Hacker nutzen in den USA sogenannte „Emergency Data Requests“ (EDR) bei Internetanbietern, Telefonunternehmen und Sozialen Netzwerken, um illegal an sensible persönliche Informationen heranzukommen. Normalerweise sind Abfragen solcher Daten in den USA nur mit einem richterlichen Beschluss möglich. Die Notfallanfragen hingegen sind bei „Gefahr im Verzug“, meistens bei einer Gefahr für Leib und Leben, in den USA auch ohne Gerichtsbeschluss zulässig.
Das IT-Sicherheits-Fachblog „Krebs on Security“ berichtet über zahlreiche Fälle, in denen Hacker vortäuschen, dass sie Polizisten seien und so an die Daten gelangen. Während bei normalen Abfragen die Dokumente und die Rechtmäßigkeit überprüft werden, drängt bei den Notfallanfragen die Zeit. So würden die angefragten Unternehmen oftmals nur prüfen, ob die E-Mail-Adresse von einer Behörde oder Polizei stammt, die zu einer Auskunftsanfrage berechtigt ist. Alleine in den USA gibt es fast 18.000 unterschiedliche Polizeibehörden, die zu einem Zugriff berechtigt wären – und Hacker müssen nur Zugriff auf ein einziges Mailkonto haben, um die sensiblen Daten abzufragen.
Mailadressen, die EDR-Abfragen ermöglichen, werden auf einschlägigen Marktplätzen angeboten. Zudem gibt es kostenpflichtige Services, um solche EDR-Abfragen durchführen zu lassen. Betroffen von den falschen Abfragen sind unter anderem die Firmen Apple, Meta und Snap, wie Bloomberg berichtet. Hinter der Attacke werden Minderjährige aus Großbritannien und den USA vermutet, die als Lapsus$-Gruppe auftreten und auch Microsoft, Samsung und Nvidia gehackt haben.
Probleme auch in Deutschland
In Deutschland braucht es für die Abfrage von Bestandsdaten in der Regel keinen richterlichen Beschluss. Auch so genannte Notfallanfragen gibt es in Deutschland nicht, weil die Bestandsdatenabfrage sowieso „unverzüglich“ beantwortet werden muss. Zwar gibt es auch eine Regelung für „Gefahr im Verzug“, nur wird diese offenbar nicht häufig genutzt. Eine stichprobenartige Nachfrage beim Maildienstleister Posteo ergab, dass dort „Gefahr im Verzug“ noch nie eingesetzt wurde.
Der Maildienstleister verknüpft selbst keine personenbezogenen Daten mit den Mailfächern, berichtet aber seit Jahren über Sicherheitsprobleme bei den Bestandsdatenanfragen in seinem Transparenzbericht. So werden Anfragen oftmals unverschlüsselt gestellt oder enthalten Anfragen nach Daten, die von dem entsprechenden Paragrafen gar nicht gedeckt werden. Auch kämen Anfragen vor, die von privaten Mailaccounts von Polizist:innen gestellt oder an diese beantwortet werden sollen.
Der Angriffsvektor, mit gehackten E-Mail-Accounts Bestandsdatenabfragen zu stellen, besteht in Deutschland auch. Ein Zugriff wäre auch möglich, wenn Dienstleister die Rechtmäßigkeit der Anfragen nicht genau prüfen und zum Beispiel auf Anfragen von (vermeintlich) privaten Polizist:innen antworten. Ob solche Angriffe schon vorgekommen sind, ist nicht bekannt.
Ein Pressesprecher von Posteo regt an, dass der Gesetzgeber konkrete Verifizierungsregeln für Bestandsdatenabfragen festlegen könnte, um Missbrauch zu erschweren. Selbst betroffen ist der Dienstleister davon nicht: Er erhebt keine Bestandsdaten und kann deswegen auch keine herausgeben.
Offenlegung: Posteo spendet regelmäßig an netzpolitik.org ohne dafür eine Gegenleistung zu erwarten.
„regt an, dass der Gesetzgeber konkrete Verifizierungsregeln für Bestandsdatenabfragen festlegen könnte, um Missbrauch zu erschweren.“ – das kommt aber jetzt nur mir so vor, als ob Identifikationsverifizierung DAS zentrale Internetproblem ist?
Oder andersrum: On the internet, nobody knows you’re a dog.
„Der Angriffsvektor, mit gehackten E-Mail-Accounts Bestandsdatenabfragen zu stellen, besteht in Deutschland auch. Ein Zugriff wäre auch möglich, wenn Dienstleister die Rechtmäßigkeit der Anfragen nicht genau prüfen und zum Beispiel auf Anfragen von (vermeintlich) privaten Polizist:innen antworten. Ob solche Angriffe schon vorgekommen sind, ist nicht bekannt.“
Zwar sind keine Angriffe über gehackte e-Mail-Accounts bekannt. Der Modus Operandi, sich als Polizist auszugeben, um personenbezogene (geschützte) Daten abzugreifen, ist aber doch derzeit Verfahrensgegenstand im NSU 2.0 Prozess in Frankfurt?
Letztlich ist die Täuschung Dritter über die eigene Identität, um Daten zu erlangen, On- wie Offline ein erhebliches Problem, da das Spannungsfeld – zeitnahe Auskunft wegen Gefahr in Verzug vs. Verifikation der Identität des/der Abfragenden – nicht befriedigend aufzulösen ist.
Werden Verifikationsregeln für Bestandsdatenabfragen festgelegt, müssen nur diese Zugänge kompromittiert werden und der/die Täter haben dann sogar einen quantitativ besseren Zugang, als bei der derzeitigen „Einzelfallverifikation“ (aka gesunder Menschenverstand, der durchaus getäuscht werden kann).
Schon eine RFID Karte am Körper als zweiter Faktor würde das verhindern, bis die taylored access machen. Ja und dann Zertifikate, DANE o.ä., ein Mailkonto das vom internen System auf Basis der Authentifizierung und Autorisierung benutzt wird, wo sich niemand selbst einloggen kann… ist es die Unmöglichkeit der tatsächlich vorhandenen Möglichkeiten, die hier eine eines Staates würdige Lösung verhindert hat?
BYOD und Homeoffice oder was? BYOMP (bring your own mail provider, wozu ich mal einen plumpen Login zählen würde.) ist absolut end-blöd. Wir reden über rechte Netzwerke in den Ermittlungsbehörden und bauen dann auf einen weiterschiebbaren Login?
Es bleibt vollkommen lächerlich und zeigt, dass IT neu und von anderen Leuten zu denken und umzusetzen ist.
Erschreckend, wenn Kooperation naiv gedacht wird. Ob bei Strafverfolgung oder Daten für solche Netzwerke. Auch diesseits jenes Ozeans.