Wenn es um Datenschutz auf einer Social-Networking-Plattform geht, ist der Schutz der Nutzerdaten das Wichtigste, und dabei darf natürlich der Schutz der Anmeldeinformationen nicht vernachlässigt werden. Im Vergleich dazu hat Meta genau dies über Jahre hinweg durch fehlerhafte Praktiken geschafft. Dies wurde bereits 2019 aufgedeckt, aber die Strafe für ein schweres Vergehen wurde von den Regulierungsbehörden erst jetzt verhängt.
Nach einem fünfjährigen Verfahren wurde Meta von der irischen Datenschutzkommission zur Zahlung einer Geldstrafe in Höhe von 91 Millionen Euro verurteilt.
Krebs on Security berichtete erstmals 2019, dass Experten bei einem Sicherheitsaudit bei Meta entdeckten, dass das Unternehmen große Mengen von Nutzerpasswörtern im Klartext und ohne Verschlüsselung speicherte. Außerdem hatten zahlreiche interne Mitarbeiter Zugriff auf die gespeicherten Daten. Dies war ein großes Sicherheitsrisiko mit potenziell unvorhersehbaren Folgen.
Unternehmen sind schon seit langem verpflichtet, Passwörter nach strengen Vorschriften verschlüsselt zu speichern. Und Facebook, unter der Ägide von Meta, hat dabei einen sehr schweren Fehler gemacht. Nach früheren Analysen wurde die Zahl der Nutzer, deren Anmeldedaten für die Experten des Unternehmens frei zugänglich waren, auf 200 bis 600 Millionen geschätzt.
Es wurde festgestellt, dass etwa 20.000 Mitarbeiter Zugang zu Dateien mit unverschlüsselten Passwörtern hatten. Und obwohl es keine Beweise für einen Missbrauch der sensiblen Daten gibt, sollen bis zu 2.000 Mitarbeiter in der Lage gewesen sein, auf die Passwörter zuzugreifen.
Der Fall reichte Berichten zufolge bis ins Jahr 2012 zurück, wobei die Passwörter sieben Jahre lang im Klartext vorlagen. Nach der Entdeckung der Schwachstelle hat Meta die notwendigen Schritte unternommen, und die Anmeldedaten der Facebook-Nutzer werden nun ordnungsgemäß behandelt. Zumindest wurde die frühere Sicherheitslücke behoben.
Die Iren verfolgten den Fall auf der Grundlage der Datenschutz-Grundverordnung, die in der Europäischen Union allgemein gilt. Dabei wurde festgestellt, dass Meta nicht alles getan hat, um die Daten zu schützen, nicht sichergestellt hat, dass die Passwörter wie vorgeschrieben verschlüsselt sind, und nicht dafür gesorgt hat, dass regelmäßige technische und organisatorische Kontrollen entsprechend dem Risikoniveau durchgeführt werden. Darüber hinaus versäumte es die europäische Tochtergesellschaft von Meta, nach der Entdeckung eines Sicherheitsproblems die Datenschutzbehörde zu benachrichtigen. Und sie hat es versäumt, die Behandlung des Fehlers nach dessen Entdeckung ordnungsgemäß zu dokumentieren.
Die Höhe der Strafe wurde ebenfalls im Einklang mit der Datenschutz-Grundverordnung festgelegt. Der Grund, warum die Geldstrafe nicht höher ausfällt, ist, dass das Unternehmen die ganze Zeit mit der Behörde zusammengearbeitet und versucht hat, die festgestellten Probleme so schnell wie möglich zu beheben. Außerdem wertete die irische Datenschutzkommission es als mildernden Umstand, dass zu diesem Zeitpunkt keine Anzeichen dafür gefunden wurden, dass jemand das System missbraucht und sich die Daten verschafft hat.
