Mangelnder Datenschutz: Meta zu 91 Millionen Euro Strafe verdonnert
Die irische Datenschutzkommission (DPC) hat Meta mit einer empfindlichen Geldstrafe von 91 Millionen Euro belegt – als Konsequenz einer schwerwiegenden Sicherheitslücke im März 2019. Damals musste Meta einräumen, dass Passwörter von Millionen Nutzern versehentlich im Klartext auf seinen Systemen gespeichert wurden, was ein enormes Risiko für die Datensicherheit bedeutete.
Die Untersuchung, die einen Monat nach Bekanntwerden der Sicherheitslücke von der irischen Datenschutzbehörde gestartet wurde, ergab, dass Meta gegen vier Artikel der Europäischen Datenschutz-Grundverordnung (DS-GVO) verstoßen hatte. Die Behörde kritisierte, dass Meta den Datenschutzverstoß nicht rechtzeitig gemeldet, den Vorfall unzureichend dokumentiert und keine ausreichenden technischen Maßnahmen ergriffen hatte, um die Vertraulichkeit der Passwörter zu schützen.
Meta hatte zunächst bekannt gegeben, dass einige Facebook-Nutzerpasswörter im Klartext gespeichert wurden. Obwohl es keine Hinweise darauf gab, dass die Passwörter unrechtmäßig eingesehen oder missbraucht wurden, zeigte der Bericht von Krebs on Security, dass einige dieser Passwörter bis ins Jahr 2012 zurückreichten. Ein Meta-Mitarbeiter berichtete, dass etwa zweitausend Ingenieure rund neun Millionen interne Abfragen nach Daten durchführten, die auch im Klartext gespeicherte Passwörter enthielten.
Einen Monat später gab Meta zu, dass auch Millionen Instagram-Passwörter auf ähnliche Weise betroffen waren und die betroffenen Nutzer informiert wurden.
Graham Doyle, stellvertretender Beauftragter der irischen Datenschutzbehörde, betonte in einer Presseerklärung die Schwere der Sicherheitslücke bei Meta: „Es ist allgemein anerkannt, dass Benutzerpasswörter niemals im Klartext gespeichert werden sollten.“ Das Risiko eines Missbrauchs sei enorm, da jeder, der Zugriff auf diese Daten erhalte, potenziell die Kontrolle über die betroffenen Social-Media-Konten übernehmen könne. In diesem Fall seien die betroffenen Passwörter besonders heikel, da sie den direkten Zugang zu den Social-Media-Profilen der Nutzer ermöglichten, was erhebliche Konsequenzen für deren Privatsphäre und Sicherheit hätte.
Die Offenlegung im Klartext stellt einen schwerwiegenden Verstoß gegen die gängigen Sicherheitspraktiken dar. In der Regel werden Passwörter so gespeichert, dass sie mithilfe von Hashing-Algorithmen unkenntlich gemacht werden. Das Ziel dabei ist, die Passwörter selbst im Falle eines Datenlecks unlesbar und damit unbrauchbar zu machen. Die Tatsache, dass Meta diese fundamentale Sicherheitsmaßnahme nicht umgesetzt hatte, war für die Datenschutzbehörde besonders alarmierend.
In einer Stellungnahme gegenüber der Associated Press versuchte Meta, die Situation zu entschärfen. Das Unternehmen gab an, „sofortige Maßnahmen“ ergriffen zu haben, um das Problem zu beheben, und hob hervor, dass es die Datenschutzbehörde „proaktiv“ über den Vorfall informiert habe. Dies sollte vermutlich betonen, dass Meta nicht versucht habe, den Fehler zu verschleiern, sondern offen mit den Aufsichtsbehörden kooperiert habe. Dennoch bleibt der Vorfall ein schwerer Schlag für das Vertrauen in die Sicherheitsmaßnahmen des Unternehmens, da die Speicherung von Passwörtern im Klartext einen grundlegenden Verstoß gegen etablierte Sicherheitsstandards darstellt.