Anonyme Umfrage der EU?

Noch ein reales Beispiel aus dem Bereich DSGVO u.a. Am 4. April bekam ich auf meiner privaten Mailadresse eine Einladung, die anscheinend von der EU stammen soll und mich zur Teilnahme an einer Umfange auffordert.

Die Mail

Die Mail macht erst einmal einen seriösen Eindruck. Klar, dass Outlook die Bilder nicht lädt und die Mail ist leider auch nicht signiert. Aber sonst gibt es keinen Schadcode als Anlage. Nur ein Link zum Anklicken.

Es ist wirklich zu viel verlangt solche Mails digital per SMIME zu signieren?

Natürlich habe ich denk Link erst mal nicht angeklickt sondern von einem abgeschotteten System erst mal die Basis-URL https://ec.europa.eu ) angesprochen. Nach der Sprachauswahl kommt eine seriös aussehende Seite und auch das Zertifikat von "GlobalSign" ist gültig.

Skeptisch bin ich aber bei der Aussage, dass die Umfrage anonym sein soll und meine Antworten anonym erfasst würden und ich daher auch nirgendwo meine Identität preisgeben sollte.

Details zur Mail

Also schaue ich mir mal den Header an, woher die Mail gekommen sein soll.

Return-Path: <DIGIT-EUSURVEY@nomail.ec.europa.eu>
Received: from out.mail.ec.europa.eu ([147.67.11.10]) by mx.kundenserver.de
 (mxeue010 [212.227.15.41]) with ESMTPS (Nemesis) id 1MFcJa-1h98Vf33U6-00HFdP
 for <frank@carius.de>; Thu, 04 Apr 2019 01:52:13 +0200
Received: from S-DC-EMP016-E.net1.cec.eu.int (158.167.3.15) by
 S-DC-EDG038-Z.rcnet.cec.eu.int (147.67.11.10) with Microsoft SMTP Server
 (TLS) id 14.3.435.0; Thu, 4 Apr 2019 01:52:51 +0200
Received: from peducho.cc.cec.eu.int (158.167.235.59) by SMTPMAIL.cec.eu.int
 (158.167.3.15) with Microsoft SMTP Server id 14.3.435.0; Thu, 4 Apr 2019
 01:52:12 +0200
Date: Thu, 4 Apr 2019 01:52:12 +0200
From: <DIGIT-EUSURVEY@nomail.ec.europa.eu>
Reply-To: <COMP-M.8870-fragebogen-DE-heizstrom@ec.europa.eu>
To: <frank@cariusxx.de>
Message-ID: <327571630.232899.1554335532994@peducho.cc.cec.eu.int>
Subject: =?UTF-8?Q?Die_Europ=C3=A4ische_Kommission_m=C3=B6chte_Informationen_zur_?=
 =?UTF-8?Q?Versorgung_Ihres_Unternehmens_mit_Heizstrom_erfragen?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
	boundary="----=_Part_232896_212704484.1554335532983"
Envelope-To: <frank@cariusxx.de>
X-Spam-Flag: NO

Auch hier sieht alles erst mal ordentlich aus. Mein Hoster (1und1) hat die Mail direkt von "out.mail.ec.europa.eu ([147.67.11.10])" empfangen. Das ist zwar noch keine Garantie, was das passiert aber schauen wir und das mal genauer an.

Browser los!

Also habe ich die URL in die Adressleiste des Browser kopiert und gestartet. Es kommt eine ganz normales Formular in meiner Landessprache mit eine Einleitung aber auch dem Hinweis, dass die Antworten "richtig" sein müssen.

Wenn die Umfrage anonym ist, dann stelle ich mir sehr wohl die Frage, wie sie denn mein Unternehmen dann identifizieren wollen ?

So ganz anonym bleibt die Umfrage dann aber auch nicht, da das Formular am Ende die fünf-stellige Postleitzahl haben möchte. Das dazu passende Land will das Formular gar nicht wissen. Also weiß der anonyme Dienst schon mal, dass ich in Deutschland verortet bin. Wenn man die anderen Werte dann noch dazu nimmt, dann reduziert sich der Kreis der Firmen weiter.

Das passt alles nicht so richtig zur versprochenen "Anonymität". Selbst wenn wir einmal annehmen, dass der Ersteller der Umfrage keine Mailadresse hat, so kann eine Postleitzahl zusammen mit der Anzahl der Beschäftigten und dem Verbrauch den Kreis der Antwortgeber so stark eingrenzen, dass von Anonymität keine Rede mehr sein kann.

Zusammenfassung per ... Mail!

Nachdem alle Daten angegeben und das Formular abgesendet wurde, bekommt ich das Angebot, eine Zusammenfassung als PDF zu erhalten. Ich hätte nun einen direkten Download erwartet oder vielleicht die Angabe einer Mailadresse. Stattdessen hat mir der Browser einfach den Erfolg gemeldet, dass die Datei per Mail versendet wurde.

Ich habe wohlgemerkt an keiner Stelle des Formulars eine Mailadresse eingegeben. Der Webserver muss anhand der GUID die Verknüpfung hergestellt haben.

Am Design der Webseite hinsichtlich kleinerer Bildschirme wäre sicher noch zu arbeiten. Dafür ist dann wenige Sekunden später auch eine weitere Mail mit der PDF-Datei als Anlage in meinem Postfach angekommen.

Da kann sich der Absender ja nun nicht mehr glaubhaft versichern, dass die Umfange anonym ist. Durch den Versand per Mail an eine Adresse statt eines "anonymen Downloads" kann der Betreiber noch mal verifizieren, dass es den Empfänger wirklich gibt.

Erneuter Besuch

Ein zweiter Versuch die Webseite zu öffnen liefert die Meldung "This access-link has already been used." Hier scheint also jemand zu URLs zu entwerten. Interessant finde ich dann aber wieder die Option ein "Download PDF" zu wählen.

Auch dieser Download sendet mir die Mail per SMTP zu. Die Speicherung von Umfragelink und Empfänger ist also nicht nur kurzfristig.

Einschätzung

Wer sensibel mit Daten umgeht, sollte die "Datensparsamkeit" als Grundprinzip berücksichtigen und nur die Daten speichern, die tatsächlich notwendig sind. Das Reduziert nicht nur den billigen Speicherplatz sondern minimiert das Risiko bei einem Hacker-Angriff viele Kundendaten zu verlieren.

Dass aber die EU selbst sowohl in der Mail als auch auf dem Formular mit "Anonymität" wirbt aber dann es an den grundlegenden Prinzipien scheitern lässt, finde ich mehr als befremdlich. Ich bin sicher, dass die Plattform folgende Daten von mir hat.

  • Mein Mailadresse
    So konnte er mir ja erst den Link zur Umfrage senden
  • Eine GUID einer Umfrage mit Mailadresse
    Für jeden Teilnehmer der Umfrage wurde eine individuelle URL erstellt und gespeichert. Die Software kann sowohl von der Mailadresse auf die URL schließen als auch aus der URL die Mailadresse ableiten.
  • Webserverlogs als Besuchsinfo
    Über den individuellen Link kann der Anbieter jeden Besuch und jede Aktion tracken, d.h. wann der Anwender von welchem Endgerät und Netzwerk auf die Umfrage erstmalig und wiederholt zugegriffen hat. Wenn der Entwickler nicht aufgepasst hat, dann sind sogar einzelne Änderungen zu erfassen.
  • PLZ, Firmengröße und Umsatz
    Diese Daten werden im Formular abgefragt und wer tatsächlich weder irreführend noch unrichtig antwortet, qualifiziert den Datensatz noch weiter. Schon mit diesen Daten kann der Kreis der Firmen stark eingegrenzt werden und mit der Mailadresse und der IP-Adresse des Seitenabrufs dann sowieso.

All das nur, um ein paar lapidare Fragen über den letzten Wechsel des Heizstromanbieters zu stellen. Das lässt mich schon an dem grundlegenden Verfahren zweifeln.

Bleibt noch die Frage, ob ich gegenüber der EU auch eine Anfrage nach DSGO zur Selbstauskunft stellen kann. Denn ich wüsste schon gerne, woher sie meine privat Mailadresse erhalten haben und warum ich ausgewählt wurde. Ich kann nur mutmaßen, dass bei der Beantragung des Wärmepumpenstroms die Adresse irrtümlich als "gewerblich" eingestuft wurde und so in die Zahnräder einer EU-Umfrage gekommen ist.

Anfrage an EU

Ich habe mir daher erlaubt die angegeben Mailadresse per Mail zu einer Stellungnahme aufzufordern:

Die Antwort darauf kam dann auch innerhalb von 24h:

Die Mail scheint auch wirklich von einem Mensch verfasst und nicht aus Textbausteinen zusammengesetzt worden zu sein. Es wird auch gar nicht verheimlich, dass die eingesetzte Software sehr wohl eine Zuordnung herstellen könnte aber das nicht getan wird. Auch die Quelle der Mailadresse wird genannt und dass dies aufgrund einer gesetzlichen Verpflichtung erfolgt. Die Bitte zur Beantwortung wäre überflüssig gewesen, denn ohne Ausfüllen des Fragebogens hätte ich kaum die Kritikpunkte sehen können. Damit ist der Vorgang für mich auch abgeschlossen.

Vielleicht sollte aber die nächste Einladung zu einer Umfrage einfach den Begriff "anonym" nicht mehr verwenden, denn schon größere Firmen (u.a. auch Facebook etc.) haben Daten nicht ausreichend geschützt. Davor kann sich niemand lossprechen und vielleicht muss man die Daten doch nicht speichern. Das soll aber nicht als Aufforderung zur Analyse des Umfrageservers auf Sicherheitslücken aufgefasst werden.

Weitere Links