Patch-Management-Prüfungen

Im Fokus des BayLDA steht jedoch nicht die Frage, ob eine Sicherheitslücke besteht, sondern ob Sicherheitslücken regelmäßig behoben werden. Kann ein Betreiber zeigen, dass er sich um das Patch-Management kümmert, hat er nichts zu befürchten. Im November 2018 wurde beispielsweise eine sehr kritische Sicherheitslücke im WP GDPR Compliance Plugin bekannt, mit dem Webseitenbetreiber eigentlich Vorgaben der DSGVO einhalten wollten. Die Lücke bestand bis einschließlich Version 1.4.2. Das BayLDA startete kurzfristig einen automatisierten Prüflauf bei über 1.000 Webseiten in Bayern. 23 Webseiten, die eine unsichere Plugin-Version nutzten, wurden in einem Anschreiben mit drei Fragen konfrontiert: In welcher Version wird Wordpress als CMS für den Betrieb der Webseite verwendet? Kommt das WP GDPR Compliance Plugin zum Einsatz? Falls ja, wurde das Plugin bereits aktualisiert?

Onlineshops unter der Lupe

Stellenmarkt
  1. IT-Softwareentwickler/-in mit dem Schwerpunkt Datenbankentwicklung (m/w/d)
    awk AUSSENWERBUNG GmbH, Koblenz
  2. IT Performance Manager (m/w/d)
    CG Car-Garantie Versicherungs-AG, Freiburg im Breisgau
Detailsuche

Ähnlich ging das BayLDA auch zwischen Oktober und Dezember 2018 bei der Prüfung von Onlineshops mit der Software Magento vor. Dabei prüfte es die Installationen von 20 Anbietern dahingehend, ob alle verfügbaren wichtigen Sicherheitspatches eingespielt und bekannte kritische Schwachstellen behoben wurden. Die Webseitenbetreiber sollten außerdem über einen geregelten Prozess zum Patch Management verfügen und die datenschutzrechtlichen Verpflichtungen im Umgang mit Sicherheitsverletzungen umsetzen können.

Zu den Prüffragen gehörte unter anderem, ob "HTTPS in ausreichender Konfiguration zum Einsatz" komme und ob eine aktuelle Magento-Version eingesetzt werde. Im Ergebnis stellte die Aufsichtsbehörde fest, dass 15 der Shops "zum Teil gravierende Mängel" aufwiesen. Vor allem wichtige Sicherheitspatches waren nicht installiert worden. Auch gab es in wenigen Fällen Backend-Pfade wie das Administratorenverzeichnis /admin/, die nicht ausreichend geschützt waren.

Schlampiger Datenschutz in Kfz-Werkstätten

Eine wegweisende Entwicklung der Prüftätigkeiten besteht darin, dass das BayLDA über den Tellerrand der IT-Branche blickt: Es führte bereits 2017 die ersten Datenschutzprüfungen zu Fahrzeugdaten durch: Fahrzeugdaten gelten dann als personenbezogene Daten, wenn sie mit der Fahrgestellnummer oder den Kundendaten verknüpft werden. Die im Fahrzeug generierten Daten werden in der Werkstatt für die Inspektion oder die Reparatur benötigt, aber dabei zum Teil an die Kfz-Hersteller übermittelt.

Golem Karrierewelt
  1. Deep Dive: Data Architecture mit Spark und Cloud Native: virtueller Ein-Tages-Workshop
    01.02.2023, Virtuell
  2. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    19./20.01.2023, Virtuell
Weitere IT-Trainings

Vom Juni bis Oktober 2017 stellte das BayLDA einschlägige Prüffragen an 12 Kfz-Werkstätten. Dazu gehörte beispielsweise die Frage: "Welche Daten werden bei einem Werkstattbesuch aus dem Fahrzeug erhoben und in den Systemen der Werkstatt gespeichert?", "Wird der Kunde von der Speicherung in Kenntnis gesetzt und wenn ja, wie?" und "Zu welchem Zweck werden Daten weitergeleitet?" Dabei stellte sich heraus, dass einige Werkstätten von den Kunden unzureichende Einwilligungen einholten. Insbesondere wurden die Kunden nicht genügend informiert. Das BayLDA hält im Übrigen eine zentrale Führung der elektronischen Service- und Reparaturhistorie beim Automobilhersteller nur auf Vertragsbasis für zulässig. Gleiches gilt für die Teilnahme an Vergütungs- und Bonusprogrammen. Behördenleiter Thomas Kranig will demnächst zusammen mit den Verbänden der Kfz-Werkstätten und der Automobilindustrie einheitliche Verfahrensweisen abstimmen.

Kein Bußgeldkatalog

Die bayerische Aufsichtsbehörde zeichnete sich bislang dadurch aus, vor allem in Beratungen und Verhandlungen mit den Unternehmen auf Fortschritte zu drängen, während die Prüfbögen vor allem auf kleine Unternehmen abzielten. Bußgelder wurden äußerst selten verhängt. Das könnte sich nun mit der angedrohten Einstellung der Beratungen ändern. Die Politik hat es in der Hand, mit der personellen Ausstattung der Aufsichtsbehörden deren Reaktionsweisen zu lenken: Wer mehr Personal hat, kann auch mehr beraten.

Mit welchen Sanktionen die Unternehmen nun rechnen müssen, ist nicht ausgemacht. Noch gibt es keinen einheitlichen Bußgeldkatalog in Deutschland. Wie viel also ein fehlendes SSL-Zertifikat kostet oder eine Schlamperei im E-Mail-Verteiler, ist offen. Klar ist nur, dass es richtig teuer werden kann, sobald strafrechtliche Aspekte wie Betrug oder Ausspähung eine Rolle spielen. Das deutsche Rekordbußgeld von 1,3 Millionen Euro verhängte die rheinland-pfälzische Datenschutzbehörde gegen den Versicherer Debeka im Jahr 2014. Dabei ging es um den Vorwurf, dass Mitarbeiter des öffentlichen Dienstes an die Debeka Daten angehender Beamter gegen Entlohnung weitergegeben hätten. Ein Großteil des Bußgeldes wurde dafür verwendet, um an der Universität Mainz einen Lehrstuhl für Datenschutz einzurichten.

Das Verfahren wurde damals von Stefan Brink geleitet, der jetzt die Aufsichtsbehörde in Baden-Württemberg leitet. Er ist es auch, der die zwei bisher höchsten Bußgelder nach der DSGVO verhängt hat: 80.000 Euro in einem Fall, bei dem Gesundheitsdaten versehentlich ins Internet gelangten, sowie 20.000 Euro gegen das Internet-Unternehmen knuddels.de wegen einer Datenpanne, bei der die Daten von über 330.000 Nutzern entwendet wurden. Den aktuellen Rekord hält die französische Datenschutzbehörde CNIL mit 50 Millionen Euro gegen Google. Die deutschen Aufsichtsbehörden arbeiten daran, sich auf einen gemeinsamen Bußgeldrahmen zu verständigen. Die niederländische Datenschutzbehörde hat bereits ihren Katalog veröffentlicht, in dem sie den Bußgeldrahmen nach vier abstrakt gehaltenen Kategorien einteilt. Letztendlich werden sich die europäischen Aufsichtsbehörden über eine einheitliche Anwendung der Sanktionsbestimmungen verständigen müssen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 DSGVO: Zeitenwechsel im Datenschutz
  1.  
  2. 1
  3. 2


daydreamer42 28. Mär 2019

Und wenn nicht, was dann? Dann bleiben Vereinswebseiten und andere kleine Angebote...

quineloe 26. Mär 2019

Ich hätte auch schreiben können, dass wir DSGVO-Konform unterwegs sind, aber das ist...

Schnarchnase 25. Mär 2019

Wir legen schon alle möglichen Informationen auf den Tisch, leider wird gerne vorne...

mgutt 23. Mär 2019

Witzig wird es auch, wenn ich einfach sagen, dass ich die Entwicklung übernommen habe...



Aktuell auf der Startseite von Golem.de
Twitter
Was bisher bei Elon Musks Twitter 2.0 geschah

Nach der Twitter-Übernahme durch Elon Musk ist klar: Das Netzwerk hat wesentlich weniger Mitarbeiter. Es ist aber noch viel mehr passiert.
Ein Bericht von Oliver Nickel

Twitter: Was bisher bei Elon Musks Twitter 2.0 geschah
Artikel
  1. Responsible Disclosure: Obi macht das Melden einer Sicherheitslücke schwer
    Responsible Disclosure
    Obi macht das Melden einer Sicherheitslücke schwer

    Ein Sicherheitsforscher hat eine Lücke bei mehreren Unternehmen und Stadtverwaltungen gemeldet. Obi machte es ihm besonders schwer.

  2. Telefónica: Warum der LTE-Ausbau in der U-Bahn so lange dauert
    Telefónica
    Warum der LTE-Ausbau in der U-Bahn so lange dauert

    Seit August 2010 laufen in Deutschland LTE-Netze. Nun wird 5G langsam wichtiger, doch die Berliner U-Bahn ist noch immer nicht für alle mit 4G versorgt.

  3. Sono Motors: Solarauto Sion steht vor dem Aus
    Sono Motors
    Solarauto Sion steht vor dem Aus

    Sono Motors hat nicht mehr genug Geld für den Aufbau der Serienproduktion des Solarautos Sion. Nun soll die Community finanziell helfen. Mal wieder.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon • Samsung SSDs bis -28% • Rabatt-Code für ebay • Logitech Mäuse, Tastaturen & Headsets -53% • HyperX PC-Peripherie -56% • Google Pixel 6 & 7 -49% • PS5-Spiele günstiger • Tiefstpreise: Palit RTX 4080 1.369€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ [Werbung]
    •  /