Am 5. Februar 2019 hat das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) die Ergebnisse seiner Prüfung von 20 Webseiten zu den Kriterien “Cybersicherheit” und von 40 Webseiten zu den Kriterien “Tracking” veröffentlicht.
Cybersicherheit
Untersucht wurden 20 Webseiten aus den Kategorien Streaming-/Videoportale, E‑Mail-Dienste, Elektronik-Shops, Fotoservices, Gesundheit und Kosmetik, Möbel, Mode, Preisvergleich und Ticketverkauf, sowie soziale Netzwerke. Das BayLDA kam u.a. zum folgenden Ergebnis:
- 75% der Dienste bieten unzureichende Erläuterungen zur Wahl eines starken Passworts an; ausserdem informieren nur 50% der Dienste ihre Nutzer per E‑Mail über eine Passwortänderung;
- 9 von 20 Diensten fordern ein Passwort mit weniger als 8 Zeichen (das BayLDA empfiehlt eine Mindestlänge von 12 Zeichen);
- alle Dienste akzeptieren schwache Passwörter (z.B.:123456, abcdefgh oder P@asswort) und schwache Passwörter werden oft irrtümlicherweise als “sicher” oder “stark” angezeigt;
- nur 25% der Dienste verlangen die E‑Mailbestätigung einer Registrierung auf der Webseite und 80% der Dienste bieten keine Mehr-Faktor-Anmeldung an (z.B. Login mit Passwort und SMS-Code); und
- keine Webseite informiert die Nutzer genügend über Phishing; nur 1 Webseite informiert die Nutzer über fehlgeschlagene Logins bzw. Logins über fremde Geräte und nur 6 von 20 Webseiten bieten Support bei Sicherheitsfragen und Hacking.
Tracking
Untersucht wurden 40 Webseiten aus den Kategorien Online-Shops, Sport, Versicherungen & Banken, Medien, Auto & Elektronik, Haus & Wohnen, sowie Sonstiges. Das BayLDA kam u.a. zum folgenden Ergebnis:
- alle Webseiten binden Tracking-Tools von Drittanbietern ein;
- 75% der Webseiten informieren gar nicht oder nur unzureichend über den Einsatz von Tracking-Tools;
- 20% der Webseiten holen keine Einwilligung für die Verwendung von Cookies ein; die übrigen 80% holen eine nicht datenschutzkonforme Einwilligung ein, sodass keine Einwilligung wirksam ist; und
- nur 1 Webseite erlaubt den Nutzern die effektive Wahl, ob ihre Daten von Tracking-Tools bearbeitet werden dürfen.
Das BayLDA hat sein Vorhaben geäussert, die Missstände abzustellen sowie die Einleitung von Bussgeldverfahren zu prüfen.