skip to Main Content

Firmenwebseiten – Datenschutz & Datensicherheit beachten!

Mit ihren Firmenwebseiten treten Unternehmen nach außen in Erscheinung, so dass diese ganz leicht Gegenstand sowohl von Prüfaktionen der Aufsichtsbehörden sein können, als auch von Kriminellen, die bekannte Sicherheitslücken ausnutzen.

Daher sollten Unternehmen im Impressum und der Datenschutzerklärung ihren Informationspflichten gegenüber den Webseitenbesuchern vollständig nachkommen, und Cookies sowie Trackingsoftware nur derart einsetzen, dass Rückschlüsse auf Webseitenbesucher nicht möglich sind.

Des Weiteren sollte dringend geprüft werden, ob die eingesetzten Webanwendungen abgesichert sind (Stichwort: HTTPS, HSTS, Secure-Cookie-Flag, Secure Coding Guideline usw.) und eine Verwundbarkeit der Webseiten durch Sicherheitslücken ausgeschlossen werden kann. Hintergrund ist, dass viele Webseiten heutzutage mit Content Management Systemen erstellt werden, die anfällig für Schwachstellen sind. Diese Schwachstellen ermöglichen es Angreifern, im schlimmsten Fall Datenbanken auszulesen, Schadcode auf der Webseite einzuschleusen oder gar die gesamte Anwendung, inklusive des Backends (CMS) zu kompromittieren. Um über derart anfällige Webserver bzw. Webseiten bspw. Zugangsdaten von Anwendern abzugreifen, ist unter Umständen auch schon ein unautorisierter Zugriff von außen ausreichend.

Ein großes Problem dabei sind häufig externe Plugins, die oftmals zahlreich in den CMS eingebunden werden können, um Webseiten entsprechend besser und mit mehr Funktionsumfang auszustatten. Ein Verzicht auf solche Plugins macht dann auch nicht nur aus Gründen der Datensicherheit Sinn, sondern auch in datenschutzrechtlicher Hinsicht; denn v.a. über Drittanbieter-Plugins werden oftmals allein durch deren Einbettung auch personenbezogene Daten (u.a. vollständige IP-Adresse, Klarnamen oder E-Mail-Adressen) an Dritte übermittelt, ohne die Einwilligung der betroffenen Webseitenbesucher eingeholt zu haben. Der Empfängerkreis erweitert sich, wenn Kriminelle solche Schwachstellen ausnutzen und dann ebenso Zugriff auf Daten erhalten.

An der Stelle sei nochmals darauf hingewiesen, dass solche Datenschutzverletzungen ab dem 25.05.2018 zukünftig innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden müssen.

Daher empfiehlt es sich, durch ein geeignetes Patch-Management alle Sicherheitslücken in dem verwendeten Content Management System zu schließen und über Penetrationstests die Wirksamkeit der getroffenen Sicherheitsmaßnahmen zu überprüfen.

Christopher Schöndube
IT Security Consultant, Penetrationstester

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Back To Top