Weil ein Unternehmen für seinen Web-Shop eine veraltete und unsichere Version einer Shop-Software verwendete, hat die niedersächsische Datenschutzbehörde ein Bußgeld in Höhe von rund 65.000 EUR verhängt. Durch die Schwachstellen konnten Passwörter der Kunden des Online-Shops ausgespäht werden.
Im kürzlich veröffentlichten Tätigkeitsbericht der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen berichtet die Behörde über eine deutlich gestiegene Zahl von Beschwerden und Meldungen von Datenschutzverstößen und schildert auch verschiedene Einzelfälle.
Veraltete und unsichere Software für den Online-Shop
U. a. hat die Behörde ein Unternehmen zur Zahlung eines nicht unbeträchtlichen Bußgelds in Höhe von 65.500 EUR verpflichtet, weil dieses die Passwörter seiner Kunden nicht ausreichend gesichert hatte. Das Unternehmen hatte sich wegen eines Datenschutzvorfalls in seine Web-Shop an die Behörde gewandt, die sich daraufhin auch mit den technischen Details des Internet-Auftritts befasste. Dabei stellten die Datenschützer schnell fest, dass es bei der eingesetzten Shop-Software um eine veraltete Version des Produkts "xt:Commerce" handelte:
- Für die verwendete Version 3.0.4 (SP 2.1) wurden schon seit mehreren Jahren vom Hersteller keine Sicherheitsupdates mehr angeboten
- und bereits seit 2014 galt diese Version damit technisch als veraltet.
Zudem hatte auch der Hersteller eindeutig davor gewarnt, diese Softwareversion wegen ihrer bekannten Schwachstellen weiterhin einzusetzen. So ist die Software insbesondere gegen sogenannte SQL-Injection-Attacken anfällig, durch die etwa Datenbanken kopiert bzw. ausgelesen werden können.
Bekanntes Problem der Software: Unzureichender Schutz der Passwörter
Schwachstellen aufgrund der veralteten Software wies der Online-Shop zudem insbesondere im Hinblick auf die Verschlüsselung der von den Kunden des Online-Shops hinterlegten Passwörter auf. Zwar waren die Passwörter über die kryptographische Hashfunktion MD5 verschlüsselt, doch dieses Verfahren gilt für Passwörter als nicht ausreichend. Ohne zusätzliche Maßnahmen lässt sich diese Verschlüsselung sehr leicht knacken und es gibt sogar schon seit längerem im Internet verfügbare Tabellen (Rainbow Tables), durch die sich zu einem Hashwert das jeweilige Passwort im Klartext ablesen lässt.
Eine zusätzliche Absicherung der Passwörter durch das sogenannte "Salt", bei dem automatisch für jedes Passwort eine individuelle Erweiterung hinzugefügt wird, um so eine Rückberechnung des Passworts aus dem Hashwert zu erschweren, fehlte hier ebenfalls.
Sicherungsmaßnahmen waren ungenügend und schadensträchtig
Die Datenschutzbehörde hält aufgrund dieser Schwachstellen erhebliche Folgeschäden für die Kunden für möglich, etwa wenn diese die für den Online-Shop verwendeten Passwörter gleichzeitig auch für die ebenfalls in der Datenbank hinterlegten E-Mail-Adressen oder andere Dienste verwenden.
Zudem hätte es für das Unternehmen keinen unverhältnismäßig hohen Aufwand bedeutet, die Shop-Software inklusive der darin enthaltenen Verschlüsselungsfunktionen auf dem aktuellen Stand zu halten, da der Hersteller entsprechende Updates bzw. Aktualisierungen bereitgestellt habe. Die damit eventuell verbundenen Beschaffungs- und Umsetzungskosten hätten keinen unverhältnismäßigen Aufwand dargestellt.
Datenschutzbehörde sah kein angemessenes Schutzniveau
Letztlich kam die Datenschutzbehörde somit zu dem Schluss, dass die vom Verantwortlichen ergriffenen technischen Maßnahmen nicht dem Stand der Technik entsprachen, wie es in Art. 25 DSGVO gefordert wird, und somit konnte kein dem Risiko angemessenes Schutzniveau für die Daten erreicht werden, wie in Art. 32 Abs. 1 DSGVO verlangt wird.
Wegen des Verstoßes verhängte die Behörde das Bußgeld in Höhe von 65.500 EUR, wobei bereits mildernd berücksichtigt wurde, dass das Unternehmen schon vor dem Bußgeldverfahren die betroffenen Personen über den Vorfall informiert und auf die Notwendigkeit zur Änderung der Passwörter aufmerksam gemacht hatte (→Hohes Bußgeld wegen verspäteter Meldung des Diebstahls von Kundendaten).
Das Unternehmen hat die Geldbuße mittlerweile auch akzeptiert.
Tipp zum Stand der Technik hinsichtlich der Absicherung von Passwörtern
Nach Ansicht der Datenschutzbehörde sind die Anforderungen an den Schutz von Passwörtern sowohl aus Sicht des Datenschutzes als auch der Informationssicherheit identisch. Daher empfiehlt es allen Anwendern, sich hinsichtlich des Stands der Technik an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik zu orientieren, die etwa in der
technischen Richtlinie des BSI Kryptologische Verfahren: Empfehlungen und Schlüssellängen TR-02102-1
dokumentiert sind.
Weitere Infos zum Thema:
Überwachungs-Angriffe mit Pegasus-Trojaner sorgen für Verunsicherung
BSI warnt vor Hackerangriffen über Schwachstellen in Microsoft Exchange
Hintergrund: Diese Vorgaben gelten für die Meldung von Datenpannen
Meldepflichtig sind nach der DSGVO Vorfälle, bei denen es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Derartige Datenpannen liegen vor,
- wenn es zu einer Vernichtung,
- zum Verlust oder zur Veränderung (egal ob unbeabsichtigt oder unrechtmäßig) der Daten gekommen ist,
- eine unbefugte Offenlegung erfolgte
- oder eine unbefugte Zugriffsmöglichkeit auf personenbezogene Daten festgestellt wurde.
Meldetempo:
Der Aufsichtsbehörde gemeldet werden müssen solche Datenpannen nach Art. 33 DSGVO unverzüglich oder möglichst binnen 72 Stunden nach Bekanntwerden des Vorfalls. Sofern diese Frist nicht eingehalten werden kann, muss die Verzögerung in jedem Fall zusammen mit der verspäteten Meldung begründet werden.
Ausnahmen:
Die Meldepflicht besteht nur dann nicht, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt oder es hierfür nur ein sehr geringes Risiko gibt.
Datenpanne mit hohem Risiko für die Betroffenen:
Entsteht dagegen durch die Datenpanne sogar ein hohes Risiko für die Betroffenen, drohen also etwa erhebliche Konsequenzen oder schwerwiegende Beeinträchtigungen, müssen nach Art. 34 Abs. 1 DSGVO neben der Datenschutzbehörde zusätzlich auch die von der Datenpanne direkt betroffenen Personen benachrichtigt werden. Dies gilt insbesondere dann, wenn diese nach der Information über den Vorfall selbst Schritte unternehmen können, um mögliche Schäden zu verhindern bzw. zu minimieren.
Beispiel: werden etwa Passwörter gestohlen, können die Betroffenen durch eine schnelle Änderung den Zugriff auf die damit geschützten Konten noch verhindern oder bei gestohlenen Kreditkartendaten durch eine Sperrung der Karte finanzielle Schäden vermieden werden.
Was tun bei Datenpannen?
Weitere detaillierte Hinweise zur Meldepflicht bei Datenschutzverstößen, mit denen solche Fehler vermeidbar sind, finden Sie beispielsweise auch in einem