Zum Inhalt der Seite gehen


Die gute @evawolfangel hat wieder etwas tiefer an der Materie Sicherheit gebohrt, diesmal bei der D-Trust.

zeit.de/digital/datenschutz/20…

Paywall, aber dazu kurz ein paar Infos:

Es ist für einen "qualifizierten Vertrauensdienstleister" wie die D-Trust ehrlich gesagt untragbar, so banale Lücken wie Insecure Direct Object References (Nummern hochzählen in Endpunktem) überhaupt auch nur zu haben. Das Business von Vertrauensdienstleistern ist Trust, dazu gehört vor allem Vertraulichkeit und Integrität…

Eva Wolfangel hat dies geteilt.

Als Antwort auf Bianca Kastl

Wenn wir auf den Impact dessen sehen, schwankt die Schätzung über das genaue Ausmaß.

Der MDR geht davon aus, es seien "mindestens 65.000 Menschen in Deutschland betroffen – darunter Ärzte, Justizangestellte, Richter, Gerichtsvollzieher, Rechtsanwälte."

Der Impact geht nach der Recherche von Eva eher noch höher.

Das Problem an solchen trivialen Angriffen ist, dass sie massenhafte Türöffner für sehr gezieltes Phishing auf allerlei Personen sein können, die Schlüssel zu wichtigen Systemen haben

Als Antwort auf Bianca Kastl

(Referenz MDR mdr.de/nachrichten/deutschland…)
Als Antwort auf Bianca Kastl

Weil die D-Trust aber ein sehr spezieller Laden ist, eine Behörde quasi, passiert jetzt vielleicht aber … gar nichts.

"Unklar ist bislang, ob die zuständige Bundesdatenschützerin eine Geldbuße verhängen will. D-Trust ist eine 100-prozentige Tochter des Bundes. Und Datenschützer können hierzulande eigentlich keine Bußgelder gegen andere Behörden verhängen – anders als in anderen Ländern, die die Datenschutzgrundverordnung der EU strenger auslegen."

Damit trauen sich weiter alle selbst.

Als Antwort auf Bianca Kastl

Es gruselt mich, dass die da allen ernstes IDORs verwendet haben. Die Aussage über Bußgelder nach DSGVO gg. Behörden in dem Artikel ist aber nicht ganz richtig. In der DSGVO heißt es:
„[J]eder Mitgliedstaat [kann] Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.“ (Art. 87 Abs. 7) Mitgliedstaaten können also auch davon absehen, Bußgelder gegen… (1/3)
Als Antwort auf funkybyrd 🐦‍🔥

…Behörden vorzusehen („ob“). Genau davon hat der Bundesgesetzgeber in § 43 Absatz 3 BDSG Gebrauch gemacht. Begründer wurde dies damit, dass Bußgelder gegen eine Behörde immer den öffentlichen Haushaltstopf beträfen („linke Tasche, rechte Tasche“). Das kann man auch kritisch sehen, aber europarechtlich geht das. (2/3)
Als Antwort auf funkybyrd 🐦‍🔥

Die Datenschutzaufsicht kann trotzdem einiges tun: Sie kann D-Trust Weisungen erteilen und sie kann die weitere Verarbeitung untersagen. Gerade letzteres wäre aus meiner Sicht bei so groben Lücken angebracht und würde Handlungsdruck bei D-Trust aufbauen. (3/3)
Als Antwort auf Bianca Kastl

Würde sagen, man könnte das zum Anlass nehmen, die Befugnisse und Sanktionierungsmöglichkeiten der Datenschützer:innen auszuweiten 🤔.

Irgendeine Art von Kontrolle muss es ja geben, sonst können wir das mit dem Qualitäts- und Sicherheitsanspruch (gerade bei sensiblen Daten) gleich bleiben lassen…

Als Antwort auf Bianca Kastl

Zu den Möglichkeiten, wie sich Behörden belangen lassen würde:

mastodon.social/@funkybyrd/113…


Es gruselt mich, dass die da allen ernstes IDORs verwendet haben. Die Aussage über Bußgelder nach DSGVO gg. Behörden in dem Artikel ist aber nicht ganz richtig. In der DSGVO heißt es:
„[J]eder Mitgliedstaat [kann] Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.“ (Art. 87 Abs. 7) Mitgliedstaaten können also auch davon absehen, Bußgelder gegen… (1/3)

Als Antwort auf Bianca Kastl

Und weil D-Trust (bzw Bundesdruckerei) keine "echte" Behörde ist, gilt übrigens leider nicht das Auskunfsrecht der Presse. Die suchen sich einfach das Beste aus beiden Welten heraus.

Bianca Kastl hat dies geteilt.

Als Antwort auf Eva Wolfangel

na dann ist der Spitzname mit d(on't)-trust gerechtfertig, oder? Gerade einer Firma der man vertrauen soll, sollte Transparenz gut zu Gesicht stehen...
Als Antwort auf Rince

@rince In Österreich nennen sie die A-Trust ja auch AMinusTrust. Ich wäre auch für D von nichts Anderem ausgegangen.
Als Antwort auf Eva Wolfangel

@ulrichkelber Wobei sie aktuell vor allem auch mit den laufenden Ermittlungen argumentieren.
Das schlägt das vermutlich, oder?
@bkastl
Als Antwort auf Eva Wolfangel

Müsste es nicht zumindest Kommunikation mit den zuständigen Aufsichtsbehörden geben?

Die sollten ja nicht ausgenommen sein.

Afaik sind das BSI, BfDI und BMF oder?

Dieser Beitrag wurde bearbeitet. (3 Tage her)
Als Antwort auf Eva Wolfangel

warum sollte das pauschal die Veröffentlichung von Informationen verhindern? Die müssten schon nachvollziehbar erläutern, dass ein öffentliches Bekanntwerden der Informationen die Ermittlungen behindert.
Als Antwort auf Ulrich Kelber

@ulrichkelber
das der bund noch immer torbrowser/Tornetzwerk aussperrt zeugt von Ignoranz und offensichtlichem Unvermögen.

Musste @bfdi unbedingt sich dort hosten? Gab es keine andere Möglichkeit Zugang zu Dokumenten zu ermöglichen?

@evawolfangel @bkastl

Als Antwort auf Bianca Kastl

Und wieviele außerhalb Deutschlands? Wäre ja offenbar wichtig, da zusätzlich zu BfDI als lead supervisory authority noch jemand anders mit reinzubekommen.
Als Antwort auf Bianca Kastl

Echt jetzt, das triviale "Nummern hochzählen in Endpunkten" hat einen hochtrabenden Namen?

"Insecure Direct Object References"

Als Antwort auf Bianca Kastl

Dazu auch noch: groups.google.com/a/mozilla.or…

Irgendwie glaube ich denen langsam nicht mehr, dass sich so ein Fuckup nicht durch mehr als eine Abteilung zieht.

Als Antwort auf Bianca Kastl

falls es noch nicht erwähnt wurde: Eva hat in ihrem Thread einen gifted Link zu ihrem Artikel am Start. 😘
Als Antwort auf Bianca Kastl

war nicht die Regel, dass wenn man dranschreibt, was es sein soll, man es sonst nicht erkennt? Das L bei LDAP, das 2. D bei DDR, hier jetzt Trust...