Facebook hat mal wieder ein Problem mit Nutzerdaten. Mit äußerst sensiblen Nutzerdaten. Es geht um die Passwörter von Hunderten Millionen Mitgliedern des sozialen Netzwerks. Sicherheitsforscher Brian Krebs schrieb am Donnerstag in einem Blogpost, dass das Unternehmen jahrelang Passwörter im Klartext gespeichert habe, einsehbar für rund 20 000 Mitarbeiter des Unternehmens. Jetzt prüfen Datenschutzbehörden, ob das Unternehmen bei der Aufarbeitung des Sicherheitsproblems gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat. Insbesondere stellt sich die Frage, ob Facebook die Behörden rechtzeitig infomiert hat.
Die für Facebook zuständige irische Datenschutzbehörde schrieb der SZ, sie sei am Donnerstag von Facebook über den Vorfall informiert worden zu sein. Man bemühe sich derzeit, genauere Informationen zu bekommen. Mehr Informationen wünschen sich auch potentiell betroffene Nutzer. Facebook schrieb in einer Mitteilung am Donnerstag, dass das Unternehmen vermutlich mehrere Hundert Millionen Nutzer der App Facebook Lite benachrichtigen werde. Auch Millionen Nutzer der klassischen Version von Facebook und einige Zehntausend Instagram-Nutzer würden wohl eine Nachricht bekommen.
Statt Passwörter von Facebook- und Instagram-Nutzern zu verschlüsseln, wurden sie im Klartext gespeichert. Der Konzern sagt aber: Nutzer müssen ihre Kennwörter nicht ändern.
Facebook Lite ist eine Version von Facebook, die nur die allernötigsten Funktionen beinhaltet, um auf weniger leistungsstarken Smartphones und bei schlechterer Datenverbindung zu funktionieren. Die App wurde programmiert, um Facebooks Ausbreitung in Entwicklungsländern zu beschleunigen.
Welcher Fehler entblößte die Passwörter?
Was Details des Datenschutz-Fails angeht, hat Facebook nicht viel preisgegeben. Pedro Canahuati, Facebooks für Datenschutz zuständiger Vizepräsident, schrieb in einem Blogpost, dass die Sicherheitslücke bei einer Routineüberprüfung im Januar entdeckt wurde. Seit wann die Lücke bestand, verriet Canahuati nicht. IT-Sicherheitsfachmann Krebs hatte unter Berufung auf einen anonymen Facebook-Insider berichtet, dass Passwörter seit 2012 auf diese Weise gespeichert wurden.
Der für gewöhnlich gut informierte IT-Security-Fachmann Robert Graham präzisierte auf Twitter - ebenfalls unter Berufung auf eine anonyme Quelle innerhalb Facebooks - das Sicherheitsproblem: Demnach seien die Passwörter nicht in der eigentlichen Passwort-Datenbank lesbar gewesen, sondern in Logfiles, die Eingaben von Nutzern in diversen Apps speicherten und an Facebook schickten. Solche Logs werden etwa von Systemadministratoren eingerichtet, wenn sie auf der Suche nach Fehlern im System sind. In diesem Fall seien die Passwörter nicht wie gewöhnlich kryptografisch verfremdet worden, so dass Facebook-Mitarbeiter sie in den Logfiles hätten lesen können.
Wie sollten Passwörter eigentlich gesichert werden?
Üblicherweise werden Passwörter nach der ersten Eingabe durch den Nutzer "gehasht", also mit Hilfe einer mathematischen Funktion so verfremdet, dass Hacker nur sehr schwer herausbekommen können, wie das Passwort lautet. Zusätzlich werden sie "gesalzen", das heißt, ihnen wird ein zufällig generierter Wert hinzugefügt. Das soll verhindern, dass alle Passwörter, die "123456" lauten, den identischen Hashwert bekommen. In der Datenbank werden die Passwörter dann in Form von Hash- und Salzwert gespeichert. Wenn Nutzer ihr Passwort eingeben, um sich einzuloggen, wird ihr Passwort sofort mit der gleichen Funktion gehasht und mit der in der Datenbank gespeicherten Version verglichen. So wird nie das eigentliche Passwort an die Seite übertragen, die Identifikation passiert dennoch zuverlässig.
Datenschutzbeauftragter: Passwörter haben in Logfiles nichts zu suchen
Dass dieser Schritt bei den von Facebook gespeicherten Logfiles unterlassen wurde, hält der deutsche Datenschutzbeauftragte Ulrich Kelber für unverantwortlich. Passwörter hätten in Logfiles generell nichts zu suchen, wird Kelber in einer Mitteilung seiner Behörde zitiert.
Facebook schreibt, rund 20 000 Facebook-Mitarbeiter hätten theoretisch Zugriff auf die Dateien mit den Passwörtern gehabt. Krebs' Facebook-Insider wiederum berichtet, dass rund 2000 Facebook-Ingenieure seit 2012 Anfragen gestellt hätten, deren Ausgabe Passwörter enthalten hätten. Facebook zufolge gibt es bislang aber keine Hinweise darauf, dass jemand gezielt Anfragen gestellt habe, um Passwörter zu finden oder jeman ddie Passwörter für illegitime Zwecke eingesetzt habe.
Kelber erwartet, dass die zuständige irische Aufsichtsbehörde den Fall genau untersucht. So müsse geklärt werden, ob Facebook "gegen Meldevorschriften nach der Datenschutzgrundverordnung verstoßen hat." Diese besagen, dass solche Vorfälle grundsätzlich binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden müssen. Diese Frist hätte Facebook im vorliegenden Fall um gut eineinhalb Monate verpasst.
Es ist möglich, dass Facebook selbst den Fall nicht als Datenschutzverletzung im Sinne der DSGVO sieht, weil keine Daten aus dem Unternehmen abgeflossen sind. Die irische Datenschutzbehörde wollte noch keine detailliertere Stellungnahme abgeben. Der Sprecher der Behörde sagte der SZ, man prüfe den Fall derzeit.
