Mit diesem Beitrag wollen wir darauf eingehen, wie gefährlich und teuer veraltete Software werden kann. Dies gilt zum einen in Bezug auf die Bußgelder aus der DSGVO aber auch in Bezug auf den Informationsabfluss von Geschäftsgeheimnissen, die für das Unternehmen unter Umständen noch teurer, wenn nicht sogar existenzbedrohend werden können. Bei einem Web-Shop hatte die Datenschutzaufsicht Niedersachsen 65.000 EUR Bußgeld wegen veralteter Software festgesetzt.
Der Inhalt im Überblick
Was war passiert?
In einem Web-Shop waren weiterhin Anwendungen im Einsatz, die veraltet waren und SQL-Injections-Angriffe ermöglichten, d.h. die Zugangsdaten der Web-Shop-Nutzer waren mit geringfügigem Aufwand im Klartext lesbar. Woraus ergab sich, dass durch den Verantwortlichen ergriffenen Maßnahmen veraltet waren?
- die Software wurde vom Hersteller der Software seit Jahren nicht mehr mit Sicherheitsupdates versorgt
- der Hersteller hatte auf die Sicherheitslücken hingewiesen
- technischer Fortschritt im Allgemeinen
Zudem waren im konkreten Fall die Passwörter mit einer kryptographischen Hashfunktion „MD5“ gesichert, die für den Passwortschutz nicht geeignet ist, weil hierfür „Rainbow-Tables“ im Internet vorhanden sind, die ein Ablesen des Passwortes ermöglichen. Zudem wurde kein individuelles pro Passwort generiertes Salt eingesetzt, d.h. es musste noch nicht einmal für jedes eingegebene Passwort eine Neuberechnung gestartet werden, vielmehr reichte in diesem Fall eine einmalige Berechnung für die gesamte Datenbank. Der Verantwortliche hätte eine individuelle Saltfunktion mit aktuellem Hash-Algorithmus, der für Passwörter geeignet ist, verwenden müssen. Die Implementierungskosten hierfür sind auch nicht unverhältnismäßig.
Was ist ein SQL-Injection-Angriff?
SQL (Structured Query Language) ist die Sprache, die in einer Datenbank zur strukturierten Abfrage der abgelegten Daten eingesetzt wird. In einem Web-Shop erfragen Nutzer über eine Maske bei der Produktsuche den Bestand in der Datenbank. Im Hintergrund agiert die SQL-Abfrage. Die Datenbank hingegen spielt die ermittelten Ergebnisse an den Web-Shop in dessen Ausgabemaske zurück.
Es liegt klar auf der Hand, dass Unberechtigte ein erhebliches Interesse an fremden Datenbestand haben und mit allen verfügbaren Mitteln versuchen, in die Datenbank einzudringen bzw. diese sogar zu übernehmen. Das Mittel der Wahl ist der SQLi (SQL-Injection), mit der x-beliebige Codes bei der Datenbankanfrage in die Web-Applikation injiziert also eingeschleust werden, um damit die Datenbankinformationen auszulesen, zu verändern oder zu übernehmen.
Die SQLi-Angriffe auf Datenbanken nehmen seit Jahren die ersten Rangplätze in der Hitliste bei den Hackern ein. Es ist eine sehr simple und seit Jahren erfolgreiche Methode, um an lukrative Informationen zu kommen. Andererseits ist gerade die Kenntnis davon, dass diese Methode bei Hackern so beliebt ist und die laufenden Berichte über gehackte Web-Shops, eine Warnung and die Web-Shop-Betreiber. Sie sollte diese mobilisieren, geeignete Maßnahmen zu ergreifen, um den untenehmenseigenen Datenbestand zu schützen. Denn die Angriffe kommen nicht unvorhergesehen. Es sollte das alte Sprichwort gelten
„Gefahr erkannt, Gefahr gebannt“
denn die Möglichkeiten zur Verteidigung gegen SQLi sind ebenfalls einfach umzusetzen und bekannt. Die automatisierten Tools, die Hacker zum Angriff benutzen, können auch zur Verteidigung verwendet werden. Darüber hinaus gilt es die Kommunikation zwischen Datenbank und Web-Shop mit geeigneten Schutzmaßnahmen sorgfältig zu schützen.
Was sind geeignete technische und organisatorische Maßnahmen?
Mit den technischen und organisatorischen Maßnahmen sollen die Ziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie Dienste gewährleistet werden. Die DSGVO legt hierzu dem Verantwortlichen aus Art. 4 Nr. 7 DSGVO die Pflicht auf, dem jeweiligen Risiko entsprechend angemessene und geeignete technische und organisatorische Maßnahmen gem. Art. 24 Abs. 1 S. 1 DSGVO einzusetzen, d.h. der Verantwortliche ist verpflichtet entsprechend dem Schutzbedarf, ausgelegt an den in dem jeweiligen Verarbeitungsvorgang verarbeiteten Daten, ein angemessenes Schutzniveau für die Rechte und Freiheiten der natürlichen Person zu gewährleisten.
Wurde dies einmalig bei der Einführung der Verarbeitung und dem erstmaligen Einsatz der Software festgelegt und die technisch organisatorischen Maßnahmen getroffen, dann ist es damit nicht getan, denn die ergriffenen Maßnahmen müssen regelmäßig überprüft, evaluiert und angepasst werden. Wie sich aus Art. 24 Abs. 1 S. 2 DSGVO sowie aus Art. 25 Abs. 1 DSGVO ergibt,
„trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“
mit anderen Worten, ist während der andauernden Benutzung der Software und Durchführung der Verarbeitung stets zu prüfen, ob die Sicherheitsmaßnahmen noch angemessen sind.
Der Verantwortliche muss dafür, dass die technischen und organisatorischen Maßnahmen über den gesamten Verarbeitungszeitraum geeignet und angemessen sind, gem. Art. 5 Abs. 2 sowie gem. Art. 24 DSGVO den Nachweis erbringen, so dass im Zuge des Accountability-Grundsatzes auch ein Compliance- und Datenschutzmanagementsystem bestenfalls zusammen mit dem ISMS zu implementieren ist.
Der Wert der Daten – Schutz von Geschäftsgeheimnissen
Der Datenschutz wird gerne als Hemmschuh gebrandmarkt und als kostspieliges Verwaltungsungetüm bezeichnet, das nichts bringe und nur kostet. Bedenkt man jedoch, das Daten ein kostbares Gut sind – mittlerweile wird dies auch gesetzlich durch die Digitale Inhalte Richtlinie und deren Umsetzung im BGB mit den Normen §§ 312 Abs. 1a und 327 Abs. 3 BGB-E (Zahlen mit Daten) deutlich. Es können nicht „nur“ personenbezogene Daten von irgendwelchen Betroffenen zweckentfremdet und unberechtigt verwendet werden, sondern vielmehr können auch Informationen an Unberechtigte gelangen, bei denen es sich um Geschäftsgeheimnisse, z.B. Kundenbeziehungen, handelt. Spätestens dann bekommt bei so manchem Firmenlenker das Thema „geeignete technische organisatorische Maßnahmen“ einen anderen Stellenwert. Denn auch nach § 2 Nr. 1 b GeschGehG werden angemessene Geheimhaltungsmaßnahmen, vertraglicher, technischer oder organisatorischer Art, gefordert, um ggf. Schadensersatz-, Unterlassungs- oder Beseitigungsansprüche aus dem GeschGehG fordern zu können. Auch in diesem Bereich macht sich die Angemessenheit einer Maßnahme an dem Wert des Geschäftsgeheimnisses (Schutzbedarf), der Natur der Information, der Bedeutung für das Unternehmen etc. fest. Und ähnlich zur DSGVO wird auch im GeschGehG nicht erwartet, dass ein optimaler Schutz zu jedem Preis gewährleistet werden muss.
Das absolute Minimum an Maßnahmen
Als geeignete Sicherheitsmaßnahmen gelten in beiden Bereichen
- das Need to Know Prinzip
- Software-Updates, d.h. stellt der Hersteller keine Sicherheitsupdates mehr bereit, kann ich als Verantwortlicher nicht mehr ohne weiteres dokumentieren, angemessene Maßnahmen ergriffen zu haben, vielmehr nimmt man ohne weitere Maßnahmen zumindest, sehenden Auges Sicherheitslücken in Kauf
- Verschlüsselung von Daten
- Anschaffung dsgvo-konformer Software-Produkte, inkl. vertraglicher Zusicherung des Herstellers, dass das Produkt für den konkreten Zweck datenschutzkonform einsetzbar ist
- datenschutzfreundliche Voreinstellungen
Sowohl nach der DSGVO als auch nach dem GeschGehG sind die ergriffenen technischen und organisatorischen Maßnahmen im Laufe der Verarbeitung an den technischen Fortschritt anzupassen und basieren auf einer Risiko- und Schutzbedarfsanalyse. Die Tatsache, dass der Schutzbedarf einmal bezogen auf die natürliche Person ist und ein andermal sich auf Informationen bezieht, die für das Unternehmen wesentlich sind, schadet nicht, denn oftmals sind diese Informationen überlappend.
Der Datenschutz ist somit kein lästiger Hemmschuh, sondern schützt auch den Unternehmenserfolg. Ganz abgesehen davon, dass ein Bußgeld nach Art. 5 Abs. 2. 25, 32 Abs. 1 DSGVO die finanzielle Leistungsfähigkeit eines Unternehmens immer empfindlich trifft. Als Unternehmer sollte man besser Geld machen, als es zu vernichten, um dauerhaft auf dem Markt bestehen zu können. Spätestens dann, wenn der Hersteller keine Updates mehr anbietet, läuft man Gefahr am falschen Ort zu sparen.
Also hat die Behörde bemängelt, dass u. a. technische und organisatorische Maßnahmen nicht hinreichend umgesetzt wurden und ein Verstoß gegen Artikel 24.1 vorlag. Was die Behörde nicht bemängelt, ist die veraltete Software.