Datenschutz Verstehen – Alte Software einsetzen in Zeiten der DSGVO möglich?
Wie wichtig ist die Aktualität von Software? Ein Praxisbeispiel
Viele Unternehmen, aber auch Privatpersonen, vernachlässigen oder kennen die Bedeutung von Softwareaktualisierungen nicht. Dieses Problem stellt nicht nur ein Einfallstor für Cyber-Angriffe dar, es kann auch zu einem Verstoß gegen Vorschriften aus der europäischen Datenschutz-Grundverordnung (DSGVO) führen. Als Maßstab für die Aktualität der Software dient Art. 32 DSGVO. In Art. 32 DSGVO werden abstrakte Maßnahmen aufgelistet, die ein ausreichendes Schutzniveau für personenbezogene Daten bieten. Hierzu gehören der Einsatz von aktueller Datenschutz Software, um Sicherheitsrisiken zu minimieren. Die technischen und organisatorischen Maßnahmen (TOM) sollen bei einer Verarbeitung personenbezogener Daten gewährleisten, dass es nicht zu einem physischen, materiellen oder immateriellen Schaden für Betroffene kommt. In unserem Blogbeitrag erfahren Sie, welche Gefahren durch den Einsatz von veralteter Software entstehen können.
Inhalt:
- Welche Risiken bestehen durch den Einsatz von veralteter Software?
- Was sind die Unterschiede zwischen On-Premise- und Cloud-Lösungen?
- Die Vorteile einer Datenschutz Software
- Welche Folgen kann der Einsatz von veralteter Software haben?
- Ein Praxisbeispiel: Bußgeld wegen des Betriebs einer Internetseite mit veralteter Software
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Welche Risiken bestehen durch den Einsatz von veralteter Software?
Immer wieder geraten Unternehmen und Behörden ins Visier von Hackern, wobei die personenbezogenen Daten, die verarbeitet werden, gefährdet sind. Dabei nutzen Hacker häufig alte Sicherheitslücken in Software aus, um auf empfindlichen Daten, beispielsweise in einer Verwaltungssoftware im Personalbereich eines Unternehmens, zuzugreifen.
SQL-Injection-Angriffe: Was ist das und wie häufig kommen sie vor?
Eine SQL-Injection bzw. SQL-Infizierung ist ein kleines Stück Code bestehend aus Injektionstechnik, die für Angriffe auf sämtliche Anwendungen verwendet wird, bei denen bösartige SQL-Anweisungen zur Ausführung in ein Eingabefeld eingefügt werden. Hierdurch können z.B. Angreifer Informationen aus der SQL-Datenbank erhalten.
Risikobehaftete und veraltete Software beinhalten daher ein großes Schadenspotenzial, welches häufig unterschätzt wird. Denn durch nicht aktuelle oder schlecht geschützte Software können Dritte auf die Daten eines Unternehmens oder einer Person herfallen, wodurch erhebliche Schäden entstehen können, wie z.B. für den Ruf eines Unternehmens oder auch in finanzieller Hinsicht, bspw. durch empfindliche Bußgelder nach der DSGVO.
Somit dienen Softwareaktualisierungen und Datenschutz Software als wichtiger Schutzmechanismus, um die personenbezogenen Daten, welche innerhalb eines Unternehmens verarbeitet werden, zu schützen.
Was sind die Unterschiede zwischen On-Premise- und Cloud-Lösungen?
Bei einer On-Premise Lösung befinden sich die Daten im Gegensatz zu einer Cloud-Lösung nicht auf extern gehosteten Servern, sondern werden intern administriert. Die Server sind also im eigenen Netzwerk eines Unternehmens installiert und werden vor Ort betrieben. Unternehmen bietet diese Art von Software-Nutzung den Vorteil, dass dieses selbst die volle Kontrolle über das System besitzt. Bei einer Cloud-Lösung hingegen werden die Daten auf externen Servern gespeichert. Das häufigste Prinzip von Cloud-Software ist der Dienst „Software as a Service“ (SaaS). Unternehmen, die einen Cloud-Service nutzen, benötigen weder eigene Server noch ausgebildete IT-Spezialisten, die sich um Updates und die Wartung kümmern. So sind regelmäßige Sicherheitsupdates häufig Bestandteil von SaaS-Diensten oder sollten es zumindest sein. Damit verlangt diese Variante weniger Aufwand bei der Verwaltung sowie bei der Sicherung der Daten. Ein weiterer Vorteil von Cloud-Lösungen ist, dass der Speicherplatz häufig unbegrenzt ist bzw. zumindest jederzeit erweitert werden kann und ein Zugriff auf die Daten lediglich ein internetfähiges Endgerät voraussetzt.
Der größte Nachteil in Bezug auf die Sicherheit liegt bei On-Premise-Lösungen darin, dass ein Unternehmen Updates immer selbst vornehmen muss und für die Software-Wartung verantwortlich ist. Hierbei kann eine innovative Datenschutzsoftware helfen, indem eine Inventarisierung vorgenommen wird, sodass der Überblick besser gelingt. Wohingegen bei der Nutzung einer Cloud-Lösung regelmäßig eine automatische Installation von Updates gewährleistet wird. Auch bei den Releases von Patches müssen sich Unternehmen keine Gedanken machen, da diese Arbeit von dem Provider übernommen wird.
Die Vorteile einer Datenschutz Software
Durch Einführung einer Datenschutz Software, worin ein vollständiges Datenschutz-Management-System abgebildet werden kann, behalten Unternehmen sämtliche Prozesse rund um das eigene Sicherheitsniveau im Blick. Neben der Pflege von Datenempfängern (hierzu zählen zum Beispiel Auftragsverarbeiter), können auch eingesetzte Softwarelösungen als schützenswerte Assets aufgenommen werden. Durch die Verwaltung dieser Informationen können in erster Linie leichtere Analysen von Softwareaktualitäten durchgeführt werden und auch wiederkehrende Aufgaben zur Prüfung angelegt werden.
Wir führen Sie individuell durch unsere Datenschutz-Management-Software (DSMS). Wir geben Ihnen Einblicke in verschiedene Funktionen des DSMS und zeigen Ihnen auf, welche Vorteile Sie mit einem DSMS erzielen.
Über 200 globale Vorlagen helfen Ihnen in Ihrer täglichen Arbeit. Sie können beliebig viele Vorlagen erstellen.
Über 62% Effizienzsteigerung werden von unseren Kunden in der Optimierung des Datenschutzes verzeichnet.
Welche Folgen kann der Einsatz von veralteter Software haben?
Als Folgen ist hier die Offenlegung von Geschäftsgeheimnissen, aber auch der Verlust bzw. die Offenbarung von personenbezogenen Daten hervorzuheben. Neben den offensichtlichen Schäden bei dem Verlust von Geschäftsgeheimnissen sind auch die Folgen eines Verstoßes gegen die DSGVO tiefgreifend und haben meistens neben Reputationsschäden auch horrende Bußgelder zur Folge. Wenn die vom Unternehmen ergriffenen technischen und organisatorischen Maßnahmen nicht mit dem Schutzbedarf des Art. 25 DSGVO vereinbar sind, bspw. wenn die Software nicht aktualisiert wird, kann dadurch ein Verstoß gegen Artikel 32 Abs. 1 DSGVO vorliegen. Dies kann ein empfindliches Bußgeld durch die Aufsichtsbehörde nach Art. 58 Abs. 2 lit. i) DSGVO und Art. 83 Abs. 4 lit. a) DSGVO zur Folge haben. Bei Verstößen gegen die Bestimmungen aus Art. 25, 32 DSGVO können Bußgelder von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher der Beträge höher ist. Im Falle einer Verletzung des Schutzes personenbezogener Daten ist ein Unternehmen zudem gem. Art. 33 DSGVO verpflichtet, dies unverzüglich der zuständigen Aufsichtsbehörde innerhalb einer bestimmten Frist zu melden. Zudem muss das Unternehmen unter Umständen auch die von der Datenschutzverletzung betroffenen Personen gem. 34 DSGVO unverzüglich benachrichtigen. Verstöße gegen Art. 33, 34 DSGVO, also gegen die Melde- und Benachrichtigungspflicht, können ebenfalls Bußgelder von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres nach sich ziehen.
Betroffene Personen können zudem gegenüber einem Unternehmen Schadenersatzansprüche gem. Art. 82 DSGVO geltend machen, soweit ihnen wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist.
Regelmäßig kann also bereits die Aktualisierung der Software genügen, um Sicherheitslücken und Schwachstellen zu schließen, um auf diese Weise empfindliche Folgen wie drakonische Bußgelder, Schadensersatzansprüche oder Reputationsverlust zu verhindern.
Ein Praxisbeispiel: Bußgeld wegen des Betriebs einer Internetseite mit veralteter Software
Als Beispiel lässt sich ein Unternehmen aus Niedersachsen aufführen, bei dem es nach einer Meldung gem. Art. 33 DSGVO an die zuständige Behörde zur Prüfung einer Unternehmenswebseite unter technischen Gesichtspunkten kam. Dabei stellte die Landesbeauftragte für Datenschutz in Niedersachsen fest, dass das Unternehmen auf der Webseite eine seit 2014 veraltete Web-Shop-Anwendung (nämlich xt:Commerce) verwendete, welche durch den Hersteller nicht mehr mit Sicherheitsupdates versorgt wurde. Somit enthielt die genutzte Software erhebliche Sicherheitslücken, worauf der Hersteller auch hingewiesen hatte. Zudem warnte der Hersteller explizit davor, eine ältere Version zu benutzen, da die Sicherheitslücken sog. „SQL-Injection-Angriffe” ermöglichen würden. Durch SQL-Injection-Angriffe können Dritte in den Besitz der Zugangsdaten von allen in einer Anwendung registrierten Personen kommen. Diese Sicherheitslücke entsteht durch eine fehlende Maskierung der vom Endanwender veränderbaren Eingaben, sodass die Datenbank diese nicht als Befehl versteht.
Weiterhin waren auch die in der Datenbank abgelegten Passwörter nicht ausreichend gesichert, da eine schnelle „Berechnung” dieser mit lediglich überschaubarem Aufwand möglich gewesen wäre. Die abgelegten Passwörter waren zwar mit der kryptographischen Hashfunktion „MD5” gesichert, diese ist aber nicht für den Einsatz bei Passwörtern ausgelegt. Durch den Einsatz sog. „Rainbow-Tables” kann auch ohne Berechnung das zu einem Hash gehörende Passwort abgelesen werden. Auch die Verwendung einer Salt-Funktion wäre im vorliegenden Fall für das Unternehmen nicht mit einem unverhältnismäßigen Aufwand verbunden gewesen. Bei einem Salt handelt es sich um eine für jedes Passwort individuelle generierte Passwortverlängerung, welche die systematische Berechnung deutlich erschwert.
Die von dem Verantwortlichen ergriffenen technischen Maßnahmen waren damit nicht mit dem Schutzbedarf des Art. 25 DSGVO vereinbar, wodurch ein Verstoß gegen Artikel 32 Abs. 1 DSGVO festgestellt und dem Unternehmen ein Bußgeld in Höhe von 65.500 Euro auferlegt wurde. Dem betroffenen Unternehmen konnte bei der Bemessung der Geldbuße jedoch zugutegehalten werden, dass dieses bereits vor dem Bußgeldverfahren die betroffenen Personen über die Umstände informiert und auf die Notwendigkeit eines Passwortwechsels hingewiesen hatte.
Erst vor kurzer Zeit erhielten auch WhatsApp und Amazon Bußgelder aufgrund von Verstößen gegen die DSGVO.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.
