Strategie
4 min

Website-Update und DSGVO: So wichtig ist der "Stand der Technik"

Das Thema DSGVO im Kontext eines Website-Updates ist ein Dauerbrenner. Die große Frage ist, wie der "Stand der Technik" interpretiert - denn dieser ist wichtig, wenn es bei Verstößen um Haftungsfragen geht. Wurde man unverschuldet oder fahrlässig Opfer von Datendiebstahl?

Was steht in der DSGVO - und was bedeutet es

Im Artikel 32 der DSGVO steht zur "Sicherheit der Verarbeitung" im Absatz 1:

"Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete […] Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten."

Die Bedeutung für die Website:

Um ein angemessenes Schutzniveau zu gewährleisten, müssen unter anderem Sicherheitsupdates eingespielt werden. 

Die vier wichtigsten Update-Thematiken für Ihre Website

Bei einer Website - ganz gleich ob laufender Betrieb oder großer Website-Relaunch - sind allein auf der Technik-Seite vier Software-Themen aus DSGVO-Sicht relevant, die Sie bzw. Ihre Digitalagentur laufend kritisch hinterfragen müssen!

  • Aktualität Content-Management-System (CMS) 
  • Aktualität Datenbank-Software
  • Aktualität PHP

1. Aktualität Content-Management-System (CMS) 

Das Content Management System (CMS) ist das Herzstück Ihrer Website. Die laufende Kontrolle der Sicherheitsupdates-Situation ist essentiell. Denn wenn ein verfügbares Sicherheitsupdate nicht umgehend eingespielt wurde und danach aufgrund dieser Lücke die Seite von Hackern erfolgreich angegriffen werden konnte, kann das seitens der Behöreden als fahrlässig ausgelegt werden - im Fall der Fälle ist es möglich, dass die Höhe eines möglichen Bußgeldes angehoben wird.

Wir verwenden bevorzugt das Open-Source-CMS TYPO3, denn es hat aus unserer Sicht die beste Update-Versorgung. Bei TYPO3 erscheint zuverlässig alle 18 Monate eine neue Hauptversion, die dann für mindestens drei Jahre mit Sicherheitsupdates versorgt wird. Erweiterten Support gibt es im kostenpflichtigen ELTS-Programm. 

Der Vorteil im Betrieb: Die Sicherheitsupdates wirken nur "unter der Haube" und bringen keine Funktionsänderungen mit. Das bedeutet, dass für Redakteure und Nutzer keine Veränderungen sichtbar werden. 

TYPO3 v7 LTS: ELTS-Supportende November 2021

TYPO3 v8 LTS: ELTS-Supportende März 2023

TYPO3 v9 LTS: Supportende regulär September 2021, ELTS Oktober 2024

TYPO3 v10 LTS: Regulär April 2023, ELTS April 2026

TYPO3 v11 LTS: Regulär Oktober 2024, ELTS Oktober 2027  (Release TYPO3 v11 LTS: Oktober 2021)

Was tun? 

  • Wer TYPO3 v7 nutzt, ist schon zu spät dran. Obwohl es noch ELTS-Support gibt, ist der Support für die zugrunde liegende PHP-Maximal-Version 7.2. schon im November 2020 ausgelaufen. Wer ein ganz "aktuelles" TYPO3 v7 im Einsatz hat, kann PHP 7.3 nutzen, aber damit ist - wie auch mit TYPO3 v7 ELTS - Ende 2021 Schluss. Allerdings müssen die Admins diese Korrelation im Blick gehabt haben, denn sonst läuft das TYPO3 v7 seit Ende 2020 im Risiko-Modus.
  • Wer TYPO3 v8 nutzt, sollte - wenn möglich - 2021 auf TYPO3 v10 umsteigen. 
  • Wer TYPO3 v9 nutzt, sollte ab Herbst 2021 auf TYPO3 v10 umsteigen - wenn es in die Planungen passt - oder 2022 auf v11 LTS updaten. Ein bisschen Wartezeit nach dem Release einer LTS-Version kann ratsam sein, wenn benötigte Extensions noch nicht auf die neue Version angepasst wurden. 
  • Erarbeiten Sie mit TYPO3-Profis eine inviduelle Update-Roadmap für Ihre Webseiten. 

2. Datenbanksoftware prüfen

Die allermeisten CMS benötigen eine Datenbanksoftware. Auch diese benötigt Updates. Prüfen Sie die Versionssnummer und ob es noch Sicherheitsupdates gibt.

3. PHP-Version prüfen

Die großen CMS TYPO3 und Wordpress gehören zur Familie der Skriptsprache PHP. PHP läuft auf dem Server. Wenn Hacker in das PHP-System einbrechen, können sie auch die Website übernehmen. Prüfen Sie PHP-Version Ihrer Installationen.

  • PHP 7.2: Es gibt keine Sicherheitsupdates mehr. Roter Alarm.
  • PHP 7.3: Sicherheitsupdates bis November 2021. Ein Update auf PHP 7.4 muss also 2021 erfolgen.
  • PHP 7.4: Support bis November 2022
  • PHP 8.0: Support bis November 2023

DSGVO-Verstöße: hohe Strafen

Wer aufgrund von versäumten Sicherheitsupdates Opfer von Hackern wurde, hat nicht nur den direkten Schaden durch IT-Kosten, verärgerte Kunden oder gar durch den Abfluss von Betriebsgeheimnissen, es kann sogar teuer werden.

Von 2018 bis 2020 verhängte der deutsche Staat DSGVO-Bußgelder in Höhe von rund 62 Millionen Euro. Die höchste Einzelstrafe lag dabei bei 35 Millionen Euro. Die Höhe der Strafen wird umsatzabhängig berechnet. Wer also viel Umsatz macht, wird - unabhängig vom erzielten Gewinn - proportional stärker zur Kasse gebeten. Bis zu 4% des weltweiten Umsatzes können als Strafe verhängt werden.

DSGVO-Verstöße werden engmaschig verfolgt. Wenn Daten aus Hacker-Angriffen auf dem Schwarzmarkt landen, bemerken das deutsche Datenschutzbehörden.

Wer allerdings a) reuig ist und b) kooperativ, kann auf eine mildere Strafe hoffen. 

Aktuelle DSGVO-Bußgelder

Neben externen Hackern sind vor allem interne Probleme ein hohes Risiko. Wie in diesem Beispiel:

Der Hamburger Verkehrsverbunds (HVV) spielte ein Update auf die Website ein. Bei diesem Update unterlief ein Fehler mit unangenehmen Folgen: Kunden konnten plötzlich im Kundenportal auf die Daten anderer Kunden zugreifen. Um den Zugriff zu erhalten musste in der URL nur die Kundenkontonummer geändert werden.

Die Panne fiel schnell auf und die Website wurde in den Wartungsmodus versetzt.

Alles gut? Natürlich nicht. Die Kunden wurden nämlich nicht benachrichtigt, und die Meldefrist von 72 Stunden an die Behörden wurde auch nicht eingehalten.

Strafe: 20.000 Euro. Mehr dazu bei den Hamburger Datenschützern im Tätigkeitsbereicht 2019 (PDF) auf Seite 91.

Tipp: Denken Sie nur an die Updates, denken Sie auch an eine professionelle Umsetzung sowie an gründliche Tests. 

Whitepaper: Alles über den Website-Relaunch

Ein größeres Update des technischen Unterbaus der Website ist eine gute Gelegenheit, einen Relaunch anzudenken. Was wird von der aktuellen Seite noch benötigt? Was ist obsolet? Was steht auf der Wunschliste? Laden Sie sich das kostenfreie Whitepaper herunter (PDF).