Netzpolitik

Aufregung um angebliches Datenleck bei Handy-Signatur

Die Handy-Signatur ist spätestens in aller Munde, seit man sich damit den „Grünen Pass“ sowie seinen „e-Impfpass“ ausstellen kann. Auf die Registrierung gab es einen regelrechten Run. Doch alle, die die Handy-Signatur bereits vor Mai 2018 beantragt haben, sollten nun aufpassen: Dann könnte es passiert sein, dass Personendaten öffentlich abrufbar sind.

Auf Github war am Montag ein Read-Me-Dokument aufgetaucht, welches als „A-Trust-Leak“ betitelt wurde. A-Trust ist die Firma, die hinter der Handy-Signatur steht. Kurz darauf wurde auf Reddit ein Thread erstellt mit dem Titel „1 Mio. Personendaten der Handy-Signatur veröffentlicht“.

Personenbezogene Daten mit Public Key

Konkret geht es darum, dass personenbezogene Daten wie Vor- und Nachname, die verwendeten A-Trust-Produkte sowie das Sicherheitszertifikat (Public Key) öffentlich über einen Verzeichnisdienst abrufbar sind, optional dazu die E-Mail-Adresse sowie das Geburtsdatum und zwar ohne, dass die Nutzer*innen darüber Bescheid wissen. Unter den E-Mail-Adressen befinden sich teilweise Mail-Adressen aus Finanzministerium oder von Banken. Auch Mail-Adressen von ÖBB, Post, A1 und OMV sind darunter zu finden. Die Daten sollen zudem seit „mindestens 2016“ abrufbar sein, ein kleiner Datenauszug wurde von den „Leaker*innen“ auf Github veröffentlicht. Prüfen lässt sich außerdem, ob jemand noch eine gültige Handy-Signatur hat, oder ob diese bereits abgelaufen ist.

A-Trust selbst weist auf Reddit und in einer Stellungnahme auf ihrer Website die Vorwürfe zurück. Es sei der Sinn von Verzeichnisdiensten, dass dort die Identität von Zertifikatsnutzer*innen geprüft werden könne. "Die Aufgabe eines Vertrauendiensteanbieters liegt darin, die Identität der Zertifikatsnutzer*innen gemäß der gesetzlichen Vorgaben festzustellen und gegenüber Dritten zu bestätigen. Zu diesem Zweck wird ein entsprechender Verzeichnisdienst geführt, über den Empfänger*innen einer Signatur die Authentizität eines Zertifikats überprüfen können“, heißt es seitens A-Trust. Mit dem Verzeichnis könne zudem nachvollzogen werden, ob ein Zertifikat tatsächlich von A-Trust ausgestellt worden sei. Für A-Trust handelt es sich dabei also um eine Art „Telefonbuch“ für die Verschlüsselung und Prüfung von Zertifikaten.

Kritik auf Github

Die Menschen, die das Datenleck auf Github veröffentlicht haben, kritisieren, dass die A-Trust die Bürger*innen, die den Dienst nutzen, nicht entsprechend über die Speicherung der personenbezogenen Daten in diesem öffentlichen Verzeichnis hingewiesen habe. Auch in der Datenschutzerklärung sei davon keine Rede, diese erwähne hingegen ausdrücklich, dass personenbezogene Daten nicht weitergegeben werden. Zudem würde sich das Verzeichnis der Aussage von A-Trust widersprechen, „Daten der Handy-Signatur in einem Hochsicherheitsserver zu speichern und nur bei Bedarf abzurufen“, wie es auf der Website von A-Trust zum Produkt heißt.

A-Trust behauptet, dass die Daten nur mit Zustimmung der Nutzer*innen veröffentlicht worden seien. Laut denjenigen, die den „Leak“ festgestellt haben, soll es ein Häkchen gegeben haben, welches man gezielt wegklicken musste, wenn man nicht haben wollte, dass die Daten über einen gespeichert werden (Opt-Out). Das ist jetzt nicht mehr direkt nachprüfbar, da dieses Häkchen nach Mai 2018 und in Krafttreten der Datenschutzgrundverordnung (DSGVO) schlichtweg abgeschafft worden ist. Neuere Signaturen werden nicht mehr im Verzeichnisdienst aufgenommen.

Update (25.8.2021): "Falls jemand nicht mehr in dem Verzeichnis aufscheinen möchte, kann man jederzeit kostenlos eine E-Mail an hilfe@a-trust.at schicken und man wird ausgetragen", heißt es seitens A-Trust.

Update 2 (25.8.2021): Diejenigen, die den angeblichen Datenleak auf Github bekannt gemacht hatten, haben am Mittwoch damit begonnen, User*innen-Daten aus dem Verzeichnis runterzuladen. "Die derzeitige Zwischenbilanz an personenbezogene Datensätze, die wir uns mit einem Script nun runtergeladen haben, liegt bei 2,1 Millionen Daten mit 340.000 E-Mail Adressen von österreischischen Bürger*innen", heißt es. Offenbar befinden sich damit weitaus mehr Daten in dem öffentlichen Verzeichnis als bisher angenommen.

„Die A-Trust mit dem Slogan: "Einfach Sicher" erweckt bei mir kein Vertrauen“, heißt es von denjenigen, die die Sache auf Github veröffentlicht haben. „Bei A-Trust genießt die Sicherheit der persönlichen Daten der User*innen einen hohen Stellwert“, heißt es seitens A-Trust.

Was bei A-Trust schon passiert ist

Es ist nicht das erste Mal, dass es Wirbel um A-Trust und die Handy-Signatur gibt: Im Sommer gab es Tage, an denen der Run auf die Signatur so groß war, dass die Server in die Knie gingen. Im Jahr 2018 gab es eine etwas kuriose "Sicherheitslücke" beim Registrieren und im Jahr 2015 gab es einen großen Fauxpas bei Sicherheitszertifikaten. Zahlreiche Behörden-Websites konnten deshalb nicht mehr aufgerufen werden.

Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Vortragende. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen