Offener Brief zu Sicherheitsfragen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit


Sehr geehrter Herr Professor Kelber,

im 31. Tätigkeitsbericht für das Jahr 2022 schreiben Sie auf Seite 84 im Abschnitt 8.13:

Dies bedeutet für die Bürgerinnen und Bürger auf der anderen Seite, dass sie die Zugriffsinformationen zu ihrem Konto wie beispielsweise auch ihren Haustürschlüssel nicht verlegen sollten. Sonst droht auch hier die Gefahr, sich auszusperren.
31. Tätigkeitsbericht, Seite 84

Soweit richtig.

Ebenfalls als ungünstig kann sich erweisen, wenn man für die alternativ vorgesehenen Sicherheitsabfragen – vielleicht sogar zur Sicherheit – falsche Angaben macht, an die man sich dann später nicht mehr erinnern kann.
31. Tätigkeitsbericht, Seite 84

Der hier implizierten Empfehlung, richtige Angaben zu machen, muss ich widersprechen und darf Wikipedia zitieren:

Eine Sicherheitsfrage ist eine Authentifizierungsmethode, die häufig als zusätzlicher Sicherheits-Layer sowie zur Wiederherstellung von vergessenen Passwörtern eingesetzt wird. Es handelt sich um ein gemeinsames Geheimnis.

Eine typische Sicherheitsfrage ist zum Beispiel: Wie lautet der Mädchenname Ihrer Mutter?

Es wird bemängelt, dass die in Sicherheitsfragen abgefragten Fakten meist öffentlich zugänglich sind und daher von Hackern leichter herausgefunden werden können als Passwörter. Manche Benutzer sind sich dessen bewusst und erfinden absichtlich falsche Antworten, die sie dann aber oft vergessen und somit das Konzept der Sicherheitsfrage ad absurdum führen.

Sicherheitsfrage (Wikipedia)

Genau, das Konzept ist absurd. Aus einem meiner eigenen Artikel darf ich zitieren:

Das grundsätzliche Problem bei Sicherheitsfragen ist, dass die richtige Antwort in fast allen Fällen nicht nur dem Benutzer sondern auch vielen anderen bekannt ist, oder über öffentliche Quellen wie z.B. Telefonbuch, Social Media, oder über Social-Engineering ermittelbar ist. Wikipedia zitiert Josh Levins In What City Did You Honeymoon? And other monstrously stupid bank security questions. Josh Levin ist natürlich nicht der einzige, der von Sicherheitsfragen abrät. Auch das NIST, OWASP, und Bruce Schneier (2005) raten eindeutig von Sicherheitsfragen ab. OWASP zitiert dabei auch Studien von Microsoft (2009) und Google (2015), die klar zeigen, dass Sicherheitsfragen nicht funktionieren. Sicherheitsfragen entsprechen also schon einige Zeit nicht dem Stand der Technik. ...

Werden Sicherheitsfragen verwendet, dann sollte man als Benutzer falsche Antworten eingeben – z.B. generierte Passwörter des Passwortmanagers – und sie dann auch am besten dort aufbewahren für den Fall, dass sie wirklich irgendwann zum Einsatz kommen sollten. Leider erschweren einige Verwender das dadurch, dass die Eingaben validiert werden und damit der Zufall begrenzt wird.

Sicherheit? Nein Unsinn!

Auf die Gefahr, den einen oder anderen Leser vorübergehend abzuhängen: Christina Franke hat sich in ihren Beschwerden zu den Verwaltungsportalen auch gegen Sicherheitsfragen gewandt. Die typische Antwort der Behörden und Aufsichten war, das findet ja nur auf niedrigem Vertrauensniveau statt. Das Bundesamt für Sicherheit schrieb mir:

Da es sich laut dem verlinkten Text offenkundig um eine Basisregistrierung – also kein Vertrauensniveau nach eIDAS-Verordnung – handelt, wäre eine Absicherung des Zugangs zu einem derartigen Account mit Hilfe einer Sicherheitsabfrage bspw. bei einem vergessenen Passwort nicht unüblich.

Diese Vorgehensweise wird im Übrigen nach unsere Kenntnis noch bei vielen vergleichbar niedrigschwelligen privatwirtschaftlichen Angeboten gewählt (z.B. Wiederherstellung des Zugangs zu Freemail-Postfächern)

Email des Bundesamt für Sicherheit vom 26.10.2022

Email und niedriges Vertrauensniveau? Sie Herr Professor Kelber schreiben:

Vielfach speichern Bürgerinnen und Bürger in ihrem E-Mail-Konto viele E-Mails, aus denen sich zahllose persönliche Informationen und Querverbindungen ergeben.
31. Tätigkeitsbericht, Seite 84

Das interpretiere ich nicht gerade als niedriges Vertrauensniveau oder niedrigen Schutzbedarf. Und nach meinen Beobachtungen versteht der normale Anwender im digitalen Leben weder den Sinn unterschiedlicher Vertrauensniveaus noch kann er mit Sicherheitsfragen umgehen – und hier werden sich die oben abgehängten Leser wiederfinden.

Ich halte es für wünschenswert, Sicherheitsfragen abzuschaffen. Sie und alle Datenschutzaufsichten können dazu einen Beitrag leisten, in dem Sie auf Abschaffung drängen. Solange das nicht stattgefunden hat halte ich es für richtig, Anwendern zu empfehlen, sich die falschen Antworten genau wie Passwörter zu merken und für den Schutz von beidem sichere Verfahren – Passwortmanager und Datensicherung – zu verwenden. Ich halte es für unverantwortlich, Anwendern zu empfehlen, richtige Antworten zu oft trivial zu ermittelnden Angaben zu machen.

Ich würde mich freuen, wenn Sie hier einen Beitrag zur digitalen Grundausbildung leisten würden. Auch dazu schreiben Sie richtig:

Wirksamer Datenschutz setzt damit auch entsprechende Digitalkompetenzen bei allen Akteuren sowie ein Bewusstsein für den Schutz der eigenen Daten voraus. Hier werde ich mich weiterhin sowohl für einfache und verständliche aber sichere Systeme als auch für ein breiteres Datenschutzbewusstsein einsetzen.
31. Tätigkeitsbericht, Seite 84

Lassen Sie den Worten bitte Taten folgen. Anregungen dazu finden Sie positiv auf Digitale Selbstverteidigung und auf den dort verlinkten Seiten, Negativbeispiele auf Sicherheit? Nein Unsinn.

Vielen Dank und viele Grüße

Joachim Lindenberg

Veröffentlicht am 03.04.2023.

© 2023 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.