Sicherheitsrelevante Fehlkonfiguration

Über mehrere Jahre waren aufgezeichnete Anrufe der schwedischen Gesundheitshotline unverschlüsselt auf völlig ungeschützten Servern gespeichert und für jeden erreichbar. Diese hochsensiblen Daten waren weder durch Passwörter noch andere Sicherheitsmaßnahmen geschützt. Nach erster Einschätzung von schwedischen Informationssicherheits-Experten ist dieser Vorfall auf eine sicherheitsrelevante Fehlkonfiguration zurückzuführen. Auf der OWASP-Top-10 Liste der Risiken für die Anwendungssicherheit wird diese Schwachstelle als eine der Hauptbedrohungen angesehen. In dem aktuellen Fall lagen rund 2,7 Millionen Audio-Dateien ungeschützt im Netz.

DSGVO sträflich vernachlässigt

Die DSGVO schreibt jedoch ausdrücklich vor, dass Aufzeichnungen von personenbezogenen Daten abgesichert sein müssen. Weiterhin ist die „sichere Verarbeitung unter Berücksichtigung des Standes der Technik“ in Art. 32 Abschnitt 2 DSGVO formuliert. Was nun genau dem „Stand der Technik“ entspricht, hat der Gesetzgeber nicht definiert. In Deutschland hat der Bundesverband der IT-Sicherheit e.V. (TeleTrusT) jedoch eine Handlungsempfehlung und Orientierung zum geforderten Stand der Technik herausgegeben. Die aktuelle Version kann hier heruntergeladen werden.

Zielführend ist es auch, sich bei der Betrachtung des „Stands der Technik“ auf die damit verbundenen, klar ausgesprochenen Wirkungsziele zu fokussieren. Demnach soll durch den Einsatz von Sicherheitsmaßnahmen gemäß dem Stand der Technik

  • ein dem Risiko angemessenes Schutzniveau gewährleistet werden,
  • den Anforderungen der DSGVO genügt werden und die Rechte der betroffenen Personen geschützt werden.
  • gewährleistet werden, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.

Unter Berücksichtigung dieser Vorgehensweise, die auch Subunternehmen und deren Systeme in die Betrachtung mit einbezieht, können schwerwiegende Datenschutzverletzungen vermieden werden.

Im aktuellen Fall muss der Betreiber der Hotline mit Sanktionen rechnen und sollte in diesem Fall gegen die DSGVO verstoßen worden sein, drohen zusätzlich empfindliche Strafen.