Inhaltsverzeichnis

Veraltete Software ist ein Sicherheitsrisiko und kann zu DSGVO-Strafen führen

Einer der zentralen Grundsätze für die Verarbeitung personenbezogener Daten in der Datenschutz-Grundverordnung (DSGVO) ist das Prinzip der „Integrität und Vertraulichkeit“. Es sollen Maßnahmen gesetzt werden, damit nur berechtigte Personen mit den Daten arbeiten können. Dazu gehört auch die Forderung, dass diese Maßnahmen dem „Stand der Technik“ zu entsprechen haben.

Was bedeutet „Stand der Technik“?

In der Literatur zur DSGVO gibt es dazu einige Meinungen. Relativ einig ist man sich, dass „Stand der Technik“ auch bedeutet, dass Systeme (Hardware und Software) regelmäßig gewartet werden (können). Der Grund für diese Forderung ist klar: Gerade Software ist heute ungeheuer komplex. Immer wieder tauchen Sicherheitslücken in Software auf, die dann von den Herstellern mehr oder weniger still bereinigt werden.

Viele der Datenschutzverletzungen, die in den letzten Monaten publik geworden sind, hatten den Grund, dass die verwendeten Systeme nicht aktualisiert wurden und somit Angreifer leichtes Spiel hatten, indem sie bekannte Sicherheitslücken ausnutzten. Aber „Stand der Technik“ kann auch den Einsatz oder Nicht-Einsatz bestimmter Technologien bedeuten. Eine zuletzt in Deutschland ausgesprochene Strafe in Höhe von ca. 1% des Jahresumsatzes des betreffenden Unternehmens hatte den Hintergrund, dass das Unternehmen die Kennwörter seiner vielen Tausend Internet-Nutzer im Klartext gespeichert hatte. Das ist eindeutig nicht mehr Stand der Technik und bedeutete ein sehr hohes Risiko für die betroffenen Personen, wenn die Daten in falsche Hände geraten (was auch passiert ist). Auch unverschlüsselte Webseiten, besonders wenn sie über Kontaktformulare o. Ä. verfügen, sind nicht mehr „Stand der Technik“ und werden aus den gleichen Gründen mit Misstrauen betrachtet (und bspw. bei den Suchergebnissen von Google nach unten gereiht).

Was sollte man beachten?

Daher ist es wichtig, die verwendeten Systeme und Technologien regelmäßig zu überprüfen, zu aktualisieren und sicherzustellen, dass nur Software verwendet wird, für die auch noch Sicherheitsupdates vom Hersteller geliefert werden.

Neben offensichtlich zu installierenden Updates für das jeweils verwendete Betriebssystem betrifft das auch Anwendungssoftware (z. B. Microsoft Office), Hilfsprogramme (z. B. Adobe Acrobat Reader), oder Server-Software (inkl. Linux-Distributionen, NAS-Software, Firewall-Systeme, etc.).

Bei der Verwendung von gehosteten Standard-Systemen (z. B. Microsoft Dynamics 365, Office 365) braucht man sich üblicherweise über diese Themen nicht den Kopf zu zerbrechen, denn die Anwendungshoster achten auch in eigenem Interesse darauf, dass nur aktuelle Software eingesetzt wird. Ebenso sollte das auch eine der Vorgaben für Auftragsverarbeiter nach Art. 28 DSGVO sein.

Für interne Software oder eigens programmierte Lösungen kann es aber ganz anders aussehen.

Beispiele bei denen dies oft übersehen wird

Viele eigens programmierte Web-Anwendungen verwenden die Programmiersprache PHP. Wenn diese Programmierung bereits einige Jahre zurückliegt ist es wahrscheinlich, dass bei der Entwicklung PHP in der Version 5.6 (oder in noch früherer Version) verwendet wurde. Für Version 5.6 wurde mit Ende des Jahres 2018 der Support eingestellt, d. h. es wird voraussichtlich keine Sicherheitsupdates mehr geben. Ein Umstieg auf die aktuellen Versionen 7.1 bzw. 7.2 bedeutet aber oft mehr oder weniger aufwändige Änderungen an der Software, weil manche Funktionen nicht mehr in der bisherigen Form zur Verfügung stehen.

Eine im Unternehmen eingesetzte Software wird zwar laufend vom Hersteller aktualisiert, sie funktioniert aber nur mit veralteten Versionen von Acrobat Reader, d. h. die aktuellen (fehlerbereinigten) Versionen von Acrobat Reader können nicht installiert werden. Hier sollte auf den Hersteller insofern eingewirkt werden, dass eine Verwendung mit aktueller Software möglich ist. Im Falle einer Datenschutzverletzung, die aufgrund der alten Software entstanden ist, setzt man sich sonst dem Vorwurf der Fahrlässigkeit aus.

Was wäre also zu tun?

Auch wenn es aus betriebswirtschaftlichen Gründen schmerzt, noch klaglos funktionierende Systeme durch neue zu ersetzen: Sobald ein System das vom Hersteller definierte Ende des Lebenszyklus erreicht hat, hat es im Geschäftsbetrieb nichts mehr zu suchen!

Dazu ist es aber notwendig überhaupt zu wissen, welche Systeme im Unternehmen eingesetzt werden. Die Dokumentation für das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO sollte dafür eine gute Basis sein.

Keywords