BSI-Vorgabe zu autocomplete-off kollidiert mit Prüfschritt 9.1.3.5

[anatom5]

Liebe Kolleginnen und Kollegen, kennt ihr den aktuellen Entwurf der BSI-Vorgabe für Onlinedienste im Portalverbund, in denen die Regel A3.16.02 festlegt, dass die automatische Vervollständigung durch den Onlinedienst unterbunden werden muss? Ihr könnt Entwurf über den folgenden Link abrufen: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03172/BSI-TR-03172_3_Onlinedienst.pdf?__blob=publicationFile&v=3

Grundsätzlich bereitgestellt werden diese Dokumente vom BSI auf der folgenden Seite: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03172/TR-03172_node.html

Ich vermute mal, dass sich die gesamte Öffentliche Hand nach diesen BSI-Vorgaben richten muss. Es handelt sich derzeit noch um einen Entwurf und keine finale Fassung. Jedoch ist es unwahrscheinlich, dass an dieser Regel zur finalen Fassung etwas geändert wird.

Wenn ich das richtig interpretiere, steht diese Regel im Widerspruch zum Prüfschritt 9.1.3.5 BITV. Der Prüfschritt stößt zudem nicht selten bei Kundenseite auf Kritik hinsichtlich Datenschutz, da autocomplete dazu animiert, personenbezogene Daten direkt im Browser zu speichern. Häufig ist ein solches Verhalten aus Sicht des Datenschutzes nicht gewünscht.

Wie gehen wir damit um? Was meint ihr dazu?

[stefanFarnetani]

@anatom5 Danke für diese Information. Sehr spannende Frage.

Wir bekommen ebenfalls, vor allem im Finanzsektor, häufig die Rückmeldung, dass die Anforderung 9.1.3.5 in Konflikt steht mit der Sicherheit.

Auch wenn es bei diesem Erfolgskriterium nicht dabei steht, so wird an verschiedenen anderen Stellen in der EN erwähnt, dass die Maßnahmen der Barrierefreiheit nicht die Informationssicherheit oder den Datenschutz beeinträchtigen dürfen.

Wir leiten daraus den allgemeinen Ansatz ab: Sicherheit/Datenschutz geht vor Barrierefreiheit.
Dies muss im Kontext jedes Mal neu geprüft werden. Es ist eine große Gefahr diese Aussage pauschal anzuwenden.
Sprich wir merken die Probleme in der Barrierefreiheit an und dann bespricht man das mit dem Kunden. Oft genug kommt heraus, dass ein Teil nicht mit autocomplete belegt werden darf, dass aber viele andere Bereiche existieren, wo es kein Problem ist und eine Verbesserung für alle Nutzer*innen bedeutet. Beispiel Kontaktformular, Adresse Onlineshop.

Die Anforderung A3.16.02 des BSI für Onlinedienst finde ich problematisch formuliert. Ich lese sie heute auch zum ersten Mal.

A3.16.02
Die Nutzung der Funktion zur automatischen Vervollständigung MUSS durch den Onlinedienst
unterbunden werden. Dies gilt insbesondere bei sensiblen Informationen, wie beispielsweise
Benutzername oder Passwort.

Ich interpretiere sie so, dass sie als eindeutige Muss-Anforderung immer Anwendung findet und nicht im Kontext entschieden werden darf. Es wird zwar noch ein wenig konkretisiert mit dem Nachsatz. Aber prinzipiell heißt es das die Anforderung der Barrierefreiheit 9.1.3.5 als ganzes nicht mehr zulässig wäre. Natürlich nur, wenn das Produkt nach der BSI-Richtline umgesetzt wird. Es gibt ja auch andere Richtlinien. Aber wie Jörg schon angemerkt hat. In Deutschland dürfte das auf viele Akteure der öffentliche Hand zutreffen.

Ich bin mir noch nicht ganz schlüssig, wie wir für uns weiter vorgehen. Das werden wir auch im Team besprechen. Eine Möglichkeit ist es eine Art Disclaimer-Satz zu ergänzen. Das gefundene Problem in der Barrierefreiheit ggf. im Konflikt mit der Sicherheit stehen und diese dann vom Kunden aufgelöst werden müssen.

Wenn wir uns die Situation des Konformitätsnachweises anschauen, so ist 100% Konformität damit nicht möglich, oder?
Es bleibt für den Kunden nur in den Ausführungen zu erwähnen aus welchen Grund die Anforderungen der Barrierefreiheit nicht erfüllt wurden. Es ist ja nicht willkürlich, sondern eine Abwägung von zwei in Konflikt stehenden Anforderungen und eine Entscheidung für die Sicherheit.

Bin gespannt was andere noch dazu sagen. Ist ein verstricktes Thema.

[sweckenmann]

Unabhängig von dem BSI-Dokument hat mich interessiert, wie die WCAG das Thema diskutiert. Ich vermutete, dass es da auch aufkam. Aufgrund von issue w3c/wcag#407 wurde die Technique H99 um "Security Considerations" erweitert (vielleicht interessant, wenn auch nur bedingt hilfreich).

Organizations can be concerned about allowing input fields to be automatically filled-in. There is sometimes confusion about how browsers save information and the security implications.

For the autocomplete attribute:

• This technique should only be used when asking for data about the user who is filling the form in, not for other people.
• It only works if you are on the same computer, using the same user-account, and using the same browser. Any multi-login scenario does not save autocomplete data between different accounts. (Users can setup syncing of data across computers, but that is not the default.)
• Saving information with autocomplete is opt-in by the user, usually at the point of saving data the first time.
• The form is not auto-submitted, the user can see the data before it is submitted.
• It is easy to wipe both history and form data in the browser settings.
• It is easy to engage a privacy mode, such as private browsing.

Even without autocomplete set in the webpage, browsers can save data, and some plugins (such as password managers) will aggressively use heuristics to guess what fields are for and fill them in. Using the autocomplete attribute makes those guesses accurate.

The browser history provides far more detail about what people have done, and is just as available as autocomplete data. The solutions/mitigations for browser-history are similar to autocomplete.

[anatom5]

Mir ist aufgefallen, dass ich das hier beim BIK-App-Test eingetragen habe und nicht beim BIK-BITV-Test. Sollten wir das noch ändern?

[johannesFischer84]

Ich denke auch, dass hier die WCAG 1.3.5 mit der BSI-Anforderung kollidiert. Der Begriff in den BSI-Anforderungen lautet "Online-Dienste", der sich nach Ziffer 2 (Rahmenbedigungen) auf Webanwendungen oder Webservices bezieht.
In der Technique H98 wird zwar beschrieben, dass sich die Auto-Vervollständigung nur auf den einzelnen Nutzer bezieht und die Daten innerhalb des Browsers bleiben. Aber die BSI-Regelung sieht vor, dass die Auto-Vervollständigung im Allgemeinen unterbunden werden muss, egal an welchen Bedingungen sie hängt. Ich denke, dass soll von der Sicherheit her sein, wenn zum Beispiel aus irgendeinem (vermutlich illegalen) Grund eine andere Person das Konto der ersten Person nutzt.

Wenn die Regelung vom BSI tatsächlich so verabschiedet wird, würde ich sagen, dass in der Erklärung zur Barrierefreiheit genannt werden muss, dass aus diesem Grund die 1.3.5 nicht konform sein kann. So wie es aussieht, bezieht sich die Regelung auf OZG-Leistungen, also digitalisierte Bürger-/Verwaltungsdienste der öffentlichen Stellen.

Mir ist aufgefallen, dass ich das hier beim BIK-App-Test eingetragen habe und nicht beim BIK-BITV-Test. Sollten wir das noch ändern?

Die Diskussion bzw. das Problem passt sicherlich besser zu Webseiten. Bei Apps ist das Kriterium glaube ich aktuell immer nicht anwendbar, sofern es nicht eindeutig eine HTML-App ist. Aber ansonsten würden sich Online-Dienste als Webservices wohl auch auf Apps beziehen.

[stefanFarnetani]

Die BSI-Anforderungen scheint ja auf Webanwendungen und Webservices abzuziehen. Insofern ist es wohl sinnvoll, diese Diskussion in den Webkatalog zu verschieben.

Bei Apps ist das Kriterium glaube ich aktuell immer nicht anwendbar, sofern es nicht eindeutig eine HTML-App ist. Aber
ansonsten würden sich Online-Dienste als Webservices wohl auch auf Apps beziehen.

@johannesFischer84 Bei nativen Apps gibt zwar kein autocomplete aber autofill (ich glaube das heißt in beiden Plattformen so). Das WCAG Kriterium müsste, in meinen Augen, auch bei nativen Apps anwendbar sein.

[detlevhfischer]

Ich habe dem Prüfschritt einen Link zur laufenden Diskussion der MATF beigefügt: #148