Beschwerde 1&1 De-Mail
Deutschland ist rückständig was Sicherheit angeht. Und dann haben wir auch noch ein Zuständigkeitschaos, in dem sich sogar der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) manchmal für unzuständig erklärt. So im Falle meiner Beschwerde über 1&1 DE-Mail. Die habe ich dann erneut beim Bundesamt für Sicherheit in der Informationstechnik eingereicht, aber die sehen keinen Verstoß gegen Ihre Regeln – das habe ich ja gar nicht behauptet, sondern einen Verstoss gegen Artikel 32 und 5 DSGVO.
Jeder der sich mit Verwaltungsrecht auseinandersetzt weiß, das die Zuständigkeit am Anfang einer Prüfung steht, und jeder Behördenmitarbeiter versucht, nicht zuständig zu sein. Das erspart nicht nur Arbeit sondern – abgesehen von dieser ersten – auch weitere Entscheidungen fällen zu müssen, die später angegriffen werden könnten. Hier haben sich also beide Behörden aus der Zuständigkeit herausgemogelt. Nur ist damit leider auch die Chance vertan, dass unsere Behörden sich mal mit der Sicherheit von mTAN/smsTAN und des Telefonnetzes auseinandersetzen.
Eine Klage deswegen lohnt nicht. DE-Mail ist sowieso auf dem absteigenden Ast, die Telekom hat sich schon verabschiedet, der Elektronische Rechtsverkehr wird das endgültig beerdigen – nur leider ist die Infrastruktur der Verwaltungsportale auch unsicher. Auch auf Wikipedia findet sich deutliche Kritik.
mTAN/smsTAN
Dieser Abschnitt wird demnächst nach Sicherheit? Nein Unsinn! verschoben und dann verlinkt.
Unter mTAN oder smsTAN versteht man Transaktionscodes die per SMS meist an ein Mobiltelefon verschickt werden. Dabei muss man sich klar machen, dass Mobiltelefone nicht unbedingt nur von einer Person genutzt werden, verloren gehen können, man seine Mobilnummer beim Anbieterwechsel ändert, und Telefonnummern auch irgendwann wiederverwendet werden können. Genau wie bei IP-Adressen: Telefonnummern können personenbezogene Daten sein, aber man kann nicht unterstellen, dass sie eine Person identifizieren oder eindeutig nur einer Person zugeordnet sind. Mann sollte wissen, dass man sich in Funklöchern aufhalten kann und dann keine SMS empfangen kann. Dass es meistens (Ausnahme: Geräte mit eSIM) nicht wirklich der Besitz eines Mobiltelefons ist, sondern der Besitz einer SIM-Karte, und heute viele SIM-Karten ohne aktive PIN (bzw. PIN 0000) geliefert werden – also kann man die SIM-Karte auch leicht in ein anderes Telefon einsetzen.
Bei mTAN/smsTAN gibt es im wesentlichen vier Angriffsvektoren und zu allen gibt es Veröffentlichungen im Internet (in Klammern Veröffentlicher und das Jahr der Veröffentlichung):
- man kann das Telefon entwenden oder es gibt von vorneherein mehrere Benutzer (oder Eltern die Ihr Telefon zum Spielen den Kindern überlassen). Im familiären Umfeld kann man auch davon ausgehen, dass eine PIN des Telefons beobachtet werden kann.
- man kann die SIM-Karte entwenden oder eine neue anfordern (die 2. Alternative erschweren einige Anbieter inzwischen)
- man kann das Mobiltelefon angreifen und dort eine App installieren, die die mTAN/smsTAN abgreift,
- man kann SMS und Anrufe über das im Telefonnetz verwendete Signalisierungsprotokoll Nr. 7 umleiten
- SMS-TANs sind unsicher (Golem 2014)
- SS7 Locate/Track/Manipulate (CCC 2014)
- SS7map : mapping vulnerability of the international mobile roaming infrastructure (CCC 2014)
- Schwachstelle im Mobilfunknetz: Kriminelle Hacker räumen Konten leer (Süddeutsche Zeitung 2017)
- Invisible Interception of Short Messages – SS7 attack (SS7 2020)
- Why is SS7 still a security threat? (Security Boulevard 2022)
Auch das BSI stuft mTAN/smsTAN als unsicher ein und schreibt Zwar ist die smsTAN nutzerfreundlich und praktisch in der Anwendung, jedoch können SMS mit entsprechendem technischen Vorwissen abgefangen werden
– nur erlaubt es mTAN/smsTAN immer noch bei De-Mail.
Kommunikation (Auszug)
| Datum/Zeit | Sender | Empfänger | Thema |
|---|---|---|---|
| 04.11.2022 17:49 | Joachim Lindenberg | 1&1 De-Mail | Mobilnummer bei DE-MAIL |
| 14.11.2022 16:30 | 1&1 De-Mail | Joachim Lindenberg | Referenz #1003297457 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice |
| 14.11.2022 17:25 | Joachim Lindenberg | 1&1 De-Mail | Re Referenz #1003297457 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice |
| 15.11.2022 13:59 | Joachim Lindenberg | 1&1 De-Mail | Re Referenz #1003301243 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice |
| 16.11.2022 11:50 | 1&1 De-Mail | Joachim Lindenberg | Referenz #1003307048 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice |
| 16.11.2022 17:04 | Joachim Lindenberg | Bundesbeauftragter für den Datenschutz und die Informationsfreiheit | Re Referenz #1003307048 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice |
| 02.12.2022 10:55 | Bundesbeauftragter für den Datenschutz und die Informationsfreiheit | Joachim Lindenberg | Re Referenz #1003307048 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice |
| 02.12.2022 11:45 | Joachim Lindenberg | Bundesbeauftragter für den Datenschutz und die Informationsfreiheit | Re Referenz #1003307048 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice |
| 09.12.2022 10:57 | Bundesbeauftragter für den Datenschutz und die Informationsfreiheit | Joachim Lindenberg | Datenschutz in der Telekommunikation, Geschäftszeichen 24-193-2 II#1673 |
| 09.12.2022 11:50 | Joachim Lindenberg | Bundesamt für Sicherheit in der Informationstechnik | Beschwerde DE-Mail... |
| 09.12.2022 11:51 | Bundesamt für Sicherheit in der Informationstechnik | Joachim Lindenberg | Automatische Antwort Beschwerde DE-Mail ... |
| 22.12.2022 11:17 | Bundesamt für Sicherheit in der Informationstechnik | Joachim Lindenberg | Re Beschwerde DE-Mail... |
| 22.12.2022 14:14 | Joachim Lindenberg | Bundesamt für Sicherheit in der Informationstechnik, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit | Re Beschwerde DE-Mail... – 24-193-2 II#1673 |
| 02.01.2023 +6 | Bundesbeauftragter für den Datenschutz und die Informationsfreiheit | Joachim Lindenberg | Datenschutzaufsichtsbehördliches Verfahren |
| 02.02.2023 12:29 | Joachim Lindenberg | Bundesbeauftragter für den Datenschutz und die Informationsfreiheit | Re Beschwerde DE-Mail... – 24-193-2 II#1673 |
Zuletzt geändert am 02.02.2023.
© 2024 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.