Einem niedersächsischen Unternehmen wurde ein DSGVO-Bußgeld von 65.500 Euro auferlegt. Es hatte eine veraltete Software eingesetzt, welche die Passwörter der Nutzer nicht angemessen sicherte.
Juristischer Hintergrund
Die DSGVO verpflichtet die Betreiber von Webseiten auch dazu, angemessene technische Maßnahmen für die Sicherheit zu ergreifen, um ein Abgreifen der auf der Seite vorgehaltenen personenbezogenen Daten zu verhindern. Entscheidend ist dabei, dass die Sicherungen dem Stand der Technik entsprechen. Gegen diese DSGVO-Vorschrift verstieß das betreffende Unternehmen aus Niedersachsen. Der Datenschutzbeauftragte des Landes verhängte daher ein Bußgeld in Höhe von 65.500 Euro. Die juristische Basis hierfür schufen die Artikel 25 und 32 der DSGVO. Der Fall ist im jüngst veröffentlichten Tätigkeitsbericht der niedersächsischen Datenschutzbehörde für 2020 auf Seite 97 vermerkt.
Onlineshop trotz Warnung mit veralteter Technik betrieben – Bußgeld wegen eines DSGVO-Verstoßes
Der Anlass des eingeleiteten Bußgeldverfahrens war ein Datenschutzvorfall, den das betreffende Unternehmen selbst an die niedersächsische Datenschutzbehörde meldete. Es verhielt sich in dieser Hinsicht DSGVO-konform, denn die Betreiber sind verpflichtet, Unregelmäßigkeiten von sich aus der Behörde zu melden. Diese nahm die Meldung zum Anlass, sich den Onlineshop unter technischen Gesichtspunkten anzusehen. Dabei stellten die Techniker der Behörde die Verwendung der xt:Commerce-Version 3.0.4 SP2.1 fest, die schon seit 2014 veraltet ist.
Der Hersteller versorgt sie längst nicht mehr mit Sicherheitsupdates, sondern warnt im Gegenteil ausdrücklich vor einem Einsatz dieser Version. Der Hintergrund dieser Warnung waren festgestellte erhebliche Sicherheitslücken. Diese ermöglichen beispielsweise SQL-Injection-Angriffe. Dabei wird eine Datenbank durch das Einschleusen von Fremdbefehlen gehackt, was nur durch ihre mangelnde Maskierung gelingt. Die Ermittlungen der niedersächsischen Datenschutzbehörde ergaben außerdem, dass zwar in der Datenbank eine Sicherung der abgelegten Passwörter mit MD5 (einer kryptografischen Hashfunktion) bestand. Diese Funktion ist aber nicht für die Passwortsicherung geeignet.
Im vorliegenden Fall war aufgrund dieser unzulänglichen Sicherung eine Berechnung der Passwörter möglich. Außerdem verwendete der Webshop keinen Salt. Diese zufällig gewählte kryptografische Zeichenfolge hängt zufällige Zeichenfolgen an einen Klartext an und sichert damit Passwörter sehr gut. Die Datenschützer aus Niedersachsen verwiesen in ihrem Prüfbericht auf die in der BSI-Richtlinie TR-02102-1 vermerkten technischen Empfehlungen zu kryptografischen Verfahren und Schlüssellängen. Die Verschlüsselung des betreffenden Onlineshops war durch die mangelhaften Sicherheitsvorkehrungen so unzulänglich, dass es einem Angreifer mit überschaubarem Aufwand gelingen konnte, Klartextpasswörter zu ermitteln.
Anschließend konnte er dann weitere Angriffsvektoren testen. Diese war wohl auch in einem konkreten Fall gelungen, der zum betreffenden, an die Behörde gemeldeten Datenschutzvorfall führte.
Datenschutz: Keine große Hürde
Das Unternehmen hätte sich aber mit relativ geringem Aufwand dagegen schützen können. Es hätte lediglich eine Salt-Funktion und einen aktuellen, für Passwörter geeigneten Hash-Algorithmus implementieren müssen. Diese Funktionalitäten bietet der Hersteller der Software für seine neueren Versionen an, sie werden automatisch eingepflegt. Seine Updates beseitigen zudem permanent neu entdeckte Sicherheitslücken.
Höhe des Bußgeldes
Das Bußgeld hätte höher ausfallen können, doch die Behörde hielt dem Unternehmen zugute, dass es von sich aus den Vorfall gemeldet hatte. Es wurde zur umgehenden Beseitigung der Sicherheitsmängel verpflichtet.
