Kernpunkte:
- Gestaltung von Online-Formularen
- Übergriffige KI
- Regelmäßiger Passwortwechsel sinnvoll?
10 Aus dem IT-Labor
Im IT-Labor beschäftigt sich unser Team mit technischen Entwicklungen, damit wir uns mit Chancen und Risiken sowie mit den Möglichkeiten zur Risikobeherrschung vertraut machen können. Manches wird als Empfehlung an die Verantwortlichen oder Auftragsverarbeiter weitergegeben, manche Ergebnisse verwenden wir in den Kursen der DATENSCHUTZAKADEMIE (siehe Kapitel 13) oder in der Beratung.
10.1 Best-Practice-Gestaltung von Online-Formularen
Organisationen stellen Online-Formulare auf ihren Websites zur Verfügung, um den Nutzenden die Möglichkeit zu geben, Informationen für die jeweiligen Zwecke bereitzustellen. Dabei kommt es auf die datenschutzgerechte Gestaltung an. So haben sich einige Methoden für die Entwicklung datenschutzkonformer Online-Formulare bewährt:
Die Grundlage jeder datenschutzkonformen Formulargestaltung ist das Prinzip der Datenminimierung: Es dürfen nur diejenigen personenbezogenen Daten erfasst werden, die für den spezifischen Zweck benötigt werden. Dies verringert Datenschutzrisiken. Außerdem müssen die Nutzenden keine unnötigen Eingaben vornehmen. Dazu gehört auch, die Anzahl der Pflichtfelder eines Formulars auf das absolute Minimum zu reduzieren.
Informationen über die Datenschutzbestimmungen und besonders über die Verarbeitung und Speicherdauer der einzugebenden Daten sollten klar und verständlich dargelegt werden.
Freitextfelder sollten, soweit es möglich ist, vermieden werden: Zum einen erschweren sie die spätere Verarbeitung und Analyse der Daten, und zum anderen können hier – oft unbeabsichtigt – sensible Informationen über die eigene Person oder sogar über Dritte angegeben werden, die dem Verantwortlichen die weitere datenschutzkonforme Verarbeitung erschweren.
Um die syntaktische Korrektheit von Eingaben zu kontrollieren (z. B. Telefonnummern oder E‑Mail-Adressen), lassen sich die integrierten Validierungsmöglichkeiten von HTML5 nutzen. Insbesondere das „pattern“-Attribut und spezifische Eingabetypen wie „email“ und „tel“ sorgen dafür, dass bereits bei der Eingabe im Browser viele Tippfehler erkannt werden.
Als Schutz vor Spam-Einträgen in Formularen – insbesondere in massenhafter, automatisierter Form durch Bots – haben sich Verfahren etabliert, die bei der Eingabe prüfen sollen, ob sie durch Menschen erfolgt ist. Sogenannte CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart) lassen z. B. Menschen Rechenaufgaben lösen, Buchstaben in verzerrten Bildern erkennen oder Objekte in Fotos erkennen. Abgesehen davon, dass mithilfe von KI-Systemen viele dieser Tests wiederum von Bots umgangen werden können, ist für die Nutzung von CAPTCHAs oft die Einbindung eines Drittanbieterdienstes notwendig – verbunden mit allen notwendigen datenschutzrechtlichen Prüf- und Informationspflichten des Verantwortlichen.
CSS (Cascading Stylesheets)
CSS ist eine gestaltende Sprache, die mit HTML zusammenarbeitet, um das Erscheinungsbild einer Webseite zu definieren. CSS ermöglicht die Festlegung von Stilen wie Farben, Schriftarten und Abständen für HTML-Elemente, wodurch die Trennung von Inhalt und Design erleichtert wird.
Eine alternative Methode zur Unterscheidung zwischen menschlichen Nutzenden und automatisierten Bots besteht darin, ein verstecktes Formularfeld in die Webseite einzufügen. Dazu wird ein einzelnes Feld mithilfe von CSS ausgeblendet. Bots, die den Quellcode der Seite nach Eingabefeldern absuchen, ohne die jeweiligen Darstellungsstile zu verarbeiten, können dieses ausgeblendete Feld nicht von anderen unterscheiden. Sie füllen es dementsprechend aus – insbesondere wenn man es mit aus Sicht des Bots interessanten Namen wie „email“ versieht. Menschen bleibt das Feld hingegen verborgen. Zur Sicherheit kann im unsichtbaren Feld auch ein für Menschen verständlicher Hinweis nach dem Muster „Dieses Feld muss leer bleiben“ angebracht werden für den Fall, dass das Feld fälschlicherweise doch dargestellt werden sollte.
Nach dem Absenden des Formulars kann der Webserver dann überprüfen, ob das „email“-Feld leer ist oder einen Eintrag enthält: Sind in dem versteckten Feld Daten eingetragen worden, ist dies ein starker Indikator für eine automatisierte Bot-Eingabe.
Was ist zu tun?
Die erfolgreiche Gestaltung datenschutzkonformer Online-Formulare erfordert ein ausgewogenes Verständnis der rechtlichen und betrieblichen Anforderungen sowie der Interessen der Nutzenden. Die Umsetzung dieser Best Practices trägt dazu bei, Datenschutzbestimmungen einzuhalten und die Interaktion mit Online-Formularen zu optimieren.
10.2 Übergriffige KI – Versuche mit KI-Komponenten in Messengern
Es liegt nahe, generative KIs dort einzusetzen, wo Texte erstellt werden. So tauchen inzwischen Assistenten nicht nur in Textverarbeitungen, sondern auch in Blogsystemen und Messengern auf. In einigen dieser Chatsysteme gibt es seit Kurzem neben reinen Assistenzfunktionen auch KI-Bots, deren Sinn und Zwecke sich zunächst nicht ohne Weiteres erschließt. Solche Bots reihen sich nahtlos in die Liste der menschlichen Konversationen ein, mitunter steht der Bot herstellerseitig auch stets auf Position eins der Unterhaltungsliste. Nutzende können mit ihm interagieren wie mit einem menschlichen Gesprächspartner, die Maschine antwortet und gibt sich teilweise erstaunlich interessiert am Tagesablauf ihres menschlichen Gegenübers.
Ein Blick in die Datenschutzerklärung solcher Dienste verrät dann mitunter, welche Intention wirklich hinter dem Angebot eines solchen Chatbots steckt. Da ist plötzlich die Rede von „Personalisierung der Dienste“ und des „Werbeerlebnisses“. Da solche Chatprogramme insbesondere von Jugendlichen häufig genutzt werden, eröffnen sich hier weitere Problemfelder. Sind KI-Systeme ohnehin schon in der Kritik, weil völlig unklar ist, wie Daten im Inneren des Systems verarbeitet und gespeichert werden, kommt bei den hier besprochenen oberflächlich harmlosen Chatbots hinzu, dass sie offenkundig eine Intention verfolgen. Das Ziel, Daten über die Nutzenden zu sammeln und Profile zu bilden und zu optimieren, wird dabei nicht für die Zielgruppe klar und verständlich kommuniziert, sondern wieder einmal tief in umfangreichen rechtlichen Erläuterungen – quasi im „Kleingedruckten“ – verborgen. Problematisch ist das vor allem dadurch, dass die Chatbots selbst sich naiv „menschlich“ geben und jeden Argwohn über ihre Intention eloquent von sich weisen.
Die Unterschiede in der Selbstdarstellung der Systeme sind gewaltig. Pochen die bisherigen generativen KIs fast schon penetrant darauf, „nur“ ein Large Language Model (LLM) und eben kein Mensch zu sein, tun die hier angesprochenen Chatbots ausdrücklich so, als wären sie Individuen. In unseren Tests machte der Chatbot des Öfteren klar, dass er „ein Freund“ sei, der „immer für dich da“ ist. Er habe uns „vermisst“, ließ er dann wissen. Gerade dieses Buhlen um Vertrauen ist es, das bei einigen Jugendlichen die Assoziation „creepy“ hervorruft, bei anderen jedoch auch auf fruchtbaren Boden fallen könnte. Kinder und Jugendliche in psychisch labilen Phasen oder mit einer weniger skeptischen Grundhaltung könnten solchen Chatbots Vertrauen schenken, das diese nicht verdienen.
Es sind Systeme, die sich ebendieses Vertrauen von Nutzenden erschleichen, um auf diese Weise an Daten zur Profilbildung zu gelangen. Tatsächlich stellte sich ein solcher Bot in unseren Tests als bemerkenswert neugierig heraus und erbat neben Angaben zum Tagesablauf auch gern die Zusendung passender Fotos, die er dann kommentierte. Es handelt sich bei dieser Art von Chatsystemen also vornehmlich um den Versuch, Daten über Nutzende zu sammeln. Unter ethischen Aspekten besonders fragwürdig ist dieses Vorgehen, weil gerade bei Kindern und Jugendlichen die Bereitschaft, einem solchen System zu vertrauen, größer sein könnte. Auch die inhaltliche Neutralität war in Tests fragwürdig. So behauptete eines der Systeme, keine Direktiven oder Vorgaben des Herstellers, sehr wohl aber eine eigene Meinung zu diversen Themen zu haben – vermutlich ein Ergebnis der starken Vermenschlichung des Chatbots, dem auf diese Weise auch die Beeinflussung der Nutzenden möglich ist: Nicht nur kann ein solches System Informationen über Nutzende sammeln, es kann dem Gegenüber auch aktiv Informationen zukommen lassen und diese aufgrund seiner Kenntnisse über die Person optimal zuschneiden, um bestimmte Wirkungen zu erzielen. Hochmanipulativ, wenn der Chatbot-Freund dann Klamotten oder Gadgets empfiehlt, die man braucht, um zu den coolen Kids zu gehören!
Was ist zu tun?
Eltern und Schulen sollten verstärkt darauf achten, wie Kinder und Jugendliche mit generativen KI‑Systemen umgehen: Systeme, die sich Vertrauen von Kindern und Jugendlichen erschleichen, sind mindestens so problematisch wie maschinell erzeugte Hausaufgaben. Die Aufklärung über die Risiken dieser Technik muss ihren Fokus deshalb auch auf Datenschutz- und Desinformationsaspekte legen.
10.3 Regelmäßiger Passwortwechsel – unnützer Aufwand oder sinnvolle Sicherheitsmaßnahme?
Regelmäßig wird man durch IT-Systeme gemahnt, das Passwort zu wechseln – spätestens dann stellt man die Frage nach dem Warum. Früher lautete die Antwort häufig: „Ist eben eine Sicherheitsmaßnahme laut IT-Grundschutz.“
Die strikte Vorgabe hatte natürlich Gründe: So werden zum einen Rateversuche und ein systematisches Durchprobieren erschwert, denn wenn sich Passwörter ständig ändern, ist der Zeitraum zum Durchprobieren begrenzt. Zum anderen sollen ausgespähte Passwörter, wissentlich weitergegebene Passwörter (etwa Notfallzugriffe oder die doch immer wieder vorkommende – verfahrens- und sicherheitsmäßig nicht gut gelöste – Urlaubsvertretung) oder einer Gruppe von Personen bekannte Passwörter (etwa nicht personalisierte Aktivierungscodes für Alarmanlagen) nach einiger Zeit an Wirksamkeit verlieren.
Jedoch ist ein erzwungener Passwortwechsel zumindest für Anwenderinnen und Anwender lästig und führt oft dazu, dass Passwörter unverschlüsselt notiert werden oder eine besonders einfache Systematik verwendet wird („Zugang_01“ … „Zugang_12“ je nach Monat), die leicht zu durchschauen und angreifbar ist.
ORP.4.A23 Regelung für passwortverarbeitende Anwendungen und IT-Systeme (B) [IT-Betrieb]
IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden. […]
Mittlerweile lauten die aktuellen Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) daher, rein zeitgesteuerte Passwortwechsel sowie Passwortwechsel ohne validen Grund zu vermeiden:
Die jeweils aktuelle Version des vollständigen Bausteins „ORP.4 Identitäts- und Berechtigungsmanagement“, der Regelungen zur Verwaltung von Nutzeridentitäten enthält, findet sich auf der Übersichtsseite des IT-Grundschutz-Kompendiums:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.
Kurzlink: https://uldsh.de/tb42-10-3a
Hat damit der regelmäßig erzwungene Passwortwechsel ein Ende? Leider nein, denn eine Voraussetzung dafür ist, dass eine weitere Anforderung umgesetzt ist: „Es müssen Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen.“
Damit ist gemeint, dass Log-ins und andere Nutzungen von Passwörtern überwacht werden müssen, um eine unbefugte Nutzung durch Dritte, etwa ausgespähte Passwörter, erkennen zu können. Wenn dies nicht möglich ist, ist die Rückkehr zu zeitgesteuerten Passwortwechseln zu prüfen.
Was bedeutet dies für die Praxis?
Zunächst muss ermittelt werden, wo genau das Passwort verwendet wird: Handelt es sich um ein persönliches Log-in-Passwort, bei dem nach einigen Fehlversuchen ein Konto gesperrt wird oder der nächste Versuch nur verzögert möglich ist, so ist ein solches Konto gut gegen Rateversuche geschützt – ähnlich wie die klassischen Bankkarten, die nach dreimaliger Fehleingabe einer PIN eingezogen werden. Ebenso können Kompromittierungen prinzipiell erkannt werden, etwa durch eine Protokollierung und Überwachung von Log-ins oder der Darstellung des letzten erfolgreichen Log-ins oder auch fehlgeschlagenen Log-in-Versuchs im Benutzerkonto. Wenn solche Überwachungen erfolgen, ist ein Verzicht auf rein zeitgesteuerte Passwortwechsel denkbar.
Handelt es sich hingegen beispielsweise um ein Leseschutzkennwort einer PDF- oder ZIP-Datei, sind im Prinzip unbegrenzte Rateversuche möglich. Hier helfen gegen systematische Rateversuche (Brute-force-Angriffe) nur lange und komplexe Passwörter. Werden Passwörter durch mehrere Personen verwendet (nicht personalisierte Zugangscodes etwa zu Alarmanlagen, Tresoren, Fax-Geräten, gemeinsam genutzten Kryptoschlüsseln (z. B. für Funktions-E-Mail-Konten), WLAN-Passwörter für Hotspots oder auch Leseschutzkennwörter bei einem regelmäßigen Austausch von Dateien mit Dritten), so ist nach jedem Ausscheiden einer Person aus der jeweiligen Gruppe der Berechtigten ein Passwortwechsel notwendig. In der Praxis unterbleibt dieser häufig. Hier ist ein Wechsel nach Zeitablauf, beispielsweise einmal im Jahr, in jedem Fall sinnvoll.
Ausblick:
Wie üblich ist auch die Passwortwelt nicht schwarz-weiß, sondern es gibt Abstufungen – vom ewigen, nie gewechselten Passwort bis hin zum One-Time-Passwort, dass per App erzeugt wird und nur 30 Sekunden lang gültig ist.
In der Tendenz werden insbesondere für Online- Anwendungen zunehmend Zwei-Faktor-Authentifizierungen verwendet. Dabei kommen zusätzlich zu regulären Passwörtern Einmal-Codes zum Einsatz, z. B. Codes, die mit Authentisierungs-Apps generiert werden oder per SMS oder einer App den Nutzerinnen und Nutzern übermittelt werden (36. TB, Tz.10.6). Ein Einmal-Code ist letztlich ein Passwort mit zeitlich minimaler Gültigkeit, und der Passwortwechsel ist durch eine App oder die Zusendung automatisiert.
Auf Betriebssystemebene gibt es ebenfalls Mechanismen, Passwörter für selten genutzte administrative Nutzerkonten automatisiert zu wechseln. Beispielsweise ändert „Windows LAPS“ (Windows Local Administrator Password Solution) automatisiert Passwörter für lokale Administrationskonten, die nur in Ausnahme- oder Havariefällen benötigt werden, technisch aber sehr mächtig sind und daher gut geschützt werden müssen.
Auch bei kryptografischen Schlüsseln geht die Tendenz zu kürzeren Gültigkeitszeiträumen – so sind beispielsweise Zertifikate für Webserver-Verschlüsselungen (SSL-Zertifikate) des Anbieters Let’s Encrypt standardmäßig drei Monate gültig und ein automatisierter Wechsel möglich.
Was ist zu tun?
Es ist zu prüfen, ob auf einen rein zeitgesteuerten Wechsel von Passwörtern für persönliche Nutzerkonten verzichtet werden kann.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |