Angebliches Datenleak Dienstag, 24. August 2021


Bei A-Trust genießt die Sicherheit der persönlichen Daten der UserInnen einen hohen Stellwert. Da am 23.08.2021 ein als "Österreich E-Government Leak" bezeichneter Artikel veröffentlicht und auf diversen Plattformen verteilt wurde, möchten wir im Rahmen der Transparenz auf die angesprochenen Punkte eingehen und einige Unschärfen und Falschinformationen klarstellen.

Vorab ist zu erwähnen, dass A-Trust als akkreditierter Vertrauensdiensteanbieter staatlicher Aufsicht unterliegt. Die hier geschilderten Abläufe müssen daher ausführlich dokumentiert werden, die Einhaltung der Prozesse wird regelmäßig durch Sicherheitsaudits überprüft. Die aktuelle Konformitätsbewertung ist unter https://www.a-trust.at/docs/A-SIT-CONF-CER-VIG-21-039_Konformitaetsbewertungsbescheinigung_A-Trust_v1_0_signed.pdf zu finden.

Dem Artikel zufolge besteht "der Leak" darin, dass Personendaten von ZertifikatsnutzerInnen über den Verzeichnisdienst von A-Trust öffentlich abrufbar sind. Die Aufgabe eines Vertrauendiensteanbieters liegt darin, die Identität der ZertifikatsnutzerInnen gemäß der gesetzlichen Vorgaben festzustellen und gegenüber Dritten zu bestätigen. Zu diesem Zweck wird ein entsprechender Verzeichnisdienst geführt, über den EmpfängerInnen einer Signatur die Authentizität eines Zertifikats überprüfen können.

Besonders stark wird diese Funktion im Rahmen der Verschlüsselung genutzt. Wird das Zertifikat z.B. für das Verschlüsseln von E-Mails oder Dateien verwendet, so können SenderInnen der Nachricht den öffentlichen Schlüssel der EmpfängerIn aus dem Verzeichnisdienst abfragen und die E-Mail oder die Datei damit verschlüsseln. Auch im Rahmen der Signaturprüfung kann der Verzeichnisdienst wie bereits angesprochen dazu verwendet werden, über die Prüfung des Stammzertifikats hinaus nachzuvollziehen, ob das Zertifikat tatsächlich von A-Trust ausgestellt wurde.

Der Verzeichnisdienst stellt also ein "Telefonbuch" für die Verschlüsselung und Prüfung von Zertifikaten dar - ein "Leak" hingegen ist per Definition die nicht autorisierte Veröffentlichung von Daten. Im Verzeichnisdienst werden allerdings bewusst und nur mit Zustimmung der UserInnen die Zertifikate veröffentlicht (Art. 24 (3) eIDAS VO). Auch besteht eine Pflicht zur allgemeinen Bereitstellung eines unentgeltlichen identifikationsfreien Zugangs zur Zertifikatsdatenbank (gemäß § 5 Abs. 1 SVV).

Da die Verschlüsselung von E-Mails und Dateien nur via kartenbasierten Zertifikaten und nicht per Handy-Signatur möglich ist, wird der Verzeichnisdienst bei der Handy-Signatur von Haus aus seltener genutzt. Im Rahmen der PDF-Signatur hat es zudem in den letzten Jahren einige Änderungen gegeben, unter anderem werden auf der EU Trust List aufgenommene Zertifikate mittlerweile automatisch vom marktbeherrschenden Acrobat Reader unterstützt, wodurch die Bedeutung des Verzeichnisdienstes auch im Signaturbereich stark abgenommen hat. Aus diesem Grund haben wir uns dafür entschieden, Handy-Signatur Zertifikate überhaupt nicht mehr im Verzeichnisdienst zu veröffentlichen. Eine Entfernung der bestehenden Einträge ist nicht erfolgt, da das Veröffentlichen der Zertifikate auf aktiven Wunsch der entsprechenden UserInnen erfolgt ist, eine ungefragte Entfernung wäre somit nicht vertragskonform.

Bei der Aktivierung der Handy-Signatur wurde die Aufnahme des Zertifikats von Beginn an als Opt-In Verfahren eingerichtet, eine automatische Aufnahme ist hier zu keinem Zeitpunkt erfolgt. UserInnen mussten aktiv ein optionales Häkchen aktivieren, um das Zertifikat in den Verzeichnisdienst aufnehmen zu lassen. Nach der Umstellung ist dies nicht mehr möglich, das Häkchen wird den UserInnen nicht mehr angeboten. Die im Artikel angesprochene Vorgangsweise des "herausfinden, dass dies doch nicht notwendig ist" trifft also hier nicht zu. A-Trust evaluiert regelmäßig sämtliche Prozesse, passt diese wenn notwendig an die Bedürfnisse des sich ständig ändernden Zertifikatsmarktes an und lässt diese Prozesse von der Aufsichtstelle und der Konformitätsbewertungsstelle stets prüfen.

Eine weitere grobe Unschärfe des Artikels liegt darin, welche Daten im Verzeichnisdienst veröffentlicht werden. Da die Handy-Signatur, wie angesprochen, nicht für die Verschlüsselung genutzt werden kann, werden bei Handy-Signatur-Zertifikaten keine E-Mail Adressen aufgenommen. Von einer Handy-Signatur kann daher in keinem Fall auf eine Firma, Einrichtung oder die Branche rückgeschlossen werden. Im Zertifikat befindet sich hier ausschließlich der Name der UserIn, sowie optional das Geburtsdatum. Ob KundInnen im Rahmen der Aktivierung eine E-Mail Adresse angeben oder nicht, hat entgegen der Angabe im Artikel darauf keinen Einfluss.

Bei kartenbasierten Zertifikaten ist es möglich, auf Wunsch des Zertifikatswerbers die E-Mail Adresse in das Zertifikat mit aufzunehmen. Der Zweck liegt hierbei wie bereits im Vorfeld erläutert darin, potentiellen SenderInnen das Verschlüsseln einer Nachricht zu ermöglichen. Wenn KundInnen dies im Zuge der Ausstellung wünschen, so wird die E-Mail Adresse mit aufgenommen und das Zertifikat entsprechend im Verzeichnisdienst hinterlegt. Bei diesen Produkten ist also außer dem Namen der UserInnen die E-Mail Adresse im Zertifikat zu sehen.

Der im Artikel zitierte Auszug der Datenschutzerklärung (https://www.a-trust.at/MediaProvider/2357/datenschutzerklaerung.pdf?b) bezieht sich wie auch dem Text zu entnehmen ist auf die Nutzung des Verzeichnisdienstes und die Speicherung der im Zuge dieser Nutzung angefallenen Informationen. Die Daten, die im Zuge der Zertifikatsaktivierung von A-Trust verarbeitet werden, sind im direkt nachfolgenden Abschnitt des Dokumentes erläutert. Die Speicherung der Kundendaten erfolgt wie in allen Dokumentationen erläutert, in gesicherten Rechenzentren, was auch im Rahmen der staatlichen Aufsicht regelmäßig geprüft wird. Die diesbezüglichen Behauptungen und Rückschlüsse des Artikels entsprechen nicht der Wahrheit und basieren zum Teil offensichtlich schlicht auf mangelnder Recherche.

Wie bereits eingangs erwähnt, ist uns der Datenschutz der UserInnen ein dringendes Anliegen und wir sind für alle Hinweise dankbar, die zu einer Erhöhung des Sicherheitsstandards führen. Hierfür beteiligen wir uns auch gerne an einem entsprechenden Austausch von Meinungen. Wir halten es aber nicht für zielführend, aus dem Zusammenhang gerissene Umstände und schlichtweg falsche Informationen, die sich durch einfache und offene Kommunikation im Vorhinein aufklären lassen würden, zu publizieren. So schafft man bei weniger technikaffinen UserInnen Unsicherheit und nicht die im Artikel als Ziel definierte Awareness.