Webseiten-Sicherheit geht mich nichts an – oder doch?

Anfang September sind Tausende Datensätze von Benutzern des Internet-Portals knuddels.de im Internet aufgetaucht. Weil sich der Betreiber nicht ausreichend um den Schutz der Kundendaten gekümmert hat, zahlt er jetzt eine DSGVO-Strafe über € 20.000,-.

Unverschlüsselte Passwörter gespeichert

Laut Datenschutzbeauftragtem Stefan Brink habe das Unternehmen aus Karlsruhe gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten. Im konkreten Fall ging es darum, dass der Betreiber Passwörter im Klartext und nicht verschlüsselt in den Datenbanken gespeichert hat. Das ist bei einem Datendiebstahl ein Super-GAU, da die Passwörter nicht erst mühsam entschlüsselt werden müssen, sondern direkt verwendet werden können. Praktisch für die Diebe ist es dann, wenn die zugehörigen E-Mail-Adressen auch gleich noch in der Datei liegen.

Verdiente Strafe?

Eigentlich ist eine Anpassung auf verschlüsselte Übertragung und Speicherung der Passwörter kein allzu großer Aufwand. Wenn aber das Sicherheitsbewusstsein fehlt oder der „Igel in der Tasche“ ein Unternehmen davon abhält, für die größtmögliche Sicherheit der Benutzerdaten zu sorgen, ist eine Strafe über 20.000 Euro eigentlich noch viel zu gering.

Seit Juli 2015 gibt es das IT-Sicherheitsgesetz, in dem bereits definiert wurde, dass seitens der Unternehmen eine Verpflichtung besteht, die Sicherheit der Daten zu gewährleisten. So findet sich in der Broschüre zum IT-Sicherheitsgesetz unter anderem folgender Absatz:

Für Betreiber von Webangeboten gelten erhöhte Anforderungen an die technischen
und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und
der von ihnen genutzten IT-Systeme.

Dies betrifft nicht nur Portal-Betreiber, sondern zum Beispiel auch Betreiber von Webseiten, E-Commerce-Seiten bzw. Online-Shops.
Im Alltag treffen aber auch wir immer wieder auf Kunden, die sich nicht um die Sicherheit ihrer Kundendaten kümmern,  um Kosten einzusparen.

Kosten sparen zu Lasten der Sicherheit – keine gute Idee!

Ein Original-Zitat eines ehemaligen Kunden, der einen Online-Shop betreibt und die Verantwortung für Benutzer- und Bankdaten seiner Kunden tragen sollte, zeigt, wie verantwortungslos bisweilen mit Kundendaten umgegangen wird. Folgende Aussage ist genau so gefallen, nachdem wir den Shop nach einem XSS-Angriff wieder hergestellt und auf einen aktuellen Stand gebracht hatten.

„Jetzt ging das die letzten 5 Jahre gut, da brauchen wir keinen Wartungsvertrag um Sicherheitsupdates durchzuführen. Wenn wieder was passiert, beheben wir das auf Zuruf.“

Nun ja, der Kunde ist kein Kunde mehr, der Shop aber immer noch live. Würden Sie dort Ihre Benutzer- oder gar Kreditkarten-Daten oder Bank-Daten hinterlegen wollen? Wohl eher nicht.

Mit der Strafe für knuddels.de wurde nun ein deutliches Statement gesetzt, dass Informationssicherheit in Kombination mit der DSGVO nicht zu vernachlässigen ist. Die Strafe liegt in einem Bereich, der für ein Mittelstandsunternehmen durchaus empfindlich ist für den Kleinunternehmer im Zweifel das Aus bedeuten kann.

Das passiert nur anderen

Können Sie sich noch an die Schlagzeilen erinnern, als z.B der Telekom, Adobe, Yahoo, LinkedIn oder eBay jeweils mehrere Millionen Datensätze abhandengekommen sind? Oder ganz aktuell der Marriot-Gruppe knappe 500 Mio. Datensätze von Kunden? Die meisten dieser Firmen sind nicht gerade für zu geringe Sicherheitsvorkehrungen bekannt und es zeigt sich, dass es schlicht jeden treffen kann.

Häme, Unverständnis und Vertrauensverlust sind nur einige Reaktionen, die auf einen Hack folgen. Wie immer fällt es leicht, solche Gedanken zu äußern, wenn man nicht selbst von einem Datendiebstahl betroffen ist. Was wäre aber, wenn Ihr Webangebot gehackt wird und die Daten Ihrer Kunden öffentlich zum Download angeboten würden? Was denken Sie, welche Konsequenzen würden Ihre Kunden ziehen?

Was können Sie tun?

Das BSI bietet einen Leitfaden zur Informationssicherheit zum Download an. In diesem finden sich ausführliche Hinweise für interne und externe Sicherheits-Maßnahmen. Für Ihr Webangebot fassen wir hier aber nochmals die größten Risikofaktoren zusammen, die sich mit einem Supportvertrag meist schnell und kostengünstig ausschließen lassen:

  • schlechte Konfiguration von Webangeboten (CMS, Shops, Portale)
  • Nichtbeachtung von Sicherheitserfordernissen (wie z.B. die unverschlüsselten Passwörter bei knuddels.de)
  • schlechte Wartung von IT-Systemen (verfügbare Sicherheits-Updates werden nicht eingespielt)

Was wir für Sie tun können

 

Bildnachweis: Fotolia.com Datei: #232988063 | Urheber: bilderstoeckchen

 

Mehr zum Thema Sicherheit und DSGVO:
IP-Adressen in Google Analytics datenschutzkonform anonymisieren

DSGVO: YouTube-Videos datenschutzkonform einbinden

Warum Sie Ihre Seite SSL verschlüsseln sollten