Aktualität von Softwarelösungen: datenschutzrechtliche Pflicht?

Datenschutz VerstehenAlte Software einsetzen in Zeiten der DSGVO möglich?

Wie wichtig ist die Aktualität von Software? Ein Praxisbeispiel

Viele Unternehmen, aber auch Privatpersonen, vernachlässigen oder kennen die Bedeutung von Softwareaktualisierungen nicht. Dieses Problem stellt nicht nur ein Einfallstor für Cyber-Angriffe dar, es kann auch zu einem Verstoß gegen Vorschriften aus der europäischen Datenschutz-Grundverordnung (DSGVO) führen. Als Maßstab für die Aktualität der Software dient Art. 32 DSGVO. In Art. 32 DSGVO werden abstrakte Maßnahmen aufgelistet, die ein ausreichendes Schutzniveau für personenbezogene Daten bieten. Hierzu gehören der Einsatz von aktueller Software, um Sicherheitsrisiken zu minimieren. Die technischen und organisatorischen Maßnahmen (TOM) sollen bei einer Verarbeitung personenbezogener Daten gewährleisten, dass es nicht zu einem physischen, materiellen oder immateriellen Schaden für Betroffene kommt. In unserem Blogbeitrag erfahren Sie, welche Gefahren durch den Einsatz von veralteter Software entstehen können.

 
Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Welche Risiken bestehen durch den Einsatz von veraltete Software?

Immer wieder geraten Unternehmen und Behörden ins Visier von Hackern, wobei die personenbezogenen Daten, die verarbeitet werden, gefährdet sind. Dabei nutzen Hacker häufig alte Sicherheitslücken in Software aus,  um auf empfindlichen Daten, beispielsweise in einer Verwaltungssoftware im Personalbereich eines Unternehmens, zuzugreifen. Risikobehaftete und veraltete Software beinhalten daher ein großes Schadenspotenzial, welches häufig unterschätzt wird. Denn durch nicht aktuelle oder schlecht geschützte Software können Dritte auf die Daten eines Unternehmens oder einer Person herfallen, wodurch erhebliche Schäden entstehen können, wie z.B. für den Ruf eines Unternehmens oder auch in finanzieller Hinsicht, bspw. durch empfindliche Bußgelder nach der DSGVO.

Somit dienen Softwareaktualisierungen als wichtiger Schutzmechanismus, um die personenbezogenen Daten, welche innerhalb eines Unternehmens verarbeitet werden, zu schützen.

 

Was sind die Unterschiede zwischen On-Premise- und Cloud-Lösungen?

Bei einer On-Premise Lösung befinden sich die Daten im Gegensatz zu einer Cloud-Lösung nicht auf extern gehosteten Servern, sondern werden intern administriert. Die Server sind also im eigenen Netzwerk eines Unternehmens installiert und werden vor Ort betrieben. Unternehmen bietet diese Art von Software-Nutzung den Vorteil, dass dieses selbst die volle Kontrolle über das System besitzt. Bei einer Cloud-Lösung hingegen werden die Daten auf externen Servern gespeichert. Das häufigste Prinzip von Cloud-Software ist der Dienst „Software as a Service“ (SaaS). Unternehmen, die einen Cloud-Service nutzen, benötigen weder eigene Server noch ausgebildete IT-Spezialisten, die sich um Updates und die Wartung kümmern. So sind regelmäßige Sicherheitsupdates häufig Bestandteil von SaaS-Diensten oder sollten es zumindest sein. Damit verlangt diese Variante weniger Aufwand bei der Verwaltung sowie bei der Sicherung der Daten. Ein weiterer Vorteil von Cloud-Lösungen ist, dass der Speicherplatz häufig unbegrenzt ist bzw. zumindest jederzeit erweitert werden kann und ein Zugriff auf die Daten lediglich ein internetfähiges Endgerät voraussetzt.

Der größte Nachteil in Bezug auf die Sicherheit liegt bei On-Premise-Lösungen darin, dass ein Unternehmen Updates immer selbst vornehmen muss und für die Software-Wartung verantwortlich ist. Wohingegen bei der Nutzung einer Cloud-Lösung regelmäßig eine automatische Installation von Updates gewährleistet wird. Auch bei den Releases von Patches müssen sich Unternehmen keine Gedanken machen, da diese Arbeit von dem Provider übernommen wird. 

 

Welche Folgen kann der Einsatz von veralteter Software haben?

Als Folgen ist hier die Offenlegung von Geschäftsgeheimnissen, aber auch der Verlust bzw. die Offenbarung von personenbezogenen Daten hervorzuheben. Neben den offensichtlichen Schäden bei dem Verlust von Geschäftsgeheimnissen sind auch die Folgen eines Verstoßes gegen die DSGVO tiefgreifend und haben meistens neben Reputationsschäden auch horrende Bußgelder zur Folge. Wenn die vom Unternehmen ergriffenen technischen und organisatorischen Maßnahmen nicht mit dem Schutzbedarf des Art. 25 DSGVO vereinbar sind, bspw. wenn die Software nicht aktuell gehalten wird, kann dadurch ein Verstoß gegen Artikel 32 Abs. 1 DSGVO vorliegen. Dies kann ein empfindliches Bußgeld durch die Aufsichtsbehörde nach Art. 58 Abs. 2 lit. i) DSGVO und Art. 83 Abs. 4 lit. a) DSGVO zur Folge haben. Bei Verstößen gegen die Bestimmungen aus Art. 25, 32 DSGVO können Bußgelder von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher der Beträge höher ist. Im Falle einer Verletzung des Schutzes personenbezogener Daten ist ein Unternehmen zudem gem. Art. 33 DSGVO verpflichtet, dies unverzüglich der zuständigen Aufsichtsbehörde innerhalb einer bestimmten Frist zu melden. Zudem muss das Unternehmen unter Umständen auch die von der Datenschutzverletzung betroffenen Personen gem.  34 DSGVO unverzüglich benachrichtigen. Verstöße gegen Art. 33, 34 DSGVO, also gegen die Melde- und Benachrichtigungspflicht, können ebenfalls Bußgelder von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres nach sich ziehen.

Betroffene Personen können zudem gegenüber einem Unternehmen Schadenersatzansprüche gem. Art. 82 DSGVO geltend machen, soweit ihnen wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist. 

Regelmäßig kann also bereits die Aktualisierung der Software genügen, um Sicherheitslücken und Schwachstellen zu schließen, um auf diese Weise empfindliche Folgen wie drakonische Bußgelder, Schadensersatzansprüche oder Reputationsverlust  zu verhindern.

 

Ein Praxisbeispiel: Bußgeld wegen des Betriebs einer Internetseite mit veralteter Software

Als Beispiel lässt sich ein Unternehmen aus Niedersachsen aufführen, bei dem es nach einer Meldung gem. Art. 33 DSGVO an die zuständige Behörde zur Prüfung einer Unternehmenswebseite unter technischen Gesichtspunkten kam. Dabei stellte die Landesbeauftragte für Datenschutz in Niedersachsen fest, dass das Unternehmen auf der Webseite eine seit 2014 veraltete Web-Shop-Anwendung (nämlich xt:Commerce) verwendete, welche durch den Hersteller nicht mehr mit Sicherheitsupdates versorgt wurde. Somit enthielt die genutzte Software erhebliche Sicherheitslücken, worauf der Hersteller auch hingewiesen hatte. Zudem warnte der Hersteller explizit davor, eine ältere Version zu benutzen, da die Sicherheitslücken sog. „SQL-Injection-Angriffe” ermöglichen würden. Durch SQL-Injection-Angriffe können Dritte in den Besitz der Zugangsdaten von allen in einer Anwendung registrierten Personen kommen. Diese Sicherheitslücke entsteht durch eine fehlende Maskierung der vom Endanwender veränderbaren Eingaben, sodass die Datenbank diese nicht als Befehl versteht.

Weiterhin waren auch die in der Datenbank abgelegten Passwörter nicht ausreichend gesichert, da eine schnelle „Berechnung” dieser mit lediglich überschaubarem Aufwand möglich gewesen wäre. Die abgelegten Passwörter waren zwar mit der kryptographischen Hashfunktion „MD5” gesichert, diese ist aber nicht für den Einsatz bei Passwörtern ausgelegt. Durch den Einsatz sog. „Rainbow-Tables” kann auch ohne Berechnung das zu einem Hash gehörende Passwort abgelesen werden. Auch die Verwendung einer Salt-Funktion wäre im vorliegenden Fall für das Unternehmen nicht mit einem unverhältnismäßigen Aufwand verbunden gewesen. Bei einem Salt handelt es sich um eine für jedes Passwort individuelle generierte Passwortverlängerung, welche die systematische Berechnung deutlich erschwert.

Die von dem Verantwortlichen ergriffenen technischen Maßnahmen waren damit nicht mit dem Schutzbedarf des Art. 25 DSGVO vereinbar, wodurch ein Verstoß gegen Artikel 32 Abs. 1 DSGVO festgestellt und dem Unternehmen ein Bußgeld in Höhe von 65.500 Euro auferlegt wurde. Dem betroffenen Unternehmen konnte bei der Bemessung der Geldbuße jedoch zugutegehalten werden, dass dieses bereits vor dem Bußgeldverfahren die betroffenen Personen über die Umstände informiert und auf die Notwendigkeit eines Passwortwechsels hingewiesen hatte.

Erst vor kurzer Zeit erhielten auch WhatsApp und Amazon Bußgelder aufgrund von Verstößen gegen die DSGVO.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Menü