DSGVO Bußgeld bezüglich veraltetem Shop-System

Es gibt nun immer mehr Bußgelder und Urteile (falls Einspruch erhoben wird) bezüglich der DSGVO welche am 25. Mai 2018 in Kraft getreten ist.

Eins betrifft nun ein Online-Shop, welcher noch ein veraltetes Shop-System eingesetzt hat. Weitere Infos unter DSGVO-Bußgeld wegen des Betriebs einer Website mit veralteter Software | heise online

Jetzt berichtet auch die Internet World über das DSGVO Bußgeld für einen Online-Shop Händler Online Shop muss wegen Sicherheitslücken 65.500 Euro büßen - internetworld.de und am Ende die Anmerkung interessant, dass das Bußgeld nur so niedrig ausgefallen, weil das Unternehmen so proaktiv darüber informiert hat - das Passwörter geändert werden müssen. (Update vom 6. August 2021)

Daher gilt für OXID eShop immer einen Blick auf Release Plan Release plan • OXIDforge zu werfen. Aktuell werden die Serien 6.2 und 6.3 noch mit Sicherheitsupdates versorgt. Die Serie 6.1 und alle Versionen darunter gelten bereits als veraltet. (Stand vom 4. August 2021)

Update Dies betrifft Händler*innen und IT-Dienstleister gleichermaßen, kommt es z.B. zu einer Prüfung vom zuständigen Landesamt für Datenschutz und es besteht z.B. keine Auftragsverarbeitungsvereinbarung (AVV) zwischen beiden Parteien, dann haften beide Vertragsparteien. Dies heißt der IT-Dienstleister ggfs. auch in Haftung.

Hi,
naja, an der Passwortberechnung hat sich bei Oxid in den letzten Jahren meines Wissens nach nichts geändert. Weiß jemand ob die “sicher” sind, also mehr wie eine einfache MD5 Hash enthalten und den anforderungen der DSGVO entsprechen?

By the way: Problem bei einem Update sind ja auch eher die Module und die Kompatibilität… Hat schon jemand sich die Oxid 7.0.0 rev1 angeschaut? Gibt es bereits ein Demoshop irgendwo?

Passwort Handling wurde spätestens mit 6.2 Serie geändert Configure password hashing — OXID eShop developer documentation 6.2.0 documentation und genauer seit 2. August 2019 über Release Version 6.4.0 des OXID Community Frameworks wenn man ins Changelog schaut https://github.com/OXID-eSales/oxideshop_ce/blob/master/CHANGELOG.md#640---2019-08-02 unter Added

Fazit ab der OXID eShop Community Edition Version 6.2.0 https://github.com/OXID-eSales/oxideshop_metapackage_ce/blob/v6.2.0/composer.json#L29 welche am 31. März 2020 released wurden ist Releases — OXID eSales Documentation.

Gab hier im Forum auch mal einen Thread dazu Password salt in the column OXPASSWORD

Dies wäre halt die Frage ob MD5 noch Stand der Technik wäre, laut Die Landesbeauftragte für den Datenschutz Niedersachsen (nicht Gerichtsurteil, es handelt sich um verhängtes Bußgeld) anscheinend nicht. Gerade bei Zahlungsanbietern ist durch die PSD2 die Zwei-Faktor-Authentifizierung Stand der Technik.

Weitere Infos unter Beschwerden zu Datenschutzverstößen und Komplexität von Verarbeitungsprozessen nehmen weiter zu | Der Landesbeauftragte für den Datenschutz Niedersachsen

Update Hier sollte man technisch anmerken, dass MD5 ohne Salt verwendet wurden ist. Bei älteren OXID eShop Versionen kommt ein Salt zum Einsatz. Seit OXID eShop Community Edition Version 4.7.14 wurde bereits MD5 gegen SHA-2 getauscht OXID eShop 4.7.14/5.0.14 — OXID eShop 4&5 | Anwenderdokumentation

Dies sehr vielschichtig, OXID eShop Community Edition baut z.B. auf Symfony Components auf welche auch aktualisiert werden wollen. Im Prinzip jedes Softwarepaket welches im Shop genutzt wird sei es im Framework oder über ein Modul sollte regelmäßig aktualisiert und geprüft werden.

Ja, erfreulicherweise wurden Symfony Components endlich aktualisiert. Mehr Infos unter Releases — OXID eSales Documentation

Nicht das ich wüsste. Ich habe ihn mir Lokal einmal über die Konsole installiert.

Wichtigste Neuerungen sind:

  • Module wandern fast ausschließlich ins Vendor Verzeichnis
  • Assets Management für CSS und JavaScript Dateien
  • Newsletter Versand Funktion verschwindet, man kann allerdings eine CSV Datei der Newsletter Abonnenten herunterladen
  • Trackinglinks sind pro Versandart möglich (endlich)

Salt wird für jeden User individuell benutzt. Damit ist eine Dekodierung “eigentlich” ausgeschlossen, denn die Hashwerte sind trotz gleichem Passwort niemals gleich.

Als Beispiel zur Updatefähigkeit sei mal das Paypal+ Modul zu nennen. Solange das nicht 6.3.x tauglich ist, lohnen auch die Updates nicht. Wer weiss wo der Weg von Oxid noch hinführt, andere Systeme sind da momentan weit vorweg gegangen
Gruss
Marcel

Dem würde ich Widersprechen, dann würde jede Abhängigkeit dazu führen, seine Software nicht aktuell zu halten.

Dies sehe ich anders. Im Prinzip betrifft das Kernproblem der Software-Updates alle Shop-Systeme gleichermaßen.

Zusätzlich würde ich die anscheinend wahrgenommene Schwäche anders werten, da sich der E-Commerce Markt zu einen Käufermarkt entwickelt und dabei die großen Plattformen wie Amazon, eBay und die Diversität aller Shopify (Software-as-a-Service) Angebote stark wachsen kann man aus meiner Sicht einen Trend beobachten welcher weg von Shop-Systemen führt die self-hosted sind.

Wobei ich persönlich langfristig von einer Trendumkehr ausgehe, gerade die DSGVO könnte dafür sorgen das Händler*innen welche zu stark von Plattformen abhängig sind sich wieder vermehrt einem self-hosted Shop-System zuwenden.

Wenn Du aber das Paypal Plus Modul nicht mehr einsetzen kannst (als Beispiel) nehmen Deine Zahlungsmöglichkeiten rapide ab. Nicht im Sinne des Erfinders.
Gruss
Marcel

Hi,
das Paypal Plus Modul funktioniert einwandfrei in OXID 6.3.
Es gab kurz nach Erscheinen ein Problem mit PHP8, was aber bereits behoben wurde.

2 Likes

This topic was automatically closed 365 days after the last reply. New replies are no longer allowed.