DSGVO: 65.500 Euro Strafe wegen unsicheren und veralteten Webshop

Mitglied: Frank
Ein Unternehmen aus Niedersachsen hat unangenehme Bekanntschaft mit der DSGVO gemacht: Das Unternehmen muss 65.500 Euro Bußgeld für einen veralteten Webshop zahlen. Dieser speicherte die Passwörter der Nutzern in einem unsicheren Verfahren (xt:Commerce, Version 3.0.4).

Obwohl der Hersteller von xt:Commerce selbst vor der Nutzung der alten Version 3.x warnt, hat das Unternehmen aus Niedersachsen nicht reagiert und den Webshop weiter betrieben. Version 3.x gilt seit 2014 als veraltet und es gibt schon lange keine Sicherheitsupdates mehr.

Anlass des Verfahrens war eine Meldung nach einem Sicherheitsvorfall im Webshop. Das Unternehmen aus Niedersachsen meldete den Vorgang laut DSGVO der Datenschutzbehörde. Diese prüfte den Vorfall aus technischer Sicht und stellte dabei fest, dass die veraltete Version 3 von der Shopsoftware genutzt wurde. Die Passwörter werden in dieser Version mit der Hashfunktion MD5 in einer Datenbank gesichert. MD5 ist laut Richtlinie "Kryptographische Verfahren: Empfehlungen und Schlüssellängen" vom BSI nicht zum Sichern von Passwörtern geeignet. Auch wurde keine Salt-Funktion benutzt um die Passwörter besser abzusichern.

Laut ermittelnder Behörde wäre ein Update mit überschaubarem Aufwand möglich gewesen. Da das Unternehmen keine technischen Maßnahmen zum Schutz der Daten nach DSGVO angewendet hat, liegt ein Verstoß gegen Artikel 32 der DSGVO vor. Es wurde eine Geldbuße von 65.500 Euro festgesetzt, die das Unternehmen auch akzeptiert hat.

Webshopbetreiber sollten daher ihre Software und Sicherheitsstandards jetzt überprüfen, da die DSGVO langsam aber sicher ernst macht.

Quelle: Tätigkeitsbericht des LfD Niedersachsen

Gruß
Frank

Content-Key: 1121095720

Url: https://administrator.de/contentid/1121095720

Ausgedruckt am: 23.09.2021 um 19:09 Uhr

Mitglied: kuwakz01
kuwakz01 10.08.2021 um 11:05:28 Uhr
Goto Top
Wie bitte meldet man den etwas "der DSGVO" und wie um Himmels willen will diese "aus technischer Sicht prüfen"??? Da werden aber einige Fkten und Begriffe durcheinander gewirbelt. (Und die entstandenen Kosten dürften vermutlich nicht zwingend Aufgrund der Passwortsituation selbst, sondern primär wegen des Sicherheitsvorfalls und wegen des konstruktiv mangelnden Schutz persönlicher Daten entstanden sein.)
Mitglied: Frank
Frank 10.08.2021 aktualisiert um 12:49:49 Uhr
Goto Top
Oh, dass sollte "laut DSGVO" heißen. Die DSGVO ist natürlich die Datenschutz-Grundverordnung und man muss als Firma jeden Sicherheitsbruch, der persönliche Daten betrifft, der Datenschutzbehörde melden (Meldepflicht - nicht melden und erwischt werden kostet noch viel mehr).

Diese Behörde kann zusätzlich die technische Seite der Meldung überprüfen (welche Software wurde benutzt, welche Version etc.). Das was die Firma bezahlen muss ist eine Geldbuße, dass hat nichts mit entstandenen Kosten zu tun, die zahlt der Steuerzahler.

Der Sicherheitsvorfall entstand durch die schlechte Passwortsituation, daher war das die Ursache für die Geldbuße. Hätte die Firma alle Updates eingespielt und wäre dann ein Sicherheitsvorfall aufgetreten, wäre es ein Problem des Shop-Herstellers und das Bußgeld läge woanders.

Nicht der Sicherheitsvorfall an sich wird geahndet, sondern der Grund dafür. Ob man dabei fahrlässig gehandelt hat, oder alles versucht hat, was technisch möglich ist, spielt dabei eine große Rolle.

Ich habe es oben im Beitrag korrigiert.
Heiß diskutierte Beiträge
question
Unternehmensnetzwerk aufbauenbluelightVor 1 TagFrageNetzwerke12 Kommentare

Moin zusammen, erstmal vielen Dank an der Stelle, dass mir beim letzten mal so super geholfen wurde! Aktuelle Situation: -> 5 VMs bei Netcup -> ...

question
Netzwerkdosen verbindenR3nN1979Vor 1 TagFrageInternet7 Kommentare

Hallo, Ich ziehe bald um, und benötige dabei Hilfe, wie ich Netzwerkdosen miteinander verbinden kann. Habe überhaupt keine Ahnung davon, aber mir kann jemand von ...

general
Endpoint AV für FirmenumgebungKauzigVor 1 TagAllgemeinErkennung und -Abwehr18 Kommentare

Hallo, aktuell bin ich am Suchen einer Endpoint AV für meine Firmenumgebung wichtig wäre mir ein zentrales Management sowie ggf. sogar ein Patch System. Aktuell ...

question
Ein Domänenbenutzer für alle MitarbeiterMarabuntaVor 18 StundenFrageWindows Userverwaltung6 Kommentare

Hi, ist es möglich/sinnvoll bzw. wie ist es lizenztechnisch, wenn es einen Domänen-Benutzer für alle Mitarbeiter(10) gibt, diese Benutzen eine Branchensoftware in der jeder eigene ...

question
Einarbeitung VPN und entsprechende RouterFrankNVor 1 TagFrageRouter & Routing8 Kommentare

Hallo zusammen, ich bin am Einarbeiten in das Thema VPN-Router. Ich suche ein Gerät, das es ermöglicht, ca. 50 VPN-Tunnel zu verwalten für eine Zentrale ...

question
Powershell Logon Script Problematikjoe2017Vor 1 TagFrageBatch & Shell19 Kommentare

Schönen guten Morgen, ich habe eine Frage an die Spezialisten hier. Denn ich bin gerade ratlos und am verzweifeln. Ich habe in meinem Domain Controler ...

question
Bewertung von Rechnern (Gewichtung von CPU, RAM und Festspeicher)SarekHLVor 1 TagFrageBenchmarks11 Kommentare

Hallo zusammen, ich habe hier eine Aufstellung verschiedener Rechner mit - Leistungsbewertung der CPU mit CPUMark (Quelle: - Größe Arbeitsspeicher - SSD oder HDD Wie ...

question
Was ist die beste Lösung für servergespeicherte Profile für 10 Rechner?Yan2021Vor 12 StundenFrageNetzwerke9 Kommentare

Hallo liebe Admin-User, in einem anderen Thread ging es um die Sicherung von Dienst-PCs per Image. Daraus entstand dann eine Diskussion über servergespeicherte Profile. Da ...