Datenschutzbehörde: Anforderungen an digitale Dienste bei der Cybersicherheit

Das Bayerische Landesamt für Datenschutzaufsicht („BayLDA“) hat im Rahmen des „Safer Internet Day 2019“ bei ausgewählten Internet-Angeboten eine Testreihe mit zwei Prüfblöcken „Cybersicherheit“ und „Tracking“ im Schnellverfahren durchgeführt. Die Ergebnisse wurden als PDF veröffentlicht und mögen für sich sprechen.

Für mich besonders interessant war in diesem Zusammenhang, dass man der Auswertung einzelne Prüfpunkte – und somit Anforderungen der Behörde! – hinsichtlich der Cybersicherheit herauslesen kann. Dabei geht es speziell um die datenschutzrechtlichen Anforderungen im sicheren Umgang mit Nutzerdaten, die sich nach der Prüfliste des BayLDA so darstellen:

  1. HTTPS: Verfügt der Dienst über eine ausreichende HTTPS-Verschlüsselung zum Schutz der eingegebenen personenbezogenen Daten? (Hinweis: Zurecht wird Kritik geübt vom BayLDA wenn eine Verwendung des unsicheren RC4-Chiffre festzustellen ist).
  2. Passworthilfe: Wird dem Nutzer vom Dienst erklärt, wie ein starkes Passwort gewählt werden kann?
  3. Passwortlänge (mindestens): Welche Mindestlänge fordert der Dienst bei einem Passwort (das BayLDA empfiehlt zwölf Zeichen als Mindestlänge für ein Passwort – ich sehe das etwas anders)?
  4. Passwortlänge (maximal): Wie viele Zeichen darf ein Nutzerpasswort maximal haben? (das BayLDA kritisiert, wenn Passwörter nur mit einer Länge von maximal 16 bzw. 24 Zeichen wählbar sind, wobei diese Kritik im Hinblick auf Passwortmanager sinnvoll sein dürfte)
  5. Starkes Passwort: Wird ein starkes Passwort vom Dienst „erzwungen“ oder kann ein Nutzer auch ein schwachesPasswort verwenden? (Besonders kritisch ist, wenn unsichere Passwörter nicht nur möglich sind, sondern auch noch auf Grund veralteter Kriterien als „sicher“ bewertet werden).
  6. Passwortstärke: Wird dem Nutzer die Stärke seines gewählten Passworts angezeigt (z. B. Passwortgütebalken oder Passwortampel)?
  7. Mehr-Faktor-Anmeldung: Wird dem Nutzer auch die Möglichkeit einer Mehr-Faktor-Authentifizierung angeboten (z. B. per SMS-Code oder Geräte-Identifizierung)? (Eine Anmerkung ob man dies als zwingend ansieht fehlt leider; wegen der notwendigen Infrastruktur und auch Kosten dürfte dies nicht für jeden Seitenbetreiber so leicht möglich sein).
  8. Mail-Bestätigung: Erhält der Nutzer eine E-Mail, um die im Account hinterlegte E-Mail-Adresse erfolgreich zu bestätigen (evtl. mit URL-Token) und die Registrierung abzuschließen?
  9. Warnhinweis: Wird der Nutzer während oder kurz nach der Registrierung über die Gefahren möglicher Phishing-Angriffe informiert?
  10. Login-Fehlschläge: Wird der Nutzer darüber informiert, ob es fehlgeschlagene Logins gab und ob fremde Geräte eingeloggt sind?
  11. Abfrage bei Passwort-Änderung: Wird bei Passwortänderung das bestehende (alte) Passwort vom Nutzer erneut abgefragt?
  12. Info bei Passwort-Änderung: Wird der Nutzer über einer Passwortänderung per E-Mail informiert?
  13. Passwort-Vergessen: Wird bei der Passwort-Vergessen-Funktion eine E-Mail mit zeitlich begrenzt gültiger URL an die hinterlegte E-Mail-Adresse des Nutzers versendet?
  14. Support: Stellt die Website Informationen zu Fragen rund um die Account-Sicherheit bereit, wenn z. B. der Account des Nutzers von einem Unbefugten übernommen wurde?

Die Liste ist sinnvoll, aber bei manchen Punkten sollte man Abstriche machen. Speziell die 2-Faktor-Authentifizierung mit SMS dürfte kleine Shops überfordern; Auch ob fremde Geräte eingeloggt sind dürfte Standard-Umgebungen überfordern, wenn es auch durchaus nachzurüsten ist.

Interessant ist, dass man gerade im Bereich Belehrung und Informationen deutliche Anforderungen hat. So wird zur Belehrung des Phishing ausgeführt

Die Verantwortung beim Thema Phishing sehen viele Websitebetreiber scheinbar alleine beim Nutzer, da sie keine oder nur verstecke Hilfe hinsichtlich Phishing-Nachrichten anbieten.

Ausführungen des BayLDA auf Seite 14

Mit diesen Ausführungen macht das BayLDA aus meiner Sicht deutlich, dass man produktive Hinweise erwartet – wobei man nicht den Fehler aus dem Verbraucherschutz machen sollte, den Betroffenen als pathologisch dumm zu betrachten. Ich hoffe sehr, dass an dieser Stelle keine überzogenen Erwartungen gestellt werden.

Jedenfalls hat man mit dieser Liste, wenn man einen Nutzerlogin betreibt, eine gute Checkliste um zu prüfen, was zu tun ist um mit Datenschutzbehörden auf Augenhöhe zu diskutieren. Zugleich zeigt sich hier, dass die Behörden Webseiten im Blick haben und sporadisch zufällig ausgewählte Webseiten prüfen.

Zugehörige Downloads

  • pdf sid_ergebnis_2019
    Bayerisches Landesamt für Datenschutzaufsicht - Sicher im Internet - Digitale Dienste im Datenschutzcheck
    Bayerisches Landesamt für Datenschutzaufsicht - Sicher im Internet - Digitale Dienste im Datenschutzcheck
    Dateigröße: 1 MB Downloads: 14
Fachanwalt für IT-Recht Jens Ferner
Fachanwalt für IT-Recht Jens Ferner
Rechtsanwalt für Datenschutzrecht & Datenschutzbeauftragter: Ich bin als Rechtsanwalt und Fachanwalt für IT-Recht in der Städteregion Aachen auf Fragen des Datenschutzrechts ausgerichtet, biete hier eine Kernkompetenz und stehe Unternehmen und Handwerkern als externer Datenschutzbeauftragter zur Verfügung. Kleinen mittelständischen Unternehmen im Raum Aachen, Heinsberg und Düren wird ein Datenschutzpaket zu pauschalen Preisen angeboten.