• IT-Karriere:
  • Services:

Patch-Management-Prüfungen

Im Fokus des BayLDA steht jedoch nicht die Frage, ob eine Sicherheitslücke besteht, sondern ob Sicherheitslücken regelmäßig behoben werden. Kann ein Betreiber zeigen, dass er sich um das Patch-Management kümmert, hat er nichts zu befürchten. Im November 2018 wurde beispielsweise eine sehr kritische Sicherheitslücke im WP GDPR Compliance Plugin bekannt, mit dem Webseitenbetreiber eigentlich Vorgaben der DSGVO einhalten wollten. Die Lücke bestand bis einschließlich Version 1.4.2. Das BayLDA startete kurzfristig einen automatisierten Prüflauf bei über 1.000 Webseiten in Bayern. 23 Webseiten, die eine unsichere Plugin-Version nutzten, wurden in einem Anschreiben mit drei Fragen konfrontiert: In welcher Version wird Wordpress als CMS für den Betrieb der Webseite verwendet? Kommt das WP GDPR Compliance Plugin zum Einsatz? Falls ja, wurde das Plugin bereits aktualisiert?

Onlineshops unter der Lupe

Stellenmarkt
  1. akf bank GmbH & Co KG, Wuppertal
  2. LOTTO Hessen GmbH, Wiesbaden

Ähnlich ging das BayLDA auch zwischen Oktober und Dezember 2018 bei der Prüfung von Onlineshops mit der Software Magento vor. Dabei prüfte es die Installationen von 20 Anbietern dahingehend, ob alle verfügbaren wichtigen Sicherheitspatches eingespielt und bekannte kritische Schwachstellen behoben wurden. Die Webseitenbetreiber sollten außerdem über einen geregelten Prozess zum Patch Management verfügen und die datenschutzrechtlichen Verpflichtungen im Umgang mit Sicherheitsverletzungen umsetzen können.

Zu den Prüffragen gehörte unter anderem, ob "HTTPS in ausreichender Konfiguration zum Einsatz" komme und ob eine aktuelle Magento-Version eingesetzt werde. Im Ergebnis stellte die Aufsichtsbehörde fest, dass 15 der Shops "zum Teil gravierende Mängel" aufwiesen. Vor allem wichtige Sicherheitspatches waren nicht installiert worden. Auch gab es in wenigen Fällen Backend-Pfade wie das Administratorenverzeichnis /admin/, die nicht ausreichend geschützt waren.

Schlampiger Datenschutz in Kfz-Werkstätten

Eine wegweisende Entwicklung der Prüftätigkeiten besteht darin, dass das BayLDA über den Tellerrand der IT-Branche blickt: Es führte bereits 2017 die ersten Datenschutzprüfungen zu Fahrzeugdaten durch: Fahrzeugdaten gelten dann als personenbezogene Daten, wenn sie mit der Fahrgestellnummer oder den Kundendaten verknüpft werden. Die im Fahrzeug generierten Daten werden in der Werkstatt für die Inspektion oder die Reparatur benötigt, aber dabei zum Teil an die Kfz-Hersteller übermittelt.

Vom Juni bis Oktober 2017 stellte das BayLDA einschlägige Prüffragen an 12 Kfz-Werkstätten. Dazu gehörte beispielsweise die Frage: "Welche Daten werden bei einem Werkstattbesuch aus dem Fahrzeug erhoben und in den Systemen der Werkstatt gespeichert?", "Wird der Kunde von der Speicherung in Kenntnis gesetzt und wenn ja, wie?" und "Zu welchem Zweck werden Daten weitergeleitet?" Dabei stellte sich heraus, dass einige Werkstätten von den Kunden unzureichende Einwilligungen einholten. Insbesondere wurden die Kunden nicht genügend informiert. Das BayLDA hält im Übrigen eine zentrale Führung der elektronischen Service- und Reparaturhistorie beim Automobilhersteller nur auf Vertragsbasis für zulässig. Gleiches gilt für die Teilnahme an Vergütungs- und Bonusprogrammen. Behördenleiter Thomas Kranig will demnächst zusammen mit den Verbänden der Kfz-Werkstätten und der Automobilindustrie einheitliche Verfahrensweisen abstimmen.

Kein Bußgeldkatalog

Die bayerische Aufsichtsbehörde zeichnete sich bislang dadurch aus, vor allem in Beratungen und Verhandlungen mit den Unternehmen auf Fortschritte zu drängen, während die Prüfbögen vor allem auf kleine Unternehmen abzielten. Bußgelder wurden äußerst selten verhängt. Das könnte sich nun mit der angedrohten Einstellung der Beratungen ändern. Die Politik hat es in der Hand, mit der personellen Ausstattung der Aufsichtsbehörden deren Reaktionsweisen zu lenken: Wer mehr Personal hat, kann auch mehr beraten.

Mit welchen Sanktionen die Unternehmen nun rechnen müssen, ist nicht ausgemacht. Noch gibt es keinen einheitlichen Bußgeldkatalog in Deutschland. Wie viel also ein fehlendes SSL-Zertifikat kostet oder eine Schlamperei im E-Mail-Verteiler, ist offen. Klar ist nur, dass es richtig teuer werden kann, sobald strafrechtliche Aspekte wie Betrug oder Ausspähung eine Rolle spielen. Das deutsche Rekordbußgeld von 1,3 Millionen Euro verhängte die rheinland-pfälzische Datenschutzbehörde gegen den Versicherer Debeka im Jahr 2014. Dabei ging es um den Vorwurf, dass Mitarbeiter des öffentlichen Dienstes an die Debeka Daten angehender Beamter gegen Entlohnung weitergegeben hätten. Ein Großteil des Bußgeldes wurde dafür verwendet, um an der Universität Mainz einen Lehrstuhl für Datenschutz einzurichten.

Das Verfahren wurde damals von Stefan Brink geleitet, der jetzt die Aufsichtsbehörde in Baden-Württemberg leitet. Er ist es auch, der die zwei bisher höchsten Bußgelder nach der DSGVO verhängt hat: 80.000 Euro in einem Fall, bei dem Gesundheitsdaten versehentlich ins Internet gelangten, sowie 20.000 Euro gegen das Internet-Unternehmen knuddels.de wegen einer Datenpanne, bei der die Daten von über 330.000 Nutzern entwendet wurden. Den aktuellen Rekord hält die französische Datenschutzbehörde CNIL mit 50 Millionen Euro gegen Google. Die deutschen Aufsichtsbehörden arbeiten daran, sich auf einen gemeinsamen Bußgeldrahmen zu verständigen. Die niederländische Datenschutzbehörde hat bereits ihren Katalog veröffentlicht, in dem sie den Bußgeldrahmen nach vier abstrakt gehaltenen Kategorien einteilt. Letztendlich werden sich die europäischen Aufsichtsbehörden über eine einheitliche Anwendung der Sanktionsbestimmungen verständigen müssen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 DSGVO: Zeitenwechsel im Datenschutz
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. (-87%) 2,50€
  2. (-47%) 21,00€

daydreamer42 28. Mär 2019

Und wenn nicht, was dann? Dann bleiben Vereinswebseiten und andere kleine Angebote...

quineloe 26. Mär 2019

Ich hätte auch schreiben können, dass wir DSGVO-Konform unterwegs sind, aber das ist...

Schnarchnase 25. Mär 2019

Wir legen schon alle möglichen Informationen auf den Tisch, leider wird gerne vorne...

mgutt 23. Mär 2019

Witzig wird es auch, wenn ich einfach sagen, dass ich die Entwicklung übernommen habe...


Folgen Sie uns
       


Surface Book 3 - Test

Das Surface Book ist einmal mehr ein exzellentes Notebook, das viele Nischen bedient. Allerdings hätten wir uns nach fünf Jahren ein wenig mehr Neues gewünscht.

Surface Book 3 - Test Video aufrufen
Telekom, Vodafone: Wenn LTE schneller als 5G ist
Telekom, Vodafone
Wenn LTE schneller als 5G ist

Dynamic Spectrum Sharing erlaubt 5G und LTE in alten Frequenzbereichen von 3G und DVB-T. Doch wenn man hier nur LTE einsetzen würde, wäre die Datenrate höher.
Ein Bericht von Achim Sawall

  1. Telekom Große Nachfrage nach Campusnetzen bei der Industrie
  2. Redbox Vodafone stellt komplettes 5G-Netz in einer Box vor
  3. 5G N1 Telekom erweitert massiv das 5G-Netz mit Telefónica-Spektrum

Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
Laravel/Telescope
Die Sicherheitslücke bei einer Bank, die es nicht gibt

Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.
Ein Bericht von Hanno Böck

  1. IT-Sicherheitsgesetz Regierung streicht Passagen zu Darknet und Passwörtern
  2. Callcenter Sicherheitsexperte hackt Microsoft-Betrüger
  3. Sicherheit "E-Mail ist das Fax von morgen"

Horror-Thriller Unsubscribe: Wie ein Zoom-Film die Nummer 1 an der Kinokasse wurde
Horror-Thriller Unsubscribe
Wie ein Zoom-Film die Nummer 1 an der Kinokasse wurde

Zwei US-Filmemacher haben mit Zoom den Horror-Film Unsubscribe gedreht. Sie landeten damit sogar an der Spitze der US-Box-Office-Charts. Zumindest für einen Tag.
Von Peter Osteried

  1. Film Wie sich Science-Fiction-Autoren das Jahr 2020 vorstellten
  2. Alien Im Weltall hört dich keiner schreien
  3. Terminator: Dark Fate Die einzig wahre Fortsetzung eines Klassikers?

    •  /