Abo
  • IT-Karriere:

Patch-Management-Prüfungen

Im Fokus des BayLDA steht jedoch nicht die Frage, ob eine Sicherheitslücke besteht, sondern ob Sicherheitslücken regelmäßig behoben werden. Kann ein Betreiber zeigen, dass er sich um das Patch-Management kümmert, hat er nichts zu befürchten. Im November 2018 wurde beispielsweise eine sehr kritische Sicherheitslücke im WP GDPR Compliance Plugin bekannt, mit dem Webseitenbetreiber eigentlich Vorgaben der DSGVO einhalten wollten. Die Lücke bestand bis einschließlich Version 1.4.2. Das BayLDA startete kurzfristig einen automatisierten Prüflauf bei über 1.000 Webseiten in Bayern. 23 Webseiten, die eine unsichere Plugin-Version nutzten, wurden in einem Anschreiben mit drei Fragen konfrontiert: In welcher Version wird Wordpress als CMS für den Betrieb der Webseite verwendet? Kommt das WP GDPR Compliance Plugin zum Einsatz? Falls ja, wurde das Plugin bereits aktualisiert?

Onlineshops unter der Lupe

Stellenmarkt
  1. Villeroy & Boch AG, Mettlach
  2. BfS Bundesamt für Strahlenschutz, Oberschleißheim

Ähnlich ging das BayLDA auch zwischen Oktober und Dezember 2018 bei der Prüfung von Onlineshops mit der Software Magento vor. Dabei prüfte es die Installationen von 20 Anbietern dahingehend, ob alle verfügbaren wichtigen Sicherheitspatches eingespielt und bekannte kritische Schwachstellen behoben wurden. Die Webseitenbetreiber sollten außerdem über einen geregelten Prozess zum Patch Management verfügen und die datenschutzrechtlichen Verpflichtungen im Umgang mit Sicherheitsverletzungen umsetzen können.

Zu den Prüffragen gehörte unter anderem, ob "HTTPS in ausreichender Konfiguration zum Einsatz" komme und ob eine aktuelle Magento-Version eingesetzt werde. Im Ergebnis stellte die Aufsichtsbehörde fest, dass 15 der Shops "zum Teil gravierende Mängel" aufwiesen. Vor allem wichtige Sicherheitspatches waren nicht installiert worden. Auch gab es in wenigen Fällen Backend-Pfade wie das Administratorenverzeichnis /admin/, die nicht ausreichend geschützt waren.

Schlampiger Datenschutz in Kfz-Werkstätten

Eine wegweisende Entwicklung der Prüftätigkeiten besteht darin, dass das BayLDA über den Tellerrand der IT-Branche blickt: Es führte bereits 2017 die ersten Datenschutzprüfungen zu Fahrzeugdaten durch: Fahrzeugdaten gelten dann als personenbezogene Daten, wenn sie mit der Fahrgestellnummer oder den Kundendaten verknüpft werden. Die im Fahrzeug generierten Daten werden in der Werkstatt für die Inspektion oder die Reparatur benötigt, aber dabei zum Teil an die Kfz-Hersteller übermittelt.

Vom Juni bis Oktober 2017 stellte das BayLDA einschlägige Prüffragen an 12 Kfz-Werkstätten. Dazu gehörte beispielsweise die Frage: "Welche Daten werden bei einem Werkstattbesuch aus dem Fahrzeug erhoben und in den Systemen der Werkstatt gespeichert?", "Wird der Kunde von der Speicherung in Kenntnis gesetzt und wenn ja, wie?" und "Zu welchem Zweck werden Daten weitergeleitet?" Dabei stellte sich heraus, dass einige Werkstätten von den Kunden unzureichende Einwilligungen einholten. Insbesondere wurden die Kunden nicht genügend informiert. Das BayLDA hält im Übrigen eine zentrale Führung der elektronischen Service- und Reparaturhistorie beim Automobilhersteller nur auf Vertragsbasis für zulässig. Gleiches gilt für die Teilnahme an Vergütungs- und Bonusprogrammen. Behördenleiter Thomas Kranig will demnächst zusammen mit den Verbänden der Kfz-Werkstätten und der Automobilindustrie einheitliche Verfahrensweisen abstimmen.

Kein Bußgeldkatalog

Die bayerische Aufsichtsbehörde zeichnete sich bislang dadurch aus, vor allem in Beratungen und Verhandlungen mit den Unternehmen auf Fortschritte zu drängen, während die Prüfbögen vor allem auf kleine Unternehmen abzielten. Bußgelder wurden äußerst selten verhängt. Das könnte sich nun mit der angedrohten Einstellung der Beratungen ändern. Die Politik hat es in der Hand, mit der personellen Ausstattung der Aufsichtsbehörden deren Reaktionsweisen zu lenken: Wer mehr Personal hat, kann auch mehr beraten.

Mit welchen Sanktionen die Unternehmen nun rechnen müssen, ist nicht ausgemacht. Noch gibt es keinen einheitlichen Bußgeldkatalog in Deutschland. Wie viel also ein fehlendes SSL-Zertifikat kostet oder eine Schlamperei im E-Mail-Verteiler, ist offen. Klar ist nur, dass es richtig teuer werden kann, sobald strafrechtliche Aspekte wie Betrug oder Ausspähung eine Rolle spielen. Das deutsche Rekordbußgeld von 1,3 Millionen Euro verhängte die rheinland-pfälzische Datenschutzbehörde gegen den Versicherer Debeka im Jahr 2014. Dabei ging es um den Vorwurf, dass Mitarbeiter des öffentlichen Dienstes an die Debeka Daten angehender Beamter gegen Entlohnung weitergegeben hätten. Ein Großteil des Bußgeldes wurde dafür verwendet, um an der Universität Mainz einen Lehrstuhl für Datenschutz einzurichten.

Das Verfahren wurde damals von Stefan Brink geleitet, der jetzt die Aufsichtsbehörde in Baden-Württemberg leitet. Er ist es auch, der die zwei bisher höchsten Bußgelder nach der DSGVO verhängt hat: 80.000 Euro in einem Fall, bei dem Gesundheitsdaten versehentlich ins Internet gelangten, sowie 20.000 Euro gegen das Internet-Unternehmen knuddels.de wegen einer Datenpanne, bei der die Daten von über 330.000 Nutzern entwendet wurden. Den aktuellen Rekord hält die französische Datenschutzbehörde CNIL mit 50 Millionen Euro gegen Google. Die deutschen Aufsichtsbehörden arbeiten daran, sich auf einen gemeinsamen Bußgeldrahmen zu verständigen. Die niederländische Datenschutzbehörde hat bereits ihren Katalog veröffentlicht, in dem sie den Bußgeldrahmen nach vier abstrakt gehaltenen Kategorien einteilt. Letztendlich werden sich die europäischen Aufsichtsbehörden über eine einheitliche Anwendung der Sanktionsbestimmungen verständigen müssen.

 DSGVO: Zeitenwechsel im Datenschutz
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. (-78%) 11,00€
  2. 34,99€
  3. 44,99€
  4. 51,95€

daydreamer42 28. Mär 2019

Und wenn nicht, was dann? Dann bleiben Vereinswebseiten und andere kleine Angebote...

quineloe 26. Mär 2019

Ich hätte auch schreiben können, dass wir DSGVO-Konform unterwegs sind, aber das ist...

Schnarchnase 25. Mär 2019

Wir legen schon alle möglichen Informationen auf den Tisch, leider wird gerne vorne...

mgutt 23. Mär 2019

Witzig wird es auch, wenn ich einfach sagen, dass ich die Entwicklung übernommen habe...


Folgen Sie uns
       


Samsung Galaxy Fold - Hands on (Ifa 2019)

Das Galaxy Fold scheint gerettet: Samsungs Verbesserungen zeigen sich aus, wie unser erster Test des Gerätes zeigt.

Samsung Galaxy Fold - Hands on (Ifa 2019) Video aufrufen
Sonos Move im Test: Der vielseitigste Lautsprecher von Sonos
Sonos Move im Test
Der vielseitigste Lautsprecher von Sonos

Der Move von Sonos überzeugt durch Bluetooth und ist dank Akku und stabilem Gehäuse vorzüglich für den Außeneinsatz geeignet. Bei den Funktionen ist der Lautsprecher leider nicht so smart wie er sein könnte.
Ein Test von Ingo Pakalski

  1. Update für Multiroom-Lautsprecher Sonos-App spielt keine lokalen Inhalte mehr vom iPhone ab
  2. Smarter Lautsprecher Erster Sonos-Lautsprecher mit Akku und Bluetooth
  3. Soundbars Audiohersteller Teufel investiert in eigene Ladenkette

Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

Hue Sync: Hue-Effektbeleuchtung dank HDMI-Splitter einfacher nutzbar
Hue Sync
Hue-Effektbeleuchtung dank HDMI-Splitter einfacher nutzbar

Mit Hue Sync können Philips-Hue-Nutzer ihre Lampen passend zu Filmen oder Musik aufleuchten lassen - bisher aber nur recht umständlich über einen PC. Die neue Play HDMI Sync Box ist ein Splitter mit eingebautem Hue-Sync-Controller, an den einfach Konsolen oder Blu-ray-Player angeschlossen werden können.
Ein Hands on von Tobias Költzsch

  1. Signify Kleiner Schalter und Steckdose für Philips Hue
  2. Smart Home Philips-Hue-Leuchtmittel mit Bluetooth
  3. Smart Home Philips Hue mit Außenbewegungsmelder und neuen Außenlampen

    •  /