GDPiRate: Seitenkanalangriff deckt DSGVO-Sicherheitslücken auf

Die Datenschutzgrundverordnung (DSGVO) ist letztes Jahr im Mai in Kraft getreten. Seitdem gab es viele Umstellungen, wobei die gravierendste und offensichtlichste beim täglichen Surfen wohl die Cookie-Banner sind, die jetzt überall auftauchen. Eine weitere Neuerung ist das Recht auf Zugriff auf persönliche Daten durch die Nutzer. Drei Studien zeigen nun, dieser Zugriff ermöglicht Angreifern den Diebstahl von Daten. GDPiRate, ein Seitenkanalangriff, ist dabei von unserem Gründer Matteo Große-Kampmann erstellt worden und deckt DSGVO-Sicherheitslücken auf.

GDPiRate und andere Angriffe erklärt

Seitenkanalangriffe sind eigentlich nichts neues in der Informatik. Wir berichteten beispielsweise über die vier Angriffe auf Intel Prozessoren im April. Hier werden eigentlich geheime Informationen, die auch tatsächlich verschlüsselt vorliegen, über Seitenkanäle, beispielsweise den Stromverbrauch eines Mikrochips, abrufbar gemacht. Die DSGVO hat nun ebenfalls einen Seitenkanal eingeführt, nämlich den Abruf von privaten Informationen durch unberechtigte Dritte. Eigentlich läuft ein „Subject Access Request“ (SAR) so ab:

  • als Nutzer möchte ich Zugang zu meinen Daten erhalten also schreibe ich eine E-Mail, dass ich von diesem Recht Gebrauch machen möchte.
  • entweder erhalte ich die Daten direkt auf die Mail zurück oder ich werde auf einen Punkt innerhalb eines Portals verwiesen, auf dem ich die Daten abrufen kann oder es werden weiterer „Identifizierungsmerkmale“ abgefragt.

Soweit, so simpel. Was wir uns nun aber gefragt haben ist: Was, wenn im Namen einer anderen Person Daten angefragt werden?

Angriffe wie GDPiRate zeigen DSGVO-Sicherheitslücken auf

Werden wir auf eine Funktion innerhalb der Plattform wie beispielsweise bei Spotify oder Facebook verwiesen, dann sind die privaten Daten so sicher, wie die Passwörter die wir auf der Plattform zum Login vergeben. Diese Form der Datenabfrage ist nach allen drei Studien wohl die sicherste. Digitalkonzerne verwenden meist diese Form der Bereitstellung.

Mariano di Martino zeigt in seiner ausführlichen Studie zu Datenabfragen in Belgien, dass hier viele Unternehmen noch nicht soweit sind. 15 der von ihm getesteten 41 Unternehmen geben private Daten auf gefälschte Anfragen preis.

Pavur zeigt in seiner Studie, die er auf der Blackhat veröffentlichte, dass auf 150 seiner Anfragen 72% der Unternehmen antworteten und Daten versendeten.

Unser Mitgründer Matteo analysierte gezielt Unternehmen in Deutschland auf deren Reaktion und die Resultate sind ebenfalls schockierend. Von 14 angefragten Unternehmen schicken 10 private Informationen zurück. Der Angriff ist im folgenden Bild schematisch aufgezeigt.

Ablauf des GDPiRate Angriffs. Darstellung aus der Studie von Matteo Große-Kampmann GDPirate

Was bedeuten Angriffe wie GDPiRate für Nutzer und Unternehmen?

Die DSGVO-Sicherheitslücken zeigen, dass Unternehmen private Nutzerdaten vor solchen Fremdzugriffen besser schützen müssen. Auch wenn die Reaktionszeit auf einen SAR mit einem Monat recht kurz ist, sind die Ergebnisse aller drei Studien erschreckend. Sie zeigen, dass die wenigsten Unternehmen Prozesse oder Mechanismen etabliert haben, um sich vor gefälschten SARs zu schützen. Ein besserer Mechanismus zur Identifikation von Nutzern muss eingesetzt werden. Ein möglicher Lösungsansatz könnte XignQR der XignSys sein, der aktuell hier in Gelsenkirchen entwickelt wird.

Die erbeuteten Informationen eignen sich wunderbar für einen (gezielten) Social Engineering Angriff auf einzelne Nutzer – eines der aktuell größten Risiken im Bereich Cybersecurity. Ein Angreifer braucht also nichts weiter tun, als SARs zu fälschen und die Ergebnisse an sich zurückzuschicken, um Informationen über seine Opfer zu erhalten. Dabei kann er wählen ob finanzielle, gesundheitliche oder sonstige Informationen für ihn relevant sind.

Nutzer haben am Ende kaum die Möglichkeit sich effizient zu schützen. Als Nutzer bleibt mir nur mit sogenannten „identitätsstiftenden Merkmalen“, beispielsweise dem Geburtsdatum, noch sparsamer umzugehen und genau bedenken, wo ich diese Informationen preisgebe und wer diese Informationen einsehen kann. Die Privatsphäreeinstellungen der einzelnen Plattform können dabei helfen, Daten nur für bestimmte Personen sichtbar zu machen.

PS. Accounts, die nicht mehr benötigt werden, können mit der Hilfe unserer Website cyberpflege.de gelöscht werden. Daten, die nicht vorhanden sind, können auch nicht in fremde Hände gelangen.