< zurück zum Blog

Bußgeld wegen alter Sicherheitssoftware auf Webseite

17.08.2021

Die Landesbeauftragte für den Datenschutz in Niedersachsen verhängte gegen den Betreiber eines Online-Shops ein Bußgeld in Höhe von 65.500 €, weil die Technik auf der Webseite so veraltet war, dass eine Gefahr für die personenbezogenen Daten bestand, die über die Webseite verarbeitet wurden.

Softwareversion ohne Updates - Passwörter von Kunden nicht gut geschützt

Besonders problematisch war, dass der Betreiber der Webseite eine alte Version einer Software benutzte. Der Hersteller dieser Software bot schon seit 2014 keine Sicherheitsupdates für die Software mehr an und warnte vor der Nutzung der veralteten Softwareversion. Hierdurch bestand u.a. die Gefahr für sog. SQL-Injection-Angriffe, die dazu hätten führen können, dass die Passwörter, die in der Datenbank abgelegt waren, hätten ausgelesen werden können. Ein Angreifer hätte die ermittelten Passwörter dann nutzen können, um weiteren erheblichen Schaden für die Webseiten-Nutzer herbeizuführen. Zudem wurde der mittlerweile zwingend vorausgesetzte Einsatz eines „salt“ für die Passwortsicherheit nicht genutzt. Der salt hätte dazu gedient, die Sicherheit bei der Speicherung des Passwortes zu erhöhen, indem eine zufällig gewählte Zeichenfolge an das Klartext Passwort angehängt worden wäre.

Schlechte TOM führen zu großen Gefahren für die Unternehmensdaten und Kundendaten

Ein Kernproblem dieser Webseite waren also unzureichende technische und organisatorische Maßnahmen (TOM). Die Datenschutzgrundverordnung gibt jedoch in Art. 25 Abs. 1 DSGVO vor, dass die Betreiber von Webseiten verpflichtet sind, den aktuellen Stand der Technik einzusetzen, um die Daten von den Webseitenbesuchern zu schützen. Hier ist in aller Regel der IT-Mitarbeiter gefordert, gemeinsam mit der Geschäftsführung hohe Sicherheitsstandards umzusetzen.

Sie finden in folgendem Blogbeitrag gute Informationen zum Thema: „Wann sind die TOM sicher genug?“ https://sidit.de/blog/wann-sind-die-tom-sicher-genug

Überprüfen Sie unbedingt die Sicherheitstechnik auf Ihrer Webseite

Nun stellt sich natürlich die Frage, was Webseitenbetreiber tun können. Hier gilt: Überprüfen Sie mit Ihrem IT-Experten die auf Ihrer Webseite eingesetzte Software zum Schutz von Passwörtern, Datenbanken oder anderen Orten der Datenverarbeitung. Stellen Sie sicher, dass diese dem aktuellen Stand der Technik entspricht und mit regelmäßigen Updates erneuert wird. Erstellen Sie zudem Prozesse, die sicherstellen, dass diese Überprüfung regelmäßig stattfindet.

Haben Sie Fragen zum Datenschutz? Kontaktieren Sie uns jederzeit unter: info@sidit.de

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.