Authentifizierung im Bereich Telekommunikation – Risikofelder

Gerade im Telekommunikationsmarkt gibt es viele Geschäftsvorgänge mit schützenswerten Daten des privaten Lebens, wie etwa die Telefonnummer, die Bankverbindung oder die Adresse. In vielen Situationen wie beispielsweise im Telefonservice besteht die besondere Schwierigkeit, dass sich kaum abschätzen lässt, ob auch tatsächlich die berechtigte Person handelt.

Nach Art. 32 Abs. 1 DSGVO sind verantwortliche Stellen verpflichtet, für den Schutz der personenbezogenen Daten natürlicher Personen geeignete technische und organisatorische Maßnahmen umzusetzen. Dabei ist jeweils die betroffene Datenverarbeitung zu betrachten und das mit dieser verbundene Risiko für die personenbezogenen Daten nach der Schwere des Risikos und der Eintrittswahrscheinlichkeit einzuschätzen. Unter Berücksichtigung des Stands der Technik und der Implementierungskosten ist dann ein jeweils angemessenes Schutzniveau zu gewährleisten.

Ausgangspunkt dafür sollte eine grundlegende Struktur der Geschäftsprozesse und Datenverarbeitungen sowie das damit jeweils verbundene Risiko sein.

1. Abstrakte Risiken bei TK-Anbietern

1.1. Risiko der Preisgabe von personenbezogenen Daten

Eine unmittelbare datenschutzrechtliche Gefährdungslage besteht bei der Preisgabe personenbezogener Daten an eine unberechtigte Person, die sich den Zugang gezielt verschafft, um anschließend die betroffene Person zu schädigen. Hierunter fallen klassischerweise Stalking-Fälle, wenn beispielsweise eine unberechtigte Person an eine Adresse oder eine Telefonnummer gelangt, die geheim bleiben sollte. Das Risiko kann im Einzelfall sehr groß sein, beispielsweise, wenn politisch engagierte Menschen ins Visier von Extremisten geraten und dadurch möglicherweise ihr Leben bedroht wird. Ähnliche Gefahren können auch in familiären Konstellationen drohen, wenn Personen von ihrem Ex-Partner, ihrer Ex-Partnerin oder von deren Familie bedroht werden und möglicherweise Opfer eines Gewaltverbrechens werden können.

1.2. Risiko von Vertragsänderungen

Risiken drohen ebenfalls, wenn unberechtigte vertragliche Änderungen vorgenommen werden. Hierunter fallen oftmals Fälle, bei denen Vermögensschäden entstehen, oft auch zu Lasten der Telekommunikationsanbieter selbst. Beispiele sind Vertragsverlängerungen mit dem Ziel, ein neues Handy an der eigentlich berechtigten Person vorbei zu erlangen oder aber Fälle, in denen ein neuer Vertrag über eine Kontonummer einer anderen Person abgewickelt wird. Aus vertraglichen Änderungen können aber noch weitere ganz erhebliche Schäden von Betroffenen resultieren, wenn nämlich beispielsweise E-Mail-Adressen auf eine andere Person registriert werden oder SIM-Karten auf den Namen einer anderen Person registriert werden und anschließend mit krimineller Energie für weitere Straftaten genutzt werden. Siehe dazu auch den nächsten Punkt.

1.3. Mittelbare Risiken, z.B. Identitätsdiebstahl

Ein erhebliches Risiko stellt ein Identitätsdiebstahl dar, bei dem entweder unter der Zuordnung einer anderen Person Straftaten begangen werden oder sich ein Straftäter mit einer erschlichenen Identität Zugang zur digitalen Identität einer anderen Person verschafft und damit beispielsweise Zugriff auf deren Online-Accounts erhält. Ein Beispiel ist hier das so genannten SIM-Swapping. Hier lässt sich ein Betrüger eine neue SIM-Karte für einen bestehenden Mobilfunkvertrag ausstellen. Dies funktioniert noch einfacher mit einer sog. eSIM, weil dann keine Karte per Post zugesandt werden muss. Da die Mobilfunknummer häufig als zweiter Authentifikator für Online-Accounts genutzt wird, kann es so gelingen, sich unerlaubt Zugang zu Betroffenen-Accounts von Diensten mit hohen monetären Risiken zu verschaffen (etwa Paypal oder auch Bitcoin-Konten). Auch wenn sich das Risiko erst außerhalb des Einflussbereichs des Telekommunikationsanbieters manifestiert, handelt es sich doch um ein Risiko, das in die Risikobetrachtung beim Telekommunikationsunternehmen einbezogen werden muss, da es in der Realität existiert. Zudem können die mittelbaren Risiken durch entsprechende Sicherheitsmechanismen beim Telekommunikationsunternehmen wirksam reduziert werden.

2. Spezifische Risiken nach Geschäftsprozessen

Die Festlegung eines angemessenen Sicherheitsstandards für die Prozesse muss die hohe Diversität der möglichen Geschäftsprozesse in den verschiedenen Kontaktwegen (Callcenter, Online-Zugang oder Shop) berücksichtigen. Nicht bei jeder Anfrage ist derselbe Sicherheitsstandard erforderlich, etwa wenn eine reine Störungsannahme ohne Zugriff auf die Systeme vorliegt oder nur allgemeine Tarifoptionen erfragt werden.

2.1. Callcenter

Bei einem Anruf eines (vermeintlichen) Kunden in einem Callcenter besteht die besondere Schwierigkeit, dass sich kaum abschätzen lässt, ob auch tatsächlich die berechtigte Person handelt. Damit kann man in vielen Fällen nicht zweifelsfrei entscheiden, ob eine der besonderen Gefahrenlagen bei der Freigabe von personenbezogenen Daten besteht. Die Fälle dürften zwar insgesamt sehr selten sein, der drohende Schaden ist jedoch im Einzelfall immens. Ebenfalls besteht ein erhebliches Gefahrenpotential bei vertraglichen Änderungen mit Blick auf die möglichen mittelbaren Schäden.

Auf der anderen Seite steht das Interesse von Kundinnen und Kunden auf einen unkomplizierten Support bei Callcentern, welches auch dem Interesse des Telekommunikationsunternehmens entspricht, die Prozesse schlank und damit effizient zu halten. Dies gilt insbesondere vor dem Hintergrund, dass einige Kundinnen und Kunden im Callcenter nicht über besonders gute Möglichkeiten der elektronischen Kommunikation verfügen, da sie ansonsten vielleicht eher den Weg über den Online-Account wählen würden.

Entsprechend der Risikokategorien bezogen auf die betroffenen Geschäftsprozesse müssen hier angemessene Standards definiert und angewendet werden. Hier ist insbesondere zu analysieren, durch welche Prozesse besonders hohe Risiken drohen. Dies dürfte etwa der Fall sein, wenn SIM-Karten getauscht werden oder beispielsweise die Adresse für die Zusendung einer SIM-Karte geändert wird.

2.2. Online-Zugang

Beim Online-Account besteht ebenfalls die Schwierigkeit, dass nicht erkennbar wird, wer tatsächlich auf den Account zugreift. Hinzu kommt, dass ein Online-Account typischerweise einen freien Zugriff auf das Vertragskonto (ggf. inklusive Einzelverbindungsnachweis) ermöglicht und vertragliche Änderungen dort mit sofortiger Wirkung eingeleitet werden können.

Besondere Gefahren bestehen hier insbesondere in vertraglichen Änderungen; siehe insbesondere Identitätsdiebstahl und SIM-Swapping z. B. mit einer eSIM.

Hier ist also eine angemessene Absicherung durch sichere Passwortverfahren, ggf. mit ergänzenden Schutzmechanismen (2. Faktor) vorzusehen. Bei der Vergabe von Passwörtern muss auch ein entsprechend sicherer Prozess für die Neuregistrierung und Rücksetzung etabliert werden. Keinesfalls dürfen hier Passwörter verwendet werden, die auch auf anderen Kontaktwegen wie Callcenter oder Shop benutzt werden.

2.3. Shop

Im Shop ist eine Identifizierung der betroffenen Person prinzipiell einfacher. Damit ist hier typischerweise das Risiko geringer, personenbezogene Daten an eine unberechtigte Person herauszugeben, die als vermeintlicher Kunde den Shop betritt. Es sind gleichwohl auch hier Szenarien denkbar.

Der Shop hat Zugriff auf einen sehr großen Bestand von Kundendaten und die Möglichkeit, vertragliche Änderungen freizuschalten. Der Vertrieb und Kundenservice von Telekommunikationsanbietern ist oft deutschlandweit verteilt und wird auch über Partnerfirmen vorgenommen. Diese benötigen prinzipiell die Möglichkeit des Zugriffs auf den gesamten Kundendatenbestand, damit jedem Kunden vor Ort geholfen werden kann.

Daraus resultiert ein nicht unerhebliches Risiko missbräuchlicher Zugriffe auf Kundendaten bis hin zu nicht autorisierten Vertragsänderungen durch Betreiber einzelner Shops. Mit zu berücksichtigen ist hierbei, dass möglicherweise eigene vertriebliche Interessen der Mitarbeitenden in Shops bestehen, die eine besondere Gefährdungssituation darstellen können.

Damit ist es neben angemessenen Authentifizierungsverfahren auch erforderlich, die Datenzugriffe auf das notwendige Maß zu reduzieren. Ein freier Datenzugriff auf alle Kundendaten durch Mitarbeitende darf nicht erfolgen. Hier muss also definiert werden, welche Daten für welche Zwecke benötigt werden. Zudem müssen für bestimmte Prozesse die Anforderungen an die dafür erforderliche Legitimation durch eine Kundin oder einen Kunden definiert werden.