Neuer Datenskandal bei Facebook: Nutzer-Passwörter im Klartext

San Francisco afp/dpa/taz | Facebook wird von einem neuen Sicherheitsskandal erschüttert: Das Online-Netzwerk musste zugeben, dass Passwörter von hunderten Millionen Nutzen unverschlüsselt auf internen Servern gespeichert wurden und so theoretisch für tausende Mitarbeitende sichtbar waren. Das Unternehmen teilte am Donnerstag mit, dass die Passwörter „niemals“ für Außenstehende sichtbar gewesen sein und dass es „bislang“ keinen Hinweis für einen Missbrauch der Daten durch Mitarbeiter gebe.

Das Netzwerk hat nicht von sich aus über den Fall berichtet. Kurz vor der Facebook-Mitteilung schrieb der Investigativreporter und IT-Sicherheitsexperte Brian Krebs auf seinem Blog unter Berufung auf einen anonymen Facebook-Insider, dass über 20.000 Facebook-Mitarbeiter Zugriff auf die im Klartext gespeicherten Passwörter haben könnten. Laut Krebs waren bis zum Jahr 2012 zurückgehende Archivdateien mit unverschleierten Passwörtern für die Mitarbeiter einsehbar.

Betroffen sind laut Facebook hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nuter sowie zehntausende Instagram-Nutzer. Facebook Lite ist eine abgespeckte Version für Nutzer mit langsamen Internetleitungen, die in Deutschland kaum genutzt wird. Die betroffenen Nutzer werden als Vorsichtsmaßnahme informiert, so Facebook weiter. Der Fehler sei bereits im Januar bei einer Routineüberprüfung aufgefallen und bereits behoben. Seit wann Mitarbeiter die Passwörter nicht mehr unverschlüsselt einsehen können, teilte das Unternehmen nicht mit.

Der Bundesdatenschutzbeauftragte Ulrich Kelber wirft Facebook Fahrlässigkeit vor. „Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen“, erklärte er am Donnerstag. „Damit setzt Facebook seine Kunden einem unnötigen Risiko aus.“

„Klare Grenzen setzen“

Die Datenschutzbehörden müssten den Fall jetzt penibel überprüfen, forderte der ehemalige SPD-Bundestagsabgeordnete weiter. Dabei müsse geklärt werden, ob Facebook gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat.

Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen, forderte, dass auch Strafen und andere Sanktionsmechanismen geprüft werden müssten. „Dies ist auch das Resultat einer Politik der Bundesregierung, die es über Jahre verpasst hat, Techgiganten wie Facebook klare Grenzen zu setzen“, teilte er mit. „Die jüngsten Meldungen fügen sich nahtlos in das Bild eines Konzerns ein, der seit Jahren die eigenen Profitinteressen vor den notwendigen Schutz seiner Nutzerinnen und Nutzer stellt. Die zuständigen Aufsichtsbehörden müssen dem Fall nun in aller Entschlossenheit nachgehen.“

Facebook musste in den vergangenen Monaten wiederholt Datenpannen melden. So hatten im September hunderte Apps mehrere Tage lang zu weitreichenden Zugriff auf Fotos von mehreren Millionen Mitgliedern des Online-Netzwerks gehabt. Durch einen anderen Fehler hatten mehrere Millionen Nutzer ihre Beiträge möglicherweise ungewollt mit der ganzen Welt geteilt – statt nur mit Freunden.

Bei einem Hackerangriff wurden 14 Millionen Nutzern zum Teil sehr private Daten gestohlen. Dazu gehörten die 10 letzten Orte, an denen sie sich über Facebook angemeldet hatten oder von anderen Nutzern markiert wurden, und die 15 jüngsten Suchanfragen bei dem Online-Netzwerk. Die Hacker hatten eine komplexe Sicherheitslücke ausgenutzt.