/Cyber-Crime

Facebook könnte eine Milliardenstrafe ins Haus stehen

WIRED Staff 01.10.2018 Lesezeit 2 Min

Nachdem das Soziale Netzwerk das Ziel von Hackern wurde, die sich Zugriff auf rund 50 Millionen Accounts verschaffen konnten, droht dem Unternehmen jetzt eine hohe Geldstrafe: Medienberichten zufolge könnte der darin liegende Verstoß gegen die EU-Datenschutzverordnung DSGVO eine zehnstellige Summe kosten.

Das jüngste Datenleck bei Facebook könnte Millionen von Nutzern betreffen und damit die Höchststrafe nach DSGVO auslösen, nämlich vier Prozent des weltweiten Umsatzes aus dem letzten Jahr. Bei Facebook wären das 1,63 Milliarden Dollar. Wie Gizmodo berichtet, hat die Irish Data Protection Commission, die für das Unternehmen zuständig ist, am Wochenende Anfragen gestellt, um die Ausmaße des Hacks und Konsequenzen auf EU-Bürger abschätzen zu können.

Die Angreifer haben ihre Attacke laut Facebook mit einem hohen Grad an Komplexität durchgeführt, um einen Bug in der View-As-Funktion des Sozialen Netzes auszunutzen und so zeitweise die Kontrolle über bis zu 50 Millionen Accounts erhalten. Die Funktion erlaubt es Nutzern des Sozialen Netzwerks, ihr eigenes Profil so zu sehen, wie es Fremde vorfinden würden.

Die Sicherheitslücken befanden sich in den Access Tokens, die es App-Nutzern erlauben, immer wieder auf die Plattform zuzugreifen, ohne jedes Mal ihr Passwort einzugeben. Vorsichtshalber hat Facebook nicht nur bei den Betroffenen Accounts die Zugänge neu gestartet, sondern auch bei 40 Millionen weiteren Accounts, die im Zeitraum des Cyber-Angriffs die View-As-Funktion genutzt haben.

Nach eigenen Angaben hat Facebook die Attacke am Dienstag festgestellt. Noch nicht klar ist, was das Ziel der Hacker war: Ob die gekaperten Accounts für die Verbreitung von Desinformationen oder zum Ausspähen sensibler Daten genutzt wurden, hat Facebook bislang nicht herausgefunden oder verraten. Laut Facebook ist die Sicherheitslücke geschlossen – das Unternehmen wird allerdings gegenüber Nutzern und vor allem Behörden noch Fragen beantworten müssen. Und es könnte mit einer Strafzahlung nach DSGVO einen Präzedenzfall erschaffen, denn bislang wurde die Datenschutzverordnung noch nicht für das Aussprechen einer Strafe genutzt.