Eine aktuelle, vollständige und korrekte Datenschutzerklärung gehört mittlerweile zum „guten Ton“ einer Webseite. Wussten Sie, dass es aber auch auf Ihre Technik im Hintergrund ankommt?
Nach dem Tätigkeitsbericht der Datenschutzbeauftragen Niedersachsen von 2020 wurde gegen einen Onlineshop ein Bußgeld von 65.000,- € verhängt, weil dieser eine veraltete Technik verwendete.
Der Datenschutzbeauftragten lag eine Meldung der betroffenen Internetseite vor:
“Ich nahm eine Meldung gem. Artikel 33 DS-GVO zum Anlass, die Internetseite eines Unternehmens unter technischen Gesichtspunkten zu prüfen. Dabei stellte sich heraus, dass auf der Seite die Web-Shop-Anwendung xt:Commerce in der Version 3.0.4 SP2.1 verwendet wurde.
Diese Version ist seit spätestens 2014 veraltet und wird vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Die genutzte Software enthielt erhebliche Sicherheitslücken, auf welche der Hersteller hingewiesen hatte. Die Sicherheitslücken ermöglichten unter anderem SQL-Injection-Angriffe. Auch der Hersteller warnte davor, die Version 3 der Software weiter einzusetzen. (…)”
Die Ermittlungen hätten weiter ergeben,
„dass die in der Datenbank abgelegten Passwörter zwar mit der kryptographischen Hashfunktion „MD5“ gesichert waren, welche allerdings nicht auf den Einsatz für Passwörter ausgelegt ist. Eine schnelle Berechnung’ der Klartext-Passwörter wäre daher möglich gewesen. Auch existieren sog. „Rainbow-Tables“ im Internet, anhand derer – ganz ohne Berechnung – das zu einem Hash gehörige Passwort abgelesen werden kann.
Hinzu kam, dass kein „Salt“ verwendet wurde. Ein solcher Salt, der für jedes Passwort individuell generiert wird, verlängert ein Passwort und erschwert so die systematische Berechnung deutlich. Ziel des Salt ist es, dass der Angreifer für jedes Passwort eine komplette Neuberechnung durchführen muss und vorgefertigte Rainbow-Tables wertlos werden. Ohne Salt genügte hingegen eine gemeinsame Berechnung für die komplette heruntergeladene Datenbank.
Ohne entsprechende Sicherheitsvorkehrungen wäre es im vorliegenden Fall mit überschaubarem Aufwand möglich gewesen, die Klartext-Passwörter zu ermitteln und dann weitere Angriffsvektoren auszuprobieren. Ein Angreifer hätte die ermittelten Passwörter z.B. bei den ebenfalls in der Datenbank hinterlegten E-Mail-Adressen testen und im Erfolgsfall erhebliche (Folge-)Schäden anrichten können.”
Hier ist klar zu sehen, dass auch weitreichende Untersuchungen der Technik vorkommen und diese folgenschweren Fehler können sehr kostspielig werden. Die Datenschutzbeauftragte sah hier eine unzureichende technische Absicherung und verhängte ein Bußgeld in Höhe von 65.500,- EUR.
Bei diesem saftigen Bußgeld war bereits mildernd berücksichtigt worden, dass der Shop schon vor dem Verfahren eine Information an seine Kunden verschickt hatte, dass ein Wechsel der Passwörter notwendig sei.
Wir helfen Ihnen gerne bei der Umsetzung Ihrer Datenschutzvorgaben auf Ihrer Webseite oder in Ihrem Unternehmen!