thierolf.org - Vom Hirn ins Terminal seit 1998.

Technischer Schutz und Prozesse bei Datenlecks

Written by Stefan on . Modified on . Posted in Blog. Tags: #security 

1. Einleitung

Nach meinem Umzug 2014 in die USA war ich ein Jahr später von dem Anthem medical data breach und zwei Jahre später von dem 2017 Equifax data breach betroffen. Damals hatte ich mir Gedanken gemacht, wie ich mit solchen Datenleaks umgehen bzw. wie ich mich davor schützen kann.

Anthem Breach Notification

2. Technischer Schutz

Da ich meinen eigenen Mail-Server betreibe kann ich beliebig viele Email-Accounts bzw. Email-Aliase erstellen. Um das Riskio zu streuen, bekommt jeder Service, den ich im Internet nutze, eine eigene Email-Adresse in dem Format:


    datenlecktracker-[SERVICE]@example.com

Jeder Service bekommt ein zufallsgeneriertes Passwort (Großschreibung, KLeinschreibung, Zahlen, Sonderzeichen). Minimum sind 32 Zeichen, leider lassen einige Services nur ein 10-stelliges oder 20-stelliges Passwort zu. Die Passwörter sind dann in einen KeePass Passwort Safe.

3. Multi-Factor-Authentication

Wenn möglich setze ich Multi-Factor-Authentication ein, allerdings ohne Mobiltelefon bzw. Authenticator-App. Da in den letzen Datenlecks ebenfalls die Mobiltelefonnummer dabei war (Siehe Datenleck bei Twitter: Cyberkrimineller bietet 5,4 Millionen Konten zum Verkauf) halte ich dieses Risiko für zu hoch. Weiterhin können das Mobiltelefon gestohlen, vergessen oder wie bei mir zur Zeit sich in Reparatur befinden.

Daher halte ich die bessere Lösung ein Hardware-Token wie z.B. ein Yubikey. Leider wird dies noch nicht von allen Services die ich nutze unterstützt.

Yubikey

4. Prozesse

4.1. Änderung des Accounts

Nach einem bekannt gewordenen Datenleck wird die Email-Adresse entsprechend um das Datum des Datenlecks ergänzt, also:


    datenlecktracker-[SERVICE]-[DATUM]@example.com

Das Passwort für den Dienst wird ebenfalls neu zufallsgeneriert.

4.2. DSGVO-Auskunft

Nach einem Datenleck fordere ich immer eine DSGVO-Auskunft nach Artikel 15 an. Dies hilft, anhand der hinterlegten Daten bei dem Service, das Risiko einschätzen zu können. Das Risiko schätze ich (vereinfacht, also trifft zu: ja/nein) anhand der folgenden Kriterien ein:

Leider scheint es im Jahr 2022 so zu sein, dass verschiedene Unternehmen eine DSGVO-Auskunft nicht Ernst nehmen. Die DSGVO-Auskunft erhält man erst nach mehreren Nachfragen (per Portal, per Email oder telefonisch) und teilweise auch nach Ablauf der Frist von einem Monat. Dies erschwert leider die persönliche Risiko-Bewertung.

Eine Risiko-Bewertung nach dem Anthem Data Breach sah dann wie folgt aus:

4.3. Evaluierung ob der Dienst weiterhin benötigt wird

Je weniger Dienste genutzt werden, desto geringer ist das Riskio von einem Datenleck betroffen zu sein. Von daher prüfe ich, ob ich den Service in den letzten zwei Jahren in Anspruch genommen habe. Falls nein, kann dort der Account gelöscht werden.

4.4. Weitere Prozesse

Falls die DSGVO-Auskunkft nicht vollständig oder nach Ablauf eines Monats erteilt wird, Beschwerde bei der zuständigen Aufsichtsbehörde.

Strafanzeige bei Erpresser-Emails oder unberechtigter Kontoabbuchung.

Usw…