Bußgeld wegen des Betriebs einer Website mit veralteter Software

04.08.2021. 11:21

 

In dem folgenden Bußgeldverfahren aus Niedersachsen ging es um die fehlende Einhaltung und regelmäßige Überprüfung von technischen Vorgaben, wofür ein Bußgeld in Höhe von 65.000 Euro festgesetzt wurde. Dieses wurde auch vom betroffenen Unternehmen anschließend akzeptiert.

Anlass des Bußgeldverfahrens war eine Meldung des Unternehmens an die Behörde hinsichtlich eines Datenschutzvorfalls. Diese Meldung wurde zum Anlass genommen, dessen Webpräsenz unter technischen Gesichtspunkten zu überprüfen.

Dabei stellte sich heraus, dass auf der Seite die Web-Shop-Anwendung xt:Commerce in der spätestens 2014 veralteten Version 3.0.4 SP2.1 verwendet wurde. Diese Version wird vom Hersteller auch nicht mehr mit Sicherheitsupdates versorgt und der Hersteller warnte auch ausdrücklich davor, diese Version seiner Software weiter einzusetzen. Hintergrund der Warnung waren erhebliche Sicherheitslücken, die unter anderem SQL-Injection-Angriffe ermöglichten.

Die Ermittlungen der Behörde aus Niedersachsen ergaben weiter, dass die in der Datenbank abgelegten Passwörter zwar "mit der kryptographischen Hashfunktion MD5 gesichert" waren, diese jedoch nicht auf den Einsatz für Passwörter ausgelegt sei, sodass eine Berechnung der Klartext-Passwörter möglich gewesen wäre. Ferner wurde nicht zusätzlich Salt verwendet.

Zur Absicherung von Passwörtern wird in dem Tätigkeitsbericht auf die technische Richtlinie "Kryptographische Verfahren: Empfehlungen und Schlüssellängen" BSI TR-02102-1 des BSI verwiesen.

Nach Ansicht der Aufsichtsbehörde sei es aufgrund der mangelhaften Sicherheitsvorkehrungen im vorliegenden Fall mit überschaubarem Aufwand möglich gewesen, die Klartext-Passwörter zu ermitteln und dann weitere Angriffsvektoren auszuprobieren. Die Implementierung einer Salt-Funktion sowie eines aktuellen, auf Passwörter ausgelegten Hash-Algorithmus, sei für das Unternehmen mit einem verhältnismäßigen Aufwand möglich gewesen. Das Gleiche gelte für die Beseitigung der bekannten Sicherheitslücken.

In ihrer Bewertung des Vorfalls kam die Behörde zu dem Ergebnis, dass die von der Verantwortlichen ergriffenen technischen Maßnahmen nicht dem Schutzbedarf der DSGVO angemessen seien und insofern ein Verstoß gegen Artikel 32 DSGVO vorliege. Daraufhin wurde eine Geldbuße in Höhe von 65.500 Euro erlassen.

Quelle: https://www.heise.de/news/DSGVO-Bussgeld-wegen-des-Betriebs-einer-Website-mit-veralteter-Software-6154208.html mit Verweis auf den Tätigkeitsbericht der LDI Nds. für das Jahr 2020 (S. 97). 

 

Das könnte Sie auch interessieren

03 April 2024

Thüringer LfDI: Telefax…

Thüringer LfDI: Telefax ist kein sicheres Transportmittel

Mehr Erfahren
22 März 2024

Durchführung des CyberRisikoChecks…

Durchführung des CyberRisikoChecks nach DIN SPEC 27076

Mehr Erfahren
02 Januar 2024

Schon die Angst vor Datenmissbrauch…

Schon die Angst vor Datenmissbrauch kann einen Schaden darstellen (EuGH Urteil vom 14.12.2023 – C-340/21)

Mehr Erfahren
28 August 2023

BAG: Datenschutzbeauftragter…

BAG: Datenschutzbeauftragter und Betriebsratsvorsitzender sind nicht in Personalunion möglich

Mehr Erfahren
31 März 2023

VG Hannover: Datenerhebung…

VG Hannover: Datenerhebung bei Amazon in Winsen datenschutzrechtlich zulässig

Mehr Erfahren
27 März 2023

Koordinierte Prüfung…

Koordinierte Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten

Mehr Erfahren