• IT-Karriere:
  • Services:

Patch-Management-Prüfungen

Im Fokus des BayLDA steht jedoch nicht die Frage, ob eine Sicherheitslücke besteht, sondern ob Sicherheitslücken regelmäßig behoben werden. Kann ein Betreiber zeigen, dass er sich um das Patch-Management kümmert, hat er nichts zu befürchten. Im November 2018 wurde beispielsweise eine sehr kritische Sicherheitslücke im WP GDPR Compliance Plugin bekannt, mit dem Webseitenbetreiber eigentlich Vorgaben der DSGVO einhalten wollten. Die Lücke bestand bis einschließlich Version 1.4.2. Das BayLDA startete kurzfristig einen automatisierten Prüflauf bei über 1.000 Webseiten in Bayern. 23 Webseiten, die eine unsichere Plugin-Version nutzten, wurden in einem Anschreiben mit drei Fragen konfrontiert: In welcher Version wird Wordpress als CMS für den Betrieb der Webseite verwendet? Kommt das WP GDPR Compliance Plugin zum Einsatz? Falls ja, wurde das Plugin bereits aktualisiert?

Onlineshops unter der Lupe

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, Wolfsburg, Zwickau, Dresden
  2. Schaeffler Automotive Buehl GmbH & Co. KG, Bühl

Ähnlich ging das BayLDA auch zwischen Oktober und Dezember 2018 bei der Prüfung von Onlineshops mit der Software Magento vor. Dabei prüfte es die Installationen von 20 Anbietern dahingehend, ob alle verfügbaren wichtigen Sicherheitspatches eingespielt und bekannte kritische Schwachstellen behoben wurden. Die Webseitenbetreiber sollten außerdem über einen geregelten Prozess zum Patch Management verfügen und die datenschutzrechtlichen Verpflichtungen im Umgang mit Sicherheitsverletzungen umsetzen können.

Zu den Prüffragen gehörte unter anderem, ob "HTTPS in ausreichender Konfiguration zum Einsatz" komme und ob eine aktuelle Magento-Version eingesetzt werde. Im Ergebnis stellte die Aufsichtsbehörde fest, dass 15 der Shops "zum Teil gravierende Mängel" aufwiesen. Vor allem wichtige Sicherheitspatches waren nicht installiert worden. Auch gab es in wenigen Fällen Backend-Pfade wie das Administratorenverzeichnis /admin/, die nicht ausreichend geschützt waren.

Schlampiger Datenschutz in Kfz-Werkstätten

Eine wegweisende Entwicklung der Prüftätigkeiten besteht darin, dass das BayLDA über den Tellerrand der IT-Branche blickt: Es führte bereits 2017 die ersten Datenschutzprüfungen zu Fahrzeugdaten durch: Fahrzeugdaten gelten dann als personenbezogene Daten, wenn sie mit der Fahrgestellnummer oder den Kundendaten verknüpft werden. Die im Fahrzeug generierten Daten werden in der Werkstatt für die Inspektion oder die Reparatur benötigt, aber dabei zum Teil an die Kfz-Hersteller übermittelt.

Vom Juni bis Oktober 2017 stellte das BayLDA einschlägige Prüffragen an 12 Kfz-Werkstätten. Dazu gehörte beispielsweise die Frage: "Welche Daten werden bei einem Werkstattbesuch aus dem Fahrzeug erhoben und in den Systemen der Werkstatt gespeichert?", "Wird der Kunde von der Speicherung in Kenntnis gesetzt und wenn ja, wie?" und "Zu welchem Zweck werden Daten weitergeleitet?" Dabei stellte sich heraus, dass einige Werkstätten von den Kunden unzureichende Einwilligungen einholten. Insbesondere wurden die Kunden nicht genügend informiert. Das BayLDA hält im Übrigen eine zentrale Führung der elektronischen Service- und Reparaturhistorie beim Automobilhersteller nur auf Vertragsbasis für zulässig. Gleiches gilt für die Teilnahme an Vergütungs- und Bonusprogrammen. Behördenleiter Thomas Kranig will demnächst zusammen mit den Verbänden der Kfz-Werkstätten und der Automobilindustrie einheitliche Verfahrensweisen abstimmen.

Kein Bußgeldkatalog

Die bayerische Aufsichtsbehörde zeichnete sich bislang dadurch aus, vor allem in Beratungen und Verhandlungen mit den Unternehmen auf Fortschritte zu drängen, während die Prüfbögen vor allem auf kleine Unternehmen abzielten. Bußgelder wurden äußerst selten verhängt. Das könnte sich nun mit der angedrohten Einstellung der Beratungen ändern. Die Politik hat es in der Hand, mit der personellen Ausstattung der Aufsichtsbehörden deren Reaktionsweisen zu lenken: Wer mehr Personal hat, kann auch mehr beraten.

Mit welchen Sanktionen die Unternehmen nun rechnen müssen, ist nicht ausgemacht. Noch gibt es keinen einheitlichen Bußgeldkatalog in Deutschland. Wie viel also ein fehlendes SSL-Zertifikat kostet oder eine Schlamperei im E-Mail-Verteiler, ist offen. Klar ist nur, dass es richtig teuer werden kann, sobald strafrechtliche Aspekte wie Betrug oder Ausspähung eine Rolle spielen. Das deutsche Rekordbußgeld von 1,3 Millionen Euro verhängte die rheinland-pfälzische Datenschutzbehörde gegen den Versicherer Debeka im Jahr 2014. Dabei ging es um den Vorwurf, dass Mitarbeiter des öffentlichen Dienstes an die Debeka Daten angehender Beamter gegen Entlohnung weitergegeben hätten. Ein Großteil des Bußgeldes wurde dafür verwendet, um an der Universität Mainz einen Lehrstuhl für Datenschutz einzurichten.

Das Verfahren wurde damals von Stefan Brink geleitet, der jetzt die Aufsichtsbehörde in Baden-Württemberg leitet. Er ist es auch, der die zwei bisher höchsten Bußgelder nach der DSGVO verhängt hat: 80.000 Euro in einem Fall, bei dem Gesundheitsdaten versehentlich ins Internet gelangten, sowie 20.000 Euro gegen das Internet-Unternehmen knuddels.de wegen einer Datenpanne, bei der die Daten von über 330.000 Nutzern entwendet wurden. Den aktuellen Rekord hält die französische Datenschutzbehörde CNIL mit 50 Millionen Euro gegen Google. Die deutschen Aufsichtsbehörden arbeiten daran, sich auf einen gemeinsamen Bußgeldrahmen zu verständigen. Die niederländische Datenschutzbehörde hat bereits ihren Katalog veröffentlicht, in dem sie den Bußgeldrahmen nach vier abstrakt gehaltenen Kategorien einteilt. Letztendlich werden sich die europäischen Aufsichtsbehörden über eine einheitliche Anwendung der Sanktionsbestimmungen verständigen müssen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 DSGVO: Zeitenwechsel im Datenschutz
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

daydreamer42 28. Mär 2019

Und wenn nicht, was dann? Dann bleiben Vereinswebseiten und andere kleine Angebote...

quineloe 26. Mär 2019

Ich hätte auch schreiben können, dass wir DSGVO-Konform unterwegs sind, aber das ist...

Schnarchnase 25. Mär 2019

Wir legen schon alle möglichen Informationen auf den Tisch, leider wird gerne vorne...

mgutt 23. Mär 2019

Witzig wird es auch, wenn ich einfach sagen, dass ich die Entwicklung übernommen habe...


Folgen Sie uns
       


Datenbasierte Archäologie im DAI

Idai World ist ein System, um archäologische Daten aufzubereiten und online zugänglich zu machen. Benjamin Ducke vom Deutschen Archäologischen Institut stellt es vor.

Datenbasierte Archäologie im DAI Video aufrufen
Netzwerke: Warum 5G nicht das bessere Wi-Fi ist
Netzwerke
Warum 5G nicht das bessere Wi-Fi ist

5G ist mit großen Marketing-Versprechungen verbunden. Doch tatsächlich wird hier mit immensem technischem und finanziellem Aufwand überwiegend das umgesetzt, was Wi-Fi bereits kann - ohne dessen Probleme zu lösen.
Eine Analyse von Elektra Wagenrad

  1. Rechenzentren 5G lässt Energiebedarf stark ansteigen
  2. Hamburg Telekom startet 5G in weiterer Großstadt
  3. Campusnetze Bisher nur sechs Anträge auf firmeneigenes 5G-Netz

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

Minikonsolen im Video-Vergleichstest: Die sieben sinnlosen Zwerge
Minikonsolen im Video-Vergleichstest
Die sieben sinnlosen Zwerge

Golem retro_ Eigentlich sollten wir die kleinen Retrokonsolen mögen. Aber bei mittelmäßiger Emulation, schlechter Steuerung und Verarbeitung wollten wir beim Testen mitunter über die sieben Berge flüchten.
Ein Test von Martin Wolf


      •  /