Automatisierte Prüfaktion für Webseiten-Verschlüsselung durch BayLDA vorgestellt

Das Bayerische Landesamt für Datenschutzaufsicht hat am 10.10.2017 per Pressemitteilung [https://www.lda.bayern.de/media/pm2017_08.pdf], auf seinen Webseiten [https://www.lda.bayern.de/de/pressemitteilungen.html] und per
RSS-Feed [https://www.lda.bayern.de/de/rss.xml] über die neueste Prüfaktion informiert.

Unter Online-Services, HTTPS-Check [https://www.lda.bayern.de/de/httpscheck.html] bietet das BayLDA einen neuen Online-Service mit der Möglichkeit an, dass konkrete Webseiten zur Überprüfung mitgeteilt werden. Unternehmen, die ihre Website prüfen lassen möchten, erhalten ein schriftliches Feedback, Bürger, die Websites zur Prüfung mitteilen, erhalten kein Feedback, können sich „allerdings sicher sein, dass wir die Einhaltung der Mindestanforderungen an die HTTPS-Verschlüsselung bei den gemeldeten Webseiten sicherstellen werden.“.

Was passiert nach der Prüfung? Hier geben die Hinweise [https://www.lda.bayern.de/de/httpscheckhinweis.html] und auch die oben genannte Pressemitteilung Auskunft:

Das BayLDA prüft sowohl vom BayLDA selbst erhobene Webseiten als auch solche, die von Betroffenen bzw. Webseitenbesuchern per Mail oder über die Seite HTTPS-Check bekanntgegeben worden sind.

Das BayLDA prüft, ob die Webseite auf Grund der angebotenen Dienste verschlüsselt sein muss und ob die sie betreibende Stelle aus Bayern ist, sprich im Zuständigkeitsbereich des BayLDA.

Wenn dieses der Fall ist, wird geprüft, ob der Stand der Technik eingehalten wird. Zitat:
„Anhand eines eigenhändig erstellten Prüfskripts auf Basis der OpenSSL-Bibliothek werden die Webseiten automatisiert daraufhin überprüft, ob die HTTPS-Transportverschlüsselung dem Stand der Technik entspricht. Unter anderem werden folgende Kriterien dabei berücksichtigt:

  • Priore Verwendung von Perfect Forward Secrecy (PFS)
  • Kein Einsatz veralteter Verschlüsselungsprotokolle (SSL2, SSL3)
  • Zertifikate mit mindestens 2048-Bit Schlüssellänge
  • HTTP Strict Transport Security (HSTS) zur Eindämmung der Risiken von Man-in-the-Middle-Angriffen
  • Keine Verwendung von unsicheren Kryptoalgorithmen (z. B. RC4, SHA-1)“

Was sind die Konsequenzen der Prüfung? Dazu ein weiteres Zitat:
„Alle Unternehmen, deren Webseiten von uns überprüft wurden, erhalten einen kurzen automatisch generierten Prüfbericht. Soweit die Webseiten über eine ausreichende Verschlüsselung verfügen, wird dies entsprechend schriftlich bestätigt. Sollten jedoch Mängel durch die Prüfung erkannt werden, so werden diese dem Betreiber mit der Aufforderung mitgeteilt, innerhalb einer Frist die erforderlichen Maßnahmen zur Verschlüsselung umzusetzen.
Sofern Betreiber von Webseiten ohne ausreichende Begründung der Verpflichtung, eine angemessene Verschlüsselung vorzusehen, nicht nachkommen, wird das BayLDA durch eine entsprechende Anordnung die Betreiber verpflichten, die Verschlüsselung zu implementieren und, falls dieser Anordnung nicht nachgekommen wird, gegebenenfalls ergänzend einen Bußgeldbescheid gegen den Verantwortlichen erlassen.“

Das BayLDA kündigt außerdem in der Pressemitteilung an, dass diese Prüfaktion nur die erste in einer geplanten Serie von Prüfzenarien sein wird. Es soll demnächst auch eine Prüfaktion zum Patch-Management durchgeführt werden. Sobald dieses der Fall ist, wird das BayLDA über die bekannten Kanäle darüber informieren.

Zur Motivation der Prüfaktion Andreas Sachs, Vertreter des Präsidenten und gleichzeitig Leiter des Referats für IT- Sicherheit und technischen Datenschutz im BayLDA (Zitat aus der Pressemitteilung):
„Wir wollen auch künftig unseren Teil dazu beitragen, dass die Anzahl kritischer Vorfälle in Bayern möglichst gering bleibt und im Zweifelsfall, wenn es doch dazu kommt, dass der Schaden durch eine gezielte Aufarbeitung minimiert wird.“
Und weiter Andreas Sachs:
„Prävention bleibt auch im technischen Datenschutzumfeld das A und O. […] Sollten wir jedoch bei unseren Prüfungen auf ’schwarze Schafe‘ treffen, die sich weigern, den gesetzlichen Anforderungen an den Datenschutz nachzukommen, werden wir diese mit Anordnungen oder Bußgeldern zwingen, den Grundrechtsschutz ihrer Beschäftigten, Kunden und/oder Interessenten zu wahren.“

Diese Prüfaktion wird voraussichtlich mindestens zwei Konsequenzen haben:

  • Es werden sicherlich reichlich Webseiten gemeldet werden, da sich dieses Formular ja auch ausdrücklich an Privatpersonen wendet.
  • Da das BayLDA auch in der Vergangenheit bereit war, Prüfmechanismen anderen Aufsichtsbehörden für den Datenschutz zur Verfügung zu stellen, liegt die Vermutung nahe, dass bald auch andere Bundesländer diese oder eine ähnliche Art der Prüfung anbieten werden. Deswegen sollte diese Prüfaktion über die Landesgrenzen Bayerns hinaus aufmerksam durch deutsche Webseitenbetreiber beobachtet werden und diese sollten sich die Frage stellen, ob sie, falls die für sie zuständige Aufsichtsbehörde ähnliche Prüfaktionen startet, diese gut überstehen würden.

Als fazit bleibt festzuhalten:
Jedermann kann ab sofort Webseiten bayerischer Unternehmen zur Prüfung beim BayLDA einmelden (mit der Folge, dass sich dann das BayLDA meldet, ganz ohne dass der Betroffene gegenüber dem Unternehmen auch nur in Erscheinung treten muss).

Haben Sie Fragen zur angemessenen Verschlüsselung von Webseiten? Wir informieren Sie gerne umfassend zu diesem Thema!