Datenschutzverletzungen durch Sicherheitslücken im Webauftritt
Content-Management-Systeme (CMS) werden vonVerantwortlichen häufig eingesetzt, um Inhalte ihrer Webauftritte (wie beispielsweise Texte, Bilder, multimediale Inhalte, Kontakt- und Anmeldeformulare) zu erstellen, zu pflegen und zu verwalten. Bei bekannten ContentManagement-Systemen wie WordPress, Drupal oder TYPO3 werden immer wieder Sicherheitslücken entdeckt. Die Betreiberinnen und Betreiber der jeweiligen Websites können schnell Opfer von Angriffen werden, wenn sie diese Lücken nicht rechtzeitig schließen. Bereits in ihrem letzten Tätigkeitsbericht informierte die Aufsichtsbehörde über einen Fall, in dem ein Verantwortlicher die notwendigen Updates für sein CMS über einen längeren Zeitraum nicht einpflegte und so eine Verletzung des Schutzes personenbezogener Daten verursachte.
Im Februar 2020 meldete der brandenburgische Landesverband sowie mehrere Kreisverbände einer überregional tätigen Hilfs- und Wohlfahrtsorganisation eine Verletzung des Schutzes personenbezogener Daten gemäß Artikel 33 Datenschutz-Grundverordnung (DSGVO). Ursache war auch hier eine nicht geschlossene Sicherheitslücke im verwendeten Content Management System. Dieses war durch einen externen Dienstleister eigens für die Organisation entwickelt worden. Mittels eines als „SQL Injection“ bezeichneten Angriffs gelang es Unbefugten, direkt auf die hinter dem Webauftritt liegende Datenbank mit einer Vielzahl personenbezogener Daten zuzugreifen. Im Falle eines Kreisverbands war eine sechsstellige Anzahl von Datensätzen betroffen, im Falle anderer Kreisverbände und des Landesverbands eine fünfstellige Anzahl. Die Datensätze enthielten neben dem Namen und der Wohnadresse von Personen zum Teil auch Daten über ihren Gesundheitszustand.
Aufgrund der Meldungen hörte die Landesbeauftragte die jeweiligen Verantwortlichen an und bat um nähere Auskünfte und eine Stellungnahme. Im Falle eines Kreisverbands konnte ermittelt werden, dass ihm die Sicherheitslücke bereits seit November 2019 bekannt war. Schon zu diesem Zeitpunkt konnte ein Hacker auf die Datenbank zugreifen, nutzte dies jedoch nicht für eigene Zwecke aus, sondern informierte den Betreiber. Dieser dokumentierte den Vorfall zwar, meldete ihn jedoch nicht an uns als zuständige Datenschutzaufsichtsbehörde, da er das Risiko für die Rechte und Freiheiten der betroffenen Personen durch unbefugte Zugriffe als gering einschätzte. Bei der Bereinigung der Sicherheitslücke vergaß der Kreisverband, dass eine zweite Website mit identischen Inhalten existierte und versäumte die Korrektur des Fehlers dort. Die auf der zweiten Website weiter bestehende Lücke wurde im Februar 2020 prompt erneut ausgenutzt – nun erhielt die Datenschutzbehörde eine entsprechende Information des Verantwortlichen.
Die Aufklärung des gesamten Sachverhalts gestaltet sich – auch wegen der Einschränkungen der Corona-Pandemie – schwierig und dauert an. Zu klären ist etwa noch, warum entgegen der Pressemitteilung des Landesverbandes nicht in allen genannten Fällen eine Meldung einer Datenschutzverletzung erfolgte. Darüber hinaus fiel im Rahmen der Recherche auf, dass weitere Kreisverbände das in Rede stehende CMS nutzten, jedoch auch diese keine Meldung nach Artikel 33 DSGVO abgaben. Hintergrund für die Schwierigkeiten der Aufklärung sind zudem Unklarheiten bezüglich der Organisationsstrukturen der Verbände, der Verantwortlichkeiten und der Beauftragung von Unternehmen. Die Datenschutzbehörde Brandenburg wird jeden Fall prüfen, ob die Einleitung eines Ordnungswidrigkeitenverfahrens gegen die Verantwortlichen wegen Verstoßes gegen Artikel 32 und 33 DSGVO angezeigt ist. Die verwundbaren Websites wurden im Übrigen mittlerweile auf eine neue technische Basis gestellt.
Quelle: Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks