Prüfung zur Passwortsicherheit SID 2019
Prüfung zur Passwortsicherheit und zum datenschutzkonformen Einsatz von Tracking-Tools offenbart Nachholbedarf bei großen Websites.
Wie bereits in den vorangegangenen Jahren sich das BayLDA auch 2019 wieder am Safer Internet Day aktiv beteiligt. Unter dem Motto „Together for a better internet“ bot der Safer Internet Day vielen Institutionen die Möglichkeit, einen Beitrag für ein sicheres Internet zu leisten. Das BayLDA nutzte die Gelegenheit und führte eine umfangreiche Datenschutzkontrolle bei Websites ausgewählter Verantwortlicher durch.
„Schwerpunkte waren die Umsetzung der datenschutzrechtlichen Anforderungen bezüglich
Cybersicherheit und Tracking.“
Spätestens seit Mai 2018 zeichnete sich ab, dass ein häufiges Beschwerdethema bei Bürgern die Information, die Einwilligung und das Setzen von Cookies bei Websites darstellt. Das BayLDA hat zahlreiche Eingaben dieser Art erhalten, die sich letztendlich allesamt um Nutzertracking im Internet drehten. Und da zudem viele Meldungen über Datenschutzverletzungen nach Art. 33 DSGVO auf Grund mangelhafter Sicherheit bei Webdiensten registriert wurden, insbesondere bei der Absicherung der Logins, fiel die Entscheidung leicht, sowohl Tracking als auch Cybersicherheit bei Websites aktiv anzugehen.
Im Rahmen des Cybersicherheitschecks wurde kontrolliert, wie Website-Betreiber den Nutzer durch den Registrierungs- und Login-Prozess begleiten und inwieweit sie dabei angemessen mit den Passwörtern ihrer Nutzer umgehen. Im Rahmen der mehrstufigen Prüfung wurden verschiedene Punkte in unterschiedlicher Tiefe untersucht, von der verwendeten Verschlüsselung, der Passwortstärke bis hin zu Absicherungen gegen Angriffsversuche auf Login-Daten.
Bei der Untersuchung im Schwerpunkt Tracking wurden zahlreiche Prüffragen aus dem Bereich der Information und Einwilligung abgehandelt, z.B. „Wird der Nutzer vorab transparent über den Einsatz von Tracking-Tools informiert?“ „Werden die Anforderungen an eine wirksame Einwilligung von der Website erfüllt?“ und „Kann der Nutzer die Profilbildung durch Tracking-Tools auf der Website selbst durch eigene Einstellungen verhindern?“. Hier befanden sich auf Grund konkret vorliegender Beschwerden von Bürgern bereits 40 Websites auf unserer Prüfliste, wobei alle dieser Websites ausschließlich von großen bzw. sehr großen bayerischen Firmen betrieben und verantwortet werden.
Obwohl ausschließlich Websites von größeren Unternehmen, zum Teil börsennotierte Großkonzerne, hinsichtlich längst bekannter Sicherheitsanforderungen untersuchten, musste das BayLDA feststellen, dass zahlreiche Defizite vorhanden waren. Die getroffenen Sicherheitsmaßnahmen mussten oft als unzureichend eingestuft werden. In einer umfassenden Ergebnispräsentation hat das BayLDA auf seiner Website die einzelnen Ergebnisse zur Verfügung gestellt, bewertet und über den Hintergrund des jeweiligen Prüfpunktes informiert. Da das Ergebnis so ernüchternd ausfiel, werden auch weiter aktive Kontrollen im Cybersicherheitsumfeld durchgeführt und bei Verstößen das Potential aus dem Maßnahmenkatalog ausschöpft.
„Ob dabei allen Verantwortlichen bereits bekannt ist, dass ein Verstoß gegen die Vorschriften aus Art. 32 DSGVO zur Sicherheit der Verarbeitung mit einer nicht unerheblichen Geldbuße geahndet werden kann?“
Auch im Bereich Tracking fiel das Ergebnis der Prüfung desolat aus: Keine der geprüften Websites erfüllte die Anforderung an eine zulässige Einwilligung nach der DSGVO, obwohl die Websites Tracking-Tools von Drittanbietern eingebunden hatten und somit eine Datenverarbeitung durch fremde Dienste veranlassten. Einige Website-Betreiber verschwiegen den Einsatz von Tracking-Tools, andere hingegen informierten pauschal über verschiedenste Tools, die zum Teil gar nicht auf der Website eingebunden sind. Im Ergebnis wurde der Nutzer nur selten transparent darüber informiert, ob und welche seiner Daten für welche Zwecke verarbeitet werden. Das BayLDA hat sich daher veranlasst gesehen, entsprechende Verfahren gegen die Verantwortlichen einzuleiten und die Verstöße dadurch abzustellen. Weitere Informationen sind den Pressemitteilungen vom 1. und 5. Februar 2019 sowie der dazugehörigen Ergebnispräsentation zu entnehmen.
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks