Massive Datenpanne bei Facebook – Jetzt muss die EU hart durchgreifen
Der Datenschutz bei Facebook steht seit der neuesten Datenpanne mit rund 50 Millionen gehackten Accounts einmal mehr in der Kritik. Joseph Carson, Chief Security Scientist von Thycotic, denkt, dass es Zeit ist für gründliche Untersuchungen durch die Datenschutzbehörden. Die betroffenen fünf Millionen EU-Konten dürften ein Fall für die neue Datenschutzverordnung sein.
„Es war einiges los in den letzten Wochen in Sachen DSGVO-relevanter Datenschutzverstöße, man denke etwa an die Datenpanne bei British Airways, die es Hackern ganze zwei Wochen lang ermöglicht hatte, Kreditkarten- und Bankinformationen der Airline-Kunden abzufangen", so Carson. "Doch keiner dieser Vorfälle kann mit der Größenordnung des aktuellen Facebook-Verstoßes mithalten, wie Datenschutzrechtler bestätigen. Für die zuständigen Behörden gilt es nun zu überprüfen, ob Facebook im Vorfeld genug in seine Sicherheit investiert hat, um einen derartigen Verstoß abzuwenden.
Der Vorfall trifft Facebook schwer, war das Unternehmen doch gerade dabei, das Vertrauen von Kunden und Gesetzgeber wiederherzustellen, das unter verschiedenen Datenschutzskandalen und Sicherheitslücken stark gelitten hat. Der Vorfall wird nun erstmals zeigen, wie die Datenschutzbehörden die Bestimmungen der DSGVO hinsichtlich Sicherheitsvorkehrungen und der Meldung von Verstößen umsetzen werden. Es könnte aber auch deutlich werden, dass die vom Gesetzgeber angedrohten massiven Bußgelder bereits einen besseren Umgang mit Datenverstößen bewirkt haben und Unternehmen diese schneller öffentlich machen als bisher.
Fest steht, dass der Facebook-Vorfall Gegenstand einer EU-Untersuchung sein wird, um festzustellen, ob das Unternehmen seine 90 Millionen Nutzer mit angemessenen Sicherheitsmaßnahmen geschützt hat oder eben nicht. Eine zentrale Frage wird dabei sein, wie lange Facebook von diesen schwerwiegenden Sicherheitsmängeln wusste. Die Antwort darauf wird dann auch darüber entscheiden, ob Facebook eine schmerzhafte Geldstrafe zu zahlen hat, die gemäß den DSGVO-Bestimmungen bis zu 1,6 Milliarden US-Dollar betragen kann.
Facebook reagierte sofort, indem es seine Nutzer aufforderte, ihre aktiven Sitzungen zu beenden. Dies bedeutet jedoch, dass die Audit-Protokolldaten für diese Sitzungen nicht mehr verfügbar sind, und so nicht überprüft werden kann, ob ein Profil tatsächlich von Cyberkriminellen kompromittiert wurde. Nun gilt es vielmehr darauf zu warten, dass Facebook die Benutzer darüber informiert, wie schlimm die Datenpanne tatsächlich war und wie viele Informationen gestohlen wurden. Auf jeden Fall macht diese Datenschutzverletzung wieder einmal auf die große Schwachstelle aufmerksam, die mit der Verwendung von Single-Sign-On und Access-Token einhergeht.
Die letzten Wochen haben gezeigt, dass Cybersicherheit und Datenschutz bei Facebook längst nicht oberste Priorität haben, man denke etwa an die Schlagzeilen rund um das Erstellen und Verkaufen von sogenannten Schattenprofilen. Vor allem das fehlende Einverständnis der Nutzer bei der Erfassung und Weitergabe von personenbezogenen Daten wie Handynummern über die Facebook Messanger-App, sollte Facebook meiner Meinung nach Sorgen bereiten – auch hinsichtlich DSGVO-Bußgelder. Denn dies war sowohl in Sachen Cybersicherheit als auch Datenschutz ein großes Versäumnis von Facebook.“
„Es war einiges los in den letzten Wochen in Sachen DSGVO-relevanter Datenschutzverstöße, man denke etwa an die Datenpanne bei British Airways, die es Hackern ganze zwei Wochen lang ermöglicht hatte, Kreditkarten- und Bankinformationen der Airline-Kunden abzufangen", so Carson. "Doch keiner dieser Vorfälle kann mit der Größenordnung des aktuellen Facebook-Verstoßes mithalten, wie Datenschutzrechtler bestätigen. Für die zuständigen Behörden gilt es nun zu überprüfen, ob Facebook im Vorfeld genug in seine Sicherheit investiert hat, um einen derartigen Verstoß abzuwenden.
Der Vorfall trifft Facebook schwer, war das Unternehmen doch gerade dabei, das Vertrauen von Kunden und Gesetzgeber wiederherzustellen, das unter verschiedenen Datenschutzskandalen und Sicherheitslücken stark gelitten hat. Der Vorfall wird nun erstmals zeigen, wie die Datenschutzbehörden die Bestimmungen der DSGVO hinsichtlich Sicherheitsvorkehrungen und der Meldung von Verstößen umsetzen werden. Es könnte aber auch deutlich werden, dass die vom Gesetzgeber angedrohten massiven Bußgelder bereits einen besseren Umgang mit Datenverstößen bewirkt haben und Unternehmen diese schneller öffentlich machen als bisher.
Fest steht, dass der Facebook-Vorfall Gegenstand einer EU-Untersuchung sein wird, um festzustellen, ob das Unternehmen seine 90 Millionen Nutzer mit angemessenen Sicherheitsmaßnahmen geschützt hat oder eben nicht. Eine zentrale Frage wird dabei sein, wie lange Facebook von diesen schwerwiegenden Sicherheitsmängeln wusste. Die Antwort darauf wird dann auch darüber entscheiden, ob Facebook eine schmerzhafte Geldstrafe zu zahlen hat, die gemäß den DSGVO-Bestimmungen bis zu 1,6 Milliarden US-Dollar betragen kann.
Facebook reagierte sofort, indem es seine Nutzer aufforderte, ihre aktiven Sitzungen zu beenden. Dies bedeutet jedoch, dass die Audit-Protokolldaten für diese Sitzungen nicht mehr verfügbar sind, und so nicht überprüft werden kann, ob ein Profil tatsächlich von Cyberkriminellen kompromittiert wurde. Nun gilt es vielmehr darauf zu warten, dass Facebook die Benutzer darüber informiert, wie schlimm die Datenpanne tatsächlich war und wie viele Informationen gestohlen wurden. Auf jeden Fall macht diese Datenschutzverletzung wieder einmal auf die große Schwachstelle aufmerksam, die mit der Verwendung von Single-Sign-On und Access-Token einhergeht.
Die letzten Wochen haben gezeigt, dass Cybersicherheit und Datenschutz bei Facebook längst nicht oberste Priorität haben, man denke etwa an die Schlagzeilen rund um das Erstellen und Verkaufen von sogenannten Schattenprofilen. Vor allem das fehlende Einverständnis der Nutzer bei der Erfassung und Weitergabe von personenbezogenen Daten wie Handynummern über die Facebook Messanger-App, sollte Facebook meiner Meinung nach Sorgen bereiten – auch hinsichtlich DSGVO-Bußgelder. Denn dies war sowohl in Sachen Cybersicherheit als auch Datenschutz ein großes Versäumnis von Facebook.“