facebook: Erneut erhebliche Datenschutzdefizite

Ulrich Kelber spricht von „Skandal“

[datensicherheit.de, 21.03.2019] Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat zu dem jüngsten Datenschutz-Vorfall bei facebook Stellung genommen: Der „aktuelle Skandal“ belege, dass facebook das Thema Datenschutz immer noch „stiefmütterlich“ behandele. Gerade weil die facebook-Zugangsdaten auch für viele andere Dienste als Authentifizierungsmöglichkeit genutzt werden könnten, sollten Nutzer dieses Sozialen Netzwerks unbedingt ihre Passwörter ändern.

Kunden unnötigem Risiko ausgesetzt

Bei dem BfDI hat der erneute Skandal nach eigenen Angaben „vor allem Kopfschütteln“ ausgelöst: „Es ist zwar traurig, aber ein Datenschutzvorfall bei facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen.“
Damit setze facebook seine Kunden einem „unnötigen Risiko“ aus. Kelber: „Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“

Stand der Technik: Passwörter regelmäßig nur in verschlüsselter Form speichern

Da Unternehmen beim Anmeldeprozess lediglich überprüfen müssten, ob Zugangskennung und Passwort zueinander passen, sei es Stand der Technik, Passwörter regelmäßig nur in verschlüsselter Form zu speichern, beispielsweise als Hashwert.
Bei einem ähnlich gelagerten Fall habe der Landesdatenschutzbeauftragte in Baden-Württemberg vor einigen Monaten aus diesem Grund ein deutsches Unternehmen mit einer Geldbuße belegt.

Problem bereits seit Januar 2019 bekannt

Der BfDI sei sich daher sicher, „dass auch der vorliegende Fall penibel von den Datenschutzaufsichtsbehörden untersucht werden wird“: Zum einen müsse geklärt werden, „ob facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat“.
Das Problem scheine ja bereits seit Januar 2019 bekannt gewesen zu sein. Unabhängig davon werde die in Europa zuständige Irische Datenschutzbeauftragte „sicherlich die Einleitung eines Bußgeldverfahrens prüfen“. Kelber kündigt zudem an: „Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“

Zugriff auf weitere gegebenenfalls sehr sensible Daten möglich

facebook habe am 21. März 2019 bekanntgegeben, dass über Jahre hinweg die Passwörter von hunderten Millionen Kunden unverschlüsselt auf internen Servern gelegen hätten und so für mehr als 20.000 Mitarbeiter zugänglich gewesen seien.
Besonders kritisch sei der Fall, weil diese Daten nicht nur für den Zugang zum Sozialen Netzwerk selbst, sondern auch als „Single Sign-On“ genutzt werden könnten – viele weitere Apps oder Online-Dienste ermöglichten es, sich mit den facebook-Zugangsdaten bei ihnen anzumelden. So gewährten die Daten potenziell auch den Zugriff auf weitere gegebenenfalls sehr sensible Daten, etwa aus Gesundheits-Apps. „facebook-Nutzer sollten daher dringend ihr Passwort ändern“, rät der BfDI abschließend.

Aktualisierung vom 22.03.2019, 13.15 Uhr:

Im Nachgang der Veröffentlichung seiner Pressemitteilung vom 21. März 2019 hat der BfDI nach eigenen Angaben erfahren, dass facebook die Kundenpasswörter in seiner Passwort-Datenbank doch verschlüsselt speichert – „stattdessen waren die in Rede stehenden Passwörter offenbar in Log-Files im Klartext gespeichert“.
Ulrich Kelber unterstreicht: „An der grundsätzlichen Bewertung des Vorfalls ändern die neuen Erkenntnisse nichts. Wenn überhaupt macht es die ganze Sache noch schlimmer, da Passwörter – egal ob verschlüsselt oder im Klartext – generell nichts in Log-Files zu suchen haben.“

Weitere Informationen zum Thema:

datensicherheit.de, 07.02.2019
Bundeskartellamt geht gegen facebook vor

datensicherheit.de, 01.10.2018
Facebook-Angriff erfolgt über typische Sicherheitslücke

datensicherheit.de, 25.07.2018
Nutzer klagen über nachlässigen Datenumgang von Facebook