Passwörter geleakt: Datenschützer prüft Sanktionen gegen Knuddels

Der zuständige baden-württembergische Datenschutzbeauftragte Stefan Brink sieht nach dem Datenleck beim Karlsruher Chatanbieter Knuddels "intensiven Klärungsbedarf". Vor allem eine Speicherung der Nutzerpasswörter im Klartext "wäre mehr als unverständlich", sagte Brink auf Anfrage von Golem.de und fügte hinzu: "Der heutige Standard ist, Passwörter nur in verschlüsselter Form als sogenannte Hashwerte zu speichern." Am Wochenende war bekanntgeworden, dass die Zugangsdaten von fast 1,9 Millionen Accounts im Klartext geleakt worden waren. Von den geleakten rund 808.000 E-Mail-Adressen seien 330.000 verifiziert gewesen.

Laut Brink meldete Knuddels die Datenpanne gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO). Verantwortliche sind demnach verpflichtet, entsprechende Vorfälle innerhalb von 72 Stunden zu melden. Mit rund 330.000 Nutzern handele es sich bei Knuddels um einen größeren Chatanbieter, hieß es weiter. "Aufgrund der Vielzahl Betroffener - von denen uns bislang allerdings keine Einzelbeschwerden erreichten - schließe ich neben der nun anstehenden weiteren Aufklärung auch eine spätere Sanktionierung nicht aus", sagte Brink.

Hohes Schutzniveau gefordert

Die Ende Mai 2018 in Kraft getretene DSGVO bietet den Aufsichtsbehörden die Möglichkeit, deutlich höhere Bußgelder als zuvor zu verhängen. Artikel 83, Nummer 4 der DSGVO sieht bei schweren Verstößen Geldbußen in Höhe von bis zu 10 Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes vor, wenn ein Datenverarbeiter seine Pflichten verletzt hat. Bei schweren Verstößen sind sogar doppelt so hohe Bußgelder möglich.

Zur "Sicherheit der Verarbeitung" fordert Artikel 32 auch die "Pseudonymisierung und Verschlüsselung personenbezogener Daten". Zudem heißt es in Nummer 2: "Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung - insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden - verbunden sind."

Knuddels hatte nach eigenen Angaben die Zugangsdaten seiner Mitglieder wegen einer Sicherheitsfunktion im Klartext gespeichert. "Im Jahr 2012 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden", hatte eine von Knuddels beauftragte Anwaltskanzlei auf Anfrage von Golem.de am 10. September 2018 mitgeteilt. Der Kanzlei zufolge wurde die ungehashte Version der Passwörter am vergangenen Freitag, 7. September 2018, um 7:00 Uhr gelöscht, die Filterfunktion sei ebenfalls deaktiviert worden. Ursache des Datenlecks war möglicherweise ein "Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war".

Nachtrag vom 11. September 2018, 12:00 Uhr

Nach Angaben des Datenschutzbeauftragten sind inzwischen bereits Einzelbeschwerden wegen des Vorfalls eingegangen.

Nachtrag vom 11. September 2018, 14:04 Uhr

Knuddels korrigierte am Dienstag seine Angaben zur Speicherung der Passwörter als Hashwerte. Anders als ursprünglich mitgeteilt, würden die Passwörter nicht erst seit 2016, sondern bereits seit 2012 als Hashwert gespeichert.