CNIL reagiert auf unzureichende Maßnahmen gegen Credential Stuffing Angriffe

Ende Januar gab die französische Datenschutzbehörde (CNIL) bekannt, dass sie ein Bußgeld in Höhe von insgesamt 225.000 Euro gegen einen Online Shop Betreiber (i.H.v. 150.000 Euro) und dessen Auftragsverarbeiter (i.H.v. 75.000 Euro) verhängt hat. Ursache für das Bußgeld sind unzureichende technische und organisatorische Maßnahmen zur Abwehr von Credential Stuffing Angriffen.

Die ursächlichen Datenschutzverletzungen traten in einem der CNIL bekannten Zeitraum von etwa zwei Jahren auf der Webseite des Verantwortlichen Shop Betreibers auf. Die Webseite wird regelmäßig von mehreren Millionen Kunden genutzt.

Nach Feststellungen der CNIL wurde die Webseite, besser gesagt die dortigen Kundendaten, regelmäßig Opfer von Angriffen in Form des sogenannten Credential Stuffings. Dies bedeutet, dass Angreifer Listen mit Benutzernamen und Passwörtern erbeuten – z.B. im Darknet – und mithilfe automatisierter Software (“Bots”) versuchen sich in Nutzerkonten auf diversen Webseiten anzumelden. Wenn die Authentifizierung erfolgreich ist, ermöglicht dies dem Angreifer, die in den betreffenden Konten gespeicherten Daten einzusehen, herunterzuladen oder anderweitig zu nutzen.

Sowie auch in diesem Fall, können üblicherweise folgende Daten betroffen sein: Name, Vorname, E-Mail-Adresse und Geburtsdatum der Kunden, sowie Kundenkartennummer und -guthaben sowie Informationen im Zusammenhang mit Bestellungen. Je nach Nutzungszweck der Webseite ist den potentiell betroffenen Datenarten jedoch keine Grenze gesetzt.

Verstoß gegen Artikel 32 DSGVO

Vorliegend wird ein Verstoß gegen Art. 32 DSGVO, aufgrund unzureichender Sicherheitsmaßnahmen, angenommen. Das Unternehmen habe im betroffenen Zeitraum zwar Maßnahmen ergriffen, um diese wiederholten Angriffe zu verhindern, indem ein Tool zur Erkennung und Blockierung von Angriffen entwickelt wurde. Die Entwicklung dauerte jedoch ein Jahr seit Kenntnis der ersten Angriffe. In diesem Zeitraum wurden etwa 40.000 weitere Kundenkonten unbefugt eingesehen. Die CNIL geht davon aus, dass in der Zwischenzeit ergänzend kurzfristig umsetzbare Maßnahmen hätten ergriffen werden müssen.

Der Auftragsverarbeiter muss ebenfalls zahlen

Interessant ist mitunter die Verhängung des Bußgelds auch gegen den Auftragsverarbeiter. Die CNIL betont, dass der für die Verarbeitung Verantwortliche über die Durchführung von Maßnahmen entscheiden und seinem Auftragsverarbeiter dokumentierte Anweisungen geben muss. Der Auftragsverarbeiter jedoch seinerseits die Pflicht habe, auch eigenständig nach den geeignetsten technischen und organisatorischen Lösungen zu suchen, um die Sicherheit der personenbezogenen Daten zu gewährleisten und diese dem Verantwortlichen vorzuschlagen.

Fazit

Das Bußgeld lässt, trotz der durchschnittlichen Höhe, wichtige Erkenntnisse zu. Es bestätigt zum einen, dass auch Verstöße gegen das Datenschutzrecht vorliegen, wenn der ursächliche Datenverlust nicht in der Sphäre des Verantwortlichen stattgefunden hat, sondern sich dort „lediglich“ auswirkt. Auf die Frage der Schuld, in Bezug auf die zugrundeliegende Ursache, kommt es daher nicht an. Denn Credential Stuffing ist erster Linie erfolgreich, da Webseiten-Benutzer oft dasselbe Passwort und denselben Benutzernamen (z.B. E-Mail-Adresse) bei verschiedenen Online-Diensten verwenden und diese Credentials böswillig von Angreifern verwendet werden. Dieses Phänomen wird wohl kein Verantwortlicher ändern können.

Zum anderen stellt es die erforderliche Kooperation zwischen Verantwortlichem und Auftragsverarbeiter in den Mittelpunkt, insbesondere wenn letztere an Verarbeitungen beteiligt sind, die einen besonderen Schutzbedarf aufweisen. Wieder einmal wird zudem die Relevanz von technischen und organisatorischen Maßnahmen bestätigt, die dem Stand der Technik entsprechen – die folglich geeignet sind gängige Angriffsmethoden abzuwehren, oder mindestens angemessen einzuschränken.