DSGVO-Bußgeld wegen des Betriebs einer Website mit veralteter Software

Ein Unternehmen aus Niedersachsen muss 65.500 Euro zahlen, da es eine veraltete Software benutzt hatte, die Nutzer-Passwörter nicht angemessen sicherte.

In Pocket speichern vorlesen Druckansicht 385 Kommentare lesen

(Bild: mixmagic/Shutterstock.com)

Lesezeit: 3 Min.
Von
  • Joerg Heidrich

Im Rahmen der DSGVO spielen technische Aspekte eine entscheidende Rolle bei der Frage nach einem angemessenen Schutz der vorgehaltenen personenbezogenen Daten. Dabei ist insbesondere der Stand der Technik zur Bestimmung von angemessenen geeigneten technischen und organisatorischen Maßnahmen zu berücksichtigen.

Ein Verstoß gegen diese technischen Vorgaben wurde nun einem Unternehmen aus Niedersachsen zum Verhängnis. Dieses musste nach Willen der Datenschutzbeauftragten des Landes ein Bußgeld von 65.500 Euro wegen eines Verstoßes gegen die Vorschriften von Art. 25 und Art. 32 der DSGVO zahlen. Dies ergibt sich aus dem kürzlich veröffentlichten Tätigkeitsbericht der Behörde für das Jahr 2020 (S. 97).

Anlass des Verfahrens war eine Meldung des Unternehmens an die Behörde hinsichtlich eines Datenschutzvorfalls. Diese Meldung wurde zum Anlass genommen, dessen Webpräsenz unter technischen Gesichtspunkten zu überprüfen. Dabei stellte sich heraus, dass auf der Seite die Web-Shop-Anwendung xt:Commerce in der Version 3.0.4 SP2.1 verwendet wurde. Diese Version sei jedoch seit spätestens 2014 veraltet und wird vom Hersteller auch nicht mehr mit Sicherheitsupdates versorgt. Im Gegenteil warnte der Hersteller ausdrücklich davor, die Version 3 seiner Software weiter einzusetzen. Hintergrund der Warnung waren erhebliche Sicherheitslücken, die unter anderem SQL-Injection-Angriffe ermöglichten.

Die Ermittlungen der Behörde aus Niedersachsen ergaben weiter, dass die in der Datenbank abgelegten Passwörter zwar "mit der kryptographischen Hashfunktion MD5 gesichert" waren. Diese sei jedoch nicht auf den Einsatz für Passwörter ausgelegt, sodass eine Berechnung der Klartext-Passwörter möglich gewesen wäre. Hinzu kam, dass "kein Salt verwendet wurde". Zur Absicherung von Passwörtern wird in dem Tätigkeitsbericht auf die technische Richtlinie "Kryptographische Verfahren: Empfehlungen und Schlüssellängen" BSI TR-02102-1 des BSI verwiesen.

Aufgrund der mangelhaften Sicherheitsvorkehrungen sei es im vorliegenden Fall mit überschaubarem Aufwand möglich gewesen, die Klartext-Passwörter zu ermitteln und dann weitere Angriffsvektoren auszuprobieren. Die Implementierung einer Salt-Funktion sowie eines aktuellen, auf Passwörter ausgelegten Hash-Algorithmus, sei für das Unternehmen mit einem verhältnismäßigen Aufwand möglich gewesen, vor allem, wenn diese Funktionalität mit neueren Versionen der Software eingepflegt wird. Dies gelte ebenso für die Beseitigung bekannter Sicherheitslücken, für die Aktualisierungen bereitstehen.

Bei der Bewertung des Vorfalls kam die Behörde zu dem Ergebnis, dass die von der Verantwortlichen ergriffenen technischen Maßnahmen nicht dem Schutzbedarf der DSGVO angemessen sei, sodass ein Verstoß gegen Artikel 32 DSGVO vorliege. Daraufhin wurde eine Geldbuße in Höhe von 65.500 Euro festgesetzt, die das Unternehmen akzeptiert hat. Zugunsten der Firma wurde dabei berücksichtigt, dass dieses bereits vor dem Bußgeldverfahren die betroffenen Personen darüber informiert hatte, dass ein Wechsel des Passwortes notwendig war.

(emw)