Seit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) können unzureichende technische und organisatorische Maßnahmen mit empfindlichen Geldbußen geahndet werden. Die Landesbeauftragte für den Datenschutz Niedersachsen hat ausweislich ihres veröffentlichen Tätigkeitsberichts für das Jahr 2020 gegenüber dem Betreiber einer Website ein Bußgeld über EUR 65.500,00 verhängt, da die vom Website-Betreiber eingesetzte Software des Online-Shops veraltet war und erhebliche Sicherheitslücken enthielt.
Sachverhalt
Die Landesbeauftragte für den Datenschutz Niedersachsen nahm eine Meldung gemäß Art. 33 DS-GVO zum Anlass, die Website des Online-Shop-Betreibers unter technischen Gesichtspunkten zu prüfen. Dabei stellte sich heraus, dass auf die Web-Shop-Anwendung xt:Commerce in der Version 3.0.4 SP2.1 verwendet wurde. Diese Version ist seit spätestens 2014 veraltet und wird vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Die genutzte Software enthielt erhebliche Sicherheitslücken, auf welche der Hersteller hingewiesen hatte.
Die Sicherheitslücken ermöglichten unter anderem SQL-Injection-Angriffe. Auch der Hersteller warnte davor, die betroffene Version der Software weiter einzusetzen. Mit SQL-Injection-Angriffen können Angreifer in den Besitz der Zugangsdaten aller in der Anwendung registrierten Personen gelangen. Eine solche Angriffsmöglichkeit entsteht, wenn nicht alle vom Endanwender veränderbare Eingaben auf eine Art und Weise maskiert werden, dass die Datenbank sie nicht als Befehl verstehen kann. Ohne Maskierung führt die Datenbank jeglichen Befehl mit eigenen Rechten aus. So können vollständige Datenbanktabellen ausgegeben oder gelöscht werden. Auch das Herunterfahren eines Servers ist grundsätzlich möglich. Die Ermittlungen der Landesbeauftragten für den Datenschutz Niedersachsen ergaben, dass die in der Datenbank abgelegten Passwörter zwar mit der kryptographischen Hashfunktion „MD5″ gesichert waren. Diese ist allerdings nicht auf den Einsatz für Passwörter ausgelegt ist. Eine vergleichsweise einfache Berechnung von Klartext-Passwörtern wäre daher möglich gewesen. Auch existieren sog. „Rainbow-Tables“ im Internet, anhand derer auch ganz ohne Berechnung das zu einem Hash gehörige Passwort abgelesen werden kann.
Hinzu kam, dass kein „Salt“ verwendet wurde. Ein Salt, der für jedes Passwort individuell generiert wird, verlängert ein Passwort und erschwert auf diese Weise die systematische Berechnung. Ein Salt verfolgt insoweit das Ziel, dass der Angreifer für jedes Passwort eine vollständige Neuberechnung durchführen muss und namentlich vorgefertigte Rainbow-Tables wertlos werden. Ohne Sait genügte hingegen eine gemeinsame Berechnung für die komplette heruntergeladene Datenbank. Ohne entsprechende Sicherheitsvorkehrungen wäre es nach Bewertung durch die Landesbeauftragte für den Datenschutz in Niedersachsen mit überschaubarem Aufwand möglich gewesen, die Klartext-Passwörter zu ermitteln und dann weitere Angriffsvektoren auszuloten. Ein Angreifer hätte die ermittelten Passwörter etwa bei den ebenfalls in der Datenbank hinterlegten E-Mail-Adressen testen und im Erfolgsfall erhebliche Schäden anrichten können. Die Implementierung einer Salt-Funktion sowie eines aktuellen, auf Passwörter ausgelegten Hash Algorithmus, wäre nach den Feststellungen der Landesbeauftragten für den Datenschutz in Niedersachsen nicht mit unverhältnismäßigem Aufwand verbunden gewesen. Dabei berücksichtige die Landesbeauftragte, dass diese Funktionalität mit neueren Versionen der Software eingepflegt hätten werden können. Dies gelte ebenso für die Beseitigung bekannter Sicherheitslücken, für die Aktualisierungen bereitstehen. Regelmäßig genügte also bereits die Aktualisierung der Software, um bekannt gewordene Sicherheitslücken und weitere Schwachstellen zu schließen. Dies könnte zwar mit Beschaffungs- und Umsetzungskosten verbunden sein. Dies stelle jedoch grundsätzlich keinen unverhältnismäßigen Aufwand dar.
Die vom Shop-Betreiber ergriffenen technischen Maßnahmen waren damit nicht dem Schutzbedarf gemäß Art. 25 DS-GVO angemessen, sodass die Landesbeauftragte einen Verstoß gegen Art. 32 Abs. 1 DS-GVO feststellte. Die Geldbuße in Höhe von EUR 65.500,00 wurde vom betroffenen Unternehmen akzeptiert, wobei im Hinblick auf die Zumessung der Geldbuße berücksichtigt wurde, dass das Unternehmen bereits vor dem Bußgeldverfahren die betroffenen Personen darüber informiert hatte, dass ein Wechsel des Passwortes notwendig ist.
Anmerkungen
Der von der Landesbeauftragten für den Datenschutz in Niedersachsen aufgegriffene Sachverhalt verdeutlich einmal mehr zwei zentrale Punkte:
Erstens bleiben Datenschutz- und Datensicherheitsverstöße im Regelfall nicht unbemerkt und werde gerade von Betroffenen zunehmend an Datenschutzbehörden gemeldet. Da die Datenschutzbehörden Beschwerden nachgehen müssen, gibt es für betroffene Unternehmen dann im Regelfall wenig Hoffnung, dass eine Beschwerde schlicht im Sande verläuft.
Zweitens macht der Bericht der Landesbeauftragten einen ganz zentralen Punkt im Bereich technisch-organisatorischer Maßnahmen nochmals besonders deutlich. Unzureichende Aktualisierungen eingesetzter Softwarelösungen, insbesondere ein unzureichendes Patch-Management muss unter sicherheitsrechtlichen Gesichtspunkten als kapitaler Fehler bewertet werden. Während ein Unternehmen sich naturgemäß nicht gegen sog. Zero-Day-Exploits oder gegen über Dienstleister eingeschleuste Schadsoftware wehren kann, zählen reguläre Standardprozesse zur Gewährleistung einer angemessenen Aktualität und auch die Nutzung systemseitig bereitgestellter Absicherungsmaßnahmen zu den originären Hausgaben im Bereich IT-Sicherheit.
- Dass IT-Sicherheit dabei keine Einmalaufgabe darstellt, sondern als fortlaufender Prozess zu verstehen ist, machte die Landesbeauftragte im Kontext eines Tätigkeitsberichts nochmals deutlich:
- Die technische Entwicklung mache es notwendig, die ergriffenen Maßnahmen regelmäßig auf ihre Wirksamkeit zu überprüfen. Beispielsweise könnten sich verwendete Verschlüsselungsverfahren durch neu entdeckte Schwachstellen sowohl im Hinblick auf den verwendeten Algorithmus, als auch auf dessen konkrete Implementierung oder durch gesteigerte Rechenleistung als unsicher erweisen.
- Zur Überprüfung der Maßnahmen könne eine Vielzahl von Methoden eingesetzt werden. So könnten mit Penetrationstests Angriffsvektoren identifiziert werden, die bei integrierten Schwachstellenscans bzw. Build-in-Self-Tests der verwendeten Hard- und Software möglicherweise nicht auffallen. Hinsichtlich organisatorischer Maßnahmen kämen vor allem Evaluierungen durch Verantwortliche sowie regelmäßige Trainings von Beschäftigten in Betracht.
Auch auf den Aspekt der gebotenen Sensibilisierung innerhalb eines Unternehmen wies die Landesbeauftragte zutreffend hin:
So sei auch die Wirksamkeit von Maßnahmen zum Schutz vor betrügerischen Angriffsversuchen gegenüber Beschäftigen regelmäßig zu überprüfen. Zu diesen Versuchen zähle das Social Engineering, dessen Ziel es ist, durch zwischenmenschliche Beeinflussung vertrauliche Informationen insbesondere von Beschäftigten zu erlangen. Mit einigen Rahmeninformationen könnten Beschäftigte eines Unternehmens in ein Gespräch verwickelt werden, in dem sich Anrufer beispielsweise als Techniker oder Technikerin ausgeben, die noch Zugangsdaten benötigen. Unternehmen sollten ihre Beschäftigten im Rahmen ihrer Informations- und Hinweispflichten darauf hinweisen, dass es Penetrationstest und auch simulierte Social-Engineering-Angriffe geben kann, in deren Rahmen möglicherweise auch Beschäftigtendaten verarbeitet werden.
Fazit: Während der im IT-Umfeld verbreitete Grundsatz „Kein Backup. Kein Mitleid“ bereits ein Evergreen ist, dürfte sich das Prinzip „Kein Patch-Management. Keine Gnade“ gerade mit Blick auf zunehmende Ransomware-Angriffe, die nicht selten auf bekannten Sicherheitslücken aufsetzen, ebenfalls einen festen Platz sichern.
Quelle: Tätigkeitsbericht 2020 der Landesbeauftragten für den Datenschutz Niedersachsen (Volltext)
