Erneut machte die Datenschutzbehörde auf sich aufmerksam: Gegen die Telekommunikationsfirma 1&1 Telecom GmbH hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.
Laut offizieller Meldung hatte das Unternehmen keine hinreichenden technischen- und organisatorischen Maßnahmen etabliert, um einem Unberechtigten Zugriff auf Kundendaten zu verhindern. Ein Anrufer bei der Kundenbetreuung konnte ausschließlich mit Angabe eines Namens und Geburtsdatums auf weitere weitreichende gespeicherten Informationen Zugriff erhalten. Genau in diesem Authentifizierungsverfahren sieht das BfDI einen Verstoß gegen Artikel 32 DSGVO, in dem ein Unternehmen auf geeignete technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten verpflichtet wird.
Was sind aber geeignete technische und organisatorische Maßnahmen, wenn eine Person über Telefon authentifiziert werden soll? Um sich zu authentifizieren kann die Person am anderen Ende des Hörers nicht einfach ihren Personalausweis vorlegen. Das Problem betrifft nicht nur den Zugriff auf weitere Informationen über Telefon, sondern auch Initiierung von Aufträgen, wie das Löschen von Informationen, oder in einem Supportfall einen Neustart eines Servers. Der Authentifizierungsprozess wird sicher gestärkt, wenn weitere Abfragen zusätzlicher Angaben vorgenommen werden. Aber wie viele Informationen, dazu gibt es von Seiten der Datenschutzbehörde keine Stellungnahme, sind erforderlich, damit ein Schutz ausreichend gewährleistet wird? Weiter müssen wohlmöglich auch noch weitere (nicht erforderliche) Informationen gespeichert werden, welche dann auch noch öffentlich am Telefon übermittelt werden müssen.
Lösungsansatz einer Zwei-Faktor-Authentisierung
Solche Mehrfaktor-Authentisierung begegnet man bereits im Alltag. Beim Online-Banking, Debit- oder Kreditkartenzahlung oder auch bei Cloud- oder Mail-Anbieter und Social Media Plattformen. Ein Nutzer meldet sich bei eine Onlinedienst mit seinem Nutzer und Passwort an und bekommt ein Einmalkennwort, z.B. an sein Mobilgerät, übermittelt. Dieses Einmalkennwort wird als zweiter Faktor genutzt und muss der Nutzer beim Login-Vorgang zusätzlich eingeben. Erst dann wird der Zugang gewährt.
Solche eine Zwei-Faktor-Authentisierung kann zusätzlich auch zur Authentisierung einer Person am Telefon genutzt werden, sodass ein Benutzer sich mittels eindeutiger Anmeldeinformationen am Telefon authentisiert. Z.B. über den Supportmitarbeiter wird der Anrufer geprüft und Mittels einem TAN/OTP-Systeme ein zeitlich begrenztes Einmalkennwort generiert. Dieses Einmalkennwort wird dem Benutzer auf seinem Endgerät über SMS (mTAN, smsTAN) übermittelt. Jetzt gleichen Nutzer und Supportmitarbeiter dieses Einmalkennwort ab und der Nutzer wird eindeutig identifiziert.
Als Nachteil muss benannt werden, dass sich durch die Mehrfaktor-Authentisierung der Prozess zeitlich verlängert. Auch muss das Risiko betrachtet werden, dass bei einem fehlenden Zugriff auf den besitzbasierten Faktor (z.B. Telefon) der Zugang zum entsprechenden Dienst oder seine Funktionalität eingeschränkt wird. Hier müssten „Ausweichszenarien“ geschaffen werden. Doch ist ein großer Vorteil, dass durch diese weitere Barriere eines zweiten Faktors ein Fremdzugriff entgegengewirkt wird.
Quellen:
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit