Technischer Schutz und Prozesse bei Datenlecks
1. Einleitung
Nach meinem Umzug 2014 in die USA war ich ein Jahr später von dem Anthem medical data breach und zwei Jahre später von dem 2017 Equifax data breach betroffen. Damals hatte ich mir Gedanken gemacht, wie ich mit solchen Datenleaks umgehen bzw. wie ich mich davor schützen kann.
Stefan Thierolfhttps://creativecommons.org/licenses/by-nc-sa/4.0/https://thierolf.org/pages/impressum-imprint/2. Technischer Schutz
Da ich meinen eigenen Mail-Server betreibe kann ich beliebig viele Email-Accounts bzw. Email-Aliase erstellen. Um das Riskio zu streuen, bekommt jeder Service, den ich im Internet nutze, eine eigene Email-Adresse in dem Format:
datenlecktracker-[SERVICE]@example.com
Jeder Service bekommt ein zufallsgeneriertes Passwort (Großschreibung, KLeinschreibung, Zahlen, Sonderzeichen). Minimum sind 32 Zeichen, leider lassen einige Services nur ein 10-stelliges oder 20-stelliges Passwort zu. Die Passwörter sind dann in einen KeePass Passwort Safe.
3. Multi-Factor-Authentication
Wenn möglich setze ich Multi-Factor-Authentication ein, allerdings ohne Mobiltelefon bzw. Authenticator-App. Da in den letzen Datenlecks ebenfalls die Mobiltelefonnummer dabei war (Siehe Datenleck bei Twitter: Cyberkrimineller bietet 5,4 Millionen Konten zum Verkauf) halte ich dieses Risiko für zu hoch. Weiterhin können das Mobiltelefon gestohlen, vergessen oder wie bei mir zur Zeit sich in Reparatur befinden.
Daher halte ich die bessere Lösung ein Hardware-Token wie z.B. ein Yubikey. Leider wird dies noch nicht von allen Services die ich nutze unterstützt.
Stefan Thierolfhttps://creativecommons.org/licenses/by-nc-sa/4.0/https://thierolf.org/pages/impressum-imprint/4. Prozesse
4.1. Änderung des Accounts
Nach einem bekannt gewordenen Datenleck wird die Email-Adresse entsprechend um das Datum des Datenlecks ergänzt, also:
datenlecktracker-[SERVICE]-[DATUM]@example.com
Das Passwort für den Dienst wird ebenfalls neu zufallsgeneriert.
4.2. DSGVO-Auskunft
Nach einem Datenleck fordere ich immer eine DSGVO-Auskunft nach Artikel 15 an. Dies hilft, anhand der hinterlegten Daten bei dem Service, das Risiko einschätzen zu können. Das Risiko schätze ich (vereinfacht, also trifft zu: ja/nein) anhand der folgenden Kriterien ein:
Diskriminierung
Identitätsdiebstahl
Lebensgefahr
Existenzgefährdung
Finanzieller Schaden
Rufschädigung
Bloßstellung
Verlust Arbeitsplatz
Geheimnisoffenbarung
Gesellschaftliche Nachteile
Wirtschaftliche Nachteile
Leider scheint es im Jahr 2022 so zu sein, dass verschiedene Unternehmen eine DSGVO-Auskunft nicht Ernst nehmen. Die DSGVO-Auskunft erhält man erst nach mehreren Nachfragen (per Portal, per Email oder telefonisch) und teilweise auch nach Ablauf der Frist von einem Monat. Dies erschwert leider die persönliche Risiko-Bewertung.
Eine Risiko-Bewertung nach dem Anthem Data Breach sah dann wie folgt aus:
Diskriminierung: Nein
Identitätsdiebstahl: Ja, da Social Security Number
Lebensgefahr: Nein
Existenzgefährdung: Ja, da Financial data
Finanzieller Schaden: Ja, da Financial data
Rufschädigung: Nein
Bloßstellung: Ja, da Medical data
Verlust Arbeitsplatz: Nein
Geheimnisoffenbarung: Ja, da Financial data, Medical data
Gesellschaftliche Nachteile: Ja, da Financial data, Medical data
Wirtschaftliche Nachteile: Ja, da Financial data, Medical data
4.3. Evaluierung ob der Dienst weiterhin benötigt wird
Je weniger Dienste genutzt werden, desto geringer ist das Riskio von einem Datenleck betroffen zu sein. Von daher prüfe ich, ob ich den Service in den letzten zwei Jahren in Anspruch genommen habe. Falls nein, kann dort der Account gelöscht werden.
4.4. Weitere Prozesse
Falls die DSGVO-Auskunkft nicht vollständig oder nach Ablauf eines Monats erteilt wird, Beschwerde bei der zuständigen Aufsichtsbehörde.
Strafanzeige bei Erpresser-Emails oder unberechtigter Kontoabbuchung.
Usw…