DSGVO: 65.500 Euro Strafe wegen unsicheren und veralteten Webshop
Ein Unternehmen aus Niedersachsen hat unangenehme Bekanntschaft mit der DSGVO gemacht: Das Unternehmen muss 65.500 Euro Bußgeld für einen veralteten Webshop zahlen. Dieser speicherte die Passwörter der Nutzern in einem unsicheren Verfahren (xt:Commerce, Version 3.0.4).
Obwohl der Hersteller von xt:Commerce selbst vor der Nutzung der alten Version 3.x warnt, hat das Unternehmen aus Niedersachsen nicht reagiert und den Webshop weiter betrieben. Version 3.x gilt seit 2014 als veraltet und es gibt schon lange keine Sicherheitsupdates mehr.
Anlass des Verfahrens war eine Meldung nach einem Sicherheitsvorfall im Webshop. Das Unternehmen aus Niedersachsen meldete den Vorgang laut DSGVO der Datenschutzbehörde. Diese prüfte den Vorfall aus technischer Sicht und stellte dabei fest, dass die veraltete Version 3 von der Shopsoftware genutzt wurde. Die Passwörter werden in dieser Version mit der Hashfunktion MD5 in einer Datenbank gesichert. MD5 ist laut Richtlinie "Kryptographische Verfahren: Empfehlungen und Schlüssellängen" vom BSI nicht zum Sichern von Passwörtern geeignet. Auch wurde keine Salt-Funktion benutzt um die Passwörter besser abzusichern.
Laut ermittelnder Behörde wäre ein Update mit überschaubarem Aufwand möglich gewesen. Da das Unternehmen keine technischen Maßnahmen zum Schutz der Daten nach DSGVO angewendet hat, liegt ein Verstoß gegen Artikel 32 der DSGVO vor. Es wurde eine Geldbuße von 65.500 Euro festgesetzt, die das Unternehmen auch akzeptiert hat.
Webshopbetreiber sollten daher ihre Software und Sicherheitsstandards jetzt überprüfen, da die DSGVO langsam aber sicher ernst macht.
Quelle: Tätigkeitsbericht des LfD Niedersachsen
Gruß
Frank
Obwohl der Hersteller von xt:Commerce selbst vor der Nutzung der alten Version 3.x warnt, hat das Unternehmen aus Niedersachsen nicht reagiert und den Webshop weiter betrieben. Version 3.x gilt seit 2014 als veraltet und es gibt schon lange keine Sicherheitsupdates mehr.
Anlass des Verfahrens war eine Meldung nach einem Sicherheitsvorfall im Webshop. Das Unternehmen aus Niedersachsen meldete den Vorgang laut DSGVO der Datenschutzbehörde. Diese prüfte den Vorfall aus technischer Sicht und stellte dabei fest, dass die veraltete Version 3 von der Shopsoftware genutzt wurde. Die Passwörter werden in dieser Version mit der Hashfunktion MD5 in einer Datenbank gesichert. MD5 ist laut Richtlinie "Kryptographische Verfahren: Empfehlungen und Schlüssellängen" vom BSI nicht zum Sichern von Passwörtern geeignet. Auch wurde keine Salt-Funktion benutzt um die Passwörter besser abzusichern.
Laut ermittelnder Behörde wäre ein Update mit überschaubarem Aufwand möglich gewesen. Da das Unternehmen keine technischen Maßnahmen zum Schutz der Daten nach DSGVO angewendet hat, liegt ein Verstoß gegen Artikel 32 der DSGVO vor. Es wurde eine Geldbuße von 65.500 Euro festgesetzt, die das Unternehmen auch akzeptiert hat.
Webshopbetreiber sollten daher ihre Software und Sicherheitsstandards jetzt überprüfen, da die DSGVO langsam aber sicher ernst macht.
Quelle: Tätigkeitsbericht des LfD Niedersachsen
Gruß
Frank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1121095720
Url: https://administrator.de/knowledge/dsgvo-65-500-euro-strafe-wegen-unsicheren-und-veralteten-webshop-1121095720.html
Ausgedruckt am: 22.12.2024 um 05:12 Uhr
2 Kommentare
Neuester Kommentar
Wie bitte meldet man den etwas "der DSGVO" und wie um Himmels willen will diese "aus technischer Sicht prüfen"??? Da werden aber einige Fkten und Begriffe durcheinander gewirbelt. (Und die entstandenen Kosten dürften vermutlich nicht zwingend Aufgrund der Passwortsituation selbst, sondern primär wegen des Sicherheitsvorfalls und wegen des konstruktiv mangelnden Schutz persönlicher Daten entstanden sein.)