Dass auch große, multinationale Unternehmen vor vermeintlich simplen Fehlern nicht gefeit sind, zeigt uns eine aktuelle Entscheidung der irischen Aufsichtsbehörde – so muss Meta, Mutterkonzern von Facebook, eine Strafe von 91 Millionen Euro für einen vermeidbaren Fehler zahlen. Der Vorfall hatte sich bereits 2019 ereignet, hier die offizielle Verlautbarung von Meta.
Was war geschehen?
Der Grund für diese Strafe: Millionen Passwörter von Userinnen und Usern wurden im Klartext gespeichert. Das Speichern von Passwörtern sollte niemals unverschlüsselt geschehen, insbesondere nicht – besonders nicht, wenn es sich um solche von Kunden handelt.
Korrekterweise hat Meta die Passwörter auch nicht im Klartext gespeichert, sondern branchenüblich verschlüsselt. Warum diese Maskierung von Passwörtern in diesem Rahmen nicht funktionierte, ist der Mitteilung von Meta nicht zu entnehmen. In jedem Fall war wohl der Zugriff im Rahmen des Auslesens so genannter Protokolldateien möglich (Mehr zu Protokolldateien finden Sie in diesem Beitrag von AWS).
Meta wurde selbst auf die unverschlüsselten Passwörter aufmerksam. Die betroffenen Nutzer*innen, insbesondere solche der Plattformen Instagram und Facebook, wurden informiert. Darüber hinaus klärt Meta in der Mitteilung auch über die eigenen schützenden Maßnahmen auf, um unautorisierte Zugriffe auf Konten zu unterbinden – etwa, wenn Zugriffe aus anderen Weltregionen vom System bemerkt werden.
Interne Untersuchungen ergaben laut Meta, dass kein externer Zugriff stattfand. Es gab auch keine Hinweise auf Missbrauch durch Mitarbeitende. Ob der Zugriff tatsächlich ausgeschlossen war, bleibt jedoch unklar.
Gefahren eines Datenlecks
Die Gefahr liegt nicht nur im möglichen externen Zugriff. Auch tausende Mitarbeitende hatten theoretisch Zugriff auf die Daten. Zudem konnte sich mit den Daten nicht nur in den betroffenen sozialen Netzwerken eingeloggt werden. Da viele Nutzerinnen und Nutzer weltweit in verschiedenen Diensten zumindest ähnliche Passwörter nutzen, war zumindest theoretisch auch die Integrität des Zugriffs auf andere Dienste gefährdet.
Die Gefahren nur für den Verlust der Verfügungsgewalt über den betroffenen Account kann erhebliche Folgen haben. So kann ein solcher Zugang genutzt werden, um im Rahmen des Social Engineering weitere Personen zu schädigen. Als Social Engineering bezeichnet man allgemein das Hervorrufen von Entscheidungen beim Gegenüber, die diesen Schwächen sollen – etwa durch die Freigabe von finanziellen Mitteln. Oder die betroffene Person kann durch einen Missbrauch des Accounts in zutiefst ehrverletzender Weise dargestellt werden. Die Möglichkeiten der Schädigung sind weitläufig und der kriminellen Fantasie etwaiger Schädiger keine Grenzen gesetzt. Die Konsequenzen für den Betroffenen können in diesen Fällen also von der Notwendigkeit, sich ein neues Passwort anzulegen, bis hin zu weitreichenden finanziellen oder persönlichen Einbußen reichen.
Entscheidungsgrundlage und Bußgeld
Die Entscheidung der Behörde beruhte unter anderem auf einer Verletzung der Meldepflicht. Zudem war wohl die interne Dokumentation durch Meta zumindest nicht ausreichend geschehen. Eine Meldepflicht knüpft der Gesetzgeber an das Vorliegen eines Risikos für die Rechte und Freiheiten natürlicher Personen, vgl. Art. 33 DSGVO. Die Information der Betroffenen ist aber nur notwendig, soweit für diese durch den Vorfall ein hohes Risiko besteht, vgl. Art. 34 DSGVO. Das Bußgeld beruht der Entscheidung nach auf den folgenden Feststellungen:
- Keine ausreichenden technisch-organisatorischen Maßnahmen getroffen zu haben, um die Sicherheit der Datenverarbeitung zu gewährleisten (Art. 32 Abs. 1 DSGVO)
- Das Prinzip der Integrität und Vertraulichkeit bei der Datenverarbeitung verletzt zu haben (Art. 5 Abs. 1 lit. f DSGVO)
- Die Verletzung des Schutzes personenbezogener Daten nicht vorschriftsmäßig dokumentiert zu haben (Art. 33 Abs. 5 DSGVO)
- Die Datenschutzverletzung trotz entsprechender rechtlicher Verpflichtung nicht bzw. nicht rechtzeitig an die Aufsichtsbehörde gemeldet zu haben (Art. 33 Abs. 1 DSGVO)
Die Strafe von 91 Millionen Euro ist zwar bemerkenswert, dürfte Meta aber nicht nachhaltig schädigen: Die Konzernmutter Meta Platforms macht im Jahr 2023 einen Umsatz von knapp 135 Milliarden Euro. Die verhängte Geldbuße beläuft sich folglich auf etwa 0,65% des Jahresumsatzes.
Analyse
Die irische Aufsichtsbehörde stellt in Ihrer Entscheidung auch noch einmal unmissverständlich klar: In Fällen von Datenlecks sollte die jeweilige Aufsichtsbehörde ohne schuldhaftes Zögern („without undue delay“) informiert werden. Sonst könnten sich, so führt die Aufsichtsbehörde aus, gerade aus dem Umstand der Nicht-Meldung Risiken für die Rechte und Freiheiten natürlicher Personen ergeben. So erklärt sich auch, dass trotz der Meldung durch Meta die verspätete Meldung vorliegend mit abgemahnt wurde.
Für Datenschutzbeauftragte und Verantwortliche ist dies ein weiterer Hinweis, dass die 72-Std.-Frist zum Melden von Datenpannen ernst genommen werden sollte. Im Zweifel ist hierbei also unbedingt von der Möglichkeit Gebrauch zu machen, eine Datenpanne nur vorläufig zu melden, und ggf. entscheidende Sachverhaltsangaben nachzuliefern. Die unzureichende Protokollierung wurde ebenfalls kritisiert. Verantwortliche sollten geeignete Tools nutzen, um Nachweise der Vorfallsaufklärung zu erbringen.
Auch kann, wie hier geschehen, trotz entsprechender branchenüblicher Verschlüsselung der Passwörter eine fehlerhafte Konfiguration dazu führen, dass die Passwörter in Logfiles im Klartext eingesehen werden können. Dieser Umstand entzieht sich zwar etwas den Prüfmöglichkeiten eines Datenschutzbeauftragten oder Datenschutzkoordinators, der sich gerade in diesen technischen Details auf die Angaben, die ihm gemacht werden, verlassen können muss. Ein gezieltes Nachfragen nach etwaigen Schwachstellen kann die externe oder unternehmensinterne Kontrolle hier aber effektivieren und eine entsprechende Sensibilisierung verbessern.
Es bleibt die Frage, ob wohl ein effektives Zugriffsmanagement für Logfiles in Form einer strengen Vergabe von Berechtigungen und zwingenden Rechtfertigungspflichten die Auffälligkeit des Vorfalls hätte schmälern können. So ist zumindest für den Datenschutzberater bei einer Draufsicht auf den Fall nicht ersichtlich, warum die Kenntnisnahme einer Vielzahl von Mitarbeitenden zu befürchten war. Durch entsprechende Konzepte, Zugriffsbeschränkungen und das Ausarbeiten einer entsprechenden IT-Sicherheitsrichtlinie sollten sich solche Risiken innerhalb von Organisationen zumindest teilweise minimieren lassen.
Der Schaden war für Meta in diesem Fall nicht primär finanzieller Natur, sondern vor allem rufschädigend. So war in den Presseberichten teilweise zu lesen, dass Meta Passwörter im Klartext gespeichert hätte. Diese zumindest etwas verkürzte Darstellung des Sachverhalts lies den Umstand, dass der Fehler in der fehlerhaften Konfiguration der Verschlüsselung lag und deshalb die Möglichkeit der Kenntnisnahme der Passwörter durch die Mitarbeitenden von Facebook bestand, außen vor. Ein Speichern der Passwörter fand in dieser Form zumindest nicht statt und liest sich sehr viel dramatischer.
Die Höhe des Bußgeldes in absoluten Zahlen ist zwar stattlich, im Vergleich zu anderen Bußgeldern der irischen Datenschutzaufsicht gegen den US-Konzern aber zurückhaltend. So wurde aufgrund der rechtswidrigen Datenübermittlung in die USA bereits ein Bußgeld von 1,2 Milliarden Euro verhängt, die Gesamtstrafen summieren sich seit der Einführung der DSGVO bereits auf über 4 Milliarden Euro (siehe diesen Bericht auf LTO.de).