Am 22.11.2018 veröffentlichte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) des deutschen Bundeslands Baden-Württemberg Informationen zur ersten verhängten DSGVO Strafe in Deutschland. Das Bußgeld wurde gegen die Knuddels GmbH & Co. KG verhängt, den Betreiber des bekannten Chat-Portals knuddels.de.
Durch einen Fehler der Verantwortlichen konnten Angreifer an die personenbezogenen Daten von ca. 330.000 Mitgliedern gelangen, weshalb die Behörde ein Geldstrafe von € 20.000,- verhängt hat. Laut des Landesbeauftragten für Datenschutz des Landes Baden-Württemberg war das transparente Vorgehen sowie die sofortige Meldung des Datendiebstahls Hauptursache für das milde Urteil.
Wir möchten diesen Fall detailliert aufarbeiten.
Allgemeine Informationen
Das Portal knuddels.de wurde 1999 in Karlsruhe gegründet und war vor allem Anfang der 2000er Jahre eine der beliebtesten Chat-Plattformen im deutschsprachigen Raum. Die Benutzer registrierten sich auf der Website und konnten sich in diversen Chaträumen unterhalten. Daneben gab es eine Vielzahl von Treue-Boni wie Smileys, eigene Homepages, virtuelle Rosen, etc., welche für treue Benutzer verfügbar waren und/oder kostenpflichtig erworben werden konnten. Eine weitere Besonderheit war, dass sich Mitglieder für diverse Funktionen (Moderator, Administrator) durch die Community wählen lassen konnten und somit in den laufenden Betrieb eingebunden wurden. Diese Funktionen wurden durch die Personen unentgeltlich ausgeführt.
Datendiebstahl
Am 6. September wurden die Betreiber durch ein ehemaliges Mitglied der Plattform darüber informiert, dass ca. 8000 Datensätze auf einer Plattform namens Pastebin veröffentlicht wurden. Dabei waren in allen Datensätzen der Nickname (vom User gewähltes Pseudonym, welches zur Anmeldung benötigt wird) und Passwort enthalten, sowie teilweise auch E-Mail-Adressen (in 57% der Fälle), Vorname (41%) und Wohnort (30%) der Benutzer. Problematisch war vor allem, dass die Passwörter im Klartext zur Verfügung standen und nicht als Hash-Wert, wie am Stand der Technik vorgesehen.
Passwort Hash
Beim sogenannten „hashen“ wird das Kennwort durch eine mathematische Funktion „gesendet“. Das Ergebnis ist der sogenannte Hash. Aus dem Hash kann das eingegebene Kennwort NICHT rückgerechnet werden, somit sollte nicht einmal der Plattform-Betreiber das Passwort kennen. Möchte ein Benutzer eine Anmeldung durchführen, wird das eingegebene Kennwort durch dieselbe Hash-Funktion gesendet und das Ergebnis mit dem Eintrag in der Datenbank verglichen.
Maßnahmen der Betreiber
Als Erstmaßnahme hat der Betreiber die Konten der betroffenen Mitglieder gesperrt und die Löschung der Daten auf der Plattform Pastebin veranlasst. Daneben wurden die im Klartext gespeicherten Kennwörter aus den Datenbanken entfernt. Daneben wurde der Datenschutzbeauftragte (nicht zu verwechseln mit dem Landesbeauftragten für Datenschutz!) über den Vorfall informiert. Laut Angaben der Betreiber erfolgten diese Maßnahmen bis 7. September, 02.00 Uhr, wobei auch eine Funktion implementiert wurde, damit Benutzer ihr Konto-Kennwort zurücksetzen konnten.
Bereits am nächsten Tag wurde knuddels.de von einem anderen Mitglied über neue veröffentlichte Datensätze informiert, wobei bei einem File-Hoster die Datensätze von ca. 1.9 Millionen veröffentlicht wurden. Daraufhin mussten alle Benutzer von Knuddels ihr Kennwort ändern.
Nach Behördenangaben erfolgte die Datenschutzverstoß-Meldung durch die Betreiber am 8. September und somit innerhalb der 72 Stunden Frist, welche die DSGVO vorschreibt (siehe DSGVO Artikel 33 Paragraph 1).
Ursachen
Als Ursache für den Datendiebstahl wurde ein veralteter Backup-Server identifiziert. Durch fehlende Updates war dieser eine Schwachstelle im Sicherheitssystem.
Erwähnenswert ist auch die Aussage der Betreiber, dass die Passwörter seit 2012 als Hash-Wert gespeichert werden. Für die Funktion „Passwort-Filter“ wurde aber weiterhin das Kennwort zusätzlich im Klartext abgespeichert.
Passwort-Filter
Diese Funktion war eine Sicherheitsmaßnahme. Sobald das persönliche Kennwort in einer Chat-Nachricht enthalten war, wurde der Versand dieser Nachricht blockiert, auch wenn die Eingabe rückwärts erfolgte. Der Hintergrund ist im Bonus-System der Plattform zu finden. Bereits kurz nach Start der Plattform gab es immer wieder unehrliche Benutzer, welche versuchten unerfahrenen Mitgliedern ihre Treue-Boni, wie sogenannte Knuddels (eine Art virtuelle Umarmungen), zu stehlen. Dafür haben diese Nachrichten an die Opfer gesendet, welche wie Systemnachrichten wirkten und zur Eingabe des Passworts aufforderten. Durch den Passwort-Filter sollte das verhindert werden.
DSGVO Verfahren
Durch die Meldung an die Datenschutzbehörde kam es zu einem Bußgeldverfahren gegen die Knuddels GmbH & Co. KG. Laut Stefan Brink, Leiter des LfDI, wirkte sich insbesondere das transparente Handeln des Unternehmens gegenüber Behörde als auch den Betroffenen positiv auf die Strafhöhe aus. Die Meldung an die Behörde erfolgte fristgerecht und auch die Benutzer wurden mehrmals über den Stand der Dinge informiert, nicht nur über die eigene Homepage sondern auch über andere Kanäle wie Facebook und Twitter. Zudem wurde eine E-Mail an alle Mitglieder versendet, als bekannt wurde, dass alle Benutzer vom Datenleck betroffen sind. In dieser Nachricht wurde auch darauf hingewiesen, dass die Anmeldedaten auch auf fremden Webseiten zu ändern sind, falls dort dasselbe Passwort verwendet wurde.
Neben der transparenten Informationspolitik wurde auch positiv hervorgehoben, dass die Betreiber in den Wochen nach dem Vorfall weitere Maßnahmen getroffen haben, um die Sicherheit zu erhöhen. Diese Maßnahmen erfolgten laut LfDI-Presseaussendung in enger Zusammenarbeit mit eben dieser.
Strafhöhe
Das Bußgeld von € 20.000,- erscheint im ersten Augenblick hoch, jedoch beträgt dieses gerade einmal einen Cent pro entwendetem Datensatz. Laut DSGVO muss eine Strafe „wirksam, verhältnismäßig und abschreckend“ sein (siehe DSGVO Artikel 83 Paragraph 1). Die Datenschutzbehörde betonte in ihrer Presseaussendung mehrfach, dass das vorbildliche Verhalten des Unternehmens erheblich zur Strafmilderung beigetragen hat. Ohne dieser Bereitschaft und der umfassenden Informationskampagne für die Betroffenen wäre das Bußgeld deutlich höher ausgefallen.
Fazit
Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen. Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.
– Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Dieses Zitat fasst die Grunderwägungen zur Datenschutz-Grundverordnung sehr gut zusammen. Trotzdem ist für die Zukunft davon auszugehen, dass die Bußgelder steigen werden. Der Verkauf von personenbezogenen Daten ist ein florierendes Geschäft und an Schwarzmarkt werden deutlich höhere Summen für E-Mail-Adressen inklusive Klartext-Passwörtern gezahlt. Zieht die Behörde nicht nach, so besteht die Gefahr, dass Firmen personenbezogene Daten rechtswidrig verkaufen und Geldstrafen bewusst in Kauf nehmen.
Abschließend ist festzuhalten, dass eine regelmäßige Wartung von IT-Systemen unerlässlich ist. Dazu gehört auch die ständige Verbesserung eben dieser. Ansonsten ist die Sicherheit der Datenverarbeitung nicht dauerhaft gewährleistet (siehe Sicherheit der Verarbeitung).
Sie suchen Lösungen zur Umsetzung der DSGVO? Mit easyGDPR erhalten Sie die passende Software und bei Bedarf auch Beratung, um die Anforderungen der DSGVO zu erfüllen.