Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Von: <REFERAT24@bfdi.bund.de>
Gesendet: 23.10.2023 15:05
An: <***********@lindenberg.one>
Betreff: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Sehr geehrter Herr Lindenberg,

ich komme zurück auf Ihr Anliegen vom 20.03.2023. Darin reichen Sie unter
Punkt 3 eine Beschwerde wegen Verstoßes gegen Artikel 32 DSGVO gegen
Vodafone ein, weil bei der Registrierung unter
https://www.vodafone.de/meinvodafone/account/registrierung/persoenliche_da
ten - "ich bin noch kein Kunde" - keine obligatorische
Transportverschlüsselung verwendet wird.

Ich hatte Vodafone gebeten sich zur Risikoanalyse in Bezug auf den
Bestätigungslink zu äußern, der zur Verifizierung genutzt wird, dass die
im Anmeldeformular eingegebene Mailadresse auch tatsächlich dem
vorgeblichen Nutzer zugeordnet werden kann.

Vodafone hat mir hierzu geantwortet und ausgeführt, dass die Validierung
der E-Mail-Adresse bei Vodafone über das Double Opt-in Verfahren erfolgt.
Vodafone sieht bislang auch im Falle des Auslesens der
Registrierungs-E-Mail kein neues Risiko, da ein böswilliges Abfangen der
Registrierungs-Mail zwar die Bestätigung der Mailadresse erlaubt, dem
böswilligen Dritten aber weiterhin der Benutzername und das Passwort des
Kontos fehlten um sich in dieses Einzuloggen.

Nach meiner Auffassung ist dem zwar zu folgen, wenn man das Risiko der
fremden Validierung der Mailadresse bei einem Nutzerkonto betrachtet, das
von einem legitimen Kunden angelegt wurde. Es fehlt jedoch noch die
Betrachtung des Risikos, wenn ein Angreifer ein Konto mit fremder
Mailadresse selbst anlegt und dann durch einen MitM-Angriff bestätigt.

Ich beabsichtige Vodafone um eine Stellungnahme zum Identitätsmissbrauch
durch Ersteinrichtung des Mailkontos nach folgendem Schema zu bitten:

1. Aufrufen der Account-Registrierungsseite durch den Angreifer
2. Eingabe fremder Identitätsdaten inkl. Mailadresse (z.B. aus einem
Datenleak)
3. Abfangen der Bestätigungsmail durch MitM-Angriff
4. Angreifer bestätigt Mailadresse mittels des abgefangenen
Bestätigungslinks
5. Angreifer verfügt über ein bestätigtes Mailkonto unter fremder
Identität

Wenn Sie Rückfragen oder Ergänzungen haben, lassen Sie es mich gerne
wissen.

Mit freundlichen Grüßen

Im Auftrag
**********

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
-Referat 24-

Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de

**************************************************************************
******
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie
bitte sofort den Absender und löschen Sie diese E-Mail.