Automatisierte Prüfaktion für Webseiten-Verschlüsselung durch BayLDA vorgestellt

Das Bayerische Landesamt für Datenschutzaufsicht hat am 10.10.2017 per Pressemitteilung [1], auf seinen Seiten [2] und per RSS-Feed [3] über die neueste Prüfaktion informiert.

Unter Online-Services, HTTPS-Check [4] kann jedermann (Betroffene, Webseitenbetreiber, …) Webseiten aus Bayern melden, die dann vollautomatisch geprüft werden.

Was passiert nach der Prüfung? Hier geben die Hinweise [5] und auch die oben genannte Pressemitteilung Auskunft:

Das BayLDA prüft sowohl selbst erhobene Webseiten (sprich, die üblichen Verdächtigen, die sie immer prüfen? Oder Webseiten, zu denen sie schon mal Aktivitäten hatten?) als auch solche, die per Mail oder über diese Seite bekanntgegeben werden.

Das BayLDA prüft, ob die Webseite auf Grund der angebotenen Dienste verschlüsselt sein muss und ob sie aus Bayern ist, sprich im Zuständigkeitsbereich des BayLDA.

Wenn dieses der Fall ist, wird geprüft, ob der Stand der Technik eingehalten wird. Zitat:
„Anhand eines eigenhändig erstellten Prüfskripts auf Basis der OpenSSL-Bibliothek werden die Webseiten automatisiert daraufhin überprüft, ob die HTTPS-Transportverschlüsselung dem Stand der Technik entspricht. Unter anderem werden folgende Kriterien dabei berücksichtigt:

• Priore Verwendung von Perfect Forward Secrecy (PFS)
• Kein Einsatz veralteter Verschlüsselungsprotokolle (SSL2, SSL3)
• Zertifikate mit mindestens 2048-Bit Schlüssellänge
• HTTP Strict Transport Security (HSTS) zur Eindämmung der Risiken von Man-in-the-Middle-Angriffen
• Keine Verwendung von unsicheren Kryptoalgorithmen (z. B. RC4, SHA-1)“

Was sind die Konsequenzen der Prüfung? Am Besten auch hier ein Zitat:
„Alle Unternehmen, deren Webseiten von uns überprüft wurden, erhalten einen kurzen automatisch generierten Prüfbericht. Soweit die Webseiten über eine ausreichende Verschlüsselung verfügen, wird dies entsprechend schriftlich bestätigt. Sollten jedoch Mängel durch die Prüfung erkannt werden, so werden diese dem Betreiber mit der Aufforderung mitgeteilt, innerhalb einer Frist die erforderlichen Maßnahmen zur Verschlüsselung umzusetzen.
Sofern Betreiber von Webseiten ohne ausreichende Begründung der Verpflichtung, eine angemessene Verschlüsselung vorzusehen, nicht nachkommen, wird das BayLDA durch eine entsprechende Anordnung die Betreiber verpflichten, die Verschlüsselung zu implementieren und, falls dieser Anordnung nicht nachgekommen wird, gegebenenfalls ergänzend einen Bußgeldbescheid gegen den Verantwortlichen erlassen.“

Das BayLDA kündigt außerdem in der Pressemitteilung an, dass diese Prüfaktion nur die erste in einer geplanten Serie von Prüfzenarien sein wird. Es soll demnächst auch eine Prüfaktion zum Patch-Management durchgeführt werden. Sobald dieses der Fall ist, wird das BayLDA über die bekannten Kanäle darüber informieren.

Zur Motivation der Prüfaktion Andreas Sachs vom BayLDA (Zitat aus der Pressemitteilung“:
„Wir wollen auch künftig unseren Teil dazu beitragen, dass die Anzahl kritischer Vorfälle in Bayern möglichst gering bleibt und im Zweifelsfall, wenn es doch dazu kommt, dass der Schaden durch eine gezielte Aufarbeitung minimiert wird.“

Diese Prüfaktion wird meiner Meinung nach mindestens zwei Konsequenzen haben:

• Es werden sicherlich reichlich Webseiten gemeldet werden, da sich dieses Formular ja auch ausdrücklich an Privatpersonen wendet.
• Da das BayLDA auch in der Vergangenheit bereit war, Prüfmechanismen anderen Aufsichtsbehörden für den Datenschutz zur Verfügung zu stellen, liegt die Vermutung nahe, dass bald auch andere Bundesländer diese oder eine ähnliche Art der Prüfung anbieten werden. Deswegen sollte diese Prüfaktion über die Landesgrenzen Bayerns hinaus aufmerksam durch deutsche Webseitenbetreiber beobachtet werden und diese sollten sich die Frage stellen, ob sie, falls die für sie zuständige Aufsichtsbehörde ähnliche Prüfaktionen startet, diese gut überstehen würden.

Ich würde es mir wünschen, wenn diese Art der Prüfaktionen bundesweit vermehrt vorkommen würden.

Autor:
Frank Spaeing