Sicherheitslücken können auch ohne Cyberattacke teuer enden

Kevin D. Klak E-Commerce, Grundlagen

Sicherheitslücken können auch ohne Cyberattacke teuer enden

Meist entstehen Sicherheitslücken durch Unachtsamkeit oder Unwissen. So kann es aber nicht nur sein, dass Sie Kriminelle anziehen und entsprechend „ausgeraubt“ werden, sondern auch ohne Angriff können Sie Schaden nehmen. Ein Betreiber eines Webshops wurde kürzlich in Deutschland zu einer Busse (EUR 65’500.-) verurteilt, weil er es unterlassen hatte die veraltete Technik zu erneuern.

Damit verstiess der Betreiber nämlich gegen Art. 32 Abs. 1 DSGVO, da sein Online-Shopsystem erhebliche Sicherheitslücken aufwies. Da der Betreiber vor dem Verfahren bereits seine Kunden informiert hatte, dass die Passwörter gewechselt werden müssen, fiel das Bussgeld entsprechend niedriger aus.

Fehlende Updates

Das System wurde nicht auf den aktuellen Stand der Technik gebracht. So wäre es für Angreifer sehr leicht gewesen, auf das System zuzugreifen und entsprechenden Schaden anzurichten. Sie hätten auch problemlos über längere Zeit das System beobachten können ohne aktiv zu werden. Der Hersteller der Webshop-Software hatte bereits seit 2014 keine Sicherheitsupdates mehr zur Verfügung gestellt und davor gewarnt, dass ohne die Aktualisierung der Software Sicherheitslücken entstünden.

Regelmässige Sicherheitsmassnahmen

Nach DSGVO muss sich jeder, der personenbezogene Daten verantwortet oder verarbeitet, mit den technisch-organisatorischen Massnahmen (TOM), auseinandersetzen. So sollen Risiken minimiert werden. Als Nutzer eines Shopsystems, in dem Kundeninformationen verarbeitet werden, hätte sich der Webshop-Betreiber also um einen ausreichenden Schutz der Kundendaten kümmern müssen.

Dieser Schutz und eventuelle Bedrohungen sind regelmässig zu überprüfen.

Für potenzielle Angreifer hat so die Möglichkeit bestanden, eigene Befehle in die Datenbank einzuschleusen, sich die Zugangsdaten zu erschleichen, den Server herunterzufahren, etc. Hinzu kam, dass kein „Salt“ verwendet wurde. Ein solcher verlängert ein Passwort und erschwert so die systematische Berechnung.

Frühzeitig agieren

Hätte der Betreiber das System regelmässig überprüft, so wäre der Aufwand überschaubar gewesen. Häufig reicht es aber nicht einfach den Knopf „Software aktualisieren“ zu drücken. Umso wichtiger ist es diese Thematik bereits bei der Entwicklung eines Webshops zu diskutieren und einzuplanen. Gerade Webshops, die auf Systemen aufbauen, welche viele Plugins aus einer unüberschaubaren Community benötigen (bspw. WordPress), müssen eine entsprechende Architektur vorab definieren und pflegen.

Faktor Mensch

Es ist immer der Faktor Mensch. Entwickeln Sie also eine Kultur / ein Mindset wo digitale und physische Sicherheit präsent sind. Wir unterstützen sie dabei!

 

Lassen Sie Ihren Webshop regelmässig überprüfen: Webshop Check-Up

Quelle: Internet World

Kevin D. Klak

Kevin unterstützt Ihr Unternehmen im Spannungsfeld der Digitalisierung. Sei es als unabhängiger Beirat für Geschäftsleitung und Verwaltungsrat oder ad Interim in der Umsetzung von strategischen Projekten.