Passwörter unverschlüsselt gespeichert: Facebook offenbart erneut erhebliche Datenschutzdefizite
Facebook soll Passwörter seiner Kund*innen unverschlüsselt in sogenannten Log-Files gespeichert haben. Dies ist einer Mitteilung von Facebook zu entnehmen, die am 21.03.2019 bekannt wurde. Danach wurden über Jahre hinweg die Passwörter von hunderten Millionen Kunden unverschlüsselt auf internen Servern gespeichert und so für mehr als 20.000 Mitarbeiter zugänglich gemacht haben. Besonders kritisch ist der Fall, weil diese Daten nicht nur für den Zugang zu Facebook selbst, sondern auch als sogenanntes Single Sign-On genutzt werden können. Viele weitere Apps oder Online-Dienste ermöglichen es, sich mit den Facebook-Zugangsdaten bei ihnen anzumelden. So gewähren die Daten potentiell auch den Zugriff auf weitere gegebenenfalls sehr sensible Daten, etwa aus Gesundheits-Apps.
Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, hat dazu erklärt: “Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen. Damit setzt Facebook seine Kunden einem unnötigen Risiko aus. Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert. Da Unternehmen beim Anmeldeprozess lediglich überprüfen müssen, ob Zugangskennung und Passwort zueinander passen, ist es Stand der Technik, Passwörter regelmäßig nur in verschlüsselter Form zu speichern, beispielsweise als Hashwert. Bei einem ähnlich gelagerten Fall hatte der Landesdatenschutzbeauftragte in Baden-Württemberg vor einigen Monaten aus diesem Grund ein deutsches Unternehmen mit einer Geldbuße belegt. Der BfDI ist sich daher sicher, dass auch der vorliegende Fall penibel von den Datenschutzaufsichtsbehörden untersucht werden wird: Zum einen muss geklärt werden, ob Facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat. Das Problem scheint ja bereits seit Januar bekannt gewesen zu sein. Unabhängig davon wird die in Europa zuständige Irische Datenschutzbeauftragte sicherlich die Einleitung eines Bußgeldverfahrens prüfen. Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.”
Quelle: Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 21.03.2019, mit Ergänzung vom 22.03.2019