Pentest Blog

01. Februar 2017 – Secutorial

Auftragsdatenverarbeitung – die unendliche Weitergabe von vertraulichen Daten?

Sebastian Schreiber über die Gefahr der legalen Möglichkeit, vertrauliche Daten ohne Einschränkung weitergeben zu können

Unternehmen konzentrieren sich gerne auf Ihr Kerngeschäft und lassen Nebentätigkeiten wie zum Beispiel den Betrieb der Kantine, die Wartung der Heizung oder die Reinigung des Gebäudes durch Fremdunternehmen erledigen. Dieses Outsourcing ist auch im IT-Sektor gängige Praxis. Großbanken oder Telekommunikationsunternehmen gliedern oft die gesamte IT aus. Doch auch die IT-Unternehmen wiederum arbeiten mit eigenen Subunternehmern oder Schwesterkonzernen zusammen. Da wird Platz in Rechenzentren angemietet, virtuelle Call-Center werden zugeschaltet oder Datenträger-Vernichtungsdienstleister beauftragt. Storage wird aus der Cloud bezogen oder durch Fremdfirmen gewartet, die bei der Erbringung ihrer Dienstleistung vielleicht auch wieder auf lokale Partner zurückgreifen.

Wenn mein Steuerberater oder meine Bank meine persönlichen Daten wie Kontostand oder sonstige Details weitergäben, dann wäre dies „eigentlich" ein Geheimnisverrat. Auftragsdatenverarbeitung (ADV) heißt ein juristisches Konstrukt, das genau diesen Verrat legal macht und aus einer Zeit stammt, in der Steuerberater die Daten von DATEV verarbeiten und Sparkassen und Volksbanken die IT in genossenschaftlichen Rechenzentren betreiben ließen. Heute wird jedoch kaskadenartig outgesourct. Lange Ausgliederungsketten sind also gängig und diese Ketten dürfen sogar Zyklen umfassen: Es ist also durchaus denkbar, dass eine Bank die IT zum Beispiel an IBM outsourct, IBM die Datenträger dann von einem Entsorger abholen lässt, der hingegen selbst die eigenen Daten wieder in der IBM-Cloud abspeichert. Ein engmaschiges Netz an ADV-Verhältnissen bringt einen enormen Aufwand für Juristen mit sich. In seiner Konsequenz kann das bedeuten, dass letztlich jeder IT-Dienstleister Zugriff auf alles hat und das völlig legal. Die Frage jedoch, ob die eine ganz bestimmte Dienstleisterin oder der eine ganz bestimmter Subunternehmer beispielsweise Zugriff auf meine Kontodaten hat oder nicht, kann meine Bank nicht beantworten.

Daher frage ich mich, ob man dieser exzessiven Weitergabe von geheimen Daten nicht Einhalt gebieten muss. Dies könnte beispielsweise durch eine Beschränkung der Vererbungstiefe erfolgen: Meine Bank, mein Arzt oder mein Steuerberater dürften dann meine Daten an einen Subunternehmer und dieser wiederum meine Daten an einen Subsubunternehmer weiterreichen. Bei einer maximalen Tiefe von drei wäre die Weitergabe an einen Subsubsubunternehmer jedoch verboten. Alternativ dazu könnte man die Anzahl der Personen, die potenziell Zugriff auf die verarbeiteten Daten haben, einschränken. So könnte eine Bestimmung in etwa wie folgt aussehen: "Neben den drei Ärzten, die mich betreuen, dürfen maximal 20 Personen Einsicht in meine Patientenakte und somit auf meine persönlichen Daten nehmen". Damit würde sich der Personenkreis, der Kenntnis von meinen vertraulichsten Daten hat, auf ein vernünftiges Maß reduzieren.  

Termine

25.01.2018
Live-Hack mit Sebastian Schreiber, Fokustag "Cyber-Versicherung", Leipzig
06.02.2018 - 07.02.2018
SySS-Schulung - Hack1: Hacking Workshop 1
08.02.2018 - 09.02.2018
SySS-Schulung - Hack2: Hacking Workshop 2
13.02.2018 - 14.02.2018
SySS-Schulung – Secu3: Incident Detection