Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
| Datenschutzrecht, Internetrecht
Blog News
Wie jedes Jahr, erschien auch dieses Jahr der Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen. In dem etwa 200-seitigen Bericht informieren die Landesbeauftragten über Themen wie europäischen Datenschutz, internationalen Datenverkehr, Aufklärung und Öffentlichkeitsarbeit. Doch auch dieses Mal wurde eine nicht geringe Summe an Bußgeld verhängt: ein Online-Shop muss 65.500€ Strafe zahlen, da er veraltete Technik nutzte.
Die Datenschutzbeauftragten gingen einer Meldung gemäß Artikel 33 Datenschutz-Grundverordnung (kurz DS-GVO) nach, die Internetseite eines Online-Shops auf technische Fehler zu überprüfen. Dabei stießen sie auf eine seit spätestens 2014 veraltete und durch erhebliche Sicherheitslücken auffallende Softwareversion (xt:Commerce in der Version 3.0.4 SP2.1). Dadurch, dass der Hersteller keine neuen Sicherheitsupdates anbietet, werden „Hackern“ sogenannte SQL-Injection-Angriffe ermöglicht. Durch einen solchen Angriff können Datenbankbefehle eingeschleust und abhängig vom Einzelfall Daten aus der Datenbank ausgelesen, unberechtigt geändert oder gelöscht werden. Auch die volle Kontrolle über den kompletten Datenbankserver kann übernommen werden. Der Hersteller wies auf die Sicherheitslücken hin und warnte davor, die Version 3 weiter einzusetzen.
Nach weiteren Ermittlungen stellten die Sicherheitsbeauftragten fest, dass eine schnelle Berechnung der Klartext-Passwörter aufgrund unzureichender Sicherung möglich war. Zwar wurde die kryptographische Hashfunktion „MD5“ zur Sicherung der Daten eingesetzt, diese ist jedoch nicht auf den Einsatz für Passwörter ausgelegt. Mithilfe von sogenannten „Rainbow-Tables“ ist es Hackern möglich ganz ohne Berechnung das zu einem Hash gehörige Passwort abzulesen. Legaler Anwendungsbereich dieser „Rainbow-Tables“ ist unter anderem die Wiederherstellung von Passwörtern innerhalb der IT-Forensik.
Auch wurde innerhalb des Systems auf einen sogenannten „Salt“ verzichtet. In der Kryptographie bezeichnet ein „Salt“ eine zufällig gewählte Zeichenfolge, die für einen Klartext – hier ein Passwort – individuell generiert und angehängt wird, um die systematische Berechnung zu erschweren. Mithilfe der vorgefertigten „Rainbow-Tables“ und ohne Einsetzen eines „Salts“ können Angreifer eine gemeinsame Berechnung für die komplette Datenbank durchführen. Wird jedoch ein „Salt“ eingesetzt, müssen Angreifer für jedes Passwort eine Neuberechnung durchführen und die „Rainbow-Tables“ werden wertlos.
Die Datenschutzbeauftragten erklärten in dem Tätigkeitsbericht weiter, dass es im vorliegenden Fall mit geringem Aufwand möglich gewesen wäre, die Klartext-Passwörter zu ermitteln und weitere Angriffsvektoren auszuprobieren. Wer die ermittelten Passwörter zum Beispiel bei den in der Datenbank hinterlegten E-Mail-Adressen testet, könnte im Erfolgsfall erhebliche Schäden anrichten. Für die Höhe des Bußgelds wurde strafmildernd berücksichtigt, dass der Online-Shop bereits vor Beginn des Bußgeldverfahrens seine Kunden über die Notwendigkeit einer Passwortänderung informierte. Letztendlich führte die unzureichende technische Absicherung zu einem Bußgeld in Höhe von 65.500€.
Als Kanzlei für Datenschutzrecht und Internetrecht sind wir von SBS Legal mit der Datenschutz-Grundverordnung vertraut. Unsere fachkundigen Rechtsanwälte betreuen Sie kompetent in allen entsprechenden Angelegenheiten. So sorgen wir einerseits dafür, dass Sie das Ihnen zustehende Recht vollumfänglichen durchsetzen und andererseits auch die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen können.
Wir stehen Ihnen gern als Partner zur Seite. Kontaktieren Sie uns gern: Wir helfen Ihnen dabei, Ihren Erfolg zu gestalten.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.