rating service  security service privacy service
2014/04/12 Datenleck Heartbleed - datenschutzrechtliche Konsequenzen
Für betroffene Einrichtungen ergeben sich nach DSG 2000 zahlreiche Verpflichtungen - Verständigungspflicht der Kunden - unverzügliche Beseitigung der Lücke - Schadenersatzpflicht für Folgeschäden - Verwaltungsstrafen bei unsicheren Systemen

Was ist Heartbleed?

Die unter dem Namen "Heartbleed" bekannt gewordene Sicherheitslücke betrifft alle Webserver, bei denen die Verschlüsselungssoftware "openssl" installiert ist. Dieses Modul ist unter anderem Standard bei allen Apache-Servern. Die Softwareversionen •OpenSSL 1.0.1 bis 1.0.1f" sind von der Lücke betroffen, andere Versionen nicht.

Durch die Lücke kann verschlüsselter Datenverkehr leicht entschlüsselt werden, Passwörter und andere vertrauliche Informationen sind offen zugänglich.


Jeder kann die Lücke finden (und nutzen)

Bei einer Standardinstallation ist die Information über die verwendete Software öffentlich lesbar. Jeder Internetbenutzer kann durch simple Abfrage prüfen, ob diese fehlerhafte Software installiert ist. Dies ist bei etwa 40% der in Österreich laufenden Apache-Servern - mehr als 100.000 Installationen - der Fall. Der überwiegende Rest verwendet eine "alte" und damit in diesem Punkt "sichere" openssl-Version.

Kriminellen wird es daher besonders einfach gemacht, unsichere Server zu finden, Passwörter auszulesen und zu missbrauchen. Besonderes technisches Wissen ist nicht mehr erforderlich. Das Ausspähen kann daher großtechnisch organisiert werden, mehrere hundertausend Passwörter, aber auch andere vertrauliche Informationen können binnen weniger Tage beschafft werden.


Viele Server öffentlicher Einrichtungen betroffen

Eine kurzfristig durchgeführte vertrauliche Stichprobenüberprüfung durch eine IT-Sicherheitsfirma zeigte, dass auch einige hundert Server von Behörden, Bundes- und Landesdienststellen von der Lücke betroffen sind.

Auffällig - fast schon traditionsgemäß - ist der hohe Anteil von betroffenen Servern aus dem öffentlichen Schul- und Bildungswesen. Auch zahlreiche Gemeinden "glänzen" mit unsicheren Serverinstallationen.


Verständigungspflicht der betroffenen Nutzer durch den Serverbetreiber

§ 24 Abs. 2a DSG 2000 verlangt eindeutig, dass Betroffene bei systematischen Datenschutzverletzungen zu verständigen sind. Die Verständigungspflicht trifft den Serverbetreiber, ein eigenes Verschulden des Betreibers ist nicht erforderlich. Es reicht, dass er von Datenschutzverletzungen Kenntnis hat.

Es ist auch nicht erforderlich, dass konkrete einzelne Verletzungen nachgewiesen wurden, ein begründeter Verdacht reicht für die Informaitonspflicht aus.

Die Betreiber können sich auch nicht auf die allgemeine öffentliche Diskussion über die Sicherheitslücke berufen und argumentieren, damit "wisse sowieso jeder", dass es Datenschutzverletzungen gäbe. Jeder Benutzer hat einen individuellen Anspruch zu erfahren, ob er davon betroffen sein kann oder nicht.

Hans G. Zeger, Obmann ARGE DATEN: "Das absolute Minimum an Informationspflicht ist die Bekanntgabe der Lücke auf der jeweiligen Website des Betreibers. Wenn Benutzer nur selten eine Website nutzen oder wo besonders hoher Schaden droht, ist zusätzlich eine direkte Verständigung der Betroffenen erforderlich."

Die Verständigung hat nicht nur eine Information über die Lücke zu enthalten, sondern auch, welche Schutzmaßnahmen der Betroffene zu setzen hat (etwa Wechsel von Passwörtern) und wohin er sich im Falle von Schadenersatzansprüchen wenden kann.


Pflicht zur unverzüglichen Beseitigung der Lücke

Gemäß § 14 DSG 2000 hat der Betreiber einer Website Sicherheitsmaßnahmen nach dem "Stand der Technik" zu setzen. Sobald Sicherheitslücken bekannt werden, hat daher der Betreiber die Verpflichtung diese unverzüglich zu schließen.

Hans G. Zeger: "Unverzüglich wird je nach Anlassfall - auch in Hinblick was einem Betreiber zumutbar ist - zu interpretieren sein. Im konkreten Fall mit extrem weitreichenden Konsequenzen und der relativ einfachen Möglichkeit die Schwachstelle zu beheben, wird unverzüglich wohl bedeuten, dass innerhalb eines Tages die Lücke geschlossen wird."

Spätestens seit 9. April 2014 sollte es keinen Server mit dieser Lücke in Österreich geben.

Darüber hinaus verpflichtet § 14 DSG 2000 auch zu vorbeugenden Sicherheits-Maßnahmen. So ist es etwa unzulässig, Informationen über die installierte Sicherheitssoftware zu veröffentlichen und es dadurch Angreifern zu erleichtern, Schwachstellen zu finden.


Schadenersatzpflicht bei Folgeschäden

§ 33 DSG 2000 regelt die Schadenersatzpflicht. Kommt ein Betreiber der Verständigunsgpflicht und der unverzüglichen Behebungspflicht nicht nach, dann haftet er jedenfalls für alle daraus entstehenden Folgeschäden. Etwa, wenn mittels ausgespähter Passwörter unberechtigte Kontoabhebungen erfolgen.

Die Beweislast für den Schadenersatz liegt zwar beim Geschädigten, kann er aber nachweisen, dass ein Betreiber ein unsicheres System trotz Kenntnis über die Unsicherheit verwendet hat, dann wird die Schadenersatzpflicht beim Betreiber "hängen" bleiben.

Werden durch die Sicherheitslücke vertrauliche Daten in bloßstellender Weise öffentlich oder unbefugten Personen zugänglich gemacht, dann gebührt zusätzlich ein immaterieller Schadenersatz bis zu 20.000,- Euro pro Betroffenem. Bloßstellend könnten die Tatsache sein, dass sich jemand mit Gesundheitsfragen vertraulich an einen Webportal gewendet hat, wenn bekannt wird, dass jemand Schulden hat oder sonstige Details aus seinem Privatleben öffentlich zugänglich werden.

Auf Grund der ständigen Rechtssprechung des OGH ist von einer Mindeststrafe von etwa 1.000,- Euro auszugehen.


Säumigen Betreibern droht Verwaltungsstrafe

Zusätzlich droht gemäß § 52 Abs. 2 DSG 2000 Betreibern, die Sicherheitsmaßnahmen "gröblich" außer Acht lassen, eine Verwaltungsstrafe bis 10.000,- Euro. Als "gröbliches" außer Acht lassen ist jedenfalls das Ignorieren bekannter Sicherheitswarnungen anzusehen.


Keine vorbeugenden Verpflichtungen der Betroffenen

Betroffene haben keine vorbeugenden Verpflichtungen. Niemand muss auf "gut Glück" Passwörter ändern. Jeder Betroffene kann darauf vertrauen, dass die angebotenen Webservices sicher sind und er vom Betreiber im Fall einer Lücke unverzüglich verständigt wird. Wir er verständigt, dann hat er jedoch unverzüglich zumutbare Maßnahmen zur Schadensminderung zu setzen. Dazu gehört jedenfalls die Änderung eines Passwortes.


Fazit

Die Tatsache, dass IT-Systeme Sicherheitslücken aufweisen können, hat noch keine negativen Konsequenzen für die Betreiber, die diese Software installieren. Jeder Betreiber ist jedoch verpflichtet laufend den Sicherheitsstand seiner installierten Software zu evaluieren und im Fall von Lücken unverzüglich zu reagieren. Ignoriert er diese Verpflichtung, drohen neben Schadenersatz auch Verwaltungsstrafen. Diese sind derzeit noch sehr moderat (bis 10.000 Euro), werden sich aber mit der kommenden EU-Grundverordnung Datenschutz drastisch erhöhen. Es macht daher Sinn schon jetzt für Sicherheit gemäß "Stand der Technik" zu sorgen.

mehr --> github repository für heartbleed check script
mehr --> CASecurity-Infoseite zu Heartbleed
mehr --> openssl-Infoseite zu Heartbleed
mehr --> Schadenersatz nach DSG 2000
mehr --> Verwaltungsstrafen nach DSG 2000
mehr --> Informationspflicht nach DSG 2000

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2017webmaster