SBS Firmengruppe Logos

| Datenschutzrecht, Internetrecht

65.500€ Bußgeld gegen Online-Shop aufgrund veralteter Technik


Datenschutzbeauftragte Niedersachen verhängen DSGVO-Bußgeld i.H.v. 65.000€ 

Wie jedes Jahr, erschien auch dieses Jahr der Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen. In dem etwa 200-seitigen Bericht informieren die Landesbeauftragten über Themen wie europäischen Datenschutz, internationalen Datenverkehr, Aufklärung und Öffentlichkeitsarbeit. Doch auch dieses Mal wurde eine nicht geringe Summe an Bußgeld verhängt: ein Online-Shop muss 65.500€ Strafe zahlen, da er veraltete Technik nutzte.

Hersteller warnte vor veralteter Version 

Die Datenschutzbeauftragten gingen einer Meldung gemäß Artikel 33 Datenschutz-Grundverordnung (kurz DS-GVO) nach, die Internetseite eines Online-Shops auf technische Fehler zu überprüfen. Dabei stießen sie auf eine seit spätestens 2014 veraltete und durch erhebliche Sicherheitslücken auffallende Softwareversion (xt:Commerce in der Version 3.0.4 SP2.1). Dadurch, dass der Hersteller keine neuen Sicherheitsupdates anbietet, werden „Hackern“ sogenannte SQL-Injection-Angriffe ermöglicht. Durch einen solchen Angriff können Datenbankbefehle eingeschleust und abhängig vom Einzelfall Daten aus der Datenbank ausgelesen, unberechtigt geändert oder gelöscht werden. Auch die volle Kontrolle über den kompletten Datenbankserver kann übernommen werden. Der Hersteller wies auf die Sicherheitslücken hin und warnte davor, die Version 3 weiter einzusetzen.

Unzählige Passwörter unterlagen Sicherheitslücke 

Nach weiteren Ermittlungen stellten die Sicherheitsbeauftragten fest, dass eine schnelle Berechnung der KlartextCodeHacker-Passwörter aufgrund unzureichender Sicherung möglich war. Zwar wurde die kryptographische Hashfunktion „MD5“ zur Sicherung der Daten eingesetzt, diese ist jedoch nicht auf den Einsatz für Passwörter ausgelegt. Mithilfe von sogenannten „Rainbow-Tables“ ist es Hackern möglich ganz ohne Berechnung das zu einem Hash gehörige Passwort abzulesen. Legaler Anwendungsbereich dieser „Rainbow-Tables“ ist unter anderem die Wiederherstellung von Passwörtern innerhalb der IT-Forensik.

Auch wurde innerhalb des Systems auf einen sogenannten „Salt“ verzichtet. In der Kryptographie bezeichnet ein „Salt“ eine zufällig gewählte Zeichenfolge, die für einen Klartext – hier ein Passwort – individuell generiert und angehängt wird, um die systematische Berechnung zu erschweren. Mithilfe der vorgefertigten „Rainbow-Tables“ und ohne Einsetzen eines „Salts“ können Angreifer eine gemeinsame Berechnung für die komplette Datenbank durchführen. Wird jedoch ein „Salt“ eingesetzt, müssen Angreifer für jedes Passwort eine Neuberechnung durchführen und die „Rainbow-Tables“ werden wertlos.

Folgenschwere Konsequenzen 

Die Datenschutzbeauftragten erklärten in dem Tätigkeitsbericht weiter, dass es im vorliegenden Fall mit geringem Aufwand möglich gewesen wäre, die Klartext-Passwörter zu ermitteln und weitere Angriffsvektoren auszuprobieren. Wer die ermittelten Passwörter zum Beispiel bei den in der Datenbank hinterlegten E-Mail-Adressen testet, könnte im Erfolgsfall erhebliche Schäden anrichten. Für die Höhe des Bußgelds wurde strafmildernd berücksichtigt, dass der Online-Shop bereits vor Beginn des Bußgeldverfahrens seine Kunden über die Notwendigkeit einer Passwortänderung informierte. Letztendlich führte die unzureichende technische Absicherung zu einem Bußgeld in Höhe von 65.500€.

SBS Legal – Kanzlei für Datenschutzrecht und Internetrecht in Hamburg

Als Kanzlei füDatenschutzrecht und Internetrecht sind wir von SBS Legal mit der Datenschutz-Grundverordnung vertraut. Unsere fachkundigen Rechtsanwälte betreuen Sie kompetent in allen entsprechenden Angelegenheiten. So sorgen wir einerseits dafür, dass Sie das Ihnen zustehende Recht vollumfänglichen durchsetzen und andererseits auch die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen können.

Suchen Sie Beratung zu einem datenschutzrechtlichen Thema? Wir stehen Ihnen gern als Partner zur Seite. Kontaktieren Sie uns gern: Wir helfen Ihnen dabei, Ihren Erfolg zu gestalten.

Ihr SBS Legal Team

 

Ihre Ansprechpartner für Datenschutzrecht und Internetrecht in unserem Hause finden sie hier.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.

Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.


SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht