Da ein Betrieb aus Niedersachsen seine Webseite mit einer veralteten Software betrieb, steht nun ein hohes Bußgeld an. Grund für die Strafzahlung in Höhe von satten 65.500 Euro war ein unzureichender Schutz der User-Passwörter.
Klarer Verstoß gegen die DSGVO
Mit in Kraft treten der Datenschutzgrundverordnung (DSGVO) vor einigen Jahren schlotterten vielen Webseiten-Betreiber die Knie. Schließlich sind innerhalb der europaweit geltenden Regelungen strenge Vorschriften für Internetauftritte festgeschrieben worden. Dabei spielen auch technische Details eine wichtige Rolle, wie ein Fall aus Niedersachsen nun deutlich macht. Da eine in die Tage gekommene Software in der Regel auch einen schwächeren Schutz persönlicher Nutzer-Daten mit sich bringt, kann bereits hierin ein entscheidender Verstoß gegen die DSGVO liegen. Welche Folgen ein derartiger Verstoß haben kann, muss das niedersächsische Unternehmen nun am eigenen Leib erfahren. Im Zuge des Verstoßes verlangt die Datenschutzbehörde von Niedersachsen nun nämlich ein saftiges Bußgeld in Höhe von 65.500 Euro. Dabei stützen sich die Datenschutzexperten auf die Artikel 25 und 32 der DSGVO.
Bußgeld ging eine Warnung voraus
Ganz so überraschend wie es der Meldung scheinen mag, kam die Strafzahlung für das kleine Unternehmen allerdings nicht. So leitete das betroffene Unternehmen im Vorhinein einen Vorfall mit Datenschutzrelevanz an die Datenschutzbehörde Niedersachsen weiter. Im Zuge dessen ließ die Behörde natürlich eine Überprüfung der technischen Ausgestaltung der Webseite durchführen. Während dieser Überprüfung musste die öffentliche Stelle herausfinden, dass das Unternehmen eine Web-Shop-Anwendung nutzte, die bereits seit über sieben Jahren als veraltet angesehen wird. Wichtige Sicherheitsupdates seitens des Entwicklers gibt es für diese Version nicht mehr. Der Entwickler ging sogar so weit, zu betonen, dass die veraltete Version nicht mehr benutzt werden sollte. Gigantische Sicherheitslücken für Webshops wären ansonsten die Folge.
Obwohl diese Warnung im Raume stand, setzte sich das Unternehmen dem großen Risiko aus und öffnete Tür und Tor für sogenannten SQL-Injection-Angriffe. Doch nicht nur die Nutzung der veralteten Version war laut der Datenschutzbehörde ein großes Problem. Obendrein sicherte das Unternehmen die User-Passwörter nur unzureichend. So nutzten sie eine kryptographische Hashfunktion (MD5), welche sich ausdrücklich nicht für den Einsatz bei Passwörtern im Klartext eignet. Zu guter Letzt konnte die Behörde im Bezug auf die Passwortsicherheit kein Salt feststellen. Dieses wird bei kryptographischen Verfahren mittlerweile zwingend vorausgesetzt.
Bußgeld wurde herabgesetzt
Obwohl die Höhe der drohenden Strafzahlung hoch klingen mag, scheint das Unternehmen noch mit einem blauen Auge davon gekommen zu sein. Grund hierfür ist, dass der niedersächsische Webseitenbetreiber bereits vor Beginn des Verfahrens die Personen informierte, welche von der niedrigen Passwort-Sicherheit betroffen waren. Im Zuge dessen konnten diese die Risiken mit einfacher Passwort-Änderung eindämmen. Dementsprechend hat die Behörde das Bußgeld auf „nur“ 65.500 Euro herabgesetzt.
Wenn das bereits die niedrigere Strafhöhe ist, wollen wir nicht wissen, was dem Unternehmen im Normalfall gedroht hätte. Dennoch ist das Bußgeld mehr als ärgerlich, wenn man sich einmal vor Augen führt wie einfach es für das Unternehmen gewesen wäre, die Sicherheitsvorkehrungen auf den neuesten Stand zu bringen. In diesem Fall wird deutlich, wie wichtig es ist, seine Webseite stets aktuell zu halten. Vor allem Online-Shops, die empfindliche Daten speichern, sind hierbei im Visier der Datenschützer. Angesichts der Risiken für die betroffenen User ist diese Kontrolle auch richtig und wichtig.
