WordPress Wordfence Nutzung und DSGVO / GDPR

Aktuell sind wir auf der Suche nach Informationen ob die Nutzung des genialen WordPress Plugins Wordfence mit der DSGVO machbar ist.

Aktueller Stand (25.05.2018) es ist nicht kompatibel mit der DSGVO weil es nicht unter das Privacy Shield Abkommen fällt. Es wurde sich "nur" darum beworben, aber die Prüfung ist nicht durch. Diese ist aber hoffentlich in ein paar Wochen durchlaufen.

Vor über einem Jahr habe ich bereits den Anbieter mehrfach angeschrieben und keinerlei Rückmeldung erhalten. Auf eine Anfrage von heute warte ich nun erneut auf eine Rückmeldung.

Update 19.03.2018 -Rückmeldung von Wordfence Support

Ich habe heute von Wordfence eine Rückmeldung bekommen auf meine E-Mail. Sie arbeiten aktuell intensiv daran die Richtlinien zu erfüllen. Es wird aber wohl noch einige Wochen dauern bis es dazu neue Informationen gibt. Sie wollen aber die Deadline im Mai einhalten.

Aktuell sind die Infos leider unbefriedigend und sieht wohl so aus, als müsste Wordfence deaktiviert werden.

Was sehr schade ist, da die Erweiterungen eigentlich einen super Schutz gegen Spam und Schlimmeres bietet.

Update  07.04.2018

https://wordpress.org/support/topic/wordfence-and-eu-dsgvo/#post-10156760

Offizielle Topic zu dem Thema wurde auf resolved gesetzt? Das ist aber mehr als verwunderlich, da es keinerlei Infos dazu gibt, dass Wordfence nun DSVGO konform eingesetzt werden kann. Aktuell vermute ich es besteht kein Interesse mehr von Wordfence die EU Richtlinien zu erfüllen. Habe den Support angeschrieben und warte nun auf Rückmeldung.

Update. 10.04.2018

Ein Teammitglied von Wordfence hat sich gemeldet. Die sind nun wohl doch intensiv dabei das zu beheben und soll in ca. 1-2 Wochen Neuigkeiten dazu geben

https://wordpress.org/support/topic/wordfence-and-eu-dsgvo/#post-10163541

Update 07.05.2018

Es gibt eine Wordfence Version 7.1.4. Die ist nun live und behandelt erstmalig das Thema GDPR / DSVGO.

https://wordpress.org/support/topic/wordfence-7-1-4-is-live-now/

Das zentrale Thema was mit den IPs in den USA passiert und ob und wie überhaupt ein Auftragsdatenverarbeitungsvertrag unter "Safe harbour" oder anderem Abkommen geschlossen werden kann, ist weiterhin offen. Somit hat sich leider nichts geändert.

"Change: Initial preparation for GDPR compliance.
Additional changes will be included in an upcoming release to meet the GDPR deadline."

=> Das hier ist die spannende Anpassung.

Update 09.05.2018 (letzte Prüfung 20.05.2018)

"We are applying for the Privacy Shield certification program for both EU-US and Swiss-US and will soon have available a Data Processing Agreement for our EU customers who need one"

Arbeiten immer noch scheinbar auf Hochdruck, aber leider noch nicht durch.

https://www.wordfence.com/blog/2018/05/wordfence-and-gdpr-how-the-defiant-team-are-preparing-for-gdpr/

Update 21.05.2018

Es gibt eine neue Infoseite von Wordfence
https://www.wordfence.com/help/general-data-protection-regulation/

 

Aktueller Stand (22.05.2018)

Extrem unbefriedigend und es ist scheinbar nicht möglich Wordfence einzusetzen.  Es gibt aber nun eine erste Version, die das Thema angeht und hoffe sehr, dass es bis zur Deadline klappt.Weiter scheint Wordfence intensiv dabei zu sein die Privacy Shield Anforderungen zu erfüllen bzw. der Bewerbungsprozess dazu wurde gestartet.

Immer noch unbefriedigend. Es scheint nun ein Auftragsdatenverarbeitungsvertrag zu geben, aber es ist für mich unklar ob das nun überhaupt unter dem Privacy Shield läuft oder nicht.

Aktuell gehe ich nicht davon aus, dass Wordfence es in 5 Tagen wirklich schafft. Hoffentlich muss die Erweiterung aber nurein paar Tage/Wochen im Anschluss deaktiviert bleiben. Sobald die jedoch mit der DSVGO kompatibel ist, heißt es Premium Version kaufen (zumindest für uns).

Aktuelle Stand 25.05.2018

Wordfence deaktivieren, weil es meiner Meinung nach immer noch nicht DSGVO konform ist. Ich bin aber kein Anwalt und würde mich gerne eines besseren belehren lassen(!). Wer da Quellen hat gerne rein.

Habe diesen Beitrag gefunden

https://www.wordfence.com/blog/2018/05/wordfence-is-gdpr-compliant/

Viel spannender sind jedoch die Posts

von David

4. Do you have EU-US Privacy Shield certification? If not, what is your GDPR-compliant legal basis for transferring personally identifiable information from the EU to the U.S.?

Antwort Mark Mauder (Scheinbar ein offizielle von Defiant)

4) We have applied for Privacy Shield, but the application is pending and we don't expect it for a few weeks. Until that is approved, we are using standard contractual clauses (SCCs) as the legal basis for transferring EU data to the USA.

We have applied for Privacy Shield, but the application is pending and we don't expect it for a few weeks.

Bedeutet somit für mich

-> aktuell ist es nicht(!) erfüllt

-> Aber und viel wichtiger 🙂 Die Bewerbung läuft und in ein paar Wochen kann es wohl wieder aktiv geschaltet werden.

 

Hier gibt es bereits Posts dazu.

 

https://www.wordfence.com/help/general-data-protection-regulation/

https://wordpress.org/support/topic/wordfence-and-eu-dsgvo/#post-10091609

https://wordpress.org/support/topic/gdpr-general-data-protection-regulation/

https://www.wordfence.com/blog/2018/05/wordfence-and-gdpr-how-the-defiant-team-are-preparing-for-gdpr/

Wer weitere Infos hat, gerne unten in die Kommentare einfügen.

WordPress Wordfence Nutzung und DSGVO / GDPR
4 (80%) 4 votes

28 Antworten

  1. Besten Dank für die Informationen! Allerdings liest sich die offizielle Verlautbarung im Supportforum doch noch etwas sehr unverbindlich, verwendet sie doch die Floskeln, die derzeit überall bemüht werden. Aus der Formulierung könnte zudem der Schluss gezogen werden, dass nur die GDPR-Belange im Zusammenhang mit US-Firmen einer genaueren Betrachtung unterzogen werden.
  2. Ich werde Wordfence deaktivieren und eine Alternative suchen, die ohne den Aufruf von externen Servern auskommt. Ich denke ausländische Unternehmen und Entwickler verstehen nicht, dass in Deutschland mit Abmahnungen ein erheblicher Kostenfaktor hinzukommt.
    • Hallo Christopher, ja leider hat Wordfence das komplett verpennt... Hatte denen wie im Post geschrieben ja bereits vor über einem Jahr mehrfach E-Mails dazu geschrieben. Und nun erst auf den letzten Drücker passiert etwas... Aber evtl. klappt es ja wirklich noch.
  3. Geduld, Geduld! Viele große Anbieter werden erst Mitte Mai eine Lösung bereitstellen. Warum sollten sie auch vorher? Sie arbeiten dran, wie die Leute von Wordfence auch. Wenn am 25. Mai wirklich nichts von denen kommt, ok, dann werde ich die Datenschutzerklärung entsprechend anpassen. Aber auf Wordfence verzichten? Nö.
    • Hallo Klaus, alle großen (US) Anbieter die ich kenne wie z.B. hotjar, Mailchimp, google Analytics, Facebook usw... Alle die haben bereits Lösungen seit Monaten die entsprechend der DSVGO Rechnung tragen und das Privacy Shield abkommen erfüllen. Es ist zwar bei allen mehr oder weniger mühsam einen Auftragsdatenverarbeitungsvertrag zu erhalten... Nur wenn man den hat + Datenschutzerklärung sauber ist, sollte das Thema ja durch sein. Somit haben alle es außer Wordfence obwohl die mit den sensibelsten Daten arbeiten und zwar IPs im Klartext. Eine Anpassung der Datenschutzerklärung wird leider nichts helfen. Die Verarbeitung der Daten ist schlicht illegal in den USA. Wenn man es dazu noch bewusst einsetzt ist scheinbar auch das Level erreicht wo die DSVGO dann voll greift mit Kosten. Also maximal mögliche Strafmaß muss angewandt werden.... Wordfence habe ich vor sehr sehr langer Zeit mehrfach angeschrieben, weil mir genau die Situation jetzt Sorgen machte... Habe da keinerlei Antwort erhalten. Und erst jetzt, wo die User und auch Kunden massiv streß schieben in verschiedenen Foren, tut sich etwas... Ich hoffe dennoch Wordfence schafft es die Deadline einzuhalten. Nur wenn die das nicht schaffen, muss jeder selbst wissen ob er mit einem Bein "im Gefägnis" steht oder Wordfence nicht lieber doch abstellt... Wir werden es auf jeden Fall komplett dann abstellen und hoffen ein EU Unternehmen springt mit einer Lösung in die Breche.
  4. Da eine Ersatzlösung zu finden wird sehr, sehr schwer. Am Ende des Tages muss WordFence auf vollwertige IP's aus Europa verzichten (IP Anonymisierung), was eine erhebliche Einbuße in der Wirksamkeit ihrer Premium-Leistungen bedeutet. Sie sammen aktiv "Bad IP's" um sie in ihrem Premium-Paket auf allen Seiten automatisch blocken lassen zu können. Ninja Firewall stellt wohl eine gute FOSS Alternative dar, allerdings fehlt mir auf Anhieb das Rate Limiting und die Brute-Force Einstellungen sind auch eher mau. Auf WooCommerce Login-Seiten greift es offenbar gar nicht. (Stand heute, erster Tag im Test) Es gibt natürlich noch andere Lösungen, deren Umsetzung aber trotzdem meist diese IP-Maßnahme mit einschließt. Die USA sind nach GDPR kein geeignetes Land für den Export von Kundendaten. Da hilft auch kein Vertrag mit WordFence (imo zweit-wahrscheinlichste Lösung).
    • Evtl. schaffen die es doch noch unter irgendwelchen Dingen wie "berechtigte Interesse zur Abwehr von Schaden" die "Bad IPs" doch in den USA verarbeiten zu dürfen... Aber in der Tat ist ja gerade das "Bad Ip" Blocking extrem genial und das vermutlich einzige Verfahren um nervige Angriffe auszubremsen... Alles was nicht auf IP Adressen von Angreifern basiert bringt ja schlicht nichts, wenn ein gehackter Server weltweit Angriffe fährt... Es bleibt spannend und zum Glück ist ja noch einige Zeit hin.
  5. Durfte man Wordfence nach dem aktuellen Rechtsstand denn bisher in Deutschland einsetzen? Die IP-Anonymisierung ist ja nicht erst seit der DSGVO Pflicht, soweit ich weiß ... (siehe Analytics).
  6. Was ist mit iThemes. Interessanterweise habe ich hier noch nicht so viele Artikel wie zu Wordfence gelesen. Vor ein paar Tagen hatte ich einen Blog gefunden in dem etwa 200Plugins aufgeführt waren die DSGVO mäßig untersucht worden sind. Ich meine zumindest das ithemes hier in der Liste der Plugins war das man bei entsprechenden Einstellungen nutzen kann.
    • Das könnte wohl funktionieren, ist aber ein recht schwacher Schutz. Das Problem ist iThemes hat keinerlei IP Blacklisting was ja das geniale bei Wordfence war aber eben so problematisch ist... Wenn ein Server gehackt wurde in XY Land. Oder auch einer der üblichen verdächtigen Staaten die gerne mal Angriffe fahren... Die Server fahren fröhlich weltweit Atacken... Dann ist eine WP Seite über Wordfence super geschützt. Der Angriff fliegt irgendwo auf der Welt einmal auf und die IP ist sofort auf der Blackliste. Ab dann wird die IP weltweit von allen Wordfence Erweiterungen geblockt. Oder eben automatisierten Angriffen basierend auf bestimmten Aufrufen usw. Auch da braucht es dummerweise eine zentrale Datebank in der diese Definitionen drin stehen und laufend runtergeladen werden können... Auch das scheint iThemes nicht zu bieten. Daher ist iThemes da keine echte Option. Sicherlich besser als nichts... Aber leider kein Wordfence.
  7. Ute
    Moin zusammen, ist es denn in der Tat ratsam, das Plugin komplett zu löschen? Oder reicht deaktivieren? Oder gibt es schon etwas neues dazu? LG Ute
    • Deaktivieren reicht aus. Wenn bei Wordpress etwas deaktiviert ist, ist es auch wirklich inaktiv und "aus". Wenn Wordfence das nicht bis 24.05 schafft... erstmal deaktivieren und dann sind die hoffentlich durch. Stand ist aktuell "wir bewerben uns" sind aber noch nicht durch mit "Privacy Shield"-Abkommen. Bedeutet aktuell immer noch offen (vgl. Aktualisierung im Post)
  8. Soweit ich das sehe, kam letzten Abend das ersehnte GDPR-Update, siehe hier: https://wordpress.org/support/topic/wordfence-7-1-5-released-today-gdpr-compliance-updates-included/ Doch was hat man nun zu beachten? Man muss ja sicherlich in der Datenschutzerklärung darauf hinweisen.
    • Hallo, soweit ich es sehe nicht. Es ist auch dort nur die Rede von "GDPR compliance updates." Ich kann nirgendwo Infos finden unter welchem Abkommen die Daten dort verarbeitet werden. Andere Anbieter sind unter dem Privacy Shield Abkommen. Ausführliche Infos hat Wordfence hier https://www.wordfence.com/help/general-data-protection-regulation/ Wordfence ist meiner Meinung nach immer noch nicht mit der DSGVO konform und muss immer noch abgeschaltet werden. Wenn jemand andere Infos hat, gerne in die Kommentare. Nur ich sehe aktuell nur "updates", usw. Andere Anbieter schreiben klipp und klar, dass die GDRP eingehalten wird aufgrund Privacy Shield abkommen usw. Das fehlt mir bei Wordfence alles. Grüße
      • Ok, dann werde ich das auch erstmal deaktivieren. Danke!
  9. Angeblich ist Wordfence jetzt kompatibel mit der DSGVO. Begründung dafür ist, dass Wordfence nun privacy policy zertifiziert ist. Es werden jedoch weiterhin komplette Datensätze mit IP-Adresse, Browsertyp, Ort und Zeit in die USA gesendet. Und das, ohne dass man den User vorwarnen kann. Meiner Meinung nach reicht das absolut nicht aus, ich werde mich von diesem Plugin leider verabschieden.
  10. Wordfence ist wirklich ein super tool. Kann aber durch Server Pugins ohne weiteres ersetzt werden und wird somit unnötiug. Dies macht die Webseite schneller und auch sicher. VG
    • @Matt Renzi - Das würde mich sehr interessieren. Kannst du das mal etwas geanuer beschreiben, wie ich das serverseitig hinbekomme. Oder muss man da ein Programmierexperte sein?
  11. Ist die Nutzung des Plugin eigentlich von außen sichtbar bzw. von Abmahn-Robots auslesbar. Im Quellcode der Startseite meiner Website sehe ich nichts :-)
    • Man kann zumindest sehen, dass Wordfence Cookies setzt.
      • Die Cookies lassen sich aber mittlerweile deaktivieren.
  12. Vielen Dank für den Beitrag. Haben Sie zu dem Thema irgendwelche Neuigkeiten erfahren?
    • ja vgl. Stand von heute im Post. Wordfence ist nicht mit DSGVO vereinbar. Es ist nicht unter dem Privacy Shield sondern bewerben sich aktuell erst darum. Somit muss es meiner Meinung nach sofort deaktiviert werden, wenn nicht bereits geschehen.
      • Ich bin da nicht ganz so sicher. Die IP Adressen scheinen ja gehashed zu werden. Bereits aufgezeichnete Adressen können nachträglich anonymisiert werden. Wenn die IP-Adressen in dieser Form übertragen wird, drängt sich mir die Frage auf, ob dann überhaupt personenbezogene Daten verarbeitet werden.
      • Das sehe ich ehrlich gesagt anders: Privacy Shield ist ja keine absolute Autorität (sondern eigentlich auch nur eine recht wackelige Konstruktion) und auch nicht in der DSGVO als "sicher" erwähnt. Auch Privacy Shield ist also nur "relativ" sicher. Wenn ich mit Wordfence (bzw. Defiant) einen Vertrag zur Auftragsverarbeitung abschließe, in dem Defiant mir die DSGVO-konforme Verarbeitung garantiert, sehe ich durchaus einen Rechtfertigungsgrund (berechtigtes Interesse: Sicherheit mit entsprechender vetraglicher Vereinbarung mit dem Auftreagsdatenverarbeiter), Wordfence auch ohne Privacy Shield einzusetzen.
        • Ja das kann jeder machen wie er möchte. Aktuell gibt es ja noch keine Urteile dazu, die es klar regeln. Würde ich nur auf keinen Fall machen. Dann müssten wir ja selbst sicherstellen, dass Defiant sich an die DSVGO hält. Sprich wir müssten testen und sicherstellen, dass die Maßnahmen die Defiant macht auch wirklich vorhanden sind und auch stimmen. Wenn dann rauskommt man hat (logischerweise) nichts gemacht, kein einziges Audit usw. und nur einen "wertlosen" Vertrag unterschrieben... Dann wird das glaube ich sehr problematisch... Das ist mirzu heikel ;-) So muss Defiant zumindest ein recht umfangreiches Audit durch Privacy Shield durchlaufen. Daher warte ich lieber bis die offiziell unter dem Privacy Shield in hoffentlich wenigen Wochen laufen.
  13. Ute
    Wie sieht das eigentlich aus, wenn man WordPress nur als CMS nutzt - ohne Kommentarfunktion und ohne die übliche Login-Page.Werden die IPs sofort gespeichert, beim Aufruf jeder Seite oder nur bei Login und Kommentarversuchen? Denn wo niemand kommentiert, würde dann ja nichts gespeichert. Und wer sich zu unrecht einzuloggen versucht, sollte nicht durch DSGVO geschützt werden ;-) Ich entschuldige mich schon mal im Vorfeld bei den Experten, wenn die Frage etwas naiv ist, in dem Bereich bin ich kein Techniker....Ich weiß nur das Wordfence in Kombi mit einem weiteren Sicherheitsplugin schon sehr hilfreich war.
    • Hallo Ute, die IPs werden bei Wordfence sofort verarbeitet und auch ohne Wordfence. Egal ob eine Internetseite mit CMS oder ohne liegt immer auf einem Webserver. Und jeder Webserver hat Serverlogs in denen sofort die IP gespeichert wird. Wordfence speichert bzw. verarbeitet den Zugriff auf egal welche Seite oder url sofort. Weil das System ist ja so genial, dass das eben IPs die auch einer Blacklist stehen dann sofort blocken würde. Genauso wenn verdächtige Aufrufe kommen. Die werden erkannt und die IP dann sofort geblockt. Wordfence fungiert da als eine Firewall die nichts durch lässt. Aber dazu auf ein zentrale Datenbank (in den USA) zugreift wo eben alle geblockten IPs sind... Und das macht es ja so problematisch. Sobald da irgendwas falsch läuft werden eben doch "unschuldige" IPs womöglich in die USA übertragen...

Einen Kommentar schreiben