Datenschutzbeauftragte Niedersachsen: 65.500,- EUR DSGVO-Bußgeld gegen Online-Shop wegen veralteter Technik

Wie die Datenschutzbeauftragte von Niedersachsen in ihrem Tätigkeitsbericht 2020 mitteilt, hat sie gegen einen Online-Shop wegen veralteter Technik ein DSGVO-Bußgeld iHv. 65.500,- EUR verhängt.

Anknüpfungspunkt war dabei die unzureichende Umsetzung der technisch-organisatorischen Maßnahmen (TOM) auf der besagten Webseite:

"Ich nahm eine Meldung gem. Artikel 33 DS-GVO zum Anlass, die Internetseite eines Unterneh­mens unter technischen Gesichtspunkten zu prüfen. Dabei stellte sich heraus, dass auf der Seite die Web-Shop-Anwendung xt:Commerce in der Version 3.0.4 SP2.1 verwendet wurde.

Diese Ver­sion ist seit spätestens 2014 veraltet und wird vom Hersteller nicht mehr mit Sicherheitsupdates versorgt. Die genutzte Software enthielt erhebliche Sicherheitslücken, auf welche der Hersteller hingewiesen hatte. Die Sicherheitslücken ermöglichten unter anderem SQL-Injection-Angriffe. Auch der Hersteller warnte davor, die Version 3 der Software weiter einzusetzen. (...)"

Und weiter:

"Meine Ermittlungen ergaben, dass die in der Datenbank abgelegten Passwörter zwar mit der kryptographischen Hashfunktion „MD5“ gesichert waren, welche allerdings nicht auf den Ein­satz für Passwörter ausgelegt ist. Eine schnelle Berechnung' der Klartext-Passwörter wäre daher möglich gewesen. Auch existieren sog. „Rainbow-Tables“ im Internet, anhand derer - ganz ohne Berechnung - das zu einem Hash gehörige Passwort abgelesen werden kann.

Hinzu kam, dass kein „Salt“ verwendet wurde. Ein solcher Salt, der für jedes Passwort individuell generiert wird, verlängert ein Passwort und erschwert so die systematische Berechnung deutlich. Ziel des Salt ist es, dass der Angreifer für jedes Passwort eine komplette Neuberechnung durch­führen muss und vorgefertigte Rainbow-Tables wertlos werden. Ohne Salt genügte hingegen eine gemeinsame Berechnung für die komplette heruntergeladene Datenbank.

Ohne entsprechende Sicherheitsvorkehrungen wäre es im vorliegenden Fall mit überschaubarem Aufwand möglich gewesen, die Klartext-Passwörter zu ermitteln und dann weitere Angriffsvek­toren auszuprobieren. Ein Angreifer hätte die ermittelten Passwörter z.B. bei den ebenfalls in der Datenbank hinterlegten E-Mail-Adressen testen und im Erfolgsfall erhebliche (Folge-)Schäden anrichten können."

Aufgrund dieser unzureichenden technischen Absicherung verhängte die Datenschutzbeauftragte ein Bußgeld iHv. 65.500,- EUR.

Bei der Bestimmung der Höhe berücksichtigte nach eigenen Angaben strafmildernd, dass der betroffene Shop bereits vor dem Bußgeldverfahren seine Kunden darüber informiert hatte, dass ein Wechsel des Passwortes notwendig sei.