Aktuelles, Experten - geschrieben von dp am Donnerstag, März 21, 2019 23:16 - noch keine Kommentare
facebook: Erneut erhebliche Datenschutzdefizite
Ulrich Kelber spricht von „Skandal“
[datensicherheit.de, 21.03.2019] Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat zu dem jüngsten Datenschutz-Vorfall bei facebook Stellung genommen: Der „aktuelle Skandal“ belege, dass facebook das Thema Datenschutz immer noch „stiefmütterlich“ behandele. Gerade weil die facebook-Zugangsdaten auch für viele andere Dienste als Authentifizierungsmöglichkeit genutzt werden könnten, sollten Nutzer dieses Sozialen Netzwerks unbedingt ihre Passwörter ändern.
Kunden unnötigem Risiko ausgesetzt
Bei dem BfDI hat der erneute Skandal nach eigenen Angaben „vor allem Kopfschütteln“ ausgelöst: „Es ist zwar traurig, aber ein Datenschutzvorfall bei facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen.“
Damit setze facebook seine Kunden einem „unnötigen Risiko“ aus. Kelber: „Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“
Stand der Technik: Passwörter regelmäßig nur in verschlüsselter Form speichern
Da Unternehmen beim Anmeldeprozess lediglich überprüfen müssten, ob Zugangskennung und Passwort zueinander passen, sei es Stand der Technik, Passwörter regelmäßig nur in verschlüsselter Form zu speichern, beispielsweise als Hashwert.
Bei einem ähnlich gelagerten Fall habe der Landesdatenschutzbeauftragte in Baden-Württemberg vor einigen Monaten aus diesem Grund ein deutsches Unternehmen mit einer Geldbuße belegt.
Problem bereits seit Januar 2019 bekannt
Der BfDI sei sich daher sicher, „dass auch der vorliegende Fall penibel von den Datenschutzaufsichtsbehörden untersucht werden wird“: Zum einen müsse geklärt werden, „ob facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat“.
Das Problem scheine ja bereits seit Januar 2019 bekannt gewesen zu sein. Unabhängig davon werde die in Europa zuständige Irische Datenschutzbeauftragte „sicherlich die Einleitung eines Bußgeldverfahrens prüfen“. Kelber kündigt zudem an: „Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“
Zugriff auf weitere gegebenenfalls sehr sensible Daten möglich
facebook habe am 21. März 2019 bekanntgegeben, dass über Jahre hinweg die Passwörter von hunderten Millionen Kunden unverschlüsselt auf internen Servern gelegen hätten und so für mehr als 20.000 Mitarbeiter zugänglich gewesen seien.
Besonders kritisch sei der Fall, weil diese Daten nicht nur für den Zugang zum Sozialen Netzwerk selbst, sondern auch als „Single Sign-On“ genutzt werden könnten – viele weitere Apps oder Online-Dienste ermöglichten es, sich mit den facebook-Zugangsdaten bei ihnen anzumelden. So gewährten die Daten potenziell auch den Zugriff auf weitere gegebenenfalls sehr sensible Daten, etwa aus Gesundheits-Apps. „facebook-Nutzer sollten daher dringend ihr Passwort ändern“, rät der BfDI abschließend.
Aktualisierung vom 22.03.2019, 13.15 Uhr:
Im Nachgang der Veröffentlichung seiner Pressemitteilung vom 21. März 2019 hat der BfDI nach eigenen Angaben erfahren, dass facebook die Kundenpasswörter in seiner Passwort-Datenbank doch verschlüsselt speichert – „stattdessen waren die in Rede stehenden Passwörter offenbar in Log-Files im Klartext gespeichert“.
Ulrich Kelber unterstreicht: „An der grundsätzlichen Bewertung des Vorfalls ändern die neuen Erkenntnisse nichts. Wenn überhaupt macht es die ganze Sache noch schlimmer, da Passwörter – egal ob verschlüsselt oder im Klartext – generell nichts in Log-Files zu suchen haben.“
Weitere Informationen zum Thema:
datensicherheit.de, 07.02.2019
Bundeskartellamt geht gegen facebook vor
datensicherheit.de, 01.10.2018
Facebook-Angriff erfolgt über typische Sicherheitslücke
datensicherheit.de, 25.07.2018
Nutzer klagen über nachlässigen Datenumgang von Facebook
Aktuelles, Experten - Feb. 16, 2025 0:45 - noch keine Kommentare
Digitale Infrastrukturen: Redundanz und Resilienz zur Stärkung der Sicherheit in Europa
weitere Beiträge in Experten
- Hamburg als Vorreiter: Bürgerschaft beschloss Lobby-Registergesetz
- DsiN-Talk: Digitale Souveränität und Datenkompetenz in der Diskussion
- BSI und Hamburg vereinbaren Kooperation: Stärkung der Cyber-Sicherheit in Bund und Ländern angestrebt
- Hybridveranstaltung zur Datennutzung und -sicherheit in Justiz und Verwaltung am 28. und 29. April 2025
- Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen
Aktuelles, Branche, Studien - Feb. 14, 2025 0:37 - noch keine Kommentare
Datenschutz-Schulungen: Ein Drittel der Unternehmen versäumt es, Mitarbeitern Aktualisierungen anzubieten
weitere Beiträge in Branche
- Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen
- Sichere Authentifizierung: Thales präsentiert neue Lifecycle-Managementlösung für FIDO-Schlüssel
- OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt
- OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion
- KRITIS immer öfter im Visier Cyber-Krimineller
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren