Bußgeld wegen des Betriebs einer Internetseite mit veralteter Software
Die Datenschutzaufsicht nahm eine Meldung gem. Artikel 33 DS-GVO zum Anlass, die Internetseite eines Unternehmens unter technischen Gesichtspunkten zu prüfen. Dabei stellte sich heraus, dass auf der Seite die Web-Shop-Anwendung xt:Commerce in der Version 3.0.4 SP2.1 verwendet wurde. Diese Version ist seit spätestens 2014 veraltet und wird vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Die genutzte Software enthielt erhebliche Sicherheitslücken, auf welche der Hersteller hingewiesen hatte. Die Sicherheitslücken ermöglichten unter anderem SQL-Injection-Angriffe. Auch der Hersteller warnte davor, die Version 3 der Software weiter einzusetzen.
Mit SQL-Injection-Angriffen können Angreifer in den Besitz der Zugangsdaten aller in der Anwendung registrierten Personen kommen. Dieser Angriffsvektor entsteht, wenn nicht alle vom Endanwender veränderbare Eingaben so maskiert werden, dass die Datenbank sie nicht als Befehl verstehen kann. Ohne Maskierung führt die Datenbank jeglichen Befehl mit eigenen Rechten aus. So können ganze Datenbanktabellen ausgegeben oder gelöscht werden. Auch das Herunterfahren des Servers kann möglich sein.
Die Ermittlungen ergaben, dass die in der Datenbank abgelegten Passwörter zwar mit der kryptographischen Hashfunktion „MD5“ gesichert waren, welche allerdings nicht auf den Einsatz für Passwörter ausgelegt ist. Eine schnelle ‚Berechnung‘ der Klartext-Passwörter wäre daher möglich gewesen. Auch existieren sog. „Rainbow-Tables“ im Internet, anhand derer – ganz ohne Berechnung – das zu einem Hash gehörige Passwort abgelesen werden kann.
Hinzu kam, dass kein „Salt“ verwendet wurde. Ein solcher Salt, der für jedes Passwort individuell generiert wird, verlängert ein Passwort und erschwert so die systematische Berechnung deutlich. Ziel des Salt ist es, dass der Angreifer für jedes Passwort eine komplette Neuberechnung durch- führen muss und vorgefertigte Rainbow-Tables wertlos werden. Ohne Salt genügte hingegen eine gemeinsame Berechnung für die komplette heruntergeladene Datenbank.
Ohne entsprechende Sicherheitsvorkehrungen wäre es im vorliegenden Fall mit überschaubarem Aufwand möglich gewesen, die Klartext-Passwörter zu ermitteln und dann weitere Angriffsvektoren auszuprobieren. Ein Angreifer hätte die ermittelten Passwörter z.B. bei den ebenfalls in der Datenbank hinterlegten E-Mail-Adressen testen und im Erfolgsfall erhebliche (Folge-)Schäden anrichten können. Die Implementierung einer Salt-Funktion sowie eines aktuellen, auf Passwörter ausgelegten Hash- Algorithmus, wäre für das Unternehmen nicht mit unverhältnismäßigem Aufwand verbunden gewesen, vor allem, wenn diese Funktionalität mit neueren Versionen der Software eingepflegt wird. Dies gilt ebenso für die Beseitigung bekannter Sicherheitslücken, für die Aktualisierungen bereitstehen. Regelmäßig genügt also bereits die Aktualisierung der Software, um bekannt gewordene Sicherheitslücken und weitere Schwachstellen zu schließen. Dies kann mit Beschaffungs- und Umsetzungskosten verbunden sein, die jedoch grundsätzlich keinen unverhältnismäßigen Aufwand darstellen.
Die von der Verantwortlichen ergriffenen technischen Maßnahmen waren damit nicht dem Schutzbedarf gemäß Art. 25 DS-GVO angemessen, sodass ein Verstoß gegen Artikel 32 Absatz 1 DS-GVO festgestellt wurde. Es wurde eine Geldbuße in Höhe von 65.500 Euro festgesetzt, die das Unternehmen akzeptiert hat.
Bei der Zumessung der Geldbuße war zu berücksichtigen, dass das Unternehmen bereits vor dem Bußgeldverfahren die betroffenen Personen darüber informiert hatte, dass ein Wechsel des Passwortes notwendig ist.
Quelle: LfD Niedersachsen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks