig Gedanken um den Schutz der sensiblen Kundendaten gemacht hat oder sich bewusst gegen den Datenschutz entschieden hat und damit die Rechte seiner Kunden bewusst verletzt oder keine Kompetenz in diesem Bereich besitzt. Ich finde keine dieser Möglichkeiten Vertrauen erweckend.

Dass der Datenschutzbeauftragte des Unternehmens offensichtlich mit dem Unternehmenshandeln übereinstimmt, stimmt mich nicht nur traurig, es lässt mich an der Aufgabenwahrnehmung zweifeln.

Fazit und Lehre

  • Wenn Sie E-Mail als Verantwortlicher als Kommunikationsform nutzen, so nutzen Sie bitte auch die Möglichkeiten, die personenbezogenen Daten zu schützen: Nutzen Sie verschlüsselte Archive. Ein Passwort / Geheimnis können Sie mit Ihren Kunden direkt beim Vertragsschluss vereinbaren oder Sie nutzen ein Geheimnis, das beim Vertragsschluss automatisch angefallen ist und nicht allgemein bekannt ist. Beispiele sind die Bankverbindung des Kunden, ggf. verknüpft mit dem Geburtsdatum etc.
  • Wenn sich Kunden bei Ihnen mit einem Datenschutzverstoß oder auch nur einem Hinweis beschweren, so überlegen Sie bitte, ob die Hinweise evtl. eine Grundlage haben. Denn seien wir ehrlich: Unsere Prozesse sind nicht fehlerfrei und durch Fehler und Hinweise können wir lernen und unsere Prozesse verbessern. Das ist auch Datenschutzmanagement und eine der Verpflichtungen, die uns die DSGVO aufgibt.
  • Und wenn Sie eine Einwilligung als Rechtsgrundlage, als Begründung heranziehen, dann achten Sie darauf, dass diese auch wirklich korrekt angefordert und erteilt worden ist, beachten Sie die Anforderungen des Artikels 7 der DSGVO.


Wem vertrauen Sie? S/MIME-Zertifikate in der Praxis

Dienstag, 26. Juli 2011

Erfreulicherweise nimmt der Einsatz von E-Mail-Verschlüsselung und E-Mail-Signierung zu. Es gibt keinen anderen Weg, die Vertraulichkeit von E-Mails zu gewährleisten. An dieser Stelle möchte ich nicht auf die prinzipiellen Möglichkeiten oder die unterschiedlichen Verfahren eingehen, sondern ausschließlich auf Risiken beim S/MIME-Verfahren hinweisen. S/MIME ist nicht prinzipiell schlecht; man darf diese Technik jedoch, wie jede Technik, nicht blind einsetzten, sondern muss sich auch als Benutzer und somit evtl. Laie der Schwächen des Prinzips bewußt sein.

Das Prinzip von S/MIME

Das S/MIME-Verfahren zur Verschlüsselung und Signierung von E-Mails ist in allen aktuellen Mailprogrammen vorhanden. Das Verfahren beruht auf einer Vertrauenshierarchie: Einige zentrale Instanzen, normale Firmen, gelten „per Definition“ als vertrauenswürdig. Dies sind die sogenannten CAs (Certificate Authorities). Diese vertrauen nun anderen Firmen, den Unter-CAs und diese ggf. wiederum Unter-Unter-CAs. Und irgendeine dieser Unter-Unter-CAs bestätigt in einem Zertifikat, dass Sie „Sie“ sind oder Ihr E-Mail-Partner derjenige ist, der er vorgibt, zu sein. Sie vertrauen nun der CA und damit automatisch allen Unter-CAs, Unter-Unter-CAs, etc. sowie allen Zertifikaten, die diese ausgestellt haben. Sie wissen genau, wie die Unter-Unter-CAs Ihre E-Mail-Partner geprüft haben? Sie kennen die internen Maßnahmen aller  (Unter-)CAs genau und sind sich sicher, dass keine „falschen“ Zertifikate ausgestellt werden? OK, damit haben Sie schon die große Schwäche dieses Verfahrens entdeckt. Sie können einem solchen Zertifikat nicht blind vertrauen. Hinzu kommt noch, dass es in den letzten Monate mehrfach „elektronische“ Einbrüche bei CAs und Unter-CAs gegeben hat und es so einen unbefugten Zugriff auf die Zertifizierungsinfrastrukturen gab.

In dem meisten E-Mail-Programmen sind die Zertifikate der CAs jedoch als „vertrauenswürdig“ eingetragen, es wird also eine trügerische Vertrauenswürdigkeit vorgetäuscht: Von E-Mails mit von diesen CAs „unterschriebenen“ Zertifikaten werden mit  einem „Siegel“-Symbol versehen. Sie wissen nun, dass Sie diesem Symbol nicht unüberprüft trauen können.

Es gibt noch einen weiteren Grund für das Misstrauen. Nahezu jede (Unter-)CA bietet verschiedene Qualitäten an: Das eine Zertifikat bestätigt nur, dass die angebliche  Absender-E-Mail-Adresse richtig ist, das andere Zertifikat, dass die E-Mail von der Person verschickt wurde, die im Namen des Zertifikates steht. An den Symbolen im E-Mailprogramm können Sie das nicht unterscheiden. Vielmehr müssen Sie sich die Details der Zertifikate ansehen und überprüfen, wass die CA dort reingeschrieben hat. Ein Text wie „Persona Not Validated“ sagt relativ eindeutig aus, dass die Person eben nicht überprüft wurde. Ein Text wie „Digital ID Class 1“ hat die selbe Bedeutung, ist aber erheblich weniger eindeutig. Und der Aufwand, an ein solches, faktisch nicht viel aussagendes Zertifikat zu kommen, entspricht 5 Minuten: Man braucht nur temporären Zugang zum E-Mail-Server und bekommt das Zertifikat zugeschickt.

Ihre Folgerungen

Die Folgerungen sind einfach:

  1. Vertrauen Sie keinen CAs und von diesen unterschriebenen Zertifikaten, die Sie nicht kennen. Am besten entfernen Sie die CAs aus der Liste vertrauenswürdiger CAs in Ihrem E-Mailprogramm. Dann können Sie gezielt die CAs aufnehmen, denen Sie vertrauen (z. B. Ihrem Arbeitgeber, wenn  dieser eine eigene PKI (Public-Key-Infrastruktur) betreibt und die Personen korrekt überprüft).
  2. Überprüfen Sie die Zertifikate, die an den E-Mails dranhängen. Bei jedem Zertifikat gibt es einen „elektronischen Fingerabdruck“, eine große Zahl. Gleichen Sie diese (einmalig) telefonisch mit Ihrem Partner ab, dann wissen Sie, dass E-Mails, die mit diesem Zertifikat signiert sind, „echt“ sind.
  3. Haben Sie die nicht-vertrauenswürdigen Zertifikate aus Ihrem E-Mailprogramm entfernt (siehe 1.), dann können Sie die telefonisch überprüften Zertifikate aus 2. Ihrem E-Mail-Programm hinzufügen: In Zukunft wird Ihr E-Mailprogramm nur bei genau diesen Absendern das „Siegel“ anzeigen – und Sie müssen den Fingerabruck in Zukunft nicht mehr manuell prüfen.
  4. Das gleiche gillt für die Verschlüssellung in umgekehrter Richtung: Schließlich sollen Ihre Mails ja für den Empfänger passend verschlüsselt sein und nicht für einen dubiosen E-Mail-Partner.

Wenn Sie Fragen haben oder Verschlüsselung bei sich oder Ihrem Unternehmen einführen wollen: Sprechen Sie mich an.