AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: 11.07.2023 16:13
An: <*********************@bfdi.bund.de>
Betreff: AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Sehr geehrter ****************,
vielen Dank für die Zusendung der Stellungnahme von Vodafone. In meinen
Augen verwendet Vodafone hier mal wieder eine Ausrede, denn wie ich schon
geschrieben habe ergibt sich aus der Orientierungshilfe in meinen Augen klar
die obligatorische Transportverschlüsselung als "Mindestmaßnahme". Selbst
wenn man unter den in der Orientierungshilfe angesprochenen Risikoklasse
eine weitere "niedrig" ansiedelt, dann kann in meinen Augen diese nicht
einem Registrierungsprozess zugeordnet werden. Auch unterscheidet das
Fernmeldegeheimnis nicht nach Risikoklassen, sondern schützt jegliche
Kommunikation. Das sollte ein Telekommunikationsanbieter wie Vodafone
eigentlich wissen. Auch der BSI Grundschutz verlangt in NET.1.1.A7
Verschlüsselung als Basisanforderung, nicht erst auf Standardniveau.
Sie haben das Szenario richtig aufgefasst. Natürlich sind Varianten je nach
konkreter Ausgestaltung des Registrierungsprozesses denkbar. Bei 3. denke
ich allerdings weniger an Angriffe als an das Bestellen von Produkten unter
falschem Namen oder Posten von Beiträgen im Forum.
Vielen Dank und viele Grüße
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: *********************@bfdi.bund.de <*********************@bfdi.bund.de>
Gesendet: Dienstag, 11. Juli 2023 15:07
An: 'Joachim Lindenberg' <***********@lindenberg.one>
Betreff: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Sehr geehrter Herr Lindenberg,

vielen Dank für die schnelle Antwort und die Hinweise.

Mit "Verpflichtung zu einer Verschlüsselung" habe ich in meiner letzten Mail
die obligatorische Transportverschlüsselung gemeint, die von der Pflicht zum
Einsatz einer (ggf. nicht obligatorischen) Verschlüsselung - wie Sie bereits
korrekt festgestellt haben - zu unterscheiden ist.

Mit der abgestimmten Position der Datenschutzaufsichtsbehörden war hier die
von Ihnen zitierte Orientierungshilfe gemeint.

Wenn ich Ihren Hinweis auf das Angriffsszenario richtig verstanden habe,
dann würde ein potentieller Angriff in etwa so verlaufen:
1. Aufruf des Portals und Eingabe der Mailadresse des Angriffsziels in der
Registrierung 2. Abfangen der E-Mail und Bestätigen der Mailadresse durch
Klick auf den Link 3. Login im neu erstellten Kundenkonto und Vornahme
weiterer Angriffstätigkeiten unter der Identität der nun bestätigten
Mailadresse

Habe ich das korrekt verstanden?

Die erbetene Stellungnahme des Anbieters finden Sie anbei.

Mit freundlichen Grüßen

Im Auftrag
**********

Der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit -Referat 24-

Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de

********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte
sofort den Absender und löschen Sie diese E-Mail.