Aktuelles, Experten - geschrieben von dp am Donnerstag, März 21, 2019 23:16 - noch keine Kommentare
facebook: Erneut erhebliche Datenschutzdefizite
Ulrich Kelber spricht von „Skandal“
[datensicherheit.de, 21.03.2019] Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat zu dem jüngsten Datenschutz-Vorfall bei facebook Stellung genommen: Der „aktuelle Skandal“ belege, dass facebook das Thema Datenschutz immer noch „stiefmütterlich“ behandele. Gerade weil die facebook-Zugangsdaten auch für viele andere Dienste als Authentifizierungsmöglichkeit genutzt werden könnten, sollten Nutzer dieses Sozialen Netzwerks unbedingt ihre Passwörter ändern.
Kunden unnötigem Risiko ausgesetzt
Bei dem BfDI hat der erneute Skandal nach eigenen Angaben „vor allem Kopfschütteln“ ausgelöst: „Es ist zwar traurig, aber ein Datenschutzvorfall bei facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen.“
Damit setze facebook seine Kunden einem „unnötigen Risiko“ aus. Kelber: „Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“
Stand der Technik: Passwörter regelmäßig nur in verschlüsselter Form speichern
Da Unternehmen beim Anmeldeprozess lediglich überprüfen müssten, ob Zugangskennung und Passwort zueinander passen, sei es Stand der Technik, Passwörter regelmäßig nur in verschlüsselter Form zu speichern, beispielsweise als Hashwert.
Bei einem ähnlich gelagerten Fall habe der Landesdatenschutzbeauftragte in Baden-Württemberg vor einigen Monaten aus diesem Grund ein deutsches Unternehmen mit einer Geldbuße belegt.
Problem bereits seit Januar 2019 bekannt
Der BfDI sei sich daher sicher, „dass auch der vorliegende Fall penibel von den Datenschutzaufsichtsbehörden untersucht werden wird“: Zum einen müsse geklärt werden, „ob facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat“.
Das Problem scheine ja bereits seit Januar 2019 bekannt gewesen zu sein. Unabhängig davon werde die in Europa zuständige Irische Datenschutzbeauftragte „sicherlich die Einleitung eines Bußgeldverfahrens prüfen“. Kelber kündigt zudem an: „Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“
Zugriff auf weitere gegebenenfalls sehr sensible Daten möglich
facebook habe am 21. März 2019 bekanntgegeben, dass über Jahre hinweg die Passwörter von hunderten Millionen Kunden unverschlüsselt auf internen Servern gelegen hätten und so für mehr als 20.000 Mitarbeiter zugänglich gewesen seien.
Besonders kritisch sei der Fall, weil diese Daten nicht nur für den Zugang zum Sozialen Netzwerk selbst, sondern auch als „Single Sign-On“ genutzt werden könnten – viele weitere Apps oder Online-Dienste ermöglichten es, sich mit den facebook-Zugangsdaten bei ihnen anzumelden. So gewährten die Daten potenziell auch den Zugriff auf weitere gegebenenfalls sehr sensible Daten, etwa aus Gesundheits-Apps. „facebook-Nutzer sollten daher dringend ihr Passwort ändern“, rät der BfDI abschließend.
Aktualisierung vom 22.03.2019, 13.15 Uhr:
Im Nachgang der Veröffentlichung seiner Pressemitteilung vom 21. März 2019 hat der BfDI nach eigenen Angaben erfahren, dass facebook die Kundenpasswörter in seiner Passwort-Datenbank doch verschlüsselt speichert – „stattdessen waren die in Rede stehenden Passwörter offenbar in Log-Files im Klartext gespeichert“.
Ulrich Kelber unterstreicht: „An der grundsätzlichen Bewertung des Vorfalls ändern die neuen Erkenntnisse nichts. Wenn überhaupt macht es die ganze Sache noch schlimmer, da Passwörter – egal ob verschlüsselt oder im Klartext – generell nichts in Log-Files zu suchen haben.“
Weitere Informationen zum Thema:
datensicherheit.de, 07.02.2019
Bundeskartellamt geht gegen facebook vor
datensicherheit.de, 01.10.2018
Facebook-Angriff erfolgt über typische Sicherheitslücke
datensicherheit.de, 25.07.2018
Nutzer klagen über nachlässigen Datenumgang von Facebook
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren