Online Shop muss wegen Sicherheitslücken 65.500 Euro büßen

Im niedersächsischen Tätigkeitsbericht für das Jahr 2020 fasst die niedersächsische Datenschutzbeauftragte Barbara Thiel das Strafausmaß für einen Online-Shop-Betreiber zusammen. Dieser hatte gegen Art. 32 Abs. 1 DSGVO verstoßen, da sein Shopsystem erhebliche Sicherheitslücken aufwies.

Das Shopsystem war nicht auf den aktuellen Stand der Technik gebracht worden, wodurch es für Angreifer ein Leichtes gewesen wäre, auf die Zugangsdaten aller in der Software registrierten Personen zuzugreifen. Laut Tätigkeitsbericht sei auf der Website die Webshop-Anwendung "xt:Commerce in der Version 3.0.4 SP2.1" verwendet worden. Der Hersteller hatte bereits seit 2014 keine Sicherheitsupdates mehr zur Verfügung gestellt und davor gewarnt, dass ohne die Aktualisierung der Software Sicherheitslücken entstünden.

Nach DSGVO muss sich jeder, der personenbezogene Daten verantwortet oder verarbeitet, mit den technisch-organisatorischen Maßnahmen, kurz TOM, auseinandersetzen. So sollen Risiken bereits vor der Verarbeitung der personenbezogenen Daten abgewogen und durch Maßnahmen wie Pseudonymisierung und Verschlüsselung minimiert werden. Als Nutzer eines Shopsystems, in dem solch sensible Kundeninformationen verarbeitet werden, hätte sich der Webshop-Betreiber also um einen ausreichenden Schutz der Kundendaten kümmern müssen. Dieser Schutz und eventuelle Bedrohungen sind gemäß des Tätigkeitsberichts stets zu überprüfen, um Sicherheit zu gewährleisten.

Für die Software des Online-Shops seien schon länger keine Updates mehr durchgeführt worden. Für potenzielle Angreifer hätte so die Möglichkeit bestanden, eigene Befehle in die genutzte Datenbank einzuschleusen, sich die Zugangsdaten zu erschleichen, sie zu ändern oder sogar den gesamten Server herunterzufahren. Auch sei kein "Salt" genutzt worden. Dabei handele es sich um eine Zeichenfolge, die an ein Passwort angehängt werde und eine Berechnung verschlüsselter Passwörter erheblich erschwere.

Laut Tätigkeitsbericht wäre der Aufwand für notwendige Sicherheitsvorkehrungen überschaubar gewesen. Normalerweise würde die Aktualisierung der eingesetzten Software ausreichen, um Schwachstellen zu schließen. Der Webshop-Betreiber habe das Bußgeld akzeptiert. Die Datenschutzbeauftragte wiederum habe bei der Festlegung der Höhe berücksichtigt, dass das Unternehmen betroffene Personen schon vor dem Bußgeldverfahren darüber informiert hatte, dass Passwörter gewechselt werden müssten.