Möglicher Datenschutzverstoß bei Nutzung von VirusTotal
Das BSI warnt aktuell vor einem möglichen Datenschutzverstoß bei Nutzung von VirusTotal. Neben dem Datenschutzrisiko sind aber auch andere schützenswerte Informationen der eigenen Organisation oder von Externen in Gefahr, Dritten gegenüber offengelegt zu werden.
Was ist VirusTotal?
VirusTotal ist ein Service von Google und unter https://www.virustotal.com erreichbar. Über den Dienst kann man beispielsweise verdächtige Webadressen (URL) überprüfen, bevor man diese selbst im Browser auf dem eigenen System aufruft. Eine Empfehlung, die wir beispielsweise im Rahmen unserer Schulungen und Webinare häufiger aussprechen.
Neben diesem URL-Check bietet VirusTotal jedoch auch an, Dateien zur Online-Überprüfung durch eine Vielzahl bekannter Virenscanner hochzuladen. Und da liegt auch der Hase im Pfeffer. Neben der Nutzung direkt im Browser bietet VirusTotal auch Business-Services an, bei denen kein manueller Upload erfolgen muss, sondern die Prüfung automatisiert im Hintergrund durchgeführt wird.
“Dieser Dienst wird von Privatpersonen und Unternehmen oftmals zur Prüfung von verdächtigen Dateien genutzt, um aufgrund der Vielzahl von Antivirenprogrammen verlässlichere Ergebnisse als mit nur einem Scanner zu erhalten.”, so das Bundesamt für Sicherheit in der Informationstechnik.
Wo ist das Problem bzw. der Datenschutzverstoß bei Nutzung von VirusTotal?
Werden Dateien mit personenbezogenen Daten hochgeladen bzw. geprüft, liegt für gewöhnlich eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Diese muss inkl. der TOM-Prüfung korrekt VOR Nutzung des Dienstes geregelt und vereinbart sein. Hinzu kommt, dass lt. BSI Datenweitergaben an zahlreiche AV-/Scan-Anbieter auch mit Sitz außerhalb der EU erfolgen. Vor dem Hintergrund der aktuellen Diskussion um Drittstaatenübermittlungen nicht ganz unproblematisch.
Und ganz nebenbei: Selbst dann, wenn Dateien ohne personenbezogene Daten hochgeladen werden, besteht ein nicht unerhebliches Risiko. Nämlich dann, wenn es sich um vertrauliche bzw. schützenswerte Informationen der Organisation (oder eines Kunden / Bürgers / Auftraggebers) handelt. Diese Datei wird munter mit allen angeschlossenen Anbietern geteilt. Will man das für Geschäfts- bzw. Organisationsgeheimnisse? Eher nicht.
Was kann helfen?
- Mitarbeiter auf dieses grundlegende Sicherheitsproblem bei der Nutzung des Dienstes aufmerksam machen bzw. dafür ausreichend sensibilisieren (Nein, Papier alleine reicht nicht!)
- Regelungen treffen, ob und wenn ja welche Dateien möglicherweise doch einem Check durch den Service unterzogen werden dürfen (z.B. bei Vertraulichkeitsstatus “Öffentlich”)
- Oder wie das BSI rät, ausschließlich mit Hash-Werten der Dateien zu arbeiten (tricky, aber machbar)
Weitere Unterstützung bieten die Fragestellungen an Sicherheitsbeauftragte auf Seite 3 der Stellungnahme des BSI zum Thema, zu finden hier.