Neues zum Datenschutzrecht
24.3.2023
BSI: Viele Software-Produkte für Onlineshops unsicher
Die von Onlineshops eingesetzte Software weist häufig Sicherheitslücken auf. Zu diesem Ergebnis kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI), das im Rahmen einer Studie Onlineshopping-Plattformen auf entsprechende Schwachstellen untersucht hat (Pressemitteilung des BSI vom 27.2.2023).
Die Studie „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Onlineshopping-Plattformen“ erfolgte vor dem Hintergrund von Angriffen auf Kundendatenbanken von Onlineshops in Form von unbefugtem Abgreifen und Offenlegen von Kundendaten – sog. Datenleak-Vorfälle. Gegenstand der Studie war die Sicherheit von Software-Produkten, mit denen Onlinehändler ihre Webshops erstellen. Dabei fand das BSI insgesamt 78 Sicherheitslücken mit teilweise gravierenden Auswirkungen auf das IT-Sicherheitsniveau von Kundendaten. Fast alle untersuchten Produkte wiesen eine unzureichende Passwortrichtlinie auf. In sieben von zehn Softwareprodukten für Onlineshops wurden JavaScript-Bibliotheken identifiziert, die verwundbar gegenüber bekannten Schwachstellen waren. Bei 50 % der untersuchten Produkte hatte die Software das offizielle End-of-Life-Datum überschritten und dementsprechend keine Sicherheits-Updates mehr erhalten.
Die identifizierten Schwachstellen behandelte das BSI im Rahmen des so genannten Coordinated-Vulnerability-Prozesses und sensibilisierte die betroffenen Software-Hersteller für die Problematik. Das BSI ruft zum einen die Hersteller dazu auf, Updates für identifizierte IT-Sicherheitslücken umgehend bereitzustellen. Es appelliert zum anderen an Betreiber von Onlineshops, die Updates zeitnah zu implementieren oder alternativ auf sichere Produkte auszuweichen. Zudem sollten Online-Händler bereits bei der Auswahl ihrer Software verstärkt auf IT-Sicherheit achten, um die Kundendaten bestmöglich zu schützen. Hierzu hart das BSI ein paar Fragen zusammengestellt, wie ein verantwortungsvoller Umgang der Hersteller mit dem Thema IT-Sicherheit überprüft werden kann (Seite 60 des Abschlussberichts).
Den Abschlussbericht der Studie können Sie hier direkt herunterladen. Das BSI stellt auf seiner Website außerdem die bereinigten und anonymisierten Einzeldaten sowie die entsprechenden Codebooks für die Reproduzierbarkeit und weiterführende Analyse der quantitativen Befragung bereit. Diese Dokumente können Sie hier herunterladen.
Fazit und Hinweise für die Praxis
Die Informationssicherheit wird in der Praxis leider noch zu oft vernachlässigt, wie die Studie des BSI zeigt. Das Ergebnis dieser Studie ist für Onlineshop-Betreiber jedoch auch datenschutzrechtlich relevant. Onlineshops verarbeiten neben Kontaktdaten in der Regel auch eine Vielzahl sensibler personenbezogener Daten wie Zahlungsdaten, z.B. Bankverbindungen oder Kreditkartendaten. Daher gelten die Vorgaben der DSGVO, insbesondere auch die Pflicht zu technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO und die Pflicht zu Datenschutz durch (Technik-)Gestaltung und datenschutzfreundliche Voreinstellungen gem. Art. 25 DSGVO, aber auch die Pflicht zur sorgfältigen Auswahl von Auftragsverarbeitern gem. Art. 28 Abs. 1 DSGVO, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Schließlich können auch Art. 33 und Art. 34 DGSVO schnell in den Fokus gelangen. Beispielsweise kann eine unzureichende Passwortrichtlinie, wie sie im Rahmen der Studie fast durchgängig festgestellt wurde, gravierende Folgen für die Sicherheit von personenbezogenen Daten haben, z.B. Verlust von Bank- oder Kreditkartendaten bis hin zum Identitätsdiebstahl.
Sollten Sie Fragen zu den Vorgaben für technische und organisatorische Maßnahmen gem. Art 32 und 25 DSGVO, zur Auswahl von Auftragsverarbeitern gem. Art. 28 DSGVO oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht