Aufgrund einer Datenschutzverletzung bei der Fluggesellschaft British Airways fordert die britische Datenschutzbehörde (Information Commissioner’s Office – ICO) ein Bußgeld in Millionenhöhe wegen Verstoßes gegen die Europäische Datenschutz-Grundverordnung (DS-GVO). Die Höhe des Bußgeldes  von 204 Millionen Euro orientiert sich in diesem Fall an ca. 1,5 Prozent des letzten Jahresumsatzes bei British Airways.

1. Was hat zu dieser Datenschutzpanne geführt?

Im Jahr 2018 wurden durch einen Hackingangriff personenbezogene Daten von ca. 500.000  Kunden der British Airways erbeutet. Bei den abgegriffenen Daten handelte sich es um Zugangsdaten, Adressen, Namen, Reiseinformationen und Kreditkartendaten mit CVV-Sicherheitsnummern. Das Bußgeld in Rekordhöhe resultiert vor allem daraus, dass eine solche Vielzahl an personenbezogenen Daten und sogar auch die Zugangsdaten der Kunden involviert waren.

 Es wurden gravierende Sicherheitsmängel im Online-Buchungssystem der Fluggesellschaft festgestellt. Vermutlich wurden die Kunden auf eine gefälschte Internetseite umgeleitet und dazu aufgerufen ihre Daten einzugeben. Interessant ist, dass das Bußgeld aufgrund von nicht ausreichend getroffenen technischen und organisatorischen Maßnahmen verhängt worden ist. Die technischen und organisatorischen Maßnahmen sind die Schnittstelle des Datenschutzes und der Datensicherheit. Das Vereinigte Königreich ist auch nach dem Brexit daran gelegen die DS-GVO die Regularien aktiv umzusetzen.

Ein weiteres Bußgeld in einer solchen Dimension wurde bereits der Hotelkette Marriott angedroht. Auch in diesem Fall sind rund 300.000 Gäste der Hotelkette durch einen Hackerangriff geschädigt wurden. Dabei wurde ein Bußgeld in Höhe von 110 Millionen Euro ausgesprochen, weil aus einer Reservierungsdatenbank unter anderem unverschlüsselte Daten wie Ausweisnummern und Zahlungskartendaten entwendet wurden.

2. Was können Sie tun, damit eine solche Datenschutzpanne nicht ihre Organisation betrifft?

Die vorstehenden Fälle zeigen, dass es immer wichtiger wird die eingesetzten technischen und organisatorischen Maßnahmen einer aktuellen Risiko- und Gefahrenanalyse zu unterziehen. Gemäß Art. 32 DS-GVO sind dabei: der Stand der Technik, die Implementierungskosten und die Art, der Umfangs, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. 

Bei der Festlegung der DS-GVO-Sicherheit sind vier wesentliche Kriterien bzw. Schritte bei der Umsetzung maßgeblich:

1.     Schutzbedarf feststellen;

2.     Risiken bewerten;

3.     Maßnahmen treffen;

4.     Nachweise erbringen.

Wenn vertrauliche Daten durch Webanwendungen verarbeitet, übertragen oder gespeichert werden sollen, ist ein besonders hohes Schutzniveau zu berücksichtigen. Solche vertraulichen Daten können beispielhaft Zugangsdaten (z.B. Benutzername und Passwort), Authentisierungsdaten (z. B. Session ID) und sensible Daten (z. B. Zahlungsinformationen oder Gesundheitsdaten) sein.

Bei der Auswahl eines Passwortes ist zumeist der Anwender gefragt, aber leider finden sich noch viele unsichere Passwörter (z.B. Passwort, 12345) im Umlauf oder es werden immer die gleichen Passwörter für verschiedene Logins verwendet. Grundsätzlich gilt, ein sicheres Passwort  sollte aus mindestens 8 Zeichen (je mehr desto besser), Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern (spezielle Passwörter wie Administratorpasswort haben höhere Anforderungen) bestehen. Überprüfen, ob das eigene Passwort ausspioniert wurde kann man auf verschiedenen Plattformen (z.B. Hasso-Platter-Institut – Identity Leak Checker).

Aufgrund der immer mehr zunehmenden Angriffe auf die IT-Sicherheit ist es umso wichtiger, dass derjenige der die Datenhoheit auf den Servern hat (z.B. der Betreiber eines Online-Shops) bzw. der ausführende Administrator sichere Verfahren zur Speicherung der Passwörter anwendet. Das bedeutet, dass die Daten verschlüsselt werden, dass die Daten sicher gespeichert werden und der Transportkanal gesichert wird.

 In der Regel erfolgt die Speicherung von Zugangsdaten  kryptografisch (z.B. Einweg-Hash-Verfahren). Dabei wird aus dem Passwort eine Zeichenkette abgeleitet, die keinerlei Rückschlüsse auf das eigentliche Passwort zulassen (keine Speicherung im Klartext). Bei einer Verschlüsselung vor der Speicherung können auch bei einem direkten Zugriff auf die Datenbanken keine verwertbaren Daten ausgelesen werden.

Es ist bei der Auswahl der kryptographische Algorithmen allerdings darauf zu achten, dass diese dem Stand der Technik entsprechen und keine bekannten Schwachstellen aufweisen. Dokumentiert werden sollten die Erwägungen zudem in einem Kryptokonzept als Nachweis.

Dabei muss auch der Transportkanal über SSL/TSL vor einer unbefugten Einsichtnahme und Manipulation geschützt werden.

Zudem sind hohe Anforderungen an die eigenen IT-Systeme zu stellen und die Daten in einem geschützten Bereich (z.B. außerhalb des Web-Root-Verzeichnisses oder in einer getrennten Datenbank) abzulegen. Die Zugangsdaten dürfen nicht im Quelltext der Webanwendung  (Hardcodes Passwords) gespeichert werden.

Die Dateisystemberechtigungen sollten sehr restriktiv vergeben und nicht mehr benötigte Daten zeitnah gelöscht werden. Nur die Webanwendung an sich sollten Schreibrechte auf die Zugangsdaten haben und nur von den berechtigten Benutzern über die dafür vorgesehene Schnittstelle geändert werden dürfen.