Das Thema Cybersecurity hat in der Vergangenheit zunehmend an Bedeutung gewonnen. Dabei stehen nicht nur staatliche Institutionen oder sicherheitspolitische Aspekte im Vordergrund, sondern vor allem auch Unternehmen, die sich der immer größer werdenden Zahl von Attacken durch Spionage- und Sabotagesoftware ausgesetzt sehen.
Die korrekte Sicherung von Kundendaten eine wichtige Aufgabe, die Unternehmen zu bewältigen haben. Gerade der Online-Handel ist davon stark betroffen. Der europäische Gesetzgeber fordert mit der DSGVO einen umfassenden Schutz personenbezogener Daten, wofür technische Sicherheitsstandards verlangt werden, die sich am Stand der Technik orientieren müssen.
Im vorliegenden Fall war ein Programm in Folge einer veralteten Software nicht mehr in der Lage, die Passwörter der Kunden angemessen zu sichern, was zu einem Verstoß gegen die DSGVO führte.
Nicht nur hinsichtlich der verhängten Geldbuße, sondern auch wegen der Gefahr des Informationsabflusses von Geschäftsgeheimnissen, gilt es eine solche Sicherheitslücke dringlichst zu vermeiden.
Das Wichtigste in Kürze:
- Ein niedersächsischer Online-Shop für Medikamente verwendete eine veraltete Software, wodurch Passwörter von Kunden in Gefahr gebracht wurden
- Die Passwörter waren zwar mit einer kryptografischen Hashfunktion gesichert, diese war jedoch nicht auf den Einsatz für Passwörter ausgelegt
- Ohne entsprechende Sicherheitsanwendungen können Hacker, ohne größeren Aufwand, auf sämtliche Daten zugreifen
- Die Behörde verhängte ein Bußgeld in Höhe von 65.500 € und berücksichtigte zugunsten des Unternehmens, dass es den Vorfall selbst gemeldet hatte
- Die Software wurde vom Hersteller seit Jahren nicht mehr mit Updates versorgt und dieser hatte das Unternehmen vor möglichen Sicherheitslücken gewarnt
- Zur Sicherung von Daten sind Unternehmen verpflichtet, sich an den aktuellen Stand der Technik zu halten, ansonsten begründet dies einen Verstoß gegen die DSGVO
Erforderlichkeit technisch-organisatorischer Maßnahmen nach DSGVO
Immer wieder versuchen Unberechtigte in fremde Systeme einzudringen, oder diese sogar zu übernehmen. Umso wichtiger ist es für Unternehmen, sowohl sich selbst als auch ihre Kunden davor zu schützen.
Aus diesem Grund formulieren Art. 25 und insbesondere Art. 32 der DSGVO Anforderungen an die zu ergreifenden technisch-organisatorischen Maßnahmen. Verantwortliche sollen bereits vor Verarbeitung der personenbezogenen Daten die Risiken durch entsprechende Vorkehrungen abwägen und minimieren. Vor allem haben Unternehmen sich bei der Verwendung von Software, die der Datensicherung dient, stets am aktuellen Stand der Technik zu orientieren. Eine Missachtung dieser erforderlichen technischen Standards stellt für sich schon einen Verstoß gegen die DSGVO dar.
Ein solcher Verstoß wurde nun bei einem Betreiber eines Online-Shops aus Niedersachsen aufgedeckt. Dieser nutzte eine veraltete Software, die erhebliche Sicherheitslücken aufwies, wodurch Passwörter nicht angemessen gesichert wurden.
Die technisch-organisatorischen Maßnahmen, die von den Verantwortlichen ergriffen wurden, waren somit im Hinblick auf den Schutzbedarf des Art. 25 DSGVO unzureichend, sodass ein Verstoß gegen Art. 32 DSGVO vorliegt.
Bei der Software handelte es sich um xt:Commerce (Version 3.0.4 SP2.1). Der Hersteller der Software hatte den Support der seit 2014 bereits veralteten Softwareversion eingestellt und auf die Sicherheitslücken hingewiesen sowie von ihrer Verwendung abgeraten. Durch solche Lücken wird es potenziellen Angreifern ermöglicht, sich den Besitz der Zugangsdaten aller in der Anwendung registrierten Personen zu verschaffen.
Bedeutung der angemessenen Sicherung von Daten
Unternehmen haben die Möglichkeit mittels verschiedener Sicherheitssysteme das Risiko eines Hacker-Angriffs signifikant zu minimieren. Unter diese Sicherheitsanwendungen fallen unter anderem die Verschlüsselung oder die Pseudonymisierung personenbezogener Daten.
Durch die Pseudonymisierung von Daten im Sinne des Art. 4 Nr. 5 DSGVO können Inhalte von Datensätzen beispielsweise nur mit Hilfe einer Tabelle entschlüsselt werden, die gesondert aufzubewahren ist. Die Anwendung und der Umfang von Verschlüsselungen richtet sich nach dem Schutzbedarf und den gegebenenfalls vorliegenden Besonderheiten bei der Verarbeitung.
Vor allem aber ist es wichtig, die bereits bestehenden Sicherheitssysteme stets zu überprüfen und unter Umständen zu aktualisieren, da sich nicht nur die technischen Möglichkeiten der IT-Sicherheit, sondern auch die der Angreifer ständig weiterentwickeln.
Die Ermittlungen durch die Behörde ergabe weiterhin, dass das Unternehmen die in der Datenbank abgelegten Passwörter zwar mit der kryptografischen Hashfunktion MD5 gesichert hatten, diese jedoch gar nicht für den Einsatz zur Unkenntlichmachung von Passwörtern ausgelegt sei.
Geeignete Maßnahmen zum Schutz der Daten
Geeigneter hierfür wäre der Einsatz eines sogenannten „Salt“ gewesen, das einen zufälligen Wert generiert, der vor der Verschlüsselung an das Benutzerpasswort angehängt wird. Passwörter werden durch diese zufällige Zeichenfolge, welche an den Klartext gehängt wird, umfangreicher geschützt.
Durch Anwendung eines Salts wird erreicht, dass der Angreifer eine komplette Neuberechnung für jedes Passwort durchführen muss, um sich Zugang zu verschaffen. Ohne diesen können Hacker sogenannte „Rainbow-Tables“ nutzen, die im Internet existieren. Diese ermöglichen es, das zu einem Hash gehörige Passwort ganz ohne Berechnung abzulesen.
In ihrem Prüfbericht verwiesen die Datenschützer aus Niedersachen auf die in der BSI-Richtlinie TR-02102-1 vermerkten technischen Empfehlungen zu kryptografischen Verfahren und Schlüssellängen.
Dieser unzureichende Schutz und die dadurch entstandene mangelnde Maskierung kann sogenannte „SQL-Injection-Angriffe“ ermöglichen, wobei eine Datenbank durch das Einschleusen von Fremdbefehlen gehackt wird. Das heißt, dass die Zugangsdaten der Webshop-Nutzer für Unberechtigte mit nur geringfügigem Aufwand im Klartext lesbar sind.
Seit Jahren ist ein Anstieg der SQL-Injection-Angriffe zu erkennen, da diese für Hacker immer wieder eine erfolgreiche Methode darstellen, um an Informationen zu gelangen. Jedoch sind es gerade diese Erkenntnisse und die laufenden Berichte über gehackte Webshops, die eine Warnung an die Webshop Betreiber sein sollten. Solche Angriffe kommen nicht unerwartet, daher ist es die Aufgabe der Betreiber, ihre Shops ausreichend zu schützen.
Empfehlungen zur Absicherung von Passwörtern
Die zuverlässige Absicherung von Passwörtern kann im Hinblick auf die stets neugewonnenen Erkenntnisse problematisch erscheinen. Es empfiehlt sich daher die aktuellen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik auf der Internetseite zu beachten.
Dabei sollte man insbesondere eine speziell für Passwörter entwickelte Hashfunktion nutzen. Diese bewirkt, dass der Versuch, durch systematisches Ausprobieren (Brute-Force-Methode) Passwörter zu ermitteln, einen deutlich erhöhten Rechenaufwand erfordert. Dieser Rechenaufwand kann durch ein für jedes Passwort individuell vergebenes Salt erneut gesteigert werden. Dies hat zur Folge, dass es für Unberechtigte aufgrund der zu investierenden Rechenleistung uninteressant wird, Passwörter der gesamten Datenbank zu ermitteln.
Jedoch gibt es einzelne Zugänge, die für Angreifer von besonders hohem Interesse sein können, wie beispielsweise Administrationszugänge. Hier wird empfohlen, starke Passwörter zu verwenden. Die Stärke eines Passwortes bestimmt sich viel mehr nach seiner Länge als nach seiner Komplexität. Hierbei gibt es jedoch keine festgelegten Regeln.
Prinzipiell empfiehlt sich für sensible Daten oder Accounts mit weitreichenden Zugriffs- und Bearbeitungsrechten die sogenannte „Mehr-Faktor-Authentifizierung“, dabei werden zur Feststellung der Identität verschiedene Faktoren angewendet. Neben der Abfrage eines Passworts muss beispielsweise noch ein Fingerabdruck-Scan durchgeführt werden oder es muss eine auf ein persönliches Endgerät des Berechtigten versandte TAN eingegeben werden. Weiterhin sollten Passwörter in regelmäßigen Abständen erneuert werden. Dennoch kann lediglich die Kombination verschiedener Maßnahmen das Risiko von Angriffen wirksam minimieren.
Berechnung der Höhe des Bußgeldes
Die unzureichend verschlüsselte Speicherung der Passwörter und die damit einhergehende Gefährdung der Kunden spielten bei der Verhängung des Bußgeldes eine maßgebliche Rolle. Hinzu kam, dass der Verstoß mit relativ geringem Aufwand vermeidbar gewesen wäre.
Das Unternehmen hätte lediglich eine Salt-Funktion sowie einen aktuellen, für Passwörter geeigneten, Hash-Algorithmus installieren müssen. Eben diese Funktionen werden vom Hersteller der Software für seine neueren Versionen angeboten, zudem werden durch Updates stetig neu entdeckte Sicherheitslücken beseitigt.
Abgesehen davon, dass der Aufwand für das Unternehmen relativ gering gewesen wäre, hatte der Software-Hersteller den Betreiber bezüglich der Sicherheitslücken ausdrücklich gewarnt. Auf die Warnungen wurde jedoch nicht reagiert, womit auch keine Abhilfemaßnahmen erfolgten.
Infolgedessen kam die Behörde zu dem Ergebnis, dass die verantwortliche Stelle nicht die erforderliche Sorgfalt bezüglich ihrer technischen und organisatorischen Maßnahmen eingehalten hat, was letztendlich zu einem unzureichenden Schutzniveau der personenbezogenen Daten natürlicher Personen im Sinne der DSGVO führte. Dies wird als Begründung für das oben genannte Bußgeld in Höhe von 65.500€ herangezogen.
Trotzdem hätte das Bußgeld höher ausfallen können. Es wurde insbesondere bußgeldmindernd berücksichtigt, dass das Unternehmen selbst den Vorfall gemeldet hatte. Das Unternehmen wurde unmittelbar verpflichtet, die Sicherheitsmängel zu beseitigen. Zudem wurden die betroffenen Personen bereits vor Verfahrensbeginn über die erforderlichen Passwortwechsel durch das Unternehmen informiert. Dennoch waren die Sicherheitslücken und die damit verbundene Geldbuße ein vermeidbarer Vorfall, der durch Berücksichtigung der aktuellen Sicherheitsstandards höchstwahrscheinlich verhindert worden wäre.
Ausblick
Solche mangelhaften technischen und organisatorischen Maßnahmen kommen in der Praxis leider häufiger vor, denn die andauernde Gewährleistung des bestmöglichen Schutzes vor Hackerangriffen erfordert qualifiziertes Personal und Fachwissen.
Aus diesem Grund sollten Verantwortliche stets mit dem IT- und Datenschutzbeauftragten Rücksprache halten oder falls solche intern nicht vorhanden sind, ihre Systeme regelmäßig durch fachkundige Dienstleister überprüfen lassen. Unternehmen haben die Möglichkeit ihre Sicherheit zu optimieren in dem sie sich am derzeitigen Stand der Technik orientieren, wodurch aktuelle Software genutzt wird oder gegebenenfalls Updates durchgeführt werden. Eine enge Zusammenarbeit mit den entsprechenden Soft- und Hardware-Herstellern ist hierbei unerlässlich.
Die DSGVO schreibt die Ergreifung angemessener technisch-organisatorischer Maßnahmen vor, deren Nichteinhaltung sanktioniert wird. Weiterhin wird empfohlen Passwörter für sensible Daten und wichtige Accounts durch Maßnahmen, wie Mehr-Faktor- Authentifizierung, entsprechende Passwortlänge und regelmäßiges Ändern, besonders zu schützen.
Personenbezogene Daten genießen einen außerordentlichen Schutz und ihre Verletzung führt nicht selten zu weitaus höheren Bußgeldern. Strafen im hohen Millionenbereich oder bis zu vier Prozent des weltweiten Jahresumsatzes können die Folge sein, was in jedem Fall unbedingt vermieden werden sollte. Die Bemessung richtet sich danach, welcher Betrag jeweils höher liegt.
Der vorliegende Fall ist ein plakatives Beispiel dafür, dass ein enormes Bußgeld durch relativ simple Maßnahmen hätte vermieden werden können.
Nicht nur die finanziellen Herausforderungen können für Unternehmen überwältigend sein, ebenso sind rufschädigende Auswirkungen möglich. Ein solcher Imageschaden kann womöglich zu einem Vertrauensverlust auf Seiten der Verbraucher führen, die zunehmend für das Thema Datensicherheit sensibilisiert werden.
Auch in Zukunft wird Datenschutz von großer Bedeutung sein. Gerade auch Apps zur Kontaktverfolgung haben während der Pandemie gezeigt, wie heikel und herausfordernd der Umgang mit personenbezogenen Daten ist. Aus diesem Grund sind umfassende Maßnahmen zum Schutz der digitalen Infrastruktur nachhaltig und ratsam.
