Bußgeld wegen veralteter Software beim Betrieb eines Webshops

Einem Unternehmen aus Niedersachsen wurde kürzlich ein Bußgeld von 65.500 € verhängt, weil dieses einen Web-Shop mit veralteter Software betrieb. Die Sicherheitslücken durch den alten Softwarestand ermöglichte es, Nutzer-Passwörter mit geringem Aufwand zu berechnen.

Der Vorwurf

Die zuständige Aufsichtsbehörde nahm eine Meldung des Unternehmens an die Behörde wegen eines Datenschutzvorfalles zum Anlass, den Webshop des Unternehmens zu überprüfen.

Ergebnisse der Untersuchung

Es stellte sich dabei heraus, dass die Website die Web-Shop-Anwendung xt:Commerce in der Version 3.0.4 SP2.1 verwendete. Diese ist mindestens seit 2004 veraltet und es werden dementsprechend keine Sicherheitsupdates mehr zur Verfügung gestellt. Der Hersteller warnte sogar wegen erheblichen Sicherheitslücken vor der Verwendung dieser Version unter anderem wegen der Möglichkeit von SQL-Injection-Angriffen.

Die Passwörter, die in der Datenbank abgelegt sind, waren zwar mit der kryptographischen Hashfunktion „MD5“ gesichert, jedoch war dieses kryptographische Verfahren nicht mehr Stand der Technik und somit nicht mehr für den Einsatz bei Passwörtern ausgelegt. Ein brechen des alten Verfahrens zur Verschlüsselung von Passwörtern war demnach möglich.

Außerdem wurde kein „Salt“ verwendet, der durch eine Verlängerung des Passwortes die systematische Berechnung um einiges erschwert hätte.

SQL-Injection-Angriffe

Mit Hilfe solcher können Angreifer Zugriff auf Zugangsdaten aller in der Anwendung registrierter Personen und weitere Daten in der Datenbank erlangen. Sicherheitslücken dieser Art entstehen, wenn nicht alle vom Endanwender veränderbaren Eingaben maskiert werden, sodass sie von der Datenbank nicht als Befehl verstanden werden. Fehlt diese Maskierung, wird jeder Befehl von der Datenbank als Befehl mit eigenen Rechten ausgeführt. Folgen sind, dass die ganze Datenbanktabelle ausgegeben, gelöscht oder verändert werden können.

Das Bußgeld

Die Aufsichtsbehörde sah die vom Verantwortlichen verwendeten technischen Maßnahmen als nicht angemessen im Sinne von Art. 25 DSGVO und stellte damit einen Verstoß gegen Art. 32 I DSGVO fest.

Bei der Bemessung des Bußgeldes wurde mildernd berücksichtigt, dass das Unternehmen die betroffenen Personen frühzeitig informiert und das Festlegen eines neuen Passwortes empfohlen hat.

Das Unternehmen akzeptierte das Bußgeld in Höhe von 65.500 €.

Empfehlung

Häufig genügt schon die Verwendung aktueller und gepatchter Software, um Sicherheitslücken zu vermeiden und datenschutzkonform Webanwendungen zu betreiben. Die Verwendung aktueller kryptographischer Verfahren ist dabei unerlässlich und erfordern nur einen geringen Aufwand. Bestehende Sicherheitslücken werden unkompliziert und zeitnah durch Updates des Herstellers beseitigt.

Wir führen ergänzend zu Updates bei all unseren Mandanten regelmäßig Schwachstellenanalysen von außen und innen durch, um auch die letzten technischen Sicherheitslücken und Schwachstellen in den IT Systemen des Mandanten zu finden.

Aktuelle Empfehlungen zur Umsetzung der Absicherung von Passwörtern finden sich auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie in der entsprechenden technischen Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ (BSI TR-02102-1).

Im Einzelfall ist eine professionelle Beratung zur passendsten Lösung immer empfehlenswert.

%d Bloggern gefällt das: