Bonn/Berlin, 21.03.2019
Pressemitteilung 13/2019
Facebook offenbart erneut erhebliche Datenschutzdefizite
Der aktuelle Skandal belegt, dass Facebook das Thema Datenschutz immer noch stiefmütterlich behandelt. Gerade weil die Facebook-Zugangsdaten auch für viele andere Dienste als Authentifizierungsmöglichkeit genutzt werden können, sollten Nutzer des sozialen Netzwerks unbedingt ihre Passwörter ändern.
Bei Ulrich Kelber, dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, hat der erneute Skandal vor allem Kopfschütteln ausgelöst: Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen. Damit setzt Facebook seine Kunden einem unnötigen Risiko aus. Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.
Da Unternehmen beim Anmeldeprozess lediglich überprüfen müssen, ob Zugangskennung und Passwort zueinander passen, ist es Stand der Technik, Passwörter regelmäßig nur in verschlüsselter Form zu speichern, beispielsweise als Hashwert. Bei einem ähnlich gelagerten Fall hatte der Landesdatenschutzbeauftragte in Baden-Württemberg vor einigen Monaten aus diesem Grund ein deutsches Unternehmen mit einer Geldbuße belegt.
Der BfDI ist sich daher sicher, dass auch der vorliegende Fall penibel von den Datenschutzaufsichtsbehörden untersucht werden wird: Zum einen muss geklärt werden, ob Facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat. Das Problem scheint ja bereits seit Januar bekannt gewesen zu sein. Unabhängig davon wird die in Europa zuständige Irische Datenschutzbeauftragte sicherlich die Einleitung eines Bußgeldverfahrens prüfen. Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.
Facebook hatte heute bekannt gegeben, dass über Jahre hinweg die Passwörter von hunderten Millionen Kunden unverschlüsselt auf internen Servern lagen und so für mehr als 20.000 Mitarbeiter zugänglich waren. Besonders kritisch ist der Fall, weil diese Daten nicht nur für den Zugang zum sozialen Netzwerk selbst, sondern auch als sogenanntes Single Sign-On genutzt werden können. Viele weitere Apps oder Online-Dienste ermöglichen es, sich mit den Facebook-Zugangsdaten bei ihnen anzumelden. So gewähren die Daten potentiell auch den Zugriff auf weitere gegebenenfalls sehr sensible Daten, etwa aus Gesundheits-Apps. Facebook-Nutzer sollten daher dringend ihr Passwort ändern. Tipps für sichere Passwörter finden sich beispielsweise auf der Website des Bundesamts für Sicherheit in der Informationstechnik.
Aktualisierung vom 22.03.2019, 13:15 Uhr:
Im Nachgang der Veröffentlichung der Pressemitteilung haben wir erfahren, dass Facebook die Kundenpasswörter in seiner Passwort-Datenbank doch verschlüsselt speichert. Stattdessen waren die in Rede stehenden Passwörter offenbar in Log-Files im Klartext gespeichert. Hierzu erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber: An der grundsätzlichen Bewertung des Vorfalls ändern die neuen Erkenntnisse nichts. Wenn überhaupt macht es die ganze Sache noch schlimmer, da Passwörter – egal ob verschlüsselt oder im Klartext – generell nichts in Log-Files zu suchen haben.