2
DSGVO: 65.500 Euro Strafe wegen unsicheren und veralteten Webshop
Ein Unternehmen aus Niedersachsen hat unangenehme Bekanntschaft mit der DSGVO gemacht: Das Unternehmen muss 65.500 Euro Bußgeld für einen veralteten Webshop zahlen. Dieser speicherte die Passwörter der Nutzern in einem unsicheren Verfahren (xt:Commerce, Version 3.0.4).
Obwohl der Hersteller von xt:Commerce selbst vor der Nutzung der alten Version 3.x warnt, hat das Unternehmen aus Niedersachsen nicht reagiert und den Webshop weiter betrieben. Version 3.x gilt seit 2014 als veraltet und es gibt schon lange keine Sicherheitsupdates mehr.
Anlass des Verfahrens war eine Meldung nach einem Sicherheitsvorfall im Webshop. Das Unternehmen aus Niedersachsen meldete den Vorgang laut DSGVO der Datenschutzbehörde. Diese prüfte den Vorfall aus technischer Sicht und stellte dabei fest, dass die veraltete Version 3 von der Shopsoftware genutzt wurde. Die Passwörter werden in dieser Version mit der Hashfunktion MD5 in einer Datenbank gesichert. MD5 ist laut Richtlinie "Kryptographische Verfahren: Empfehlungen und Schlüssellängen" vom BSI nicht zum Sichern von Passwörtern geeignet. Auch wurde keine Salt-Funktion benutzt um die Passwörter besser abzusichern.
Laut ermittelnder Behörde wäre ein Update mit überschaubarem Aufwand möglich gewesen. Da das Unternehmen keine technischen Maßnahmen zum Schutz der Daten nach DSGVO angewendet hat, liegt ein Verstoß gegen Artikel 32 der DSGVO vor. Es wurde eine Geldbuße von 65.500 Euro festgesetzt, die das Unternehmen auch akzeptiert hat.
Webshopbetreiber sollten daher ihre Software und Sicherheitsstandards jetzt überprüfen, da die DSGVO langsam aber sicher ernst macht.
Quelle: Tätigkeitsbericht des LfD Niedersachsen
Gruß
Frank
Obwohl der Hersteller von xt:Commerce selbst vor der Nutzung der alten Version 3.x warnt, hat das Unternehmen aus Niedersachsen nicht reagiert und den Webshop weiter betrieben. Version 3.x gilt seit 2014 als veraltet und es gibt schon lange keine Sicherheitsupdates mehr.
Anlass des Verfahrens war eine Meldung nach einem Sicherheitsvorfall im Webshop. Das Unternehmen aus Niedersachsen meldete den Vorgang laut DSGVO der Datenschutzbehörde. Diese prüfte den Vorfall aus technischer Sicht und stellte dabei fest, dass die veraltete Version 3 von der Shopsoftware genutzt wurde. Die Passwörter werden in dieser Version mit der Hashfunktion MD5 in einer Datenbank gesichert. MD5 ist laut Richtlinie "Kryptographische Verfahren: Empfehlungen und Schlüssellängen" vom BSI nicht zum Sichern von Passwörtern geeignet. Auch wurde keine Salt-Funktion benutzt um die Passwörter besser abzusichern.
Laut ermittelnder Behörde wäre ein Update mit überschaubarem Aufwand möglich gewesen. Da das Unternehmen keine technischen Maßnahmen zum Schutz der Daten nach DSGVO angewendet hat, liegt ein Verstoß gegen Artikel 32 der DSGVO vor. Es wurde eine Geldbuße von 65.500 Euro festgesetzt, die das Unternehmen auch akzeptiert hat.
Webshopbetreiber sollten daher ihre Software und Sicherheitsstandards jetzt überprüfen, da die DSGVO langsam aber sicher ernst macht.
Quelle: Tätigkeitsbericht des LfD Niedersachsen
Gruß
Frank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1121095720
Url: https://administrator.de/contentid/1121095720
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
2 Kommentare
Neuester Kommentar
Wie bitte meldet man den etwas "der DSGVO" und wie um Himmels willen will diese "aus technischer Sicht prüfen"??? Da werden aber einige Fkten und Begriffe durcheinander gewirbelt. (Und die entstandenen Kosten dürften vermutlich nicht zwingend Aufgrund der Passwortsituation selbst, sondern primär wegen des Sicherheitsvorfalls und wegen des konstruktiv mangelnden Schutz persönlicher Daten entstanden sein.)
Oh, dass sollte "laut DSGVO" heißen. Die DSGVO ist natürlich die Datenschutz-Grundverordnung und man muss als Firma jeden Sicherheitsbruch, der persönliche Daten betrifft, der Datenschutzbehörde melden (Meldepflicht - nicht melden und erwischt werden kostet noch viel mehr).
Diese Behörde kann zusätzlich die technische Seite der Meldung überprüfen (welche Software wurde benutzt, welche Version etc.). Das was die Firma bezahlen muss ist eine Geldbuße, dass hat nichts mit entstandenen Kosten zu tun, die zahlt der Steuerzahler.
Der Sicherheitsvorfall entstand durch die schlechte Passwortsituation, daher war das die Ursache für die Geldbuße. Hätte die Firma alle Updates eingespielt und wäre dann ein Sicherheitsvorfall aufgetreten, wäre es ein Problem des Shop-Herstellers und das Bußgeld läge woanders.
Nicht der Sicherheitsvorfall an sich wird geahndet, sondern der Grund dafür. Ob man dabei fahrlässig gehandelt hat, oder alles versucht hat, was technisch möglich ist, spielt dabei eine große Rolle.
Ich habe es oben im Beitrag korrigiert.
Diese Behörde kann zusätzlich die technische Seite der Meldung überprüfen (welche Software wurde benutzt, welche Version etc.). Das was die Firma bezahlen muss ist eine Geldbuße, dass hat nichts mit entstandenen Kosten zu tun, die zahlt der Steuerzahler.
Der Sicherheitsvorfall entstand durch die schlechte Passwortsituation, daher war das die Ursache für die Geldbuße. Hätte die Firma alle Updates eingespielt und wäre dann ein Sicherheitsvorfall aufgetreten, wäre es ein Problem des Shop-Herstellers und das Bußgeld läge woanders.
Nicht der Sicherheitsvorfall an sich wird geahndet, sondern der Grund dafür. Ob man dabei fahrlässig gehandelt hat, oder alles versucht hat, was technisch möglich ist, spielt dabei eine große Rolle.
Ich habe es oben im Beitrag korrigiert.
1
