13. April 2011 - Identitätsdiebstahl

Device Reputation: Datenschutz oder Datenrisiko?

Um Identitätsdiebe und Online-Betrüger besser erkennen zu können, bieten verschiedene Sicherheitsdienstleister eine Prüfung der Geräte-Identität (Device Reputation) an, sobald es zu einem Zugriff auf eine Kunden-Webseite kommt. Dabei sollten jedoch keine personenbezogenen Daten ohne Information der Nutzer verarbeitet werden, damit nicht der Schutz vor Datendieben die Daten selbst in Gefahr bringt.

device-reputation-datenschutz-oder-datenrisiko.jpeg
Device Reputation überprüft die Identität der Geräte, die sich online anmelden, um Identitätsdiebstahl auszuschließen (Bild: Thinkstock)

Passwortprüfung allein ist zu wenig

Selbst wenn sich der Besucher einer Webseite erfolgreich einloggen kann, also ein Passwort zu einem gültigen Benutzerkonto kennt, könnte gerade ein Passwortdieb dabei sein, den Online-Dienst und die Daten des Opfers zu missbrauchen. Hilfreich wäre es, wenn man zur Prüfung der Identität einen zweiten Faktor hätte, zum Beispiel die Geräte-Identität, also die sogenannte Device Reputation.

Device Reputation: Auch Geräte haben eine Vergangenheit

Sicherheitsdienste im Bereich Device Reputation helfen nicht nur bei der Identifizierung des für den Zugriff genutzten Geräts. Auch die mögliche Geschichte des Geräts lässt sich berücksichtigen. Wurde das Gerät mit diesen Kennzeichen (wie eindeutige Geräte-ID, MAC-Adresse (Media Access Control)) zum Beispiel kürzlich als gestohlen gemeldet?

Passen Position und Nutzer zusammen?

Mit dem zugreifenden Gerät ist auch eine IP-Adresse verbunden. Steht diese IP-.Adresse zum Beispiel auf einer Schwarzen Liste der Spammer oder Hacker?


Download:


Aus der übertragenen IP-Adresse kann ein Device-Reputation-Dienst auch die Standortdaten ermitteln. Findet zum Beispiel der Zugriff plötzlich von einem ganz anderen Land statt, als es bisher der Fall war? Spätestens jetzt wird deutlich, dass bei der Geräteprüfung auch personenbezogene Daten betroffen sein könnten.

Nutzer werden oftmals nicht informiert

Über die Auswertung und Speicherung ihrer IP-Adresse werden die Nutzer von Webseiten, die sich über einen Device-Reputation-Dienst schützen lassen, in vielen Fällen jedoch nicht informiert. Dabei könnte es sein, dass zusammen mit

  • der IP-Adresse,
  • der Geräte-ID,
  • den Standortdaten und
  • den getätigten Zugriffen

ein umfangreiches Benutzerprofil erzeugt und vorgehalten wird.

Sorgen Sie für Datenschutz bei der Betrugserkennung per Device Reputation

So wichtig solche Dienste wie eine Device-Reputation-Prüfung bei der Verhinderung von Online-Betrug sein kann, der Datenschutz für die unbeteiligten und ehrlichen Nutzer darf nicht vergessen werden. Auch bei einer internen Nutzung einer Geräte-Erkennung im Intranet sollten Sie die Protokolle und Berichte kritisch betrachten. So könnte es passieren, dass bei der Zugangs- und Zugriffskontrolle die Nutzer durchleuchtet und Verhaltens- und Leistungsanalysen erzeugt werden.

Die Geräte-Erkennung im Internet oder Intranet wird spätestens in Verbindung mit der IP-Adresse zu einem Thema für den Datenschutz. Prüfen Sie deshalb die entsprechende Datenverarbeitung bei geplanten und/oder bei bereits eingesetzten Sicherheitsdiensten. Tipps erhalten Sie auch im Download „Checkliste Prüfung von Device Reputation“.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln