DSGVO-Ernstfälle: Datenschutzlücken bei Facebook und Veeam (Update 15.10.2018)

Es könnte zumindest ein weitreichender Prüfstein für die Ernsthaftigkeit in der Durchsetzung der EU-Datenschutzgrundverordnung (DSGVO) sein: In den vergangenen Wochen wurden Vorfälle bei Veeam und Facebook bekannt, über die gesprochen und geprüft werden muss.

Was ist passiert?

Während im Fall der ungesichert online zugänglichen MongoDB mit Marketingdatensätzen (etwa 4,5 Millionen Namen und E-Mail Adressen, teilweise IP-Adressen von potenziellen Kunden) des Softwareherstellers Veeam – ironischerweise am besten bekannt für Software zur Datensicherung und -wiederherstellung und somit sehr auf Sicherheit bedacht – unklar ist, ob überhaupt Unbefugte Zugriff genommen haben, sieht das bei Facebook ganz anders aus: Facebook bemerkte die Lücke, durch die sich Angreifer die Access Token für fremde Konten besorgen und somit als diese Personen erscheinen und zugreifen konnten nur, weil plötzlich und sehr massiv die Funktion genutzt wurde, die dies ermöglichte. Es wurden also mit an Sicherheit grenzender Wahrscheinlichkeit Millionen von Access Token entwendet – alleine was damit tatsächlich angestellt wurde, ist nicht nachvollziehbar.

Was könnte passiert sein?

Grundsätzlich konnten der oder die Angreifer mit den Authentifizierungsobjekten, die der Bequemlichkeit halber die Anmeldung mit Passwort ersetzen (zum Beispiel in der mobilen App muss man sich nicht jedes Mal mit seinem Passwort ausweisen, wenn man sie neu öffnet), nicht nur auf die Facebook-Konten der mindestens 50 Millionen Benutzer zugreifen. Wahrscheinlich standen Ihnen auch eine Vielzahl von Drittanbietertüren offen, die die Anmeldung an ihre Dienste mit einem Facebook-Konto ermöglichen. Inzwischen hat Facebook die Access Token von 50 Millionen sicher und 40 Millionen vielleicht betroffenen Anwendern für ungültig erklärt, so dass diese sich neu anmelden mussten oder müssen.

Nicht geklärt ist, ob die für den „Hack“ genutzte Sicherheitslücke, die im Kern schon seit 2017 existiert, schon früher genutzt wurde, nur nicht in dem Ausmaß, das nun auffiel. Insofern ist der komplette Umfang dieses jüngsten und sehr schwerwiegenden Datenlecks bei Facebook noch nicht zu erfassen.

Was sind die Konsequenzen?

Sowohl Veeam als auch Facebook haben zügig die Öffentlichkeit informiert. Dass sie sich damit teilweise noch brüsten und das als gute Tat darstellen, ist grelles Marketing. Einerseits zwingen noch schneller auftauchende Berichte in Medien die Unternehmen dazu und andererseits ist genau dieser Schritt bei Ausbleiben auch empfindlich strafbewehrt.

Zwar ist noch nicht ausdrücklich festgestellt worden, dass EU-Bürger von insbesondere der schweren Lücke bei Facebook betroffen sind, aber davon ist durchaus auszugehen beim vorliegenden Umfang. Insofern findet die DSGVO in vollem Umfang Anwendung und es ist nun an der irischen Aufsichtsbehörde, die für Facebook zuständig ist, diese Anwendung durchzusetzen.

Welche Strafen drohen?

Allerdings ist ein Datenleck als solches auf Basis der DSGVO nicht automatisch strafbar. Strafbar ist die Verletzung der Pflicht, das Risiko zu minimieren, dass ein solcher Hack möglich ist, und das Verschweigen von Vorfällen. Letzteres haben sich beide betroffenen Unternehmen nicht zu Schulden kommen lassen, weil sie ja so furchtbar transparent und kundenfreundlich sind.

Ob aber der erste und wesentlich umfangreichere Punkt straffrei bleiben kann, ist sehr viel schwerer zu bestimmen. Hier ist eine umfassende Prüfung und Bewertung der Aufsichtsbehörde zu erwarten. Sollte diese ausbleiben oder/und die Öffentlichkeit nicht über Vorgehen und Ergebnisse informiert werden, würde die DSGVO an sofortigem Zahnverlust zugrunde gehen. Gerade der Umgang mit Facebook ist ein Fanal für die Durchsetzung der DSGVO, an dem sich die breite Öffentlichkeit und alle großen Firmen orientieren werden.

Prüfstein für die DSGVO

Gemäß DSGVO müsste Facebook eine Risikobewertung seiner Datenverarbeitung vorgenommen haben – und hätte dabei sicherlich einige besonders schützenswerte Informationen gefunden, die sie potenziell erheben (Religionszugehörigkeit, Gesundheitsinformationen, familiäre Informationen uvm.). Diese Bewertung sowie entsprechend zur Risikominimierung ergriffene Maßnahmen müssen sich in einem Verfahrensverzeichnis und einer Aufstellung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Daten finden.

Kann Facebook diese Dokumentationen vorlegen? Sind die Maßnahmen als ausreichend zu bewerten? Entsprechen die TOM dem „Stand der Technik„?

Ein Milliardenkonzern wie Facebook muss dabei den höchsten Ansprüchen an den Stand der Technik gerecht werden – schließlich ist kaum ein Aufwand organisatorisch oder finanziell als unverhältnismäßig zu betrachten, wenn es um die sehr persönlichen Daten von hunderten Millionen von EU-Bürgern geht.

Am Ende kann es also immernoch sein, dass Facebook zu Recht ohne großes Bußgeld aus dem Fall herauskommt, falls eine eingehende Prüfung zu dem Ergebnis kommt, dass sie wirklich alles in ihrer Macht stehende getan haben, um den Hack zu vermeiden. Alleine – ich glaube es nicht! Ganz sicher nicht, ohne einen entsprechend glaubwürdigen und nachvollziehbaren Bericht der prüfenden Aufsichtsbehörde.

Im anderen Extrem könnte es auf eine Strafe in der Größenordnung von 1,63 Milliarden USD hinauslaufen. Einfach gesagt können wir die Ernsthaftigkeit, mit der die EU die Umsetzung der DSGVO verfolgen will, an der Position der Strafe auf der Skala von 0 bis 1,63 Mrd. gepaart mit dem Ergebnisbericht der Aufsichtsbehörde ablesen. Daher bin ich sehr auf die weitere Entwicklung gespannt.

Update 15.10.2018: Selektiver Datenklau

Aus einer aktualisierten Meldung des Facebook-Managements gehen äußerst beunruhigende Details zu diesem aktuellen Vorfall hervor: offensichtlich wurden gezielt und vor allem selektiv persönliche Daten, vollständige Profile von Facebook-Nutzern abgezogen. Etwaige Gemeinsamkeiten und daraus ablesbare Kriterien, die auf Ziele und Hintergründe der Angreifer hindeuten würden, sind bislang nur Facebook selbst und dem FBI bekannt. Aufgrund laufender Ermittlungen des FBI will Facebook die Öffentlichkeit nicht genauer informieren.

Eine gute Übersicht über die möglichen Implikationen bis hin zur denkbaren Manipulation europäischer Wahlen und wie die EU Kommission aktuell auf den Vorfall reagiert hat Erich Moechel beim ORF veröffentlicht.