Original-URL des Artikels: https://www.golem.de/news/keine-bussgelder-sicherheitsluecken-bleiben-ohne-strafen-1410-110179.html    Veröffentlicht: 31.10.2014 12:04    Kurz-URL: https://glm.io/110179

Keine Bußgelder

Sicherheitslücken bleiben ohne Strafen

Wenn Unternehmen Sicherheitslücken nicht rechtzeitig melden, darf die Bundesnetzagentur Bußgelder verhängen. Gemacht hat sie das noch nicht, obwohl die Zahl der Datenpannen gestiegen ist.

Auch nach dem Heartbleed-Desaster zeigen sich Aufsichtsbehörden in Deutschland hinsichtlich Sanktionen sehr zurückhaltend. Seit einigen Jahren dürfen Datenschutzbehörden und die Bundesnetzagentur Bußgelder verhängen, wenn Unternehmen Datenlecks nicht binnen 24 Stunden melden. Doch bis heute wurde kein einziges Bußgeld verhängt. An der Zurückhaltung der Behörden änderte auch das im Frühjahr bekanntgewordene Heartbleed-Sicherheitsleck nichts.

Die Bundesnetzagentur ist für Sanktionen gegenüber Internet- und Telekommunikationsunternehmen zuständig. Doch sie hat auch nach der Heartbleed-Attacke keine gesonderten Maßnahmen ergriffen, um festzustellen, ob die Unternehmen die Lücke geschlossen haben. Im Rahmen der üblichen Überprüfungen reichten 920 Unternehmen ihre Sicherheitskonzepte ein. Diese wurden von der Behörde auf Plausibilität geprüft. Dabei sollen laut einem Sprecher die Prüfer auch die Heartbleed-Lücke berücksichtigt haben. Bei rund hundert Unternehmen führte die Bundesnetzagentur zusätzlich stichprobenartig Vor-Ort-Kontrollen durch. Dabei prüfte sie, ob die Konzepte in der Praxis auch umgesetzt wurden. Ein Blick "in den Code" habe allerdings nicht stattgefunden.

Gegenüber Golem.de wollte sich die Behörde nicht dazu äußern, ob und inwieweit die überprüften Sicherheitskonzepte zureichend waren. Bußgelder wurden keine verhängt. Dies ist allerdings nicht zwingend notwendig, da es im Ermessen der Behörde liegt, ein solches zu verhängen. Insofern ist nicht bekannt, ob die geprüften Unternehmen ausreichende Vorkehrungen unternommen haben.

Fehlender Patch gegen Heartbleed

Die Bundesnetzagentur führte keinen Test der Firmenserver durch, wie ihn das Bayerische Landesamt für die Datenschutzaufsicht im September vorgenommen hatte. Dieses kam denn auch zu einer präzisen Aussage: So wurde bei 44 von 2.236 Unternehmen ein fehlender Fix gegen die Heartbleed-Attacke festgestellt. Die Reaktionen der Unternehmen auf den Test waren zudem überwiegend positiv. "Viele Unternehmen haben sofort reagiert und Updates gemacht", erklärte damals Andreas Sachs, Leiter der Abteilung IT-Sicherheit und technischer Datenschutz beim Bayerischen Landesamt. Die Behörde hatte außerdem die Güte der E-Mail-Transport-Verschlüsselung geprüft und kündigte weitere Online-Überprüfungen an.

Reagieren Unternehmen auf die Untersuchungsergebnisse der Datenschützer nicht, drohen Bußgelder. Die Bundesnetzagentur äußerte sich nicht dazu, ob sie das Vorgehen der Datenschützer übernehmen wolle.

Die Bundesdatenschutzbeauftragte Andrea Voßhoff kommentierte das Verhalten der Bundesnetzagentur nicht. Sie hatte aber erst kürzlich wiederholt den Gesetzgeber aufgefordert, ihr Kompetenzen für die Sanktion von Internet- und Telekommunikationsbehörden zu übertragen. Derzeit kann es aufgrund der Aufgabenteilung zwischen ihrer Behörde, die die Datenschutzkonzepte prüft, und der Bundesnetzagentur, die die Sicherheitskonzepte prüft, zu unterschiedlichen Bewertungen kommen.

Bußgelder von bis zu 300.000 Euro

Hintergrund der unterschiedlichen Zuständigkeiten von Datenschützern und Bundesnetzagentur ist eine gesetzliche Neuregelung aus den Jahren 2009 und 2012: Melden Unternehmen Datenpannen nicht unverzüglich an die Behörden, müssen sie laut §42a Bundesdatenschutzgesetz seit 2009 mit Bußgeldern von bis zu 300.000 Euro seitens der Datenschutzaufsichtsbehörden rechnen. Bietet ein Unternehmen Telekommunikationsdienstleistungen an, dazu gehören auch E-Mail-Dienste, dann unterliegen sie dem Telekommunikationsgesetz. Hier regelt seit 2012 der Paragraph 109a, was Unternehmen bei Datenpannen tun müssen. Auch hier drohen Bußgelder seitens der Bundesnetzagentur.

Bislang wurden allerdings auch keine Fälle bekannt, in denen Datenschützer Bußgelder für nicht gemeldete Datenlecks verhängt haben. Der wohl spektakulärste Fall dürfte der im Frühjahr 2014 bekannt gewordene Hackerangriff auf Ebay sein, der erst durch US-amerikanische Presseveröffentlichungen bekannt wurde. Seither untersucht die zuständige luxemburgische Datenschutzbehörde den Fall. Eine Anfang September gestellte Presseanfrage, wie schnell die Aufsichtsbehörde von Ebay über das Datenleck benachrichtigt wurde, konnte sie bis heute trotz mehrfacher Nachfragen nicht beantworten.  (csh)


Verwandte Artikel:
E-Privacy-Verordnung: Verleger und Startups wollen mehr Daten verarbeiten dürfen   
(07.03.2018, https://glm.io/133201 )
JoltandBleed: Oracle veröffentlicht Notfallpatch für Universitäts-Software   
(20.11.2017, https://glm.io/131238 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
Stream On: Telekom klagt per Eilverfahren gegen Bundesnetzagentur   
(07.03.2018, https://glm.io/133183 )
Vernetztes Fahren: Keine Kommunikationspflicht für Autos in den USA   
(02.11.2017, https://glm.io/130936 )

© 1997–2019 Golem.de, https://www.golem.de/