Liebe Leser und Datenschutz-Interessierte,
wir möchten Sie heute über eine aktuelle Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) informieren (Risikostufe 3-hoch). Von der Warnung betroffen ist das Produktset „Funktürschlossantrieb HomeTec Pro CFA3000 und Wireless remote control CFF3000“. Durch die Schwachstelle dieses Produktes können Angreifer direkt und relativ einfach die Ver- und Entriegelung des Produkts vornehmen, wodurch sich Zugang zu Bürogebäuden, Büroräumen und/oder Häusern verschafft werden.
I. Datenschutz und Datensicherheit bei Funktürschlössern – Updatemöglichkeit?
Laut Aussage von ABUS besteht leider keine Updatemöglichkeit zur Behebung der Schwachstelle. Bei dem Produkt handelt es sich laut ABUS um ein Auslaufmodell, das in der Produktpalette bereits durch ein Nachfolgeprodukt zu Beginn letzten Jahres ersetzt wurde. Allerdings weiß ABUS darauf hin, dass von dem betreffenden Produkt noch zehntausende Stück im betrieblichen und privaten Einsatz sind.
Bitte prüfen Sie folglich in Ihrem eigenen Interesse, ob Sie entsprechende Produkte bei sich im Unternehmen (oder privat) verwenden und ersetzen Sie diese durch alternative Produkte. Für eine abschließende Bewertung der Gefahrenlage und für weitere Hilfestellungen können Sie sich an das herstellende Unternehmen (ABUS) wenden. Weitergehende Informationen zu dieser Warnung finden Sie auch unter dem folgenden Link seitens des BSI: BSI – Sicherheitswarnung ABUS Türschlösser.
II. Konsequenzen der BSI-Warnung aus Sicht des Datenschutzes
Sofern Unternehmen entsprechende Hardware im Betrieb einsetzen, so sollte die Hardware unverzüglich überprüft bzw. ausgetauscht werden. Wird nicht gehandelt und die Geräte folglich nicht ausgetauscht, so kann dies auch datenschutzrechtliche Konsequenzen (z.B. Bußgeld gemäß Art. 83 DSGVO) nach sich, etwa aufgrund eines damit einhergehenden Verstoßes gegen die Datensicherheit gemäß Art. 32 DSGVO.
Bei der Prüfung sollte ebenso wie bei der Anschaffung neuer Hardware im Bereich Funktürschlösser der betriebliche Datenschutzbeauftragte eingebunden/einbezogen werden, um diesen Prozess gemäß den datenschutzrechtlichen Vorschriften prüfen und Umsetzungsempfehlungen abgeben zu können.
Es wäre ärgerlich, wenn sich erst nach Anschaffung einer neuen Technik zufällig herausstellen würde, dass auch die Ersatztechnik nicht datenschutzkonform ist und/oder Probleme bei der Datensicherheit bestehen.
Bei Rückfragen o.Ä. können Sie sich auch gerne jederzeit an uns wenden.
Ihre externen Datenschutzbeauftragten von der GDPC
Dr. Kevin Marschall und Stephan Blazy
