Kundendaten aus Shop-System online einsehbar

440

Fehlende Genauigkeit kann bei Konfigurations- und Wartungsarbeiten ursächlich dafür sein, dass Daten der Kunden im Internet öffentlich einsehbar werden.

Hin und wieder erhält die Aufsichtsbehörde Informationen, dass durch ungenaue Konfigurationen Daten unbeabsichtigt im Internet abrufbar waren. Im vorliegenden Sachverhalt wurde der Behörde vorgetragen, dass es durch eine technische Verzögerung des beauftragten Dienstleisters zu Problemen im Umgang mit der Kundendatenbank kam. In diesem Fall lag eine Datenbank, in der E-Mail-Adressen und Passwörter der Kunden gespeichert waren, ohne jeglichen Schutz öffentlich verfügbar auf dem Webserver.

Nach Bekanntwerden löschte man sofort den Datensatz und führte eine umfängliche Sicherheitsanalyse und einen Penetrationstest durch. Zur Identifizierung, ob der Dump von Dritten entdeckt und eingesehen wurden, führte man eine Kontrolle der Logfiles durch. Daraus resultierte, dass einige Downloads und demnach eine unerlaubte Kennntnisnahme der Daten stattfand. Rund tausend Kundenaccounts waren von der Datenpanne betroffen.

Sicherheitsvorkommnisse dieser Art sind keine Seltenheit. In der Vielzahl der Fälle wird die Meldepflicht nach Art. 33 DS-GVO gegenüber der Aufsichtsbehörde erfüllt. Ob jedoch auch die betroffenen Personen nach Art. 34 DS-GVO informiert werden müssen, hängt u. a. stark davon ab, wie das Verfahren zur Passwortspeicherung ausgestaltet war. Hier zeigt sich dann, wie wertvoll präventive Maßnahmen zur Sicherheit der Verarbeitung personenbezogener Daten nach Art. 32 DS-GVO sind, die bei Cyberangriffen schadenshemmende Wirkung entfalten können.

Quelle: BayLDA

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here