Abo
  • Services:

Passwörter geleakt: Datenschützer prüft Sanktionen gegen Knuddels

Das Datenleck beim Chatanbieter Knuddels ruft nun auch die Aufsichtsbehörden auf den Plan. Nach der Datenschutz-Grundverordnung sind hohe Bußgelder möglich.

Artikel veröffentlicht am ,
Der baden-württembergische Datenschutzbeauftragte Stefan Brink
Der baden-württembergische Datenschutzbeauftragte Stefan Brink (Bild: Kristina Schäfer/LfDI BW)

Der zuständige baden-württembergische Datenschutzbeauftragte Stefan Brink sieht nach dem Datenleck beim Karlsruher Chatanbieter Knuddels "intensiven Klärungsbedarf". Vor allem eine Speicherung der Nutzerpasswörter im Klartext "wäre mehr als unverständlich", sagte Brink auf Anfrage von Golem.de und fügte hinzu: "Der heutige Standard ist, Passwörter nur in verschlüsselter Form als sogenannte Hashwerte zu speichern." Am Wochenende war bekanntgeworden, dass die Zugangsdaten von fast 1,9 Millionen Accounts im Klartext geleakt worden waren. Von den geleakten rund 808.000 E-Mail-Adressen seien 330.000 verifiziert gewesen.

Stellenmarkt
  1. Technische Universität Berlin, Berlin
  2. Hauni Maschinenbau GmbH, Hamburg

Laut Brink meldete Knuddels die Datenpanne gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO). Verantwortliche sind demnach verpflichtet, entsprechende Vorfälle innerhalb von 72 Stunden zu melden. Mit rund 330.000 Nutzern handele es sich bei Knuddels um einen größeren Chatanbieter, hieß es weiter. "Aufgrund der Vielzahl Betroffener - von denen uns bislang allerdings keine Einzelbeschwerden erreichten - schließe ich neben der nun anstehenden weiteren Aufklärung auch eine spätere Sanktionierung nicht aus", sagte Brink.

Hohes Schutzniveau gefordert

Die Ende Mai 2018 in Kraft getretene DSGVO bietet den Aufsichtsbehörden die Möglichkeit, deutlich höhere Bußgelder als zuvor zu verhängen. Artikel 83, Nummer 4 der DSGVO sieht bei schweren Verstößen Geldbußen in Höhe von bis zu 10 Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes vor, wenn ein Datenverarbeiter seine Pflichten verletzt hat. Bei schweren Verstößen sind sogar doppelt so hohe Bußgelder möglich.

Zur "Sicherheit der Verarbeitung" fordert Artikel 32 auch die "Pseudonymisierung und Verschlüsselung personenbezogener Daten". Zudem heißt es in Nummer 2: "Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung - insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden - verbunden sind."

Knuddels hatte nach eigenen Angaben die Zugangsdaten seiner Mitglieder wegen einer Sicherheitsfunktion im Klartext gespeichert. "Im Jahr 2012 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden", hatte eine von Knuddels beauftragte Anwaltskanzlei auf Anfrage von Golem.de am 10. September 2018 mitgeteilt. Der Kanzlei zufolge wurde die ungehashte Version der Passwörter am vergangenen Freitag, 7. September 2018, um 7:00 Uhr gelöscht, die Filterfunktion sei ebenfalls deaktiviert worden. Ursache des Datenlecks war möglicherweise ein "Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war".

Nachtrag vom 11. September 2018, 12:00 Uhr

Nach Angaben des Datenschutzbeauftragten sind inzwischen bereits Einzelbeschwerden wegen des Vorfalls eingegangen.

Nachtrag vom 11. September 2018, 14:04 Uhr

Knuddels korrigierte am Dienstag seine Angaben zur Speicherung der Passwörter als Hashwerte. Anders als ursprünglich mitgeteilt, würden die Passwörter nicht erst seit 2016, sondern bereits seit 2012 als Hashwert gespeichert.



Anzeige
Blu-ray-Angebote
  1. 34,99€

Truster 12. Sep 2018 / Themenstart

vermutlich eine nicht dokumentierte Box, die Jahrelang ihren Dienst verrichtete :D

Baron Münchhausen. 12. Sep 2018 / Themenstart

1+

emuuu 12. Sep 2018 / Themenstart

Ich würde mich jetzt nicht derart an der Formulierung hochziehen. De facto ist ein Hash...

benneq 11. Sep 2018 / Themenstart

Das kann man jetzt so oder so sehen. Wenn irgendwelche Datenschützer davon einen Batzen...

plutoniumsulfat 11. Sep 2018 / Themenstart

2015 wurden noch Passwörter im Klartext verglichen. Da kann man erahnen, wie alt das...

Kommentieren


Folgen Sie uns
       


Motorola One angesehen (Ifa 2018)

Lenovo hat auf der Elektronikfachmesse Ifa 2018 sein neues Android-Smartphone Motorola One vorgestellt.

Motorola One angesehen (Ifa 2018) Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
    Elektroroller-Verleih Coup
    Zum Laden in den Keller gehen

    Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
    Ein Bericht von Friedhelm Greis

    1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
    2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
    3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

    Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
    Lenovo Thinkpad T480s im Test
    Das trotzdem beste Business-Notebook

    Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
    2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
    3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

      •  /