Laut Angaben eines oder mehrerer Aktivisten, die unter dem Pseudonym "Persian Meow" einen Artikel auf der Codehosting-Plattform Github veröffentlicht haben, konnte man 1,7 Millionen personenbezogene Daten vom Sicherheitsanbieter A-Trust abgreifen. Das Unternehmen ist unter anderem zuständig für die sicherheitstechnische Abwicklung der Handysignatur und verwaltet auch die Zertifikate für diese.

Bei dem angeblichen Leak handelt es sich um ein Verzeichnis, das neben Namen und öffentlichen Schlüsseln – deren Kenntnis etwa notwendig ist, um einer Person verschlüsselte Mails zu schicken – teilweise auch Mailadressen und Geburtsdaten enthält. Die "Leaker" sehen darin ein Datenschutzproblem und haben nach eigenen Angaben auch die Privacy-NGO von Max Schrems, Noyb, informiert.

Betreiber dementiert Datenschutzprobleme

A-Trust beschwichtigt im Gespräch mit dem STANDARD allerdings. Das Verzeichnis sei gesetzeskonform aufgestellt und dafür gedacht, öffentlich abgerufen werden zu können. Die Speicherung der Daten für Nutzer der Handysignatur wurde bis April 2021 betrieben. Dem musste aber während der Anmeldung erst explizit zugestimmt werden. Der Sinn des Vorgehens war es hauptsächlich, eine einfache Überprüfbarkeit von Sendern und Empfängern beim Versand verschlüsselter E-Mails zu ermöglichen.

Bei Einwilligung war nur die Angabe von Vor- und Nachname verpflichtend, die Nennung von E-Mail und Geburtsdatum jedoch weiterhin optional. Die einzige Ausnahme stellte das Geburtsdatum von Minderjährigen dar. Hier ist gesetzlich eine Nachprüfbarkeit vorgeschrieben, etwa wenn die Handysignatur für elektronische Unterschriften genutzt wird.

Vor wenigen Monaten stellte man die Speicherung von Informationen für Handysignatur-Daten in diesem Verzeichnis jedoch komplett ein. Dies begründet man damit, dass die Hinterlegung nicht mehr praktikabel gewesen sei. Denn die Handysignatur kommt kaum für den Versand verschlüsselter E-Mails zum Einsatz, für andere Einsatzzwecke der Signatur hat die Veröffentlichung keinen Mehrwert.

Daten werden nach Zertifikatsablauf gelöscht

Wer den Public Key seiner Handysignatur bekanntgeben möchte, ist seitdem dafür selbst zuständig. Weiterhin per Opt-in hinterlegt werden aber Daten zu kartenbasierten Signaturen, oft Authentifizierungskarten im geschäftlichen Umfeld, die im Vergleich zur Handysignatur nur selten genutzt werden.

Laut A-Trust wird das Verzeichnis täglich automatisch auf abgelaufene Zertifikate geprüft. Daten zu nicht mehr gültigen Signaturen werden dabei entfernt. Die Zertifikate der Handysignatur sind fünf Jahre gültig. Die letzten vorhandenen Einträge werden also im Lauf des Jahres 2026 gelöscht.

Diskussion über Opt-in

Verwirrung gibt es aber um den bis April 2021 genutzten Opt-in-Prozess. Laut Postings in sozialen Medien ist manchen Handysignatur-Nutzern, die sich in dem Verzeichnis finden, nicht erinnerlich, jemals bei der Anmeldung entsprechende Häkchen gesetzt zu haben. Drei Jahre später lässt sich dies freilich kaum noch nachvollziehen.

A-Trust hat hierzu einen Screenshot übermittelt. Dieser soll den entsprechenden Schritt während der Anmeldung der Handysignatur vor der Umstellung zeigen. Über eine Checkbox konnte dabei die Einwilligung zur Aufnahme in das Verzeichnis gegeben werden. Das entsprechende Häkchen war laut dem Unternehmen – entgegen der Abbildung – standardmäßig aber nicht gesetzt.

Wer nachprüfen möchte, ob Informationen über einen selbst in dieser Datenbank hinterlegt sind, kann dazu die Verzeichnissuche auf der A-Trust-Website verwenden. Hier kann unter anderem nach Name und Mailadresse gefahndet werden.

Gibt es zu einem Namen mehrere Einträge, lässt sich über den Abgleich von Gültigkeitsdauer und der Zertifikats-Seriennummer feststellen, ob ein Eintrag einem selbst zuzuordnen ist. Ist das der Fall, so lässt sich eine Löschung entweder über die kostenpflichtige Technik-Hotline von A-Trust (0900 940 910, 1,09 Euro pro Minute) oder per Mail an hilfe@a-trust.at beantragen.

Kritik an Aktivisten

Den Verfassern des Artikels auf Github warf A-Trust in einer Aussendung vor, Falschinformationen zu verbreiten. Gegenüber dem STANDARD erklärt man, dass man stets bereit gewesen wäre, Auskünfte hinsichtlich des Verzeichnisdienstes zu geben. Hätten sich die Verantwortlichen mit entsprechenden Fragen gemeldet, wären diese Missverständnisse vermeidbar gewesen. (Georg Pichler, 25.8.2021)

Korrektur: Die letzten Handysignatur-Daten im A-Trust Verzeichnis werden im Laufe des Jahres 2026 automatisch entfernt werden, nicht, wie ursprünglich geschrieben, 2023.