info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Datensicherheit
25 views
Skip to first unread message
Leo Pard
Oct 3, 2022, 6:39:33 AM10/3/22
to
Ich möchte zwei Themenbereiche zur Datensicherheit ansprechen, zu denen ich kaum etwas in der öffentlichkeit gefunden habe.
1) Die unberechtigte Weitergabe von personenbezogener Daten durch interne Mitarbeiter an Dritte.
Bei Krankenkasse, Rentenversicherungen, Melde - und andere Behörden, haben eine sehr große Zahl von Mitarbeiter Zugriff auf höchstpersönliche Daten.
Das gleiche gilt von Mitarbeiter des Kundensupport z.B. bei Banken, Post, und Paketzustelldienste, Reservierung u. Buchungsportable, E-Mail-Provider usw..
Auch Mitarbeiter der IT-Abteilungen haben Zugriff auf umfangreiche personenbezogene Daten.
Auch wenn die überwiegende Zahl der Mitarbeiter integer sind, reicht aus, wenn nur einzelne Mitarbeiter diese personenenbezogenen Daten unberechtigter Weise an Dritte weitergeben, um die Datensicherheit zu unterlaufen.
Dass die Mitarbeiter das nicht dürften und dies strafbar ist, ist keine Sicherheit dafür, daß dies nicht passiert. z.B. durch tel. weitergabe der Informationen nach Feierabend, oder auch das Abgreifen und das Kopieren der Daten im größeren Stiel.
Selbst wenn man gewisse Erfahrungen macht, die darauf hin deuten, daß möglicherweise Daten unberechtigter Weise weitergegeben worden sind. So lange man keine handfesten Beweise dafür hat, wird man kaum dagegen vorgehen können. Da Mitarbeiter im Kunden-Support häufig sehr wenig verdienen, kann ich mir gut vorstellen, daß es nicht so schwer ist, diese Mitarbeiter dazu anzustiften, oder auch Mitarbeiter in den Kundensupport einzuschleußen, die diese personenbezogenen Daten, dann an die Auftraggeber weitergeben.
Mich wird interessieren, ob dies als relles Risiko gesehenen wird, ob es dazu Statistiken, Untersuchungen oder Erfahrungen gibt. Hat sich der Chaos Computer Club schon mal ausführlich mit diesem Thema befasst.
2) Das Manipulationsrisko von digitalisierten Dokumenten mit Urkundencharakter durch interne Mitarbeiter im IT-Bereich.
Im Zuge der Digitalisierung, werden Dokumente/Akten mit Urkundencharkter digitalisiert und die Orginale vernichtet. Ich vermute, daß dies auch Urkunden mit notariellen Charkter betrifft.
Für mich taucht hierbei die Frage, der Sicherheit bzgl. des Verfälschens der Dokumente auf. Da es bei notariellen Urkunden um sehr hohen Werte geht, schließe ich nicht aus, daß auch krimminelle Banden-Strukturen, wie zum Beispiel die Mafia versuchen könnten, hier Fuß zu fassen um im großen Stiel elektronische Dokumente zu manipulieren.
Zum Beispiel durch Abgreifen der offiziellen Signaturen und Manipulation aller vorhandenen Sicherheitskopien.
Wie sicher sind die Verfahren gegen nachträgliche Manipulation dieser elektronischen Urkunden.
1) Die unberechtigte Weitergabe von personenbezogener Daten durch interne Mitarbeiter an Dritte.
Bei Krankenkasse, Rentenversicherungen, Melde - und andere Behörden, haben eine sehr große Zahl von Mitarbeiter Zugriff auf höchstpersönliche Daten.
Das gleiche gilt von Mitarbeiter des Kundensupport z.B. bei Banken, Post, und Paketzustelldienste, Reservierung u. Buchungsportable, E-Mail-Provider usw..
Auch Mitarbeiter der IT-Abteilungen haben Zugriff auf umfangreiche personenbezogene Daten.
Auch wenn die überwiegende Zahl der Mitarbeiter integer sind, reicht aus, wenn nur einzelne Mitarbeiter diese personenenbezogenen Daten unberechtigter Weise an Dritte weitergeben, um die Datensicherheit zu unterlaufen.
Dass die Mitarbeiter das nicht dürften und dies strafbar ist, ist keine Sicherheit dafür, daß dies nicht passiert. z.B. durch tel. weitergabe der Informationen nach Feierabend, oder auch das Abgreifen und das Kopieren der Daten im größeren Stiel.
Selbst wenn man gewisse Erfahrungen macht, die darauf hin deuten, daß möglicherweise Daten unberechtigter Weise weitergegeben worden sind. So lange man keine handfesten Beweise dafür hat, wird man kaum dagegen vorgehen können. Da Mitarbeiter im Kunden-Support häufig sehr wenig verdienen, kann ich mir gut vorstellen, daß es nicht so schwer ist, diese Mitarbeiter dazu anzustiften, oder auch Mitarbeiter in den Kundensupport einzuschleußen, die diese personenbezogenen Daten, dann an die Auftraggeber weitergeben.
Mich wird interessieren, ob dies als relles Risiko gesehenen wird, ob es dazu Statistiken, Untersuchungen oder Erfahrungen gibt. Hat sich der Chaos Computer Club schon mal ausführlich mit diesem Thema befasst.
2) Das Manipulationsrisko von digitalisierten Dokumenten mit Urkundencharakter durch interne Mitarbeiter im IT-Bereich.
Im Zuge der Digitalisierung, werden Dokumente/Akten mit Urkundencharkter digitalisiert und die Orginale vernichtet. Ich vermute, daß dies auch Urkunden mit notariellen Charkter betrifft.
Für mich taucht hierbei die Frage, der Sicherheit bzgl. des Verfälschens der Dokumente auf. Da es bei notariellen Urkunden um sehr hohen Werte geht, schließe ich nicht aus, daß auch krimminelle Banden-Strukturen, wie zum Beispiel die Mafia versuchen könnten, hier Fuß zu fassen um im großen Stiel elektronische Dokumente zu manipulieren.
Zum Beispiel durch Abgreifen der offiziellen Signaturen und Manipulation aller vorhandenen Sicherheitskopien.
Wie sicher sind die Verfahren gegen nachträgliche Manipulation dieser elektronischen Urkunden.
Marco Moock
Oct 3, 2022, 7:00:49 AM10/3/22
to
verwenden, um z.B. den Geburtstag einer Person herauszufinden. Soll
heute digital erschwert worden sein, indem man eine Begründung für die
Abfrage angeben muss. Komplett verhindert wird der Missbrauch aber
damit auch nicht. Das Einzige, was man tun kann, ist den Leuten so
wenig wie möglich Berechtigungen geben und dann loggen, was und warum
es abgefragt wird.
> 2) Das Manipulationsrisko von digitalisierten Dokumenten mit
> Urkundencharakter durch interne Mitarbeiter im IT-Bereich. Im Zuge
> der Digitalisierung, werden Dokumente/Akten mit Urkundencharkter
> digitalisiert und die Orginale vernichtet. Ich vermute, daß dies auch
> Urkunden mit notariellen Charkter betrifft.
> Für mich taucht hierbei die Frage, der Sicherheit bzgl. des
> Verfälschens der Dokumente auf. Da es bei notariellen Urkunden um
> sehr hohen Werte geht, schließe ich nicht aus, daß auch krimminelle
> Banden-Strukturen, wie zum Beispiel die Mafia versuchen könnten, hier
> Fuß zu fassen um im großen Stiel elektronische Dokumente zu
> manipulieren.
>
> Zum Beispiel durch Abgreifen der offiziellen Signaturen und
> Manipulation aller vorhandenen Sicherheitskopien.
> Wie sicher sind die Verfahren gegen nachträgliche Manipulation dieser
> elektronischen Urkunden.
Solange das nicht kryptografisch läuft wird es immer eine Möglichkeit
der Manipulation geben.
Tim Ritberg
Oct 3, 2022, 7:25:32 AM10/3/22
to
Am 03.10.22 um 13:00 schrieb Marco Moock:
>
> Früher war es wohl völlig normal in den Ämtern, das Melderegister zu
> verwenden, um z.B. den Geburtstag einer Person herauszufinden. Soll
> heute digital erschwert worden sein, indem man eine Begründung für die
> Abfrage angeben muss. Komplett verhindert wird der Missbrauch aber
> damit auch nicht. Das Einzige, was man tun kann, ist den Leuten so
> wenig wie möglich Berechtigungen geben und dann loggen, was und warum
> es abgefragt wird.
Ich habe schon vor Dekaden meinen Datensatz sperren lassen.
> Früher war es wohl völlig normal in den Ämtern, das Melderegister zu
> verwenden, um z.B. den Geburtstag einer Person herauszufinden. Soll
> heute digital erschwert worden sein, indem man eine Begründung für die
> Abfrage angeben muss. Komplett verhindert wird der Missbrauch aber
> damit auch nicht. Das Einzige, was man tun kann, ist den Leuten so
> wenig wie möglich Berechtigungen geben und dann loggen, was und warum
> es abgefragt wird.
Analoger Spam hatte dann richtig nachgelassen, eigentlich auf Null gegangen.
Tim
Leo Pard
Oct 5, 2022, 7:50:09 AM10/5/22
to
Aber zum Beispiel wurden Grundbücher im grossen Umfang digitalisiert.
https://notariatsreform.justiz-bw.de/pb/,Lde/Startseite/Grundbuchamtsreform
"Gleichzeitig wurde im Grundbuchwesen auf eine vollelektronische Aktenführung umgestellt"!
Die Orginale wurden hier zwar weiter aufbewahrt. Diese Umstellung auf elektronische Aktenführung impliziert jedoch,
daß Änderungen im Grundbuch - wie z.B. Eigentümerwechsel oder sonstige Eintragungen - damit elektronisch und nicht mehr handschriftlich erfolgen. Mit den entsprechenden Risiken der ektronischen Manipulation.
https://www.gesetze-im-internet.de/beurkg/__39a.html
https://www.gesetze-im-internet.de/beurkg/__40a.html
Mit Frage zur Sicherheit vor Manipulation beziehe ich mich auf solche und ähnliche elektronischen Dokumenten.
Leo Pard
Oct 5, 2022, 7:51:08 AM10/5/22
to
Unter den folgenden link dürfte das wahrscheinlich möglich sein:
www.melderegister-auskunft.de
Ich glaube wenn er dein Geburtsdatum kennt, könnte er auch ohne deinene Meldeadresse zu kennen, dies durch eine Meldeanfrage rauskriegen.
Tim Ritberg
Oct 5, 2022, 5:16:50 PM10/5/22
to
Am 05.10.22 um 13:51 schrieb Leo Pard:
>
> Bitte mal einen Bekannten eine Melderegisterauskunft über dich durchzuführen. Ich bin überzeugt das klappt.
> Unter den folgenden link dürfte das wahrscheinlich möglich sein:
> www.melderegister-auskunft.de
>
> Ich glaube wenn er dein Geburtsdatum kennt, könnte er auch ohne deinene Meldeadresse zu kennen, dies durch eine Meldeanfrage rauskriegen.
Alles gesperrt was ging, das nächste höhere Level wäre VIP gewesen, da
werden selbst Behörden gesperrt.
Sollte da doch was durchgehen, ich hab die Sperre schriftlich...
Tim
>
> Bitte mal einen Bekannten eine Melderegisterauskunft über dich durchzuführen. Ich bin überzeugt das klappt.
> Unter den folgenden link dürfte das wahrscheinlich möglich sein:
> www.melderegister-auskunft.de
>
> Ich glaube wenn er dein Geburtsdatum kennt, könnte er auch ohne deinene Meldeadresse zu kennen, dies durch eine Meldeanfrage rauskriegen.
werden selbst Behörden gesperrt.
Sollte da doch was durchgehen, ich hab die Sperre schriftlich...
Tim
Tim Ritberg
Oct 5, 2022, 5:22:38 PM10/5/22
to
Am 03.10.22 um 12:39 schrieb Leo Pard:
Ich war bei der Einführung der Software damals dabei. Die heisst/hiess
SigNotar und XNotar:
https://notarnet.de/produkte/xnotar
Tim
> 2) Das Manipulationsrisko von digitalisierten Dokumenten mit Urkundencharakter durch interne Mitarbeiter im IT-Bereich.
> Im Zuge der Digitalisierung, werden Dokumente/Akten mit Urkundencharkter digitalisiert und die Orginale vernichtet. Ich vermute, daß dies auch Urkunden mit notariellen Charkter betrifft.
>
Unfug, diese Dateien sind signiert.
> Im Zuge der Digitalisierung, werden Dokumente/Akten mit Urkundencharkter digitalisiert und die Orginale vernichtet. Ich vermute, daß dies auch Urkunden mit notariellen Charkter betrifft.
>
Ich war bei der Einführung der Software damals dabei. Die heisst/hiess
SigNotar und XNotar:
https://notarnet.de/produkte/xnotar
Tim
Tim Ritberg
Oct 5, 2022, 5:24:48 PM10/5/22
to
Am 05.10.22 um 13:50 schrieb Leo Pard:
>
> Den Artikel der bei mir den Eindruck hinterließ, daß die Dokumente mit Urkundencharkter nach dem einscannen vernichtet werden, habe ich aktuell nicht mehr gefunden.
>
Nein, der Notar muss diese aufbewahren.
> Den Artikel der bei mir den Eindruck hinterließ, daß die Dokumente mit Urkundencharkter nach dem einscannen vernichtet werden, habe ich aktuell nicht mehr gefunden.
>
https://www.gesetze-bayern.de/Content/Document/BayVwV102215/true
Tim
Leo Pard
Oct 9, 2022, 10:16:24 AM10/9/22
to
Wie ich dich verstehe, siehst du es als unmöglich an, daß signierte Dateien gefälscht werden können.
So lange keine Signaturschlüssel abgegriffen werden, kann ich folgen.
Aber ob das Abgreifen/Klauen von Signaturschlüssel wirklich unmöglich, das bezweifle ich einfach. Und das war ein wesentlicher Teil meiner Frage.
"Zum Beispiel durch Abgreifen der offizielen Signaturen( ich meine hier Signaturschlüssel) ..."
Und meine Zweifel wurde durch die Antworten nicht ausgeräumt.
In fast allen Bereichen der technischen Entwicklung, z.B. EC-Karten zeigten sich mit der Zeit Schwächen, die dann in der Weiterentwicklung sukzesieve
beseitigt wurden. Blind der aktuell praktischen Umsetzung von den Signaturverfahren und der elektronische Aktenführung - elektronischer Dokumente - zu vertrauen, halte ich für nicht angebracht.
Insofern halte ich es für keinen Unfug, die Sicherheit, elektronischer Dokumente, vor Manipulationen - auch wenn diese signiert sind - zu hinterfragen.
Ist es wirklich ausgeschlossen ist, daß Signaturschlüssel abgegriffen/geklaut werden können, und Dokumente verändert und erneut signiert werden können?
Sei es z.B. die des Notars oder von der elektronischen Aktenführung des Grundbuchamtes. Und ich vermute daß im Grundbuch mehrere Personen in der Lage sein dürften Dokumente zu signieren.
Was meines Erachtens das Risiko des Abgreifens von Signaturschlüssel erheblich erhöht.
Schade daß es kaum Informationen dazu gibt, die sich technisch differenziert kritisch damit auseinandersetzt.
Martin Ebert
Oct 9, 2022, 2:10:35 PM10/9/22
to
Am 03.10.22 um 12:39 schrieb Leo Pard:
Ich bin beruflich mit derartigen Fragen befasst. Zu einigen
Punkten hat Tim schon etwas gesagt. Andere Punkte entziehen
sich der öffentlichen Diskussion.
> 2) Das Manipulationsrisko von digitalisierten Dokumenten mit
> Urkundencharakter durch interne Mitarbeiter im IT-Bereich.
kaufst ein Grundstück. Tatsächlich wird das in mehreren
staatlichen Akten digital geführt: Grundbuchamt, Liegenschafts-
amt usw. - Du als Bürger bekommst beim Notar eine/zwei Aus-
fertigungen des notariellen Kaufvertrags. Du bekommst einen
Liegenschaftsauszug. Auf Antrag bekommst Du einen Grundbuch-
auszug.
Das legst Du in Deinen Tresor und gut ist.
Mt
Tim Ritberg
Oct 9, 2022, 2:40:56 PM10/9/22
to
Am 09.10.22 um 16:16 schrieb Leo Pard:
[bla]
https://www.notar.de/der-notar/notarielle-urkunden/die-elektronische-notarielle-urkunde
Tim
[bla]
> Schade daß es kaum Informationen dazu gibt, die sich technisch differenziert kritisch damit auseinandersetzt.
Ist ja auch so schwer mit Google....
https://www.notar.de/der-notar/notarielle-urkunden/die-elektronische-notarielle-urkunde
Tim
0 new messages