Die Datenschutz-Grundverordnung (DSGVO) ist eines der ambitioniertesten Datenschutzgesetze. Sie gibt Bürgern umfassende Rechte über ihre eigenen Daten und fordert Unternehmen zu Transparenz. Doch wie bei jedem mächtigen Werkzeug gibt es auch eine Kehrseite: Genau die Mechanismen, die Daten eigentlich schützen sollen, lassen sich unter bestimmten Umständen als Angriffsvektor missbrauchen. Im Zentrum steht dabei das Auskunftsrecht nach Art. 15 DSGVO – ein Recht, das eigentlich dafür gedacht ist, dass Betroffene erfahren, welche Daten ein Unternehmen über sie gespeichert hat. In den Händen eines Angreifers wird dieses Recht jedoch zum Werkzeug für Identitätsdiebstahl und Social Engineering.
Worum geht es?
Art. 15 DSGVO gewährt jeder betroffenen Person das Recht, von einem Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden. Ist das der Fall, hat die Person Anspruch auf Auskunft über die verarbeiteten Daten, die Verarbeitungszwecke, Empfänger, Speicherdauer und die Herkunft der Daten. Zusätzlich kann sie nach Art. 15 Abs. 3 DSGVO eine Kopie aller gespeicherten personenbezogenen Daten verlangen.
Unternehmen sind verpflichtet, diese Anfragen innerhalb eines gewissen Zeitraums (in der Regel einen Monat) zu beantworten. Bei Verstößen drohen den Unternehmen empfindliche Bußgelder. Dieser Druck erzeugt ein Dilemma: Unternehmen wollen compliant sein und die Frist einhalten, haben aber gleichzeitig die Pflicht sicherzustellen, dass die anfragende Person tatsächlich diejenige ist, für die sie sich ausgibt. Die DSGVO selbst macht dazu keine konkreten Vorgaben. Art. 12 Abs. 6 fordert lediglich, dass der Verantwortliche “alle vertretbaren Mittel” nutzen soll, um die Identität zu überprüfen – was das im Einzelfall bedeutet, bleibt offen. Genau diese Lücke können Angreiffer ausnutzen.
James Pavur’s Vortrag auf der Black Hat 2019
Genau dieses Thema wurde bereits im Jahr 2019 auf der Black Hat Konferenz in Las Vegas aufgegriffen. James Pavur präsentierte dort die Ergebnisse eines Experiments mit dem Titel „GDPArrrrr: Using Privacy Laws to Steal Identities". Mit Einwilligung seiner Verlobten verschickte er über 150 Auskunftsanfragen an Unternehmen, bei denen sie Kundin war – allerdings gab er sich dabei als sie aus. Als Identitätsnachweis verwendete er ausschließlich öffentlich verfügbare Informationen wie Name und E-Mail-Adresse, die sich mit einfachen OSINT-Methoden beschaffen lassen.
Die Ergebnisse waren ernüchternd. Rund ein Viertel der angefragten Unternehmen lieferte sensible Daten, ohne eine nennenswerte Identitätsprüfung durchzuführen. Weitere 15 Prozent verlangten zwar eine Verifikation, akzeptierten aber Nachweise, die sich leicht fälschen ließen – etwa eine einfache schriftliche Erklärung, die betroffene Person zu sein. Eine kleine Gruppe von drei Prozent interpretierte die Auskunftsanfrage sogar fälschlicherweise als Löschanfrage und löschte das Konto der Verlobten, ohne überhaupt nachzufragen.
Die Art der preisgegebenen Daten war dabei teilweise erschreckend. Ein Unternehmen lieferte die vollständige Sozialversicherungsnummer, ohne vorher auch nur eine einzige Rückfrage zu stellen. Andere Unternehmen gaben Kreditkartennummern, Sicherheitsfragen und deren Antworten, vollständige Reisehistorien oder detaillierte Hotelaufenthalte heraus. Pavur fasste die Situation folgendermaßen zusammen: Vier Eigenschaften der DSGVO machen sie besonders anfällig für Missbrauch – die Angst vor hohen Bußgeldern, die Ambiguität der Formulierungen, die engen Fristen und die Tatsache, dass am Ende ein Mensch sitzt, der die Anfrage bearbeitet und damit anfällig für Social Engineering ist.
Quelle: Whitepaper - GDPArrrrr: Using Privacy Laws to Steal Identities
Der Fall 1&1
Dass mangelnde Identitätsprüfung nicht nur ein theoretisches Problem ist, zeigte sich 2019 auch in Deutschland. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte gegen die 1&1 Telecom GmbH ein Bußgeld in Höhe von 9,55 Mio. Euro. Der Anlass war vergleichsweise banal: Bei der telefonischen Kundenbetreuung genügte die Nennung von Name und Geburtsdatum, um weitreichende Informationen über einen Kunden zu erhalten. Eine ehemalige Partnerin konnte so die neue Handynummer ihres Ex-Partners erfragen.
Der BfDI bewertete dieses Authentifizierungsverfahren als Verstoß gegen Art. 32 DSGVO, der angemessene technische und organisatorische Maßnahmen zur Datensicherheit fordert. Die Argumentation: Name und Geburtsdatum sind keine geheimen Informationen. Sie lassen sich über soziale Netzwerke, öffentliche Register oder einfache Recherche herausfinden. Eine Authentifizierung, die ausschließlich auf solchen Daten basiert, ist faktisch keine Authentifizierung. Im späteren Verfahren beim Landgericht wurde das Bußgeld auf 900.000 Euro reduziert, das Gericht bestätigte aber den Verstoß. Besonders bemerkenswert war dabei der Einwand von 1&1, dass die Abfrage von Name und Geburtsdatum zum damaligen Zeitpunkt branchenüblich war – was das Gericht als nicht ausreichend erachtete, um den Verstoß zu verneinen. Der Fall machte deutlich, dass das Problem weit über ein einzelnes Unternehmen hinausgeht.
Quelle: Datenschutzbeauftragter verhängt Millionenbußgeld gegen 1&1, Spiegel Online
Wie gehen Angreifer konkret vor?
Das Angriffsszenario ist im Kern einfach und folgt einem strukturierten Ablauf, der sich gut mit den Methoden kombinieren lässt, die bereits im Kontext von OSINT und Pretexting bekannt sind.
In der Vorbereitungsphase sammelt der Angreifer zunächst öffentlich verfügbare Informationen über die Zielperson. Soziale Netzwerke liefern Namen, Geburtsdaten, Arbeitgeber, Wohnort und oft genug auch E-Mail-Adressen. Dienste wie „Have I Been Pwned" zeigen, bei welchen Unternehmen die Zielperson ein Konto hat, wenn deren E-Mail-Adresse in einem Datenleck aufgetaucht ist. Unternehmenswebsites, Handelsregistereinträge und berufliche Netzwerke runden das Bild ab.
Anschließend formuliert der Angreifer eine Auskunftsanfrage, die möglichst professionell und DSGVO-konform wirkt. Vorlagen dafür finden sich zahlreich im Internet, auch auf den Websites der Datenschutzaufsichtsbehörden selbst. Die Anfrage wird per E-Mail an das Unternehmen geschickt, idealerweise von einer E-Mail-Adresse, die der Zielperson ähnelt oder plausibel erscheint. Manche Angreifer nutzen tatsächlich die E-Mail-Adresse der Zielperson, falls sie durch ein früheres Datenleck Zugriff darauf erlangt haben.
Wenn das Unternehmen eine Identitätsverifikation verlangt, hat der Angreifer mehrere Optionen. Die einfachste ist, Informationen zu liefern, die öffentlich verfügbar sind: vollständiger Name, Geburtsdatum, Adresse, Kundennummer (falls aus einem Datenleck bekannt). Wird eine Ausweiskopie verlangt, steigt die Hürde deutlich – aber auch gefälschte Ausweiskopien sind im Zeitalter von Bildbearbeitung und KI-generierten Dokumenten kein unüberwindbares Hindernis.
Was der Angreifer durch eine erfolgreiche Anfrage erhalten kann, variiert stark. Typische Datenkategorien umfassen Kontaktdaten und Adressen, Zahlungsinformationen und Kontodaten, Kaufhistorien und Vertragsdetails, Kommunikationsverläufe, Reisedaten und Aufenthaltsorte, Login-Informationen und in manchen Fällen sogar Sicherheitsfragen und deren Antworten.
Was machen Angreifer mit diesen Daten?
Die erbeuteten Informationen sind in mehrfacher Hinsicht wertvoll. Zunächst einmal eignen sie sich hervorragend für weiterführende Social-Engineering-Angriffe. Wer die vollständige Kaufhistorie einer Person bei einem Online-Händler kennt, kann sich am Telefon als Kundenberater ausgeben und dabei auf konkrete Bestellungen Bezug nehmen. Das schafft Vertrauen und senkt die Hemmschwelle des Opfers, weitere Informationen preiszugeben oder Anweisungen zu befolgen.
Darüber hinaus können die Daten für klassischen Identitätsbetrug genutzt werden: Eröffnung von Konten, Bestellung von Waren auf fremden Namen, Abschluss von Verträgen. Antworten auf Sicherheitsfragen, die ein Unternehmen im Rahmen einer Auskunftsanfrage herausgibt, können verwendet werden, um Konten bei anderen Diensten zu übernehmen – denn die meisten Menschen verwenden dieselben Sicherheitsfragen und Antworten bei verschiedenen Anbietern.
Reisedaten und Aufenthaltsinformationen wiederum können für physische Überwachung oder als Druckmittel in Erpressungsszenarien dienen. Detaillierte Kauf- und Surfhistorien lassen sich für gezieltes Spear-Phishing nutzen, bei dem der Angreifer exakt auf die Interessen und Gewohnheiten des Opfers zugeschnittene Nachrichten erstellt. Im schlimmsten Fall dienen die Daten als Grundlage für Deepfake-basierte Angriffe, bei denen der Angreifer nicht nur weiß, was die Zielperson sagt, sondern auch wie sie es sagt – weil er genügend Kontext über ihr Leben und ihre Kommunikationsweise gesammelt hat.
Warum ist die Abwehr so schwierig?
Das grundlegende Problem liegt in einem systemischen Widerspruch. Die DSGVO verlangt einerseits, dass Unternehmen Auskunftsanfragen schnell und unkompliziert beantworten – die Frist beträgt einen Monat, und die Hürden für den Antragsteller sollen niedrig sein. Andererseits dürfen Unternehmen die Identität des Antragstellers nicht zu umfassend prüfen, da dies als unverhältnismäßig gelten könnte und selbst gegen die DSGVO verstoßen würde. Die Anforderung einer notariell beglaubigten Ausweiskopie etwa wäre ein unzumutbarer Aufwand für den Betroffenen.
Hinzu kommt, dass viele Unternehmen die Bearbeitung von Auskunftsanfragen nicht als sicherheitskritischen Prozess behandeln. Häufig landen solche Anfragen bei Sachbearbeitern in Rechtsabteilungen oder beim Datenschutzbeauftragten, die zwar die rechtlichen Anforderungen kennen, aber keine Schulung in der Erkennung von Social Engineering erhalten haben. Unter dem Zeitdruck der Monatsfrist werden Zweifel an der Identität des Antragstellers schneller beiseitegewischt, als es aus Sicherheitsperspektive wünschenswert wäre.
Ein weiteres Problem ist die fehlende Standardisierung der Identitätsverifikation. Jedes Unternehmen legt selbst fest, welche Nachweise es akzeptiert. Das führt dazu, dass ein Angreifer bei einem Unternehmen scheitert, beim nächsten aber mit denselben, minimal überzeugenden Nachweisen Erfolg hat. Pavurs Experiment zeigte genau dieses Muster: Große Tech-Unternehmen hatten in der Regel robuste Prozesse, während mittelständische Unternehmen – die von der DSGVO wussten, aber weder die Ressourcen noch die Expertise für sichere Prozesse hatten – am häufigsten versagten.
Was können Unternehmen tun?
Die gute Nachricht ist, dass sich das Risiko mit verhältnismäßig einfachen Maßnahmen deutlich reduzieren lässt, ohne das Auskunftsrecht der Betroffenen einzuschränken. Am wichtigsten ist ein dokumentierter, verbindlicher Prozess für die Bearbeitung von Auskunftsanfragen, der klar festlegt, welche Identitätsnachweise je nach Sensitivität der gespeicherten Daten erforderlich sind. Wer nur eine E-Mail-Adresse eines Nutzers hat, kann die Identität über eine Bestätigung an diese Adresse verifizieren. Wer hingegen Finanzdaten oder Gesundheitsdaten speichert, sollte stärkere Nachweise verlangen – etwa eine Verifikation über bereits verifizierte Kundenportale, einen Abgleich mit hinterlegten Kontaktdaten oder, wo verhältnismäßig, eine Identitätsprüfung über Video-Ident-Verfahren.
Ebenso wichtig ist die Schulung aller Mitarbeiter, die mit solchen Anfragen in Berührung kommen. Sie müssen verstehen, dass eine Auskunftsanfrage ein potenzieller Social-Engineering-Vektor sein kann. Auffällige Merkmale wie generische E-Mail-Adressen, ungewöhnlich detaillierte Angaben zu den gewünschten Daten, Druck durch Verweis auf Fristen und Bußgelder oder mehrere Anfragen für unterschiedliche Personen von derselben Quelle sollten als Warnsignale erkannt werden.
Technisch empfiehlt es sich, Auskunftsanfragen grundsätzlich über authentifizierte Kanäle abzuwickeln – also über ein bestehendes Kundenkonto mit Login, statt per E-Mail an eine allgemeine Adresse. Falls das nicht möglich ist, sollte die Antwort nicht an die in der Anfrage genannte E-Mail-Adresse geschickt werden, sondern an die im System hinterlegte Adresse des Betroffenen.
Die Antwort selbst sollte einem standardisierten Format folgen und nur die tatsächlich angeforderten Informationen enthalten. Übermäßig ausführliche Antworten, die mehr Daten liefern als verlangt, erhöhen das Risiko unnötig. Besonders sensible Daten wie Sozialversicherungsnummern, vollständige Kreditkartennummern oder Sicherheitsfragen sollten niemals im Klartext in einer Auskunftsantwort enthalten sein – auch nicht gegenüber verifizierten Anfragenden.
Schließlich sollten Unternehmen die DSGVO nicht nur als Compliance-Pflicht, sondern auch als Teil ihres Informationssicherheitskonzepts betrachten. Der Prozess für Betroffenenanfragen gehört in das ISMS, sollte regelmäßig getestet werden – idealerweise durch simulierte betrügerische Anfragen im Rahmen von Social-Engineering-Audits – und kontinuierlich verbessert werden.
Fazit
Die Ironie ist offensichtlich: Ein Gesetz, das den Schutz personenbezogener Daten zum Ziel hat, kann unter bestimmten Umständen genau das Gegenteil bewirken. Das liegt nicht an einem grundlegenden Designfehler der DSGVO, sondern an der mangelhaften Umsetzung in vielen Unternehmen. Die Verordnung lässt bewusst Spielraum bei der Identitätsverifikation – dieser Spielraum muss aber durch durchdachte Prozesse, geschulte Mitarbeiter und eine Sicherheitskultur gefüllt werden, die über reine Compliance hinausgeht.
Für Sicherheitsverantwortliche aber auch Datenschutzbeauftragte bedeutet das: Art. 15 DSGVO ist nicht nur ein Betroffenenrecht, das es zu erfüllen gilt. Es ist auch eine Angriffsfläche, die es zu schützen gilt. Wer das ignoriert, riskiert nicht nur ein Bußgeld wegen unzureichender Identitätsverifikation – wie der Fall von 1&1 zeigt – sondern wird möglicherweise unfreiwillig zum Werkzeug eines Angreifers, der die guten Absichten des Datenschutzes gegen seine Opfer wendet.