Warum Sie niemals Fotos Ihres Ausweises verschicken sollten: Die sicherste Alternative

Für viele Verfahren und Produktlieferungen in Argentinien ist ein Foto des Personalausweises (DNI) des Inhabers erforderlich. Experten für Datenschutz und Privatsphäre warnen jedoch davor, dass dies eine schreckliche Praxis ist: Diese Daten können für verschiedene Arten von Cyberkriminalität missbraucht werden, vom Identitätsdiebstahl, um einen Privatkredit zu erhalten, bis hin zur Identitätsfälschung, um unsere WhatsApp- Kontakte im sogenannten Social Engineering zu täuschen.

Obwohl es für viele unwichtig erscheinen mag, ist es wichtig, sich daran zu erinnern, dass der DNI nicht nur eine Identität nachweist, sondern auch wichtige persönliche Daten wie den vollständigen Namen, die Dokumentennummer, das Geburtsdatum und die Adresse enthält.

Im Geschäft mit dem Kauf und Verkauf personenbezogener Daten, auf die Angreifer aus verschiedenen Gründen aus sind ( siehe ), sind Dokumentenfotos wertvoll , da sie die Erstellung vollständiger Profile für Betrugsmaschen oder „gelenkte Betrügereien“ ermöglichen, bei denen das Opfer dazu verleitet wird, Überweisungen an Betrüger zu tätigen oder personenbezogene Daten preiszugeben. Tatsächlich gelang es einem Angreifer im vergangenen Jahr, sechs Millionen Führerscheinfotos zu stehlen .

Hinzu kommt ein zweites, nicht weniger wichtiges Problem: Viele Unternehmen verfügen nicht über ausreichende Sicherheitsmaßnahmen . Selbst wenn sie welche haben, sind sie dem Risiko von Informationsdiebstahl und potenziellen Datenschutzverletzungen ausgesetzt, die die Nutzer beeinträchtigen können. Im Gegensatz zu Passwörtern sind Datenschutzverletzungen dieser Art zudem schwieriger rückgängig zu machen: Ein Passwort kann geändert werden; die Adresse ist deutlich komplizierter.

Aus diesem Grund ist „ Datos argentinos “ eine Website, die es mithilfe eines Tools namens Safe ID ermöglicht, Daten eines Personalausweises zu verbergen, bevor das von einem Unternehmen oder einer Einrichtung angeforderte Bild freigegeben wird. Entwickelt wurde die Website von Martín Aberastegue, einem argentinischen Programmierer und Marketingspezialisten. Er erklärt, warum es sinnvoll ist, sensible Daten vor der Freigabe von Dokumenten zu verbergen und wie man dabei vorgeht.

„Die Verschleierung ist unerlässlich, da der argentinische Personalausweis äußerst sensible Informationen enthält, die für Identitätsdiebstahl, Finanzbetrug und unbefugten Zugriff auf Dienste missbraucht werden können. Das Dokument enthält kritische Daten wie die Transaktionsnummer, den PDF417-Code mit allen persönlichen Daten in digitaler Form und biometrische Daten . In den falschen Händen ermöglichen diese Informationen betrügerische Transaktionen und die vollständige Identitätsfälschung des Opfers“, erklärte der Experte gegenüber Clarín . Er hat Unternehmen wie der AFIP (ARCA), Telefongesellschaften und Versicherungsunternehmen über Schwachstellen informiert.

Aus diesem Grund hat Aberastegue eine Open-Source -Anwendung entwickelt, mit der Daten vor dem Senden verschleiert werden können.

„Datos Argentinos ist eine Plattform, die sich auf den Schutz persönlicher DNI-Daten konzentriert und vollständig gemeinnützig ist “, erklärt er. „Das wichtigste Tool, Safe ID , ermöglicht die sichere Weitergabe Ihres Ausweisdokuments, indem alle Informationen lokal im Browser des Nutzers verarbeitet werden, ohne dass Daten an externe Server gesendet werden. Es funktioniert komplett offline und kann sogar als App auf dem Smartphone installiert werden. Die Plattform bietet Funktionen wie benutzerdefinierte Wasserzeichen und die Verschleierung sensibler Daten völlig kostenlos“, fügt er hinzu.

Auf der Geschäftsseite gibt es mit diesem System einige Probleme: Viele beschweren sich, wenn Daten verschleiert werden.

„Es gibt Unternehmen, die Dokumente mit zensierten Daten rundweg ablehnen , obwohl sie gesetzlich nicht dazu befugt sind, das vollständige Dokument anzufordern. Das erschwert dem Nutzer das Leben. Beispielsweise akzeptierten einige Mobilfunkanbieter Ausweise mit Wasserzeichen und unkenntlich gemachten Daten problemlos, während andere sie mit der Begründung ablehnten, das Wasserzeichen sei zu stark. Ich habe die Intensität angepasst, und dann akzeptierten sie sie. Tatsächlich hängt es aber stark vom Unternehmen und dem Dienstleister ab“, erklärt er.

Schließlich handelt es sich hier um eine Kultur, die sich ändern muss.

Eine wichtige Information auf dem DNI ist neben der Adresse und dem vollständigen Namen die sogenannte Verfahrensnummer.

„Die Transaktionsnummer ist ein grundlegender Schlüssel für Online-Verfahren und die Identitätsprüfung. Mit dieser Information können Kriminelle Behördengänge online durchführen, indem sie sich als jemand anderes ausgeben, ihre Identität auf digitalen Plattformen bestätigen, auf grundlegende Bankdienstleistungen zugreifen und persönliche Daten in Systemen bestätigen, die lediglich einen Ausweis und eine Transaktionsnummer benötigen. Sie ist besonders gefährlich , da sie als eindeutige Kennung fungiert und den Ausweis ergänzt. Viele Online-Systeme nutzen sie als Authentifizierungsfaktor, während die Öffentlichkeit sich ihrer Sensibilität nicht bewusst ist und sie nicht ausreichend schützt“, erklärt der Experte.

Bei Datenlecks neigt der Durchschnittsbürger dazu, keinen neuen Ausweis zu beantragen, zum Teil, weil der Vorgang umständlich ist und weil ihm das Ausmaß des Problems nicht bewusst ist.

„Im Falle einer Datenpanne erneuern nur sehr wenige Menschen ihren Ausweis, um die offengelegte Transaktionsnummer ungültig zu machen. Daher bleibt das Risiko auch langfristig bestehen. Safe ID trägt dazu bei, dieses Risiko zu minimieren, indem es Daten schützt, wenn es nicht wirklich notwendig ist, sie weiterzugeben“, erklärt Aberastegue.

Abschließend ist noch zu klären, ob beim Hochladen des Ausweises das Bild auf einem fremden Server gespeichert wird (was potenziell gefährlich sein kann). Wie verarbeitet das System die Daten?

Dies wird auf der Website erklärt: „Safe ID verwendet eine vollständig clientseitige Architektur, die die Speicherung Ihrer Daten technisch unmöglich macht. Obwohl die Webanwendung von unserem Server heruntergeladen wird, erfolgt die gesamte Verarbeitung Ihrer Bilder direkt in Ihrem Browser mithilfe der nativen FileReader- und Canvas-APIs , ohne dass Ihre Dokumente jemals an externe Server gesendet werden müssen.“ Die APIs sind bereits im Browser integrierte Funktionen, mit denen Sie Dateien und Bilder verwalten können, ohne externe Programme zu benötigen oder Daten über das Internet senden zu müssen.

„Wenn Sie ein Bild laden, liest der Browser es direkt von Ihrem Gerät und konvertiert es in eine digitale Darstellung, die ausschließlich im RAM gespeichert ist. Transformationen wie Zuschneiden, Verschleierung und Wasserzeichen werden mithilfe lokaler mathematischer Operationen auf einem HTML5-Canvas-Element durchgeführt. Das Endergebnis wird direkt auf Ihrem Gerät generiert, ohne dass Daten es verlassen“, fügen sie hinzu. Fachleute können den Safe ID-Quellcode auf GitHub einsehen.

„Darüber hinaus möchte das Projekt das Bewusstsein schärfen und über die Bedeutung des Schutzes personenbezogener Daten aufklären. Es enthält Abschnitte mit häufig gestellten Fragen, einen Leitfaden zum Schutz des argentinischen Personalausweises (DNI) und einen Abschnitt mit einer von Marcela Pallero zusammengestellten Tabelle historischer Datenschutzverletzungen“, fügt sie hinzu und meint damit die Spezialistin für Datenschutz, die eine Zeitleiste der Vorfälle bei argentinischen öffentlichen und privaten Einrichtungen erstellt ( siehe ).

Um es zu nutzen, klicken Sie auf diesen Link . Je mehr Nutzer ihre Daten verschleiern, desto mehr Unternehmen und Organisationen müssen diese Vorgehensweise akzeptieren. Dies schützt letztendlich nicht nur die Privatsphäre der Bürger, sondern verhindert auch, dass die Organisation im Falle einer Datenpanne in Schwierigkeiten gerät.