Wie man als Datenschützer Websites auf Schwachstellen untersucht

Gestern besuchte ich das BvD-Webinar
„Wie man als Datenschützer Websites auf Schwachstellen untersucht“ .
Referent war Eckhard Schneider, Geschäftsführer der decareto.

Es ging i.w. um Cookies und DSGVO-Konformität.
Im Anschluss wurde das Tool von decareto angeboten und besprochen,
Kostenpunkt 49€ mtl.

Falls jemand dabei war: Was haltet ihr davon?
Für alle anderen: Wie überprüft ihr das bei euren Kunden?

Bei Interesse kann ich gerne veranlassen, dass der Vortrag als PDF zugesendet wird.

@ado
Interessant für Zusammenarbeit mit RD?

Ich interessiere mich dafür. Können Sie mir bitte das PDF zusenden

bitte hier anfordern:
Eckhard Schneider
Geschäftsführer

eckhard.schneider@decareto.de
Mob +49 177 3415 205

decareto GmbH
Hochfeld 1b, 22607 Hamburg
www.decareto.de

Ich habe mir das Tool gerade angeschaut und mit meiner eigenen Website getestet.

An sich ist es ein nützliches Tool, welches die Analyse einer Seite relativ einfach gestaltet. Aber im direkten Vergleich zu den gratis Tools die ich verwende, muss ich ehrlich sagen, dass mir die 5€ pro Website/ Monat nicht wert wären.

Ich nutze beispielsweise Analysiere | Webbkoll - dataskydd.net für den technischen Scan und Cookie Scanner | Cookie Checker | Privacy Shield Scanner online für die Cookies.
Den Abgleich mit der Datenschutzerklärung mache ich manuell, da ich diese so oder so lesen muss (falls der Kunde bereits eine hat).

Unterm Strich bringt das Tool mEn nur ein paar Vorteile:

1. Man erhält (in der günstigsten) Variante pro Tag einen automatischen Scan pro Website,
2. man kann benachrichtigt werden, wenn etwas nicht mehr compliant ist und
3. man hat die „aktuellen“ Daten immer mit Grafiken in einem schicken Dashboard aufbereitet.

Wer also unzählige Kunden hat und diese proaktiv bei der kleinsten Veränderung auf der Website von sich aus ansprechen will/ muss, für den ist diese Lösung eine Möglichkeit.

Eine gute Alternative (die ich aber noch nicht getestet habe) soll DSGVOSCAN.de - Preise sein.
Aber dazu könnte Wolfgang Evers mehr erzählen.

Ich habe darüber hinaus ein wenig gerechnet. Solche Webscanner zu programmieren, ist keine Raketenwissenschaft. Wer also mehr als 10 Websites monitoren will, muss im Jahr ca. 2400€ ausgeben. Für das Geld bekomme ich auch einen sehr guten Freelancer, der mir ein vergleichbares Produkt entwickelt. Die größte Schwierigkeit ist wahrscheinlich die Cookie-Datenbank, die regelmäßig gepflegt werden müsste, aber auch dafür gibt es Lösungen.

Ich hoffe, ich konnte ein wenig helfen.
Beste Grüße
Felix

Hallo,
ich habe dsgvoscan.de im Einsatz. Naja - es ist günstig…aber ein echten Mehrwert sehe ich nicht auf Dauer.

Nett ist die Darstellung als PDF Auswertung. Leider ist diese aber nicht im eigenen Layout umsetzbar. Bedeutet: Du machst immer Werbung für den Dienstleister.

Die Funkationalität sehe ich als übersichtlich an. Mit den o.g. freien Tools kommt man im Endeffekt mit geringem Zeitaufwand zu mindestens dem gleichen eher einem umfangreicheren Ergebnis!

LG,
lars

Sind die PDFs schreibgeschützt?
Wenn nicht könnte man die Informationen wenigstens mit einem guten PDF-Reader/Writer extrahieren und in ein eigenes Layout exportieren.
Ist zwar umständlich aber eine Notlösung.

ich korrigiere meine Aussage - zwischenzeitlich ist ein Logo zu hinterlegen!

Beispiel Report

Hallo

Gerne hätte ich eine Kopie von dem Vortrag. Das Thema ist sicherlich auch interessant für ein Online Meeting mit Robin Data in der Community.
Vielen Dank
Monika

**Moin.
Ich habe vom Vortrag leider nichts mitbekommen und kenne das Tool nicht. Deshalb kann ich mich dazu nicht äußern.
Auf die Frage bezogen gehen mir hier aber alle Vorschläge nicht weit genug - sofern es oben nur um Cookies und die Datenschutzrichtlinie geht.???

Ich versuche hier mal in einem Mini Beitrag schnell zu beschreiben, wie dich da vorgehen würde…

Zur Frage, wie man als Datenschützer Websites auf Schwachstellen untersucht. → GAR NICHT!
Ohne jemanden nahe gehen zu wollen, aber ich gehe davon aus, dass bei den Meisten das Wissen dafür nicht reichen wird. Alleine schon aufgrund der diversen Systeme, Möglichkeiten und Schnittstellen (APIs) usw. … … .

Die Scanner eignen sich alle meiner Meinung nach, um einen ersten Eindruck zu bekommen - aber einem Versprechen, dass man als DSB dann safe ist würde ich nicht trauen.
Standards, wie https, Cookies usw. werden abgefragt, aber in wie weit die Scanner jeden Tracker, jeden Code im Template oder Codes in Anwendungen, Diensten erfassen, wage ich jetzt einmal zu bezweifeln. Ferner bezweifle ich an dieser Stelle auch, dass diese Scanner in der Lage sind weiterführende Anwendungen mit zu verfolgen oder deren rechtliche Zusammenhänge herzustellen. Da kommt es ganz auf die Website, Ihre Funktionen, Datenbaken, Hostanbieter an.
Und es macht sicherlich auch nochmal einen Unterschied, um was für eine Website es sich handelt: Präsentation, Shop, Verlag, Krankenkasse, Universität Campus oder Befragungen (im Gesundheitswesen), Online Terminkalender für Patienten, Anwendungs basierte cloud oder gar ein CRM mit Exchange Funktionen ist… … . und ob der Betrieber ein kleiner Einzelunternehmer oder ein weltweit agierender Konzern ist

Wie man vorgeht, um zu prüfen, ob eine Website wenig oder keine Schwachstellen hat und wie man eine Datenschutzerklärung hinbekommt, die auch im Ansatz die Website wiederspiegelt und nicht irgendwie generiert ist, ist meiner Meinung nach schon ein wenig anspruchsvoll:

Für kleine Sites hilft vielleicht die folgende Vorgehensweise, die ich neben Scannern auch gerne so nutze:
Zunächst sollte man schauen, welche Funktionen hat die Website, welche nutzt der Website Betreiber, welche der Websiteersteller, welche SEO Maßnahmen, welche der WebHoster und vor Allem, was sind alles für Tools, AddOns, PlugIns und Dienste (TRACKER!!) eingebunden - insbesondere externe Dienste (z.B. Zahlungsanbieter)

Das hier ist meine 7 Punkte Mini Liste mit der ich Websitebetreiber oder Ersteller grundsätzlich konfrontiere:
(an der Auskunft und der Reaktion kann ich sehen, wie kompetent diejenigen sind mit denen ich zu tun habe - kommt dann - oh daran haben wir noch nicht gedacht - sollte man als DSBler vielleicht mal genauer hinschauen! - das macht für mich an dieser Stelle eine gute Beratung aus)

Vorab einen Scanner benutzen oder siehe unten meine Vorgehensweise zum Erfassen von Cookies

1. Welche Daten erhebt der WebHosting Betreiber, WebHoster sowie Nennung sämtlicher externer Dienste Anbieter? (Das prüfe ich gegen- ob die auch alle genannt haben als Orientierung - das Meiste kann man schnell prüfen, in dem man die Website benutzt, Shop, Login, Registrierung, Zahlungsdienste, Rest hilft auch ein Blick in den Quelltext)
2. Was ist mit Trackern?
3. Was ist mit PlugIns?
4. Was ist mit versteckten Codes in Templates zur Nutzung (gerade bei wordpress stammen häufig die Templates von Drittanbietern, die diese mit sehr viel überflüssigem aber oft eben nicht EU-DSGVO konformen Code vollstopfen, Nutzungsstatistiken → Templateentwickler sitzt in USA oder China
   (–> Ich möchte gerne wissen, ob der Websitebetreiber oder Ersteller weiß, was er einsetzt!!! gegen prüfen mit Frage 1)
5. Was ist mit Formularanwendungen/ Formularen im Allgemeinen? (Übermittlungsart der Daten/ wie werden die am Anderen Ende weiterverarbeitet, welche Server an welchen Standorten sind im Spiel…)
6. Was ist mit Captcha Funktionen? (viele Captcha Anwendungen tracken, ermitteln die Arbeitsgeschwindigkeit Ihrer User - wohin werden diese Daten übertragen? - habe selber schon Cookie (Consent) Tools entdeckt, die tracken!!!)
7. Wie ist eine Website an sich geschützt? (nicht https/ ssl -sondern vor Allem die Adresszeilen!!!) - Werden Adresszeilen verschlüsselt?
   (Hier gibt es diverse Beispiele von Websites- da ruft man eine Seite auf, bekommt oben einen Link, ändert diesen um eine oder ein paar Ziffern ab und landet in einem fremden Profil der einer anderen Seite - dazu ist kein spezielles Hacker Wissen notwendig.)

Damit habe ich einen Eindruck vom Wissensstand der Verantwortlichen.

Cookies
In Bezug auf die Cookies brauche ich meistens kein TOOL, sondern 30 bis 240 Sekunden Zeit (ggf. mehr Zeit bei umfangreicheren Diensten):
Ich nehme ein virtuelles Testsystem auf meinem PC, entferne alle Cookies (dafür habe ich mir ein Skript erstellt. Mit einem Klick werden alle Cookies gelöscht, - Nun ruf ich mir die Website (ggf. in einer Sandbox) auf und schaue nach, womit der Cookie Ordner gefüllt wird… Damit habe ich eine erste Übersicht. https/ssl ist rein per Einstellungssache sofort zu erkennen… … .

Die Datenschutzerklärung muss ich eh durchlesen, wenn schon vorhanden - Generatoren sind nur so gut, wie man eben auch Wissen über die Website hat (z.B. von erecht24)… … . nur die gehen auch nicht auf alles ein. Das ist dann schon etwas komplexer. Deshalb ist es wichtig mit den Entwickelrn der Website zu sprechen.
Und das dauert dann. Ist aber dann auch die eigentliche Recherche. Anschließend muss ggf. die Datenschutzerklärung angepasst werden.

PlugIns/ Tracker/ Code in Templates ist dann schon etwas schwieriger / Ich würde mir von der Webagentur all diese Informationen besorgen und schirftlich auf Vollständigkeit bestätigen lassen.

Captcha Funktionen/ Tools kann man teilw. ergoogeln, welche was für Daten erheben. Und ein paar einfache Website Hacks zum selber probieren, wie z.B. die Sicherheit einer Website prüfen und in der Adresszeile Ziffern zu ändern kann man selbst auch probieren. Hier gibt es zahlreiche kleinere Skandale - gerade auch bei Websites im Gesundheitswesen (online Terminkalender) , viele von denen waren Datenschutzrechtlich abgesegnet… … .

Sorry - wollte hier jetzt nicht so reinplatzen, aber die Frage oben spiegelt tatsächlich ein großes Problem dar, denn viele Websites haben Schwachstellen. Und die beiden häufigsten Szenarien:

1. Website hat eine Datenschutzerklärung - gut formuliert- passt aber nicht zur der Website, sondern eher zu einer Anderen!

2. Die Datenschutzerklärung ist viel umfangreicher als die Website Daten erhebt!!!

→ hier die Frage: Ist es eigentlich erlaubt die Datenschutzerklärung umfangreicher und für alle Eventualitäten zu schreiben? (würde eine Menge Arbeit sparen)