EU-DSGVO Bußgeld wegen veralteter IT-Sicherheit

Seitdem die EU-DSGVO 05.2018 in Kraft getreten ist kommen nun nach und nach immer mehr Firmen in das Visier der Behörden und das leider nicht nur bei reinen Datenschutzverstößen. Wer heute glaubt, er habe alle richtig gemacht, sollte noch mal mit seinem IT-Dienstleister sprechen, den der weiß meist viel besser wo es Schwachstellen oder Handlungsbedarf gibt, das ersetzt natürlich keinen Datenschutzbeauftragten, ist aber eine erste Maßnahme.

Ein Unternehmen das im Onlinebereich Handelt hatte eine Abmahnung von 65.500 Euro erhalten, da die Systeme nicht den neuesten Technischen & organisatorischen Maßnahmen „Art. 25 DSGVO und Art. 32 DSGVO“ und der Sicherheit der Daten genügen. Genauer handelt es sich um einen Altes Shopsystem, das schon seit Jahren nicht mehr supportet wird und der Hersteller bereits den Support eingestellt und allen Anwender zu einem Update geraten hat. Infolge hat die Datenschutzbehörde sich das System angesehen und festgestellt, das es in der alten Version die Kundendaten unzureichend schützt und z.B. Passwörter über die Datenbank zu leicht zu entschlüsseln wären. Gerade alte Shopsysteme haben viel Einfallstore die Hacker ausnutzen können, um z.B. Kundendaten abzugreifen oder noch schlimmeres mit dem Shop bzw. der Plattform anzustellen.

Prüfen Sie die Webseite oder das Shopsystem regelmäßig auf Updates, abonnieren Sie Newsletter der Hersteller, um bei Gefahren rechtzeitig informiert zu werden. Besonders gefährdet sind bekannte Systeme wie: WordPress, Joomla, Shopware, JTL-Shop, Magento, XT-Commerce u. v. m. Für Hacker sind nur bekannte Systeme ein gutes Ziel, da die Sicherheitslücken dann bei einer breiten Masse ausnutzbar sind und sich die Arbeit schnell lohnen kann. Es tut auch nicht weh, ab und an mal, ein Update zu machen, zumal die Hersteller der Plattformen die Prozesse recht gut vereinfacht haben, wenn nicht zu viele Anpassungen durch den Kunden, am System vorgenommen worden sind.

Zunächst bewahren Sie ruhe und setzen sich mit ihrer IT oder Dienstleister in Verbindung. Danach Sperren Sie erst mal alle bekannten Zugänge zum System oder der Plattform, nun erfolgt die Analyse wer, wo, wie eingedrungen ist. Ist nun der Weg gefunden muss das Sicherheitsloch gestopft werden, hierfür gibt es mehrere Wege, es empfiehlt sich einen Experten aufzusuchen. Manchmal gibt es auch noch Sicherungen die eingespielt werden können. Sind Daten abhandengekommen oder die Gefahr das es so ist, sollten Sie auf jeden Fall innerhalb von 72h „Art. 33 DSGVO“ nach bekannt werden, mit Ihrer Datenschutzbehörde in Kontakt treten und umgehend alle Kunden die betroffen sein könnten informieren. Ob dann eine Strafe auf Sie zu kommt, hängt davon ab, ob wirklich Daten abgegriffen werden konnten.