In dem folgenden Bußgeldverfahren aus Niedersachsen ging es um die fehlende Einhaltung und regelmäßige Überprüfung von technischen Vorgaben, wofür ein Bußgeld in Höhe von 65.000 Euro festgesetzt wurde. Dieses wurde auch vom betroffenen Unternehmen anschließend akzeptiert.
Anlass des Bußgeldverfahrens war eine Meldung des Unternehmens an die Behörde hinsichtlich eines Datenschutzvorfalls. Diese Meldung wurde zum Anlass genommen, dessen Webpräsenz unter technischen Gesichtspunkten zu überprüfen.
Dabei stellte sich heraus, dass auf der Seite die Web-Shop-Anwendung xt:Commerce in der spätestens 2014 veralteten Version 3.0.4 SP2.1 verwendet wurde. Diese Version wird vom Hersteller auch nicht mehr mit Sicherheitsupdates versorgt und der Hersteller warnte auch ausdrücklich davor, diese Version seiner Software weiter einzusetzen. Hintergrund der Warnung waren erhebliche Sicherheitslücken, die unter anderem SQL-Injection-Angriffe ermöglichten.
Die Ermittlungen der Behörde aus Niedersachsen ergaben weiter, dass die in der Datenbank abgelegten Passwörter zwar „mit der kryptographischen Hashfunktion MD5 gesichert“ waren, diese jedoch nicht auf den Einsatz für Passwörter ausgelegt sei, sodass eine Berechnung der Klartext-Passwörter möglich gewesen wäre. Ferner wurde nicht zusätzlich Salt verwendet.
Zur Absicherung von Passwörtern wird in dem Tätigkeitsbericht auf die technische Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ BSI TR-02102-1 des BSI verwiesen.
Nach Ansicht der Aufsichtsbehörde sei es aufgrund der mangelhaften Sicherheitsvorkehrungen im vorliegenden Fall mit überschaubarem Aufwand möglich gewesen, die Klartext-Passwörter zu ermitteln und dann weitere Angriffsvektoren auszuprobieren. Die Implementierung einer Salt-Funktion sowie eines aktuellen, auf Passwörter ausgelegten Hash-Algorithmus, sei für das Unternehmen mit einem verhältnismäßigen Aufwand möglich gewesen. Das Gleiche gelte für die Beseitigung der bekannten Sicherheitslücken.
In ihrer Bewertung des Vorfalls kam die Behörde zu dem Ergebnis, dass die von der Verantwortlichen ergriffenen technischen Maßnahmen nicht dem Schutzbedarf der DSGVO angemessen seien und insofern ein Verstoß gegen Artikel 32 DSGVO vorliege. Daraufhin wurde eine Geldbuße in Höhe von 65.500 Euro erlassen.
Quelle: https://www.heise.de/news/DSGVO-Bussgeld-wegen-des-Betriebs-einer-Website-mit-veralteter-Software-6154208.html mit Verweis auf den Tätigkeitsbericht der LDI Nds. für das Jahr 2020 (S. 97).
