Prävention vermeidet Ärger : Wir nehmen Sicherheit ernst!
Im Wortlaut sagt eine Aussage wie „Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst“ zwar nichts über das erreichte Sicherheitsniveau aus, sondern nur über den Stellenwert des Bemühens.
Wo ist das Problem?“, mag man sich fragen. Im Unterschied zu Produkteigenschaften, wie z. B. Auswertungs- oder Reportfunktionen, ist Sicherheit keine Produkteigenschaft, sondern das Resultat aus dem täglichen Zusammenspiel von technischen Systemen, Softwarearchitektur, Qualität des Quellcodes, organisatorischen Abläufen, erfolgter Wartung, menschlichen Fehlern sowie der Kreativität und Penetranz von Kriminellen und staatlichen Angreifern. Abgesehen von Softwarefehlern sind Produkteigenschaften konstant. Sicherheit ist ein flüchtiger Zustand.
Im Wortlaut sagt eine Aussage wie „Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst“ zwar nichts über das erreichte Sicherheitsniveau aus, sondern nur über den Stellenwert des Bemühens. Trotzdem legt die Aussage den Grundstein für Häme.
Ernste Sicherheit und das Datenleck
„Datenleck bei beliebter KiTa-App Stay Informed“, berichtet Heise Online am 22.03.2024.1 Meldungen über solche Sicherheitsvorfälle meldet Heise Online wöchentlich bis täglich. Das Besondere an diesem Fall ist, dass Anspruch und Wirklichkeit erkennbar auseinanderklaffen. Das Unternehmen wirbt mit der Aussage: „Ein Team aus IT-SicherheitsexpertInnen und DatenschützerInnen begleitet die Weiterentwicklung unserer Software, um Ihnen eine sichere und gleichzeitig einfache Lösung gewährleisten zu können.“2
Möglicherweise seit 2021, jedoch spätestens seit 2023 war laut Heise Online ein Server mit zahlreichen Dateien ohne Zugangsschutz und Transportverschlüsselung im Internet erreichbar. Zudem war die Funktion „Directory Listing“ aktiviert, mit deren Hilfe man sich alle gespeicherten Dateien mit einem einzigen Befehl anzeigen lassen kann.
Ein Blick in den Baustein „APP.3.2 Webserver“ des BSI-Grundschutzes zeigt, dass alle drei Mängel vermieden worden wären, wären die Anforderungen „APP.3.2.A1 Sichere Konfiguration eines Webservers“, „APP.3.2.A2 Schutz der Webserver-Dateien“ und „APP.3.2.A11 Verschlüsselung über TLS“ umgesetzt worden. Alle drei Anforderungen sind Basis-Anforderungen, d. h. diese sind zwingend bei jedem Webserver einzuhalten.
Art. 32 Abs. 1 der Datenschutz-Grundverordnung (DS‑GVO) verpflichtet jedes Unternehmen, unter Berücksichtigung des Stands der Technik geeignete Sicherheitsmaßnahmen zu ergreifen. Der BSI Grundschutz beschreibt den Stand der Technik. Da sich laut Heise Online fast 1.500 CSV-Dateien mit Angaben u. a. über Namen, Geburtsdaten, Anschriften, Herkunftsländer, Impfungen, Konfessionen, Erziehungsberechtigte, Notfallkontakte und Klassenlehrer sowie 16.000 Avatarbilder u. a. von Kindern auf dem Server befanden, kann von einem risikoangemessenen Schutzniveau wohl kaum gesprochen werden. Ein Verstoß gegen Art. 32 DS‑GVO steht im Raum.
„Shit happens“?!
Was bleibt von dem Gewährleistungsversprechen („… um Ihnen eine sichere … Lösung gewährleisten zu können“) übrig?
Laut Heise Online gibt das Unternehmen die Anzahl der betroffenen Auftraggeber mit 15 Prozent von insgesamt 11.000 Auftraggebern an. Wie viele der 842.280 Nutzer betroffen sind, ist der Meldung nicht zu entnehmen.
Für die betroffenen Auftraggeber ist der Vorfall mehr als ärgerlich. Sobald ein Auftraggeber Kenntnis von einem solchen Sicherheitsvorfall bei seinem Auftragsverarbeiter hat, muss er innerhalb von 72 Stunden seine zuständige Datenschutzaufsichtsbehörde informieren, da wohl von einem Risiko für die Rechte und Freiheiten der betroffenen Personen auszugehen ist. Wer die Frist versäumt oder eine unvollständige Meldung abgibt, begeht eine bußgeldbewehrte Ordnungswidrigkeit wegen eines Verstoßes gegen Art. 33 DS‑GVO. Eine etwaige Meldung des Auftragsverarbeiters entbindet den Auftraggeber nicht von der Meldepflicht. Auf die Meldung kann verzichtet werden, wenn der Auftraggeber im Rahmen seiner Risikoprüfung zu dem Schluss kommt, dass der Vorfall voraussichtlich nicht zu Risiken für die Rechte und Freiheiten der betroffenen Personen führt.
Weiterhin muss ein betroffener Auftraggeber prüfen, ob der Vorfall voraussichtlich hohe Risiken für die Rechte und Freiheiten der betroffenen Personen zur Folge hat (Art. 34 DS‑GVO). Wenn er dieses bejaht, muss er unverzüglich alle betroffenen Personen informieren.
Macht melden frei?
Auf den ersten Blick scheint die Situation für die Auftraggeber komfortabel zu sein, denn der Auftragsverarbeiter hat den Vorfall zu verantworten. Im Rahmen einer Auftragsverarbeitung gelten jedoch besondere Spielregeln. Da ist einmal die gesamtschuldnerische Haftung von Auftraggeber und jedem weiteren an der Lieferkette mitwirkenden Auftragsverarbeiter für Schäden aus Verstößen gegen die DS‑GVO zu nennen.3
Weiterhin ist ein Auftraggeber verpflichtet, sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß der DS‑GVO erfolgt (Art. 24 Abs. 1 DS‑GVO). Diese Sicherstellungspflicht umfasst auch das Verhalten des Auftragsverarbeiters (Urteil des Europäischen Gerichtshofs (EuGH) vom 05.12.2023, Az. C 683/21, Rn. 36). Folglich kann gegen den Auftraggeber auch ein Bußgeld verhängt werden, wenn der Auftragsverarbeiter gegen die DS‑GVO verstößt (EuGH-Urteil vom 05.12.2023, Az. C 683/21, Rn. 84).4
Eine Meldung des Sicherheitsvorfalls stellt Auftraggeber auch vor die Herausforderung, die Verteidigung gegen den Vorwurf, gegen die DS‑GVO verstoßen zu haben, mitzudenken. Dabei sollte nicht nur ein mögliches Bußgeld in den Blick genommen werden, sondern auch denkbare Schadensersatzansprüche der betroffenen Personen. Führt ein Verstoß gegen die DS‑GVO kausal zu einem materiellen oder immateriellen Schaden, besteht grundsätzlich ein Schadensersatzanspruch.
Fazit
Prävention vermeidet Ärger Die Lehre aus dem Vorfall sollte nicht nur sein, auf Versprechen, wie ernst man Sicherheit und Datenschutz nehme, zu verzichten. Vielmehr gilt es, Sicherheitsvorfälle durch eine Kombination von Maßnahmen zu verhindern.
Wer sein seit zehn Jahren gewachsenes Programm zur Personalabrechnung nun auch als SaaS betreibt, sollte sich fragen, ob die Architektur den Angriffen, denen aus dem Internet erreichbare Server ausgesetzt sind, trotzen kann. Erkannte Risiken bedürfen kompensatorischer Maßnahmen, um die Eintrittswahrscheinlichkeit oder die Schadenshöhe zu senken. Das Mindestmaß ist die Umsetzung des BSI-Grundschutzes.
Der BSI-Lagebericht zeigt jedes Jahr aufs Neue, dass Kriminelle und staatliche Angreifer höchst umtriebig sind. Der Bericht für 20231 nennt bspw. 21.000 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erkannte neue infizierte Systeme (täglich!). Daran dürften die 250.000 neuen Varianten von Schadprogrammen, die täglich gefunden werden, genauso ihren Anteil haben wie die 2.000 neuen Schwachstellen, die pro Monat bekannt werden. Davon sind 15 Prozent kritisch. Angreifern gehen die Gelegenheiten zum Eindringen nicht aus.
Wie der hier vorgestellte Fall eindrücklich zeigt, sind regelmäßige Kontrollen aller technischen und organisatorischen Maßnahmen unerlässlich. Dazu zählt bspw. auch, dass Konfigurationen an Systemen, die aus dem Internet erreichbar sind, nicht nur im Vier-Augen-Prinzip erfolgen, sondern unmittelbar auf unbeabsichtigte Nebenwirkungen oder Fehler überprüft werden sollten. Im Rahmen einer Überprüfung anlässlich des Sicherheitsvorfalls fand Stay Informed weitere „Fehlkonfigurationen auf Entwicklungsservern“.2
Das BSI sieht mindestens 37Prozent der Exchange-Server in Deutschland als „stark gefährdet“ an, d.h. sie können von Angreifern übernommen werden.3 Ursache sind laut BSI veraltete Softwareversionen, deren Sicherheitslücken nicht mehr geschlossen werden, und nicht installierte Updates für aktuelle Softwareversionen. Den Zustand des hauseigenen Exchange-Servers zu überprüfen, erscheint mehr als empfehlenswert.
Wer Kontrollen – auch bei seinem Auftragsverarbeiter – durchführt oder Sachverständige mit der Durchführung beauftragt, setzt auch Artt. 24 Abs. 1 und 32 Abs. 1 lit. d) DS‑GVO um. Damit werden nicht nur Sicherheitsvorfälle verhindert, sondern die Karten zur Abwehr von Schadensersatzansprüchen oder Bußgeldern verbessern sich ebenso.