Woo­Com­mer­ce Schwach­stel­le und die Aus­wir­kun­gen

Was ist pas­siert?

In der Pres­se ist es regel­mä­ßig zu lesen. Eine aus­ge­nutz­te Schwach­stel­le in bekann­ter Soft­ware ist kei­ne Sel­ten­heit mehr, son­dern lei­der inzwi­schen fast täg­li­che Schlag­zei­le. In die­sem Fall hat es die Shop Soft­ware Woo­Com­mer­ce getrof­fen.

Woo­Com­mer­ce ist ein sehr belieb­tes Plugin für Word­Press Web­sei­ten um auf ein­fa­che Art und Wei­se einen online Shop zu rea­li­sie­ren. Die Soft­ware selbst ist sehr weit ver­brei­tet. Man spricht von über 4 Mil­lio­nen Instal­la­tio­nen. Durch eine Schwach­stel­le war es Angrei­fern nun mög­lich die gesam­te Word­Press Instal­la­ti­on zu über­neh­men. Der Angriff soll an die­ser Stel­le auch nur als Bei­spiel die­nen wie schnell ein mel­de­pflich­ti­ges Daten­leck auf­tre­ten kann.

Das Pro­blem besteht dar­in, dass in einem online Shop fast immer sen­si­ble per­so­nen­be­zo­ge­ne Daten gespei­chert sind. In der Daten­bank wer­den durch die gän­gi­gen Shop-Sys­te­me alle, für die Auf­trags­ab­wick­lung not­wen­di­gen, Daten über einen Kun­den gespei­chert.

Namen, Anschrift und E‑Mailadresse sind hier meist das mini­ma­le Daten­set. Dazu kom­men Infor­ma­tio­nen über das Kauf­ver­hal­ten, also wel­che Arti­kel gekauft wur­den. Des Wei­te­ren sind oft­mals Zah­lungs­in­for­ma­tio­nen in den Daten­ban­ken ent­hal­ten, wel­che zum Shop­sys­tem gehö­ren. Bei einem Hack der Web­sei­te über eine sol­che Schwach­stel­le kön­nen auf einen Schlag alle Kun­den­da­ten einem Angrei­fer in die Hän­de fal­len. Nicht nur für die Kun­den ein schlim­mer Vor­fall.

Was ist bei einem sol­chen Vor­fall zu tun?

Zunächst ist es wich­tig einen Über­blick über das Aus­maß des Scha­dens zu bekom­men. Aller­dings soll­te man sich hier­zu nicht zu viel Zeit las­sen.

Die Mel­dung an die Auf­sichts­be­hör­den ist im Arti­kel 33 der DSGVO gere­gelt. Die Mel­dung an die zustän­di­ge Auf­sichts­be­hör­de hat unver­züg­lich und mög­lichst bin­nen 72 Stun­den zu gesche­hen. Aller­dings muss nicht gemel­det wer­den, wenn es vor­aus­sicht­lich nicht zu einem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen führt. Die Beur­tei­lung muss schlüs­sig sein und soll­te nicht auf die leich­te Schul­ter genom­men wer­den. Kann die Frist von 72 Stun­den nicht ein­ge­hal­ten wer­den benö­tigt dies eben­falls eine Begrün­dung.

Wer ist zustän­dig?

Im Fal­le eines Vor­falls ist also Eile gebo­ten. Daher ist es wich­tig die Pro­zes­se im Vor­hin­ein bereits zu defi­nie­ren und in ihrer Fir­ma zu eta­blie­ren!

Zustän­dig, sowohl für die Mel­dung als auch die Ein­füh­rung der Pro­zes­se, ist der Ver­ant­wort­li­che, also Sie als Unter­neh­mer. Selbst­ver­ständ­lich unter­stütz­ten Sie die MAMEDO IT-Con­sul­ting GmbH bei der Kom­mu­ni­ka­ti­on mit der Auf­sichts­be­hör­de sowie der Bewer­tung des Vor­falls wenn Sie dies wün­schen.

Die nächs­ten Schrit­te

Mit der Bewer­tung des Vor­falls ist die­ser natür­lich noch nicht abge­schlos­sen. Wich­tig ist es die pas­sen­den Schrit­te ein­zu­lei­ten, um sicher­zu­stel­len, dass so ein Vor­fall nicht mehr auf­tre­ten kann.

Im Fal­le der Woo­Com­mer­ce Shops ist es wich­tig, ein aus­ge­feil­tes Sicher­heits­kon­zept eta­bliert zu haben. Gera­de online Unter­neh­men haben eine expo­nier­te IT-Infra­struk­tur und benö­ti­gen ent­spre­chen­de Schutz­kon­zep­te.

So gehört das Ein­spie­len von Sicher­heits­patches zum abso­lu­ten „must-have“. Der Pro­zess und die Umset­zung müs­sen hier klar gere­gelt sein. Haben Sie in Ihrem Unter­neh­men hier kla­re Zustän­dig­kei­ten und Abläu­fe?

Fazit

Gera­de mit Ein­füh­rung der DSGVO ist der Druck auf die online-Unter­neh­men und Unter­neh­men mit online Prä­sen­zen noch stär­ker gewach­sen. Die dau­er­haf­te Ver­füg­bar­keit der Inter­net­prä­senz und die auto­ma­ti­sier­ten Angrif­fe rund um die Uhr auf Web­sei­ten und Shop­sys­te­me stel­len eine hohe Her­aus­for­de­rung an den Betrieb da. Unter­neh­men soll­ten sich über den Wert ihrer Daten im Kla­ren sein und begrei­fen was im Fal­le eines Vor­falls pas­siert.

Pro­mi­nen­te Bei­spie­le gehen immer wie­der durch die Pres­se. Sei­en es Face­book mit dem Daten­skan­dal rund um Cam­bridge Ana­ly­ti­ca oder Goog­le mit dem Ver­lust per­so­nen­be­zo­ge­ner Daten in ihrem Goog­le+ Netz­werk mit anschlie­ßen­der Schlie­ßung des Diens­tes.

Gera­de in Deutsch­land sind ver­mut­lich auch vie­le online Unter­neh­men von dem Vor­fall bei Domain Fac­to­ry betrof­fen gewe­sen. Hier stan­den Kun­den­da­ten durch einen Pro­gram­mier­feh­ler öffent­lich im Netz.

Der Repu­ta­ti­ons­scha­den für jedes die­ser Unter­neh­men ist nicht uner­heb­lich. Das Ver­trau­en der Kun­den ist in so einem Fall zunächst zer­stört und es bedarf enor­mem Auf­wand dies wie­der zu gewin­nen.

Daher kann nur emp­foh­len wer­den dem Prin­zip der Daten­mi­ni­mie­rung zu ent­spre­chen und wirk­lich nur die abso­lut not­wen­di­gen Daten an einer so expo­nier­ten Stel­le, wie einem online Shop, vor­zu­hal­ten. Die­se not­wen­di­gen Daten müs­sen dann so gesi­chert wer­den, dass das ver­blei­ben­de Risi­ko mini­miert wird. Hier muss indi­vi­du­ell betrach­tet wer­den wel­che Maß­nah­men ange­bracht sind.

Soll­ten Sie als Betrei­ber einer online Prä­senz Hil­fe benö­ti­gen bei der Ein­füh­rung, Umset­zung oder Wei­ter­ent­wick­lung ihres Sicher­heits­kon­zep­tes spre­chen Sie uns an. Die Exper­ten der MAMEDO IT-Con­sul­ting GmbH unter­stüt­zen Sie in den Berei­chen Daten­schutz, IT-Sicher­heit, Digi­ta­li­sie­rung oder als exter­ner CTO. Alles aus einer Hand!

Die­sen Bei­trag tei­len