BayLDA prüft Verschlüsselung von Webseiten

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) startet seine „Cybersicherheitsinitiative zum Schutz personenbezogener Daten“. Dazu wird als erster Baustein ein neuer Online-Service angeboten, über den die HTTPS-Verschlüsselung einer Webseite zur Überprüfung gemeldet werden kann.

AKTUELLE GEFÄHRDUNGSLAGE

Cyberangriffe haben in den vergangenen Jahren spürbar zugenommen. Dafür gibt es verschiedene Gründe, wobei der Profit durch den gezielten Verkauf personenbezogener Daten im Darknet als Hauptmotivation relativ weit oben steht. Für Cyberkriminelle ist dieses „Geschäft“ rentabel, für Unternehmen dagegen der blanke Horror: schließlich drohen durch solche Angriffe einerseits empfindliche finanzielle Verluste, andererseits aber auch nachhaltige Imageschädigungen, die eine Abwanderung von Kunden zur Folge haben können. Für die Betroffenen sind neben finanziellen Schäden auch die Verletzung ihrer Persönlichkeitsrechte, wie z. B. Rufschädigung oder Diskriminierung, zu befürchten.
Als Datenschutzaufsichtsbehörde ist das BayLDA bei der Aufarbeitung solcher Vorfälle bereits heute involviert: Nach § 42a Bundesdatenschutzgesetz (BDSG) besteht eine Meldepflicht von Unternehmen über Sicherheitsvorfälle, wenn sensible Daten betroffen sind (z. B. Bank- oder Gesundheitsdaten) und gleichzeitig den betroffenen Personen schwer- wiegende Beeinträchtigungen drohen. Während früher dem BayLDA im Rahmen dieser sog. Datenpannenmeldungen meist die Fehlversendung vertraulicher Unterlagen oder der Verlust von Datenträgern mitgeteilt wurde, wird die Behörde mittlerweile vermehrt auch mit Meldungen von Hacking-Angriffen konfrontiert. So melden Unternehmen, dass Kundendaten aus dem Webshop gestohlen wurden oder Ärzte, dass sie aufgrund eines Verschlüsselungstrojaners nicht auf Patientendaten zugreifen können. Vorfälle, bei denen es hunderttausende Betroffene gibt oder ein sehr ho- her finanzieller Schaden entsteht, sind keine Seltenheit mehr.

DIE CYBERSICHERHEITSINITIATIVE

Gerade aufgrund der gestiegenen Gefährdungslage im Internet und dem Ausblick, dass eine baldige Besserung hier- bei nicht erkennbar ist, stärkt das BayLDA seinen Fokus auf Maßnahmen zur Cybersicherheit für bayerische Unternehmen, damit diese personenbezogene Daten zeitgemäß, angemessen und wirksam vor den täglichen Gefahren im digitalen Zeitalter besser schützen. Das BayLDA will künftig insbesondere durch flächendeckende automatisierte Prüfungen Schwachstellen und Sicherheitslücken aufzeigen, um dadurch Unternehmen in Bayern zu sensibilisieren und, sollte es notwendig sein, auch dazu zu bewegen, sicherheitsrelevante Themen mit entsprechender Ernsthaftigkeit zu begegnen. Letztendlich drohen ab Mai 2018 durch die Datenschutz-Grundverordnung (DS-GVO) bei Verstößen Bußgelder in empfindlicher Größenordnung: Bis zu 10 Millionen Euro oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des Unternehmens (je nachdem, welcher Betrag höher ist) können verhängt werden.

ONLINE SERVICE – HTTPS-CHECK

Als ersten Schritt dieser Cybersicherheitsinitiative prüft das BayLDA die Verschlüsselung von Webseiten bayerischer Anbieter (Details zum Ablauf der Prüfung siehe Anhang). Die Erfahrung des BayLDA zeigt bislang, dass Webserver von Unternehmen nicht immer entsprechend dem Stand der Technik betrieben werden. Das Hauptproblem liegt dabei im Fehlen eines Zertifikats oder einer nicht ausreichenden HTTPS-Konfiguration – was dazu führt, dass Kundendaten unverschlüsselt oder schwach verschlüsselt durch das Internet zum Zielserver übertragen und letztendlich abgegriffen werden können. Zwar können auch Daten, die entsprechend dem Stand der Technik verschlüsselt sind, abgefangen werden – jedoch ist bei diesen ein „Knacken“ massenhafter Daten ohne unverhältnismäßigen Aufwand kaum möglich.
Neben der Prüfung einiger von uns ausgewählter Webseiten bietet der neue Online-Service des BayLDA erstmals die Möglichkeit an, dass konkrete Webseiten zur Überprüfung mitgeteilt werden. Sowohl Unternehmen, die Ihre eigene Webseite prüfen lassen wollen, als auch Bürger, die bestimmte Internet-Dienste prüfen lassen möchten, können die jeweilige URL auf der Homepage des BayLDA in ein dafür vorgesehenes Formularfeld eingeben. Unternehmen, die ihre eigene Webseite eingegeben haben, erhalten ein schriftliches Feedback mit dem Ergebnis der Prüfung. Bürger, die eine Webseite von Dritten nennen, bekommen keine persönliche Rückmeldung, können allerdings sicher sein, dass wir die Einhaltung der Mindestanforderungen an die HTTPS-Verschlüsselung bei den gemeldeten Webseiten sicherstellen werden. Falls die HTTPS-Verschlüsselung der Webseite den gesetzlichen Anforderungen nicht entspricht, werden die betroffenen Unternehmen zur Nachbesserung aufgefordert und als letztes Mittel auch per Anordnung dazu gezwungen. Der HTTPS-Check kann über folgenden Link auf der Webseite des BayLDA angestoßen werden:

www.lda.bayern.de/de/httpscheck.html

Andreas Sachs, Vertreter des Präsidenten und gleichzeitig Leiter des Referats für IT-Sicherheit und technischen Datenschutz im BayLDA, äußert sich zur Cybersicherheitsinitiative und dem neuen Online-Service wie folgt:

„Prävention bleibt auch im technischen Datenschutzumfeld das A und O. Während man in der Vergangenheit das Gefühl hatte, gegen Windmühlen ankämpfen zu müssen, stellen wir jetzt zumindest fest, dass ‚Sicherheit‘ in den Köpfen angekommen ist. Der nächste Schritt ist nun, aufzuzeigen, an welchen Stellen die Unternehmen konkret anpacken müssen. Wir wollen auch künftig unseren Teil dazu beitragen, dass die Anzahl kritischer Vorfälle in Bayern möglichst gering bleibt und im Zweifelsfall, wenn es doch dazu kommt, dass der Schaden durch eine gezielte Aufarbeitung minimiert wird. Sollten wir jedoch bei unseren Prüfungen auf ’schwarze Schafe‘ treffen, die sich weigern, den gesetzlichen Anforderungen an den Datenschutz nachzukommen, werden wir diese mit Anordnungen oder Bußgeldern zwingen, den Grundrechtsschutz ihrer Beschäftigten, Kunden und/oder Interessenten zu wahren.“

Das BayLDA appelliert an alle bayerischen Verantwortlichen, d. h. Unternehmen, Vereine, Verbände, freiberuflich Tätigen usw., die mit personenbezogenen Daten umgehen, das Thema Cybersicherheit ernst zu nehmen. Mit der DS-GVO wird der Gesichtspunkt der Sicherheit der Verarbeitung auch formell bedeutender, sodass es für Unternehmen keinerlei Spielraum gibt, dieses Thema nur stiefmütterlich zu behandeln.