Frank Spaeing

Automatisierte Prüfaktion für Webseiten-Verschlüsselung durch BayLDA vorgestellt

Das Bayerische Landesamt für Datenschutzaufsicht hat am 10.10.2017 per Pressemitteilung [1], auf seinen Seiten [2] und per RSS-Feed [3] über die neueste Prüfaktion informiert.

Unter Online-Services, HTTPS-Check [4] kann jedermann (Betroffene, Webseitenbetreiber, …) Webseiten aus Bayern melden, die dann vollautomatisch geprüft werden.

Was passiert nach der Prüfung? Hier geben die Hinweise [5] und auch die oben genannte Pressemitteilung Auskunft:

Das BayLDA prüft sowohl selbst erhobene Webseiten (sprich, die üblichen Verdächtigen, die sie immer prüfen? Oder Webseiten, zu denen sie schon mal Aktivitäten hatten?) als auch solche, die per Mail oder über diese Seite bekanntgegeben werden.

Das BayLDA prüft, ob die Webseite auf Grund der angebotenen Dienste verschlüsselt sein muss und ob sie aus Bayern ist, sprich im Zuständigkeitsbereich des BayLDA.

Wenn dieses der Fall ist, wird geprüft, ob der Stand der Technik eingehalten wird. Zitat:
„Anhand eines eigenhändig erstellten Prüfskripts auf Basis der OpenSSL-Bibliothek werden die Webseiten automatisiert daraufhin überprüft, ob die HTTPS-Transportverschlüsselung dem Stand der Technik entspricht. Unter anderem werden folgende Kriterien dabei berücksichtigt:

  • Priore Verwendung von Perfect Forward Secrecy (PFS)
  • Kein Einsatz veralteter Verschlüsselungsprotokolle (SSL2, SSL3)
  • Zertifikate mit mindestens 2048-Bit Schlüssellänge
  • HTTP Strict Transport Security (HSTS) zur Eindämmung der Risiken von Man-in-the-Middle-Angriffen
  • Keine Verwendung von unsicheren Kryptoalgorithmen (z. B. RC4, SHA-1)“

Was sind die Konsequenzen der Prüfung? Am Besten auch hier ein Zitat:
„Alle Unternehmen, deren Webseiten von uns überprüft wurden, erhalten einen kurzen automatisch generierten Prüfbericht. Soweit die Webseiten über eine ausreichende Verschlüsselung verfügen, wird dies entsprechend schriftlich bestätigt. Sollten jedoch Mängel durch die Prüfung erkannt werden, so werden diese dem Betreiber mit der Aufforderung mitgeteilt, innerhalb einer Frist die erforderlichen Maßnahmen zur Verschlüsselung umzusetzen.
Sofern Betreiber von Webseiten ohne ausreichende Begründung der Verpflichtung, eine angemessene Verschlüsselung vorzusehen, nicht nachkommen, wird das BayLDA durch eine entsprechende Anordnung die Betreiber verpflichten, die Verschlüsselung zu implementieren und, falls dieser Anordnung nicht nachgekommen wird, gegebenenfalls ergänzend einen Bußgeldbescheid gegen den Verantwortlichen erlassen.“

Das BayLDA kündigt außerdem in der Pressemitteilung an, dass diese Prüfaktion nur die erste in einer geplanten Serie von Prüfzenarien sein wird. Es soll demnächst auch eine Prüfaktion zum Patch-Management durchgeführt werden. Sobald dieses der Fall ist, wird das BayLDA über die bekannten Kanäle darüber informieren.

Zur Motivation der Prüfaktion Andreas Sachs vom BayLDA (Zitat aus der Pressemitteilung“:
„Wir wollen auch künftig unseren Teil dazu beitragen, dass die Anzahl kritischer Vorfälle in Bayern möglichst gering bleibt und im Zweifelsfall, wenn es doch dazu kommt, dass der Schaden durch eine gezielte Aufarbeitung minimiert wird.“

Diese Prüfaktion wird meiner Meinung nach mindestens zwei Konsequenzen haben:

  • Es werden sicherlich reichlich Webseiten gemeldet werden, da sich dieses Formular ja auch ausdrücklich an Privatpersonen wendet.
  • Da das BayLDA auch in der Vergangenheit bereit war, Prüfmechanismen anderen Aufsichtsbehörden für den Datenschutz zur Verfügung zu stellen, liegt die Vermutung nahe, dass bald auch andere Bundesländer diese oder eine ähnliche Art der Prüfung anbieten werden. Deswegen sollte diese Prüfaktion über die Landesgrenzen Bayerns hinaus aufmerksam durch deutsche Webseitenbetreiber beobachtet werden und diese sollten sich die Frage stellen, ob sie, falls die für sie zuständige Aufsichtsbehörde ähnliche Prüfaktionen startet, diese gut überstehen würden.

Ich würde es mir wünschen, wenn diese Art der Prüfaktionen bundesweit vermehrt vorkommen würden.

Autor:
Frank Spaeing

[1] https://www.lda.bayern.de/media/pm2017_08.pdf
[2] https://www.lda.bayern.de/de/pressemitteilungen.html
[3] https://www.lda.bayern.de/de/rss.xml
[4] https://www.lda.bayern.de/de/httpscheck.html
[5] https://www.lda.bayern.de/de/httpscheckhinweis.html

1 Kommentar

  • Anonymous sagt:

    Aber was „gehört“ zu Bayern? Zählt das Impressum der Webseite? D.h., wenn die Ortsnagbe im Impressum zum bayerischen Hoheitsgebiet gehört, ist das BayLDA zuständig, sonst nicht?

    Oder muss der betroffener Bürger, der ein Angebot eines Telemediendienstes wahrnimmt, in Bayern leben? Wenn ich mir die Begründung der DS-GVO bzgl. der räumlichen Zuständigkeit des EU-Rechts ansehe, gilt das Beschwerderecht auch für jeden, der Baywern besucht, auch wenn er nicht dort lebt. Also z.B. eine Mail aus dem Hotel in Bayern eines Bürgers, der in Hamburg oder Frankreich lebt und der ein webbasiertes Telemedienangebot aus SH meldet – liegt das im Zuständikeitsgebiet von Bayern?

    Kurz: Welcher Bürger darf an das BayLDA melden? Nur bayerische Privatpersonen? Jeder? Ist das BayLODA zuständig für Beschwerden von Bürgern aus anderen Bundes- oder EU-Ländern, wnen diese Bayern besuchen?

    Und: wie prüft das BayLDA die Herkunft des Meldenden? Über IP-Adressen? Unter Berücksichtigung des Einsatzes von Proxy-Servern sind IP-Adressen alleine sicherlich nicht geeignet um als Kriterium herangezogen zu werden. Und auf welcher Rechtsgrundlage erfolgt die Erhebung der Herkunft? Wird ja sicherlich eine Information der betroffenen Person unter Berüpcksichtigung der Vorgaben der DS-GVO erfolgen. 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.