Datenlecks in Anmeldeformularen vermeiden

IT-Systeme und -Dienste knüpfen eine Vielzahl von Funktionen an das Vorhandensein einer digitalen Identität, sei es der Zugriff auf einen Kunden-Account, ein Konto beim Online-Banking, oder die eigene elektronische Patientenakte. Die Überprüfung der Identität einer Person, die eine solche Funktion benutzen möchte, wird als Authentifizierung bezeichnet. Im einfachsten und wohl noch am weitesten verbreiteten Fall verknüpft die Authentifizierung einen Benutzernamen oder eine Kennung – oftmals handelt es sich hierbei um eine E-Mail-Adresse – mit einem Passwort, das nur der Inhaber der Identität kennen sollte.

Obwohl Authentifizierungssysteme dem Schutz von IT-Systemen und -Diensten – und regelmäßig auch dem Datenschutz – dienen sollen, können sie durch bestimmte Fallstricke dazu führen, dass personenbezogene Daten gegenüber Unbefugten offengelegt werden.

Anmeldeformular

Ein häufig anzutreffendes Beispiel hierfür sind Fehlermeldungen, die den Nutzenden bei der Fehleingabe von Benutzername und Passwort angezeigt werden. Bei diesen Meldungen finden sich teilweise Formulierungen, die den Nutzenden mitteilen, ob zu der Kennung ein Konto existiert. So deutet z. B. die Meldung „Das eingegebene Passwort zu diesem Konto ist falsch“ darauf hin, dass die Kennung im Gegensatz zum Passwort korrekt ist. Sie legt somit offen, dass ein entsprechendes Benutzerkonto mit dieser Kennung tatsächlich im IT-System oder -Dienst registriert ist.

„Passwort zurücksetzen“-Formular

Ein weiteres Beispiel sind Formulare zum Zurücksetzen vergessener Passwörter. Diese setzen als Eingabe in der Regel nur den Benutzernamen oder die E-Mail-Adresse voraus. Hier sind ebenfalls sowohl im Erfolgs- als auch im Fehlerfall Meldungen anzutreffen, die Aufschluss über registrierte Personen geben können. Meldungen wie „Ein Link zum Zurücksetzen des Passworts wurde versandt“ oder „Zu dieser E-Mail-Adresse existiert kein Benutzerkonto“ geben dem Benutzer Aufschluss darüber, ob ein Benutzerkonto mit dieser Kennung im System existiert. Wenn es sich bei dem IT-System oder -Dienst beispielsweise um ein Bewerber- oder Gesundheitsportal handelt, sind für die betroffenen Personen mitunter sogar erhebliche Schäden infolge des Bekanntwerdens dieser Information denkbar.

Datenschutzrechtliche Pflichten und Gestaltungshinweise

Verantwortliche sind aufgrund von Art. 5 Abs. 1 lit. f DS-GVO zur Umsetzung des Grundsatzes der Vertraulichkeit bei der Verarbeitung personenbezogener Daten verpflichtet. Diesen Grundsatz müssen sie bei der Planung und der Umsetzung von IT-Systemen und -Diensten gemäß Art. 25 Abs. 1 DS-GVO durch eine angemessene und geeignete Technikgestaltung umsetzen. Eine Offenlegung von Informationen wie in den oben dargestellten Beispielen kann einen Bruch der Vertraulichkeit und somit eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Abs. 12 DS-GVO darstellen.

Um derartige Offenlegungen zu verhindern, sollten Verantwortliche Authentifizierungsformulare derart gestalten, dass diese Rückmeldungen in Form von neutralen Formulierungen geben und somit keine Rückschlüsse auf die Existenz von Benutzerkonten ermöglichen.

Ein Beispiel für eine solche neutrale Formulierung bei einem Anmeldeformular könnte sein: „Die Kombination aus Benutzerkennung und Passwort ist falsch“. Bei der Nutzung des „Passwort zurücksetzen“-Formulars lässt beispielsweise die Formulierung „Sofern ein solches Benutzerkonto existiert, wurde ein Link zum Zurücksetzen des Passworts versandt“ keine Rückschlüsse auf ein Benutzerkonto zu.

Über diese Beispiele hinaus sind weitere Szenarien denkbar, die mit ihren eigenen Risiken einhergehen. Für die hier schon genannten und vergleichbare Anwendungs- und Gestaltungsbeispiele rund um Online-Dienste finden Verantwortliche und andere Interessierte Hinweise und Orientierungshilfen zur Absicherung beispielsweise im Baustein ORP.4.A23 des BSI-IT-Grundschutzes (Identitäts- und Berechtigungsmanagement) oder in der Orientierungshilfe „Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung“Öffnet sich in einem neuen Fenster der Datenschutzkonferenz.

Stand: 23.02.2024