eine Frage zum Einsatz von CSRF-Cookie > csrf_https-contao_csrf_token
Ein Kunde hat seinen Internetauftritt neu gestaltet. Als Content Management System kommt Contao als Open-Source CMS zum Einsatz. Der CSRF-Token wird hier als technisch notwendig gesetzt. Für den Betrieb der Internetseite ist dies m.E. nicht technisch zwingend notwendig, selbst wenn der Einsatz aus einem Sicherheitsgedanken heraus erfolgt, verstößt dies doch gegen § 25 TTDSG.
Gleichzeitig wird der CSRF-Token anlasslos bei jedem Besuch gesetzt. Contao weist selber darauf hin, dass es nicht sinnvoll ist. “Providing CSRF protection for users that are not authenticated against the app does not make any sense.“ Request Tokens (CSRF Protection) :: Contao Developer Documentation
mE hast du deine Frage teilweise bereits selbst beantwortet.
Wenn der Entwickler/ Hersteller selbst sagt, dass es für normale Website-Besucher nicht sinnvoll ist, kann es auch nicht technisch notwendig für diese User sein.
Anders sieht es meiner Meinung nach bei angemeldeten Usern aus. Abgesehen davon, dass Maßnahmen der IT-Sicherheit i.d.R. als technisch notwendig (zur sicheren Bereitstellung des Dienstes sowie sicheren Verarbeitung der pD) gelten, siehe ich hier auch keinen Verstoß gegen das TTDSG.
Viel eher sind mE Maßnahmen der IT-Sicherheit unter Art. 25 Abs. 2 Nr. 2 TTDSG zu fassen. Der Nutzer wird definitiv wollen, dass der Dienst sicher bereitgestellt wird. Außerdem könnte es natürlich auch ein Verstoß gegen Art. 32 DSGVO sein, wenn man Sicherheitslücken offen lässt.
Dazu noch ein kleines Beispiel: Eine Firewall oder ein IDS (Intrusion Detection System) wären nach der Argumentation auch nicht notwendig zur Bereitstellung des Dienstes. Der Webserver ist auch ohne Firewall erreichbar (wahrscheinlich nur nicht sehr lange). Dennoch würde ich, je nach Einsatzgebiet, ungern auf Sicherheitskomponenten verzichten wollen, da man ansonsten Tür und Tor für Angreifer öffnet.