Am vergangenen Wochenende wurde bei blog.stromhaltig der Beitrag „Speichermonitoring: Geld gegen Daten“ veröffentlicht. Vom Verantwortlichen für den Betrieb der Webseite hat die Redaktion heute eine Mail mit weiteren Hintergründen erhalten, die auf einige der Punkte aus dem Artikel eingeht. Wie bereits in der am Ende des ursprünglichen Beitrages ausgeführt, werden viele Fehler durch den Betreiber nicht gemacht, die man auf anderen Portalen sehen kann. Ein Nachtrag…

Unter anderem wurde angemerkt, dass die Definition „Dritter“ nicht eindeutig ist. Ein Finanzinstitut hatte dem Antragssteller eines KFW-Darlehens 275 mitgeteilt, dass man seine Eintragung auf dem Portal nicht nachvollziehen könne. Wie sich rausstellt eine unglückliche Formulierung:

„Zugriff Dritter (insbesondere KfW-Bank) auf personenbezogene Daten:
Die KfW-Bank erhält, wie auch im Rahmen der Datenschutzerklärung explizit festgehalten, keinen Zugriff auf personenbezogene Daten des Monitoringprogramms. Der Nachweis einer Teilnahme zum Monitoring erfolgt über eine Teilnahmebestätigung, die sich Nutzer nach erfolgreicher Registrierung herunterladen bzw. ausdrucken können. Dieser Teilnahmenachweis wird anschließend von den Nutzern selbstständig bei der KfW-Bank eingereicht. Dementsprechend ist auch Ihre Vermutung, die versendeten Emails könnten als Teilnahmenachweis verwendet werden, nicht zutreffend. Die Mittwald CM Service GmbH & Co. KG ist im Rahmen des BDSG nicht als Dritter zu betrachten, da diese (wie bereits erwähnt) im Rahmen einer Auftragsdatenverarbeitung agieren.“

Auch wenn in der Registrierungsbestätigung zwar alle gemachten Angaben vorhanden sind, reicht diese Information nicht aus, um einen Nachweis zu erbringen. Stattdessen ist ein PDF Dokument – Nachweis der Eintragung beim Speichermonitoring   bei der Bank einzureichen, welches nicht gegen Veränderung geschützt ist und keine (erkennbaren) Echtheitsnachweise enthält. Durch diesen Medienbruch ist es der KfW nicht möglich, die tatsächliche Eintragung zu überprüfen. Wie viele sich mit Word, PDFEscape oder anderen Werkzeugen hingesetzt haben und eigene „Nachweise“ gedruckt haben, werden wir wohl nie erfahren. Allein, dass dies jedoch sehr einfach möglich ist, macht die Datensammlung des Speichermonitorings unbrauchbar für wissenschaftliche Auswertungen.

Zum eingesetzten Formular-Mailer wird angemerkt:

„Der verwendete Formmailer TYPO3 6.2.17 stellt laut unseren Webentwicklern die aus sicherheitstechnischen Gründen aktuellste Version dar. Da im Rahmen des aktuellen  Updates keine kritischen Sicherheitslücken geschlossen wurden (siehe Release Notes : http://www.typo3-formhandler.com/footer/history/release-notes/version-171/ ) haben wir hier bisher auf eine Aktualisierung verzichtet. Sollten in Zukunft sicherheitsrelevante Updates erfolgen werden wir diese selbstverständlich einspielen.“

Von dieser Seite ein Lob, dass man sich um die weiteren Punkte kümmern möchte:

„Bezüglich der von Ihnen weiteren aufgezeigten technischen Details (Format des Links in der Registrierungsemail, unverschlüsselte Daten in Bestätigungsemail sowie offener Port auf Server) befinden wir uns in Rücksprache mit unseren Webentwicklern. Wir werden die angesprochenen Punkte analysieren und im Sinne einer verbesserten Datensicherheit überarbeiten.“

Abschließend ein Dank an den Verantwortlichen, dass er diese Ausführungen nachgereicht hat.

Diese „Unstimmigkeiten“ sind Kleinigkeiten und üben zunächst keine Gefahr für die Versorgungssicherheit in Deutschland aus. Viele andere Portal und Webseiten haben allerdings echte Schwachstellen, die man durch die Einschaltung eines entsprechenden Sicherheits-Auditors verhindern kann. Wenn ein Netzbetreiber auf seiner Seite den Kunden erlaubt den Zählerstand einzugeben, man mit einer Falscheingabe erfährt, dass SAP-ISU eingesetzt wird und eine Java Version, die Remote-Code-Execution erlaubt, dann weiß man, dass es mit der Digitalisierung der Energiewende noch nicht sehr weit voran geschritten ist.

Den Beitrag "Nachtrag: Speichermonitoring und der Datenschutz offline Lesen:

Kommentar hinterlassen

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

benötigt