Achtung: Bußgeld bei Kontaktformular ohne Verschlüsselung

Derzeit beanstandet das Bayerische Landesamt für Datenaufsicht (kurz: LDA Bayern) Webseiten, die mittels Kontaktformularen persönliche Daten erheben und diese ohne HTTPS-Verschlüsselung übertragen.

Dazu äußerte sich das LDA Bayern wie folgt:

„Werden Formulare oder andere Webelemente in Internetauftritten eingebunden, die es Webseitenbesuchern ermöglichen, personenbezogene Daten einzugeben und über das Internet zu übertragen, betrachten wir die Verwendung einer Transportverschlüsselung (TLS bzw. HTTPS) als erforderlich an, um auf dem Transportweg für den Schutz dieser personenbezogenen Daten zu sorgen. Gleichzeitig sollen hierbei Verfahren zum Einsatz kommen, die auch eine nachträgliche Entschlüsselung des abgeschöpften Datenverkehrs erschweren (sog. Perfect Forward Secrecy).

Hintergrund dieser Anforderung ist, dass eine nicht-öffentliche Stelle nach § 9 BDSG die technischen und organisatorischen Maßnahmen treffen muss, die erforderlich sind, um die Ausführungen der Vorschriften des BDSG, insbesondere die in der Anlage zu § 9 BDSG genannten Anforderungen, zu gewährleisten. Im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle (Anlage zu § 9 BDSG Satz 2 Nrn. 2 bis 4) sind insbesondere Verschlüsselungsverfahren nach dem Stand der Technik entsprechende Maßnahmen.“
 

Wer ist konkret betroffen?

Die Pflicht zur Absicherung persönlicher Nutzerdaten ist nicht neu. Da aber im deutschen Recht sehr viele Daten als „personenbezogen“ einzustufen sind, ist zumindest davon auszugehen, dass jedes Webformular von einer Beanstandung betroffen sein kann – so zum Beispiel nicht nur Login-Funktionen, sondern auch Kommentarfunktionen auf einer Blog-Seite. Denn auch hier werden personenbezogene Daten erhoben und übertragen (Name, E-Mail-Adresse, ggf. weitere Daten).

Verschlüsselungsverfahren absichern: Das empfiehlt das LDA

In der Regel ist eine Absicherung durch eine Verschlüsselung über HTTPS ausreichend. Jedoch verweist das LDA – nicht zu Unrecht – auf den sog. „Poodle“-Angriff, seit dem auch SSL v3 „nicht mehr als sicher einzustufen“ sei. Als Alternative empfiehlt es daher das Protokoll TLS 1.2.

Dabei muss jedoch sichergestellt sein, dass die Verschlüsselung auf keinen Fall umgangen werden kann (z.B. durch eine direkte Anwahl über HTTP statt HTTPS).

E-Mail-Verkehr: Ist er auch betroffen?

Auch der E-Mail-Verkehr mit Ihren Mandanten ist ins Fadenkreuz des LDA gewandert. Sofern schützenswerte Daten übermittelt werden, sollte Ihr Mail-Server „so konfiguriert werden, dass diese eine opportunistische Transportverschlüsselung mittels SSL/TLS […] insbesondere auch STARTTLS zur Verschlüsselung unterstützen“.

PGE und S/MIME: Keine Alternativen!

Auch gängige Dienste, um E-Mail-Inhalte zu verschlüsseln und erst beim Empfänger wieder zu entschlüsseln, ersetzen die „Pflicht“ zu STARTTLS oder Alternativen nicht. Denn PGE und S/MIME verhindern zwar ein Auslesen der inhaltlichen Informationen einer E-Mail, jedoch können Meta-Informationen, wie Absender, Sendezeitpunkt und Empfänger, weiterhin ausgelesen werden. Eine Versclüsselung mit STARTTLS verhindert das.

Unsere Handlungsempfehlung für Sie

Falls Sie sich unsicher darüber sind, ob auch Ihre Verfahren durch das LDA beanstandet werden können, empfehlen wir Folgendes:

  1. Identifizieren Sie alle Webformulare, die personenbezogene Daten abfragen (z.B. Newsletter- und Kontaktformulare, Blogartikel mit Kommentarfunktion, Seiten mit Logins).
  2. Binden Sie diese Seiten über SSL/HTTPS ein.
  3. Verhindern Sie einen direkten Seitenaufruf über HTTP.
  4. Überprüfen Sie anschließend Ihr SSL-Zertifikat. Wir empfehlen 2048 Bit.
  5. Als Letztes: Überprüfen Sie Ihren Mailserver – hier sollte STARTTS als Übertragungsart eingestellt sein. Sofern Sie bereits eines inhaltsbezogene Verschlüsselungsvariante nutzen (z.B. PGE oder S/MIME) nutzen Sie beide Verschlüsselungsformen.

Bei Fragen hilft Ihnen Ihr Webmaster mit Sicherheit weiter. Alternativ stehen auch wir Ihnen gern zur Verfügung. Sie können uns hier direkt eine E-Mail schreiben!

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.