Die Landesbeauftragte für den Datenschutz in Niedersachsen verhängte gegen den Betreiber eines Online-Shops ein Bußgeld in Höhe von 65.500 €. Die Technik und Software auf der Webseite war so veraltet, dass eine Gefahr für die personenbezogenen Daten bestand, die über die Webseite verarbeitet wurden.

Veraltete Software ohne Updates – Passwörter von Kunden nicht gut geschützt

Besonders problematisch war, dass der Betreiber der Webseite eine alte Version einer Software benutzte. Der Hersteller dieser Software bot schon seit 2014 keine Sicherheitsupdates für die Software mehr an und warnte vor der Nutzung der veralteten Softwareversion. Hierdurch bestand u.a. die Gefahr für sog. SQL-Injection-Angriffe, die dazu hätten führen können, dass die Passwörter, die in der Datenbank abgelegt waren, hätten ausgelesen werden können. Ein Angreifer hätte die ermittelten Passwörter dann nutzen können, um weiteren erheblichen Schaden für die Webseiten-Nutzer herbeizuführen. Zudem wurde der mittlerweile zwingend vorausgesetzte Einsatz eines „salt“ für die Passwortsicherheit nicht genutzt. Der salt hätte dazu gedient, die Sicherheit bei der Speicherung des Passwortes zu erhöhen, indem eine zufällig gewählte Zeichenfolge an das Klartext Passwort angehängt worden wäre.

Schlechte TOM führen zu großen Gefahren für die Unternehmens- und Kundendaten

Ein Kernproblem dieser Webseite waren also unzureichende technische und organisatorische Maßnahmen (TOM). Die Datenschutzgrundverordnung gibt jedoch in Art. 25 Abs. 1 DSGVO vor, dass die Betreiber von Webseiten verpflichtet sind, den aktuellen Stand der Technik einzusetzen, um die Daten von den Webseitenbesuchern zu schützen. Hier ist in aller Regel der IT-Mitarbeiter gefordert, gemeinsam mit der Geschäftsführung hohe Sicherheitsstandards umzusetzen.

Sie finden in folgendem Blogbeitrag gute Informationen zum Thema: „Wann sind die TOM sicher genug?“ https://sidit.de/blog/wann-sind-die-tom-sicher-genug

Überprüfen Sie unbedingt die Sicherheitstechnik und Software auf Ihrer Webseite

Nun stellt sich natürlich die Frage, was Webseitenbetreiber tun können. Hier gilt: Überprüfen Sie mit Ihrem IT-Experten die auf Ihrer Webseite eingesetzte Software zum Schutz von Passwörtern, Datenbanken oder anderen Orten der Datenverarbeitung. Stellen Sie sicher, dass diese dem aktuellen Stand der Technik entspricht und mit regelmäßigen Updates erneuert wird. Erstellen Sie zudem Prozesse, die sicherstellen, dass diese Überprüfung regelmäßig stattfindet.

Haben Sie Fragen zum Datenschutz? Kontaktieren Sie uns jederzeit unter: info@sidit.de

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

1 Kommentar

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ihre personenbezogenen Daten werden für die Veröffentlichung Ihres Kommentars zum Blogbeitrages gem. unserer Datenschutzerklärung von uns verarbeitet.