Irland verhängt 91 Millionen Euro Strafe für Meta wegen massiver Passwortverletzung

Meta, die Muttergesellschaft von Facebook, wurde von der irischen Datenschutzkommission (DPC) wegen einer schwerwiegenden Verletzung der Passwortsicherheit, von der 36 Millionen Facebook- und Instagram-Nutzer im Europäischen Wirtschaftsraum (EWR) betroffen waren, mit einer Geldstrafe von 91 Millionen Euro belegt.

Bei dem Anfang 2019 entdeckten Verstoß speicherte Meta versehentlich die Passwörter der Benutzer im Klartext und setzte sie damit erheblichen Sicherheitsrisiken aus.

Die Geldstrafe unterstreicht Metas Versäumnis, angemessene Sicherheitsmaßnahmen zu ergreifen, und die Verzögerung bei der Meldung des Verstoßes an die Aufsichtsbehörden.

Meta wegen schwerwiegender Sicherheitslücken mit hoher Geldstrafe belegt

Im April 2019 teilte Meta dem irischen DPC mit, dass es „versehentlich bestimmte Passwörter von Social-Media-Nutzern“ in einem ungeschützten, lesbaren Format auf seinen internen Systemen gespeichert habe.

Diese Entdeckung löste eine Untersuchung durch den DPC aus, der zu dem Schluss kam, dass die Speicherpraktiken von Meta ein erhebliches Sicherheitsrisiko für die Benutzer darstellten.

Durch die im Klartext gespeicherten Passwörter waren Millionen von Konten einem möglichen Missbrauch durch Unbefugte ausgesetzt, die auf die vertraulichen Informationen zugreifen konnten.

Die Untersuchung des DPC ergab, dass 36 Millionen Benutzer im gesamten EWR (darunter die EU, Island, Liechtenstein und Norwegen) von dem Verstoß betroffen waren.

Obwohl Meta erklärte, es gebe keine Beweise dafür, dass auf die Passwörter zugegriffen oder sie missbraucht worden seien, erachtete die Aufsichtsbehörde die Maßnahmen des Unternehmens zum Schutz der Benutzerdaten als unzureichend und verhängte als Reaktion auf den Verstoß eine hohe Geldstrafe.

Metas Verzögerung lässt die Geldstrafe eskalieren

Ein weiterer entscheidender Faktor für die Entscheidung des DPC war die verspätete Meldung des Verstoßes durch Meta.

Obwohl das Unternehmen das Problem bereits im Januar 2019 entdeckte, informierte es die Aufsichtsbehörde erst im März desselben Jahres, sodass die persönlichen Daten von Millionen von Benutzern monatelang offengelegt blieben, ohne dass Maßnahmen ergriffen wurden.

Der DPC wies umgehend darauf hin, dass die Verzögerung bei der Meldung einen Verstoß gegen die DSGVO-Vorschriften darstelle, wonach Unternehmen die Behörden innerhalb von 72 Stunden nach Feststellung solcher Vorfälle benachrichtigen müssen.

Diese Verzögerung verschärfte die Schwere des Verstoßes noch, da sie böswilligen Akteuren mehr Zeit gab, die Schwachstelle möglicherweise auszunutzen.

Der DPC bezeichnete Metas Umgang mit der Situation als unzureichend und stellte fest, dass das Fehlen geeigneter Sicherheitsmaßnahmen des Social-Media-Giganten direkt zur Datenfreigabe beigetragen habe.

Metas Reaktion und nächste Schritte

Zu seiner Verteidigung erklärte Meta, dass das Passwortproblem auf einen internen Fehler zurückzuführen sei und dass das Problem umgehend nach seiner Entdeckung behoben worden sei.

Das Unternehmen gibt an, dass der Fehler nur eine begrenzte Zahl von Benutzern betroffen habe und dass es den DPC proaktiv benachrichtigt habe, nachdem das Problem erkannt worden sei.

Meta erklärte weiter, dass es keine Hinweise darauf gebe, dass auf die Passwörter jemals zugegriffen oder sie für böswillige Zwecke verwendet worden seien.

Trotz dieser Zusicherungen betonte der DPC, dass die Speicherung von Passwörtern im Klartext einen schwerwiegenden Verstoß gegen grundlegende Prinzipien der Cybersicherheit darstelle.

Die Kommission betonte, dass es bewährte Praktiken vorschreiben, vertrauliche Daten, einschließlich Passwörter, immer in einem verschlüsselten Format zu speichern, um Missbrauch im Falle eines unbefugten Zugriffs zu verhindern.

Finanzielle und rufschädigende Folgen für Meta

Die Geldstrafe von 91 Millionen Euro stellt für Meta eine erhebliche finanzielle Belastung dar, der Reputationsschaden dürfte jedoch noch kostspieliger sein.

Angesichts der zunehmenden Kontrolle darüber, wie Technologiegiganten mit personenbezogenen Daten umgehen, insbesondere im Licht der DSGVO-Vorschriften, reiht sich dieser Vorfall in die lange Liste der Herausforderungen ein, mit denen Meta in der EU konfrontiert ist.

Der Verstoß ist eindringlicher Hinweis darauf, wie wichtig robuste Cybersicherheitsmaßnahmen sind, insbesondere im Umgang mit vertraulichen Benutzerinformationen.

Diese jüngste Geldstrafe ist eine weitere von den europäischen Behörden gegen Meta ergriffene Regulierungsmaßnahmen.

Angesichts der enormen Benutzerbasis und des erheblichen Einflusses des Unternehmens schüren Vorfälle wie diese die Bedenken darüber, wie das Unternehmen mit den persönlichen Daten umgeht, die ihm weltweit von Millionen Menschen anvertraut werden.

Verstärkte Regulierungsaufsicht

Die Entscheidung des DPC, Meta eine empfindliche Geldstrafe aufzuerlegen, sendet eine klare Botschaft an andere in der EU tätige Unternehmen: Die Nichteinhaltung der DSGVO-Standards wird schwerwiegende Konsequenzen nach sich ziehen.

Neben der Geldstrafe unterstreicht Metas Umgang mit dem Verstoß die Notwendigkeit einer verstärkten behördlichen Aufsicht in der Technologiebranche.

Da Cyberangriffe und Datenschutzverletzungen immer häufiger vorkommen, verstärken Regulierungsbehörden weltweit ihre Bemühungen, Unternehmen für Sicherheits- und Transparenzmängel zur Verantwortung zu ziehen.

Für Meta könnte die Geldstrafe in Höhe von 91 Millionen Euro nur der Anfang sein, denn das Unternehmen sieht sich in mehreren Rechtssystemen weiterhin einer genauen Prüfung seiner Datenschutzpraktiken ausgesetzt.