California-CCPA-Compliance
Der kalifornische CCPA verpflichtet Unternehmen, angemessene Sicherheitsvorkehrungen für Verbraucherdaten zu gewährleisten, und neue Vorschriften sehen zusätzlich Cybersecurity Audits vor. Erfahren Sie, wie ImmuniWeb beim Testen von Web- und Mobile-Applications hilft.
Einhaltung des California Consumer Privacy Act (CCPA)
Was ist das kalifornische CCPA?
Der CCPA gewährt kalifornischen Verbrauchern Rechte in Bezug auf ihre personenbezogenen Daten – das Recht auf Auskunft, Löschung, Berichtigung, Widerspruch gegen den Verkauf oder die Weitergabe personenbezogener Daten sowie die Einschränkung der Verwendung sensibler personenbezogener Daten. Unternehmen müssen angemessene Sicherheitsmaßnahmen umsetzen und diese Rechte einhalten.
Das CPRA hat die CPPA gegründet und beauftragt, Regeln zu erlassen. Die finalisierten Regelungen – gültig ab dem 1. Januar 2026 – verpflichten betroffene Unternehmen zur Durchführung von Risk Assessments und jährlichen Cybersecurity Audits, bei denen die 'reasonable security' anhand anerkannter Frameworks wie NIST und ISO bewertet wird, einschließlich Gap Analysis und Remediation.
Erfahren Sie, wie ImmuniWeb Ihnen hilft, 'reasonable security' nachzuweisen und CCPA-Cybersicherheitsaudits zu unterstützen – durch das Testen der Apps, die Verbraucherdaten verarbeiten. Fordern Sie eine Demo an · oder führen Sie einen kostenlosen Test der Community Edition durch.
Wer muss CCPA-konform sein?
Der CCPA gilt für gewinnorientierte Unternehmen, die einen Schwellenwert erfüllen:
- Australische Regierungsbehörden über 25 Millionen Dollar; oder
- Große Mengen personenbezogener Daten – der Kauf, Verkauf oder Weitergabe der PI von mehr als 100.000 Verbrauchern oder Haushalten; oder
- Data-driven revenue – Wenn 50 % oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe von PI stammen. In-scope-Betriebe, die Web- und Mobile-Anwendungen betreiben, die Consumer-Daten verarbeiten, müssen diese sichern und testen.
Wichtige CCPA-Anforderungen an die Anwendungssicherheit
Zwei Aspekte bestimmen die Anwendungssicherheitsarbeit unter dem CCPA:
- Angemessene Sicherheit: Implementieren und pflegen Sie angemessene Sicherheitsverfahren und -praktiken; Unterlassen kann nach einem Vorfall das private Klagerecht auslösen.
- Cybersecurity Audits (ab 2026): Durchführung jährlicher, unabhängiger Cybersecurity Audits zur Bewertung der Sicherheit anhand anerkannter Frameworks, einschließlich Gap Analysis und Remediation.
- Risikobewertungen: Bewerten und dokumentieren Sie die Risiken von Hochrisiko-Verarbeitungsaktivitäten.
Die Sicherheitsanforderungen des CCPA im Detail
Angemessene Sicherheit und das private Klagerecht
Der CCPA verlangt angemessene Sicherheitsverfahren und -praktiken, und Verbraucher können ein privates Klagerecht geltend machen, wenn ein Datenverstoß auf die failure to maintain them zurückzuführen ist. Penetrationstests und Vulnerability Scans der Anwendungen, die Consumer-Daten verarbeiten, sind praktischer Nachweis für „angemessene Sicherheit“.
CPPA-Cybersicherheits-Audit-Regelungen (2026)
Die am 1. Januar 2026 in Kraft tretenden Vorschriften der CPPA verpflichten betroffene Unternehmen zur Durchführung jährlicher Cybersicherheitsaudits, die auf anerkannten Frameworks (wie NIST und ISO) basieren, einschließlich einer Lückenanalyse und Abhilfemaßnahmen. Regelmäßige Anwendungstests liefern die Nachweise, die ein Auditor benötigt.
Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind
Die Schwachstellen, die die „angemessene Sicherheit“ untergraben, entsprechen eng den OWASP Top 10:
- Broken Access Control — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
- Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
- Injection — SQL-, Befehls- oder andere Injections durch nicht validierte Eingaben.
- Insecure Design — fehlende Sicherheitskontrollen durch Design, nicht nur durch Bugs.
- Sicherheitsmiskonfiguration — Standard-, unvollständige oder unsichere Konfiguration.
- Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
- Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
- Software- und Datenintegritätsfehler — nicht vertrauenswürdige Updates, unsichere CI/CD-Pipelines.
- Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
- Server-Side Request Forgery (SSRF) — der Server wird dazu verleitet, böswillige Anfragen zu stellen. Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Um diese Probleme zuverlässig zu erkennen, ist das Testen der laufenden Anwendung erforderlich, nicht nur eine Überprüfung der Dokumentation.
Anwendungssicherheit im Rahmen der CCPA mit ImmuniWeb
- Erfassen Sie Ihre Angriffsfläche.Erstellen Sie mit ImmuniWeb Discovery eine Bestandsaufnahme der internetexponierten Apps, die Verbraucherdaten verarbeiten.
- Testen Sie Webanwendungen mit On-Demand (Penetrationstests) und Neuron (Scanning).
- Testen Sie mobile Anwendungen mit MobileSuite und Neuron Mobile.
- Unterstützen Sie Cybersicherheits-Audits mit Berichten, die an NIST/ISO abgeglichen sind, sowie mit Gap Analysis und Remediation.
- Beseitigen und neu testen mit umsetzbaren Berichten ohne False Positives.
- Kontinuierlich überwachen mit Continuous und Discovery.
So unterstützt Sie ImmuniWeb bei der CCPA-Konformität
ImmuniWeb hilft Unternehmen, „angemessene Sicherheit“ nachzuweisen und die Nachweise zu erbringen, die das Cybersicherheits-Audit-Regelwerk des CCPA erfordert.
| Anforderung | Was erforderlich ist | ImmuniWeb-Produkte |
|---|---|---|
| Angemessene Sicherheit | Umsetzung und Nachweis angemessener Sicherheitspraktiken. | On-Demand, Neuron, Discovery, Continuous |
| Cybersicherheitsaudits | Benchmarken, Lückenanalyse und Behebung gemäß NIST/ISO. | On-Demand, Neuron |
| Apps & Daten | Sichere Web-/Mobile-Apps zur Verarbeitung von Verbraucherdaten. | On-Demand, Neuron, MobileSuite, Neuron Mobile |
ImmuniWeb On-Demand und MobileSuite bieten Web- und Mobile-Penetrationstests an; Neuron und Neuron Mobile bieten automatisierte Scans an; Continuous integriert Tests in CI/CD; und Discovery kartiert Ihre Angriffsfläche – was gemeinsam angemessene Sicherheit belegt und Cybersecurity-Audits unterstützt.
CCPA vs. internationale Frameworks
Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:
| Framework | Aspekt der Anwendungssicherheit | Wie ImmuniWeb abbildet |
|---|---|---|
| CCPA Kalifornien | Angemessene Sicherheit + Cybersicherheitsaudits | Web/Mobile-Penetrationstests, Scanning, ASM, Auditnachweise |
| EU-DSGVO | Artikel 32 Sicherheit der Verarbeitung | Dieselben Tests decken beide ab |
| NIST CSF 2.0 | Schutz-/Erkennungsfunktionen | Applikationstests und Monitoring |
| ISO/IEC 27001 | Anhang A technische Kontrollen | Tests als Kontrollnachweis |
Penetrationstests vs. Security Scanning
Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.
Compliance-Checkliste (Anwendungssicherheit)
- Bestandsaufnahme internetexponierter Apps, die Verbraucherdaten verarbeiten
- Webanwendungen, die nach OWASP Top 10 getestet wurden
- Mobile Anwendungen, die gegen die OWASP Mobile Top 10 getestet wurden
- Umsetzung und Nachweis angemessener Sicherheitspraktiken
- Cybersicherheits-Audit-Reife gemessen an NIST/ISO
- Mängel behoben und erneut getestet; Aufzeichnungen aufbewahrt.
- Risikobewertungen für risikoreiche Datenverarbeitung
Warum CCPA-Compliance wichtig ist
Die CPPA und der Attorney General setzen den CCPA aktiv durch, und das private Klagerecht verknüpft Datenschutzverletzungen mit dem Versäumnis, „reasonable security“ aufrechtzuerhalten – eine häufige Grundlage für class actions. Das neue Cybersecurity-Audit-Regime legt die Messlatte noch höher.
Da Web- und mobile Anwendungen ein führender Vektor für Sicherheitsverletzungen sind, ist ihre nachweisbare Absicherung und Prüfung eine der klarsten Möglichkeiten, angemessene Sicherheit nachzuweisen und Cybersecurity-Audits auf dem größten US-Markt zu bestehen.