Logo der activeMind AG

Bußgeld wegen nicht ausreichender TOM beim Betrieb eines Onlineshops

Inhalt

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, verhängte gegen ein Unternehmen ein Bußgeld in Höhe von 65.500 Euro. Anlass war der Betrieb eines Onlineshops mit veralteter Software, die erhebliche Sicherheitslücken aufwies.

Hintergrund der DSGVO-Geldbuße

Im Rahmen der Meldung einer Datenpanne ließ die LfD Niedersachsen eine Überprüfung der technischen Gesichtspunkte des Onlineshops des niedersächsischen Unternehmens durchführen. Das Ergebnis der Überprüfung zeigte, dass die eingesetzte Softwareversion (xt: Commerce 3.0.4 SP2.1) im Onlineshop seit über sieben Jahren veraltet war.

Die Verwendung der veralteten Shop-Software bedeutete unter anderem auch die unzureichende Verschlüsselung der User-Passwörter. Ein „Salt“, das in solchen Fällen eine zusätzliche Absicherung der Passwörter gewährleisten soll, konnte ebenfalls nicht festgestellt werden.

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Begründung der Bußgeldhöhe

Die DSGVO regelt in Art. 25 und 32, dass zum Schutz personenbezogener Daten geeignete technische und organisatorische Maßnahmen (TOM) zu ergreifen sind. Mittels dieser technischen und organisatorischen Maßnahmen sollen Risiken für personenbezogene Daten bereits vor der Verarbeitung überprüft, abgewogen und minimiert werden.

Die DSGVO nennt mehrere Kriterien, anhand derer sich die Geeignetheit dieser Maßnahmen misst. Eines davon ist der Stand der Technik.

Mit dem Begriff Stand der Technik ist gemeint, dass die ergriffenen Maßnahmen nicht nur zu Beginn ihres Einsatzes einen ausreichenden Schutz garantieren müssen, sondern auch Jahre danach und solange die Datenverarbeitung stattfindet. Dafür müssen die Maßnahmen auf der Technik basieren, die zum jeweiligen Zeitpunkt als aktuell gilt. Das heißt, dass eine regelmäßige Kontrolle und Aktualisierung stattfinden muss, denn schließlich entwickeln sich auch die Cyberangriffe immer weiter.

Der Stand der Technik ist also während des gesamten Verarbeitungsvorgangs zu gewährleisten und demnach auf Basis einer Risikobeurteilung fortlaufend anzupassen.

Wie es im 26. Tätigkeitsbericht der niedersächsischen Datenschutzbehörde heißt, wurde die in diesem Fall genutzte Softwareversion nun aber schon länger nicht mehr mit Updates durch den Entwickler versorgt und basierte demnach nicht auf den aktuellen Stand der Technik. Die Onlineshop-Software xt:Commerce gehört zwar zu den beliebtesten E-Commerce Lösungen, dennoch hat der Entwickler selbst davor gewarnt, dass diese konkrete Version unbedingt vermieden werden sollte, denn sie enthält gigantische Sicherheitslücken, die u.a. einen SQL-Injection-Angriff (SQLi) ermöglichen.

Mittels dieser SQLi können Cyberkriminelle gezielt Sicherheitslücken im Quelltext von Software ausnutzen, eigene Befehle in die genutzte Datenbank einschleusen und in den Besitz der Zugangsdaten aller registrierten Personen gelangen. Die Inhalte der Datenbank, so etwa die Zugangsdaten, können damit ausgelesen oder auch komplett gelöscht werden.

Weiterhin wurde vom Betreiber des Onlineshops kein „Salt“ verwendet, obwohl dieses zwingend vorausgesetzt wird. Ein „Salt“ ist eine Zeichenfolge, die als individuelle Erweiterung an ein Passwort angehängt wird und eine Rückberechnung verschlüsselter Passwörter erheblich erschwert.

Eine Sicherung der Passwörter erfolgte über die kryptografische Hashfunktion MD5, mittels derer die schutzwürdigen Daten im Grunde zerhackt und verteilt werden. Diese Sicherung ist allerdings nicht auf Passwörter ausgelegt und demnach unzureichend. Eine schnelle Berechnung der Klartext-Passwörter wäre durch Angreifer möglich.

In der Gesamtschau waren die ergriffenen technischen Maßnahmen nicht dem Schutzbedarf gem. Art. 25 DSGVO angemessen und das Unternehmen verstieß gegen Art. 32 DSGVO, was die Verhängung eines hohen Bußgelds begründet.

Das Bußgeld wurde allerdings von der Aufsichtsbehörde herabgesetzt, weil mildernd berücksichtigt wurde, dass der niedersächsische Onlineshop-Betreiber bereits vor Beginn des Bußgeldverfahrens die Betroffenen informiert hatte, dass ein Wechsel des Passwortes notwendig ist.

Dennoch ist ein Bußgeld in Höhe von 65.500 Euro nicht unerheblich – vor allem wenn man bedenkt, dass die Sicherheitslücken ohne allzu großen Aufwand vermieden werden konnten.

Datenschutzrechtliche Einschätzung

Für Unternehmer kommt es vor allem darauf an, die verwendeten Systeme und Technologien regelmäßig auf ihre Wirksamkeit zu überprüfen und zu aktualisieren. Tatsächlich nutzen viele der gefährlichsten Malware-Angriffe Software-Schwachstellen in Websites und in gängigen Anwendungen wie Betriebssystemen aus.

Doch nicht nur Websites und Betriebssysteme sind davon betroffen, sondern auch Anwendungssoftware (z. B. Microsoft Office), Server-Software (inkl. Linux-Distributionen, Firewall-Systeme, usw.) oder Hilfsprogramme (z. B. Adobe Acrobat Reader).

Updates sind für die Behebung aufgetretener Sicherheitslücken von enormer Wichtigkeit.

Wichtig ist außerdem darauf zu achten, dass die verwendete Software überhaupt noch mit Sicherheitsupdates vom Hersteller versorgt wird. Sobald ein System das vom Hersteller definierte Ende des Lebenszyklus erreicht hat, hat es im Unternehmen nichts mehr zu suchen – auch wenn es aus betriebswirtschaftlichen Gründen schmerzt, noch einwandfrei funktionierende Software auszutauschen (man denke etwa an das Ende des Supports für Windows 7, was vielen Unternehmen und Behörden Kopfzerbrechen bereitete).

Damit Ihre Software stets auf dem neuesten Stand ist, sollten Sie am besten ein Verfahren zur Steuerung der Installation von Software einführen, nach Möglichkeit verbreitete Software-Lösungen einsetzen und dabei auf einen umfangreichen Support achten. Ein funktionierendes Patch Management ist hier von großer Bedeutung. Die entsprechende Checkliste des BayLDA kann Sie dabei unterstützen festzustellen, wo und wie ein bedarfsgerechtes Aktualisieren der eingesetzten Softwaresysteme durchzuführen ist.

Für mehr Sicherheit auf Ihren Systemen kann Ihnen schließlich die CVE-Übersicht behilflich sein. Dabei handelt es sich um eine Liste mit öffentlichen Sicherheitsschwachstellen in Computersystemen, anhand der die IT-Fachleute Schwachstellen leichter priorisieren und beheben können.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.