Aktuelles, Experten - geschrieben von dp am Donnerstag, März 21, 2019 23:16 - noch keine Kommentare
facebook: Erneut erhebliche Datenschutzdefizite
Ulrich Kelber spricht von „Skandal“
[datensicherheit.de, 21.03.2019] Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat zu dem jüngsten Datenschutz-Vorfall bei facebook Stellung genommen: Der „aktuelle Skandal“ belege, dass facebook das Thema Datenschutz immer noch „stiefmütterlich“ behandele. Gerade weil die facebook-Zugangsdaten auch für viele andere Dienste als Authentifizierungsmöglichkeit genutzt werden könnten, sollten Nutzer dieses Sozialen Netzwerks unbedingt ihre Passwörter ändern.
Kunden unnötigem Risiko ausgesetzt
Bei dem BfDI hat der erneute Skandal nach eigenen Angaben „vor allem Kopfschütteln“ ausgelöst: „Es ist zwar traurig, aber ein Datenschutzvorfall bei facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen.“
Damit setze facebook seine Kunden einem „unnötigen Risiko“ aus. Kelber: „Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“
Stand der Technik: Passwörter regelmäßig nur in verschlüsselter Form speichern
Da Unternehmen beim Anmeldeprozess lediglich überprüfen müssten, ob Zugangskennung und Passwort zueinander passen, sei es Stand der Technik, Passwörter regelmäßig nur in verschlüsselter Form zu speichern, beispielsweise als Hashwert.
Bei einem ähnlich gelagerten Fall habe der Landesdatenschutzbeauftragte in Baden-Württemberg vor einigen Monaten aus diesem Grund ein deutsches Unternehmen mit einer Geldbuße belegt.
Problem bereits seit Januar 2019 bekannt
Der BfDI sei sich daher sicher, „dass auch der vorliegende Fall penibel von den Datenschutzaufsichtsbehörden untersucht werden wird“: Zum einen müsse geklärt werden, „ob facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat“.
Das Problem scheine ja bereits seit Januar 2019 bekannt gewesen zu sein. Unabhängig davon werde die in Europa zuständige Irische Datenschutzbeauftragte „sicherlich die Einleitung eines Bußgeldverfahrens prüfen“. Kelber kündigt zudem an: „Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“
Zugriff auf weitere gegebenenfalls sehr sensible Daten möglich
facebook habe am 21. März 2019 bekanntgegeben, dass über Jahre hinweg die Passwörter von hunderten Millionen Kunden unverschlüsselt auf internen Servern gelegen hätten und so für mehr als 20.000 Mitarbeiter zugänglich gewesen seien.
Besonders kritisch sei der Fall, weil diese Daten nicht nur für den Zugang zum Sozialen Netzwerk selbst, sondern auch als „Single Sign-On“ genutzt werden könnten – viele weitere Apps oder Online-Dienste ermöglichten es, sich mit den facebook-Zugangsdaten bei ihnen anzumelden. So gewährten die Daten potenziell auch den Zugriff auf weitere gegebenenfalls sehr sensible Daten, etwa aus Gesundheits-Apps. „facebook-Nutzer sollten daher dringend ihr Passwort ändern“, rät der BfDI abschließend.
Aktualisierung vom 22.03.2019, 13.15 Uhr:
Im Nachgang der Veröffentlichung seiner Pressemitteilung vom 21. März 2019 hat der BfDI nach eigenen Angaben erfahren, dass facebook die Kundenpasswörter in seiner Passwort-Datenbank doch verschlüsselt speichert – „stattdessen waren die in Rede stehenden Passwörter offenbar in Log-Files im Klartext gespeichert“.
Ulrich Kelber unterstreicht: „An der grundsätzlichen Bewertung des Vorfalls ändern die neuen Erkenntnisse nichts. Wenn überhaupt macht es die ganze Sache noch schlimmer, da Passwörter – egal ob verschlüsselt oder im Klartext – generell nichts in Log-Files zu suchen haben.“
Weitere Informationen zum Thema:
datensicherheit.de, 07.02.2019
Bundeskartellamt geht gegen facebook vor
datensicherheit.de, 01.10.2018
Facebook-Angriff erfolgt über typische Sicherheitslücke
datensicherheit.de, 25.07.2018
Nutzer klagen über nachlässigen Datenumgang von Facebook
Theiners Talk
Das europäsiche Cybersecurity-CenterKooperation

Mitgliedschaft
Mitgliedschaft

Multiplikator

Gefragte Themen
- Malware macht mobil: Zunehmend Schadsoftware auf Smartphones
- Datensicherheitsverletzungen: 2020 mehr als 22 Milliarden offengelegte Datensätze
- Perso-Fingerabdruck-Pflicht: Bürgerrechtler kritisieren mangelhafte Transparenz
- Rheinland-Pfalz: Web-FAQ zum Datenschutz in der Schule
- Auch Digitalcourage warnt vor Kfz-Kennzeichenerfassung
- Digitaler Unterricht: Maja Smoltczyk fordert Behebung von Missständen
- Lessons learned – Lehren aus dem Solarwinds-Hack
- Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020
- SAP Solution Manager: Schwere Sicherheitsschwachstelle aufgetaucht
- Dridex: Warnung vor aktueller Malware-Welle
- Über Google auffindbar: Tausende gestohlene Passwörter
- Erneuert Kritik an geplantem Kfz-Massenabgleich
- Erste Erfolgsmeldungen: Digitalcourage-Bildungspaket
Aktuelles, Experten - Jan 25, 2021 13:44 - noch keine Kommentare
Perso-Fingerabdruck-Pflicht: Bürgerrechtler kritisieren mangelhafte Transparenz
weitere Beiträge in Experten
- Rheinland-Pfalz: Web-FAQ zum Datenschutz in der Schule
- Auch Digitalcourage warnt vor Kfz-Kennzeichenerfassung
- Digitaler Unterricht: Maja Smoltczyk fordert Behebung von Missständen
- Lessons learned – Lehren aus dem Solarwinds-Hack
- Erneuert Kritik an geplantem Kfz-Massenabgleich
Branche, Gastbeiträge - Jan 22, 2021 19:25 - noch keine Kommentare
Lessons learned – Lehren aus dem Solarwinds-Hack
weitere Beiträge in Branche
- Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020
- SAP Solution Manager: Schwere Sicherheitsschwachstelle aufgetaucht
- Dridex: Warnung vor aktueller Malware-Welle
- Über Google auffindbar: Tausende gestohlene Passwörter
- Datensicherheitsverletzungen: 2020 mehr als 22 Milliarden offengelegte Datensätze
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren