Die Bewertungsgesellschaft Xamit hat 26.209 deutsche Websites nach den kriterien des Datenschutzes untersucht – mit erschreckenden Ergebnissen: 45 % der untersuchten Websites verstoßen laut Xamit "gegen die gesetzlichen Bestimmungen oder weisen sonstige Indikatoren für ein mangelhaftes Schutzniveau auf".
Bei Sites, die Google Analytics nutzen, sieht es noch schlimmer aus: 95 % dieser Websites weisen nicht auf die mit der Nutzung verbundenen Datensammlung und -Übertragung hin. dabei nutzen derzeit schon 10 % der untersuchten Sites dieses Tool!
Interessant ist auch die Auswertung auf technische Schwachstellen bei Onlineshops.
Um potentielle Schwachstellen von Onlineshops zu finden, ging Xamit so vor:
"Wie viele Webshops setzen aktuelle Versionen ihrer Shopsoftware ein und wie häufig werden aktuelle PHP-Versionen verwendet? Um diese Fragen zu beantworten, untersucht Xamit für jeden erkannten Webshop, ob eine identifizierbare Shopsoftware verwendet wird und um welche Version es sich handelt sowie ob und in welcher Version PHP eingesetzt wird."
Aktuelle PHP-Technik fanden die Analysten dabei nur in jedem 3. Webshop: 6.226 Installationen von PHP der Version 4 stehen ’nur‘ 3.322 der Version 5 gegenüber. Xamit hält dies für bedenklich, da veraltetes oder ‚ungehärtetes‘ PHP als Einfallstor für Angreifer dienen kann – z.B. auch für Datendiebstähle. Bei 162 Shops konnten mit den automatischen Analysemitteln bekannte Softwaren identifiziert werden: Das waren zu 64 % xtCommerce, gefolgt von osCommerce (20 %) sowie weiteren sieben Standardprogrammen (zusammen 16 %). Diese Daten sind alle nicht repräsentativ, da insgesamt nur wenige Webshops untersucht wurden – aber sie zeigen, dass Shops ihre Software (zumindest ihr PHP) nicht regelmäßig updaten.
Generell wird bei vielen Sites der Einsatz von Google AdSense verschwiegen – dass hierbei von Google ein Cookie gesetzt wird, sollte in der Datenschutzbelehrung genannt werden. Ebenso ist die Nutzung von Google Analytics aus Datenschutz-Sicht eine sehr kritische Sache*. Den Einsatz komplett zu verschweigen aber – wie es immer noch der Großteil der Sites tut – widerspricht auch den Nutzungsbedingungen von Google!
Interessant dabei: Xamit formuliert in seinem Bericht ganz richtig: "Aus diesem Grund greift die Argumentation einiger Webseitenbetreiber, die IP-Nummern eben nicht als personenbezogene Daten ansehen, zu kurz. Eine Auffassung, die von einigen Gerichten gestützt und von anderen abgelehnt wird." In der eigenen Datenschutzerklärung (die im Impressum versteckt ist) listet Xamit aber selbst die IP-Adresse unter den nicht-personenbezogenen Daten auf. Man verschweigt dort auch das Recht auf Löschung der eigenen Daten und verrät auch nicht, wie man sein Recht auf Einsicht wahrnehmen kann… 😉
Letztes Thema im Report: Kontaktformulare. Wer ein Kontaktformular anbietet, verarbeitet (und speichert) naturgemäß auch Daten – auch hierzu muss in einer Datenschutzerklärung belehrt werden. Die Ergebnisse des "Datenschutzbarometers 2008" gibt es hier im kostenlosen Download (PDF, 436,7 kb).
Mein Tipp: Einmal hinsetzen und aufschreiben, wo alles welche Daten anfallen. Und dann das Ganze in die Datenschutzbelehrung schreiben. Habe ich auch neulich erst gemacht (und die Adsense-Belehrung glatt vergessen – werde ich sofort nachtragen). Und wer braucht schon Google Analytics? Sicherere Programme sind durchaus bezahlbar, und bei denen weiß man auch, wem man seine sensiblen Geschäftsdaten anvertraut…
Herzlich aus Hürth
Nicola Straub
*(Wikipedia: "Es ist rechtlich fraglich, ob eine solche Übermittlung überhaupt zulässig ist. Hinzu kommen rechtliche Schwierigkeiten, etwa dass eine Einwilligung „bewusst“ erfolgen muss (§ 13 Abs. 2 TMG) und die Webseite nicht nur bei einer Zustimmung zugänglich gemacht werden darf (§ 12 Abs. 3 TMG)", siehe auch Akademie.de zu den Bedingungen, um Google Analytics rechtskonform zu nutzen)
Lädt...
DSGVO: Dem Monster ins Gesicht sehen
Die DSGVO rollt auf uns zu – Sind Sie vorbereitet?
Experten-Webinar: Die DSGVO betrifft jeden – wir machen Sie in nur 15 Minuten fit
DS-GVO: Die Technischen und organisatorischen Maßnahmen
Anonymous meint
Sie selbst verwenden PHP/4.4.9. Damit würden Sie sich mit diesem Artikel ein Upgrade empfehlen.
Nicola Straub meint
Lieber Anonymus!
Klar, das sollte man immer mal wieder.
Aber im Gegensatz zu Shops gibt es bei uns keinerlei persönliche (Kunden-)Daten, die jemand zu Angriffen motivieren könnte. Insofern denke ich nicht, dass wir ein Ziel für einen Angriff darstellen würden (außer für extrem verrückte Leute, die sowas können + tun UND das auch noch ganz ohne eigenen Benefit dahinter – ich hoffe, solche Leute gibt es nicht).
Bei Onlineshops aber ist das anders – dort gibt es oft (noch) durchaus Fakten, die Angreifer ausgesprochen motivierend finden. Leider ;-(
Herzliche Grüße
Nicola Straub
H.P. meint
Abgesehen davon das man auch alte PHP Versionen durchaus „härten“ kann.
Bei komplexer Software reißen Patches für Sicherheitslücken fast immer auch wieder neue Lücken auf.
Wobei meist gar nicht PHP das Problem verursacht sondern die darauf aufbauende Software und deren Verwendung bestimmter PHP Bestandteile.