Abo
  • Services:

Passwörter geleakt: Datenschützer prüft Sanktionen gegen Knuddels

Das Datenleck beim Chatanbieter Knuddels ruft nun auch die Aufsichtsbehörden auf den Plan. Nach der Datenschutz-Grundverordnung sind hohe Bußgelder möglich.

Artikel veröffentlicht am ,
Der baden-württembergische Datenschutzbeauftragte Stefan Brink
Der baden-württembergische Datenschutzbeauftragte Stefan Brink (Bild: Kristina Schäfer/LfDI BW)

Der zuständige baden-württembergische Datenschutzbeauftragte Stefan Brink sieht nach dem Datenleck beim Karlsruher Chatanbieter Knuddels "intensiven Klärungsbedarf". Vor allem eine Speicherung der Nutzerpasswörter im Klartext "wäre mehr als unverständlich", sagte Brink auf Anfrage von Golem.de und fügte hinzu: "Der heutige Standard ist, Passwörter nur in verschlüsselter Form als sogenannte Hashwerte zu speichern." Am Wochenende war bekanntgeworden, dass die Zugangsdaten von fast 1,9 Millionen Accounts im Klartext geleakt worden waren. Von den geleakten rund 808.000 E-Mail-Adressen seien 330.000 verifiziert gewesen.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

Laut Brink meldete Knuddels die Datenpanne gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO). Verantwortliche sind demnach verpflichtet, entsprechende Vorfälle innerhalb von 72 Stunden zu melden. Mit rund 330.000 Nutzern handele es sich bei Knuddels um einen größeren Chatanbieter, hieß es weiter. "Aufgrund der Vielzahl Betroffener - von denen uns bislang allerdings keine Einzelbeschwerden erreichten - schließe ich neben der nun anstehenden weiteren Aufklärung auch eine spätere Sanktionierung nicht aus", sagte Brink.

Hohes Schutzniveau gefordert

Die Ende Mai 2018 in Kraft getretene DSGVO bietet den Aufsichtsbehörden die Möglichkeit, deutlich höhere Bußgelder als zuvor zu verhängen. Artikel 83, Nummer 4 der DSGVO sieht bei schweren Verstößen Geldbußen in Höhe von bis zu 10 Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes vor, wenn ein Datenverarbeiter seine Pflichten verletzt hat. Bei schweren Verstößen sind sogar doppelt so hohe Bußgelder möglich.

Zur "Sicherheit der Verarbeitung" fordert Artikel 32 auch die "Pseudonymisierung und Verschlüsselung personenbezogener Daten". Zudem heißt es in Nummer 2: "Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung - insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden - verbunden sind."

Knuddels hatte nach eigenen Angaben die Zugangsdaten seiner Mitglieder wegen einer Sicherheitsfunktion im Klartext gespeichert. "Im Jahr 2012 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden", hatte eine von Knuddels beauftragte Anwaltskanzlei auf Anfrage von Golem.de am 10. September 2018 mitgeteilt. Der Kanzlei zufolge wurde die ungehashte Version der Passwörter am vergangenen Freitag, 7. September 2018, um 7:00 Uhr gelöscht, die Filterfunktion sei ebenfalls deaktiviert worden. Ursache des Datenlecks war möglicherweise ein "Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war".

Nachtrag vom 11. September 2018, 12:00 Uhr

Nach Angaben des Datenschutzbeauftragten sind inzwischen bereits Einzelbeschwerden wegen des Vorfalls eingegangen.

Nachtrag vom 11. September 2018, 14:04 Uhr

Knuddels korrigierte am Dienstag seine Angaben zur Speicherung der Passwörter als Hashwerte. Anders als ursprünglich mitgeteilt, würden die Passwörter nicht erst seit 2016, sondern bereits seit 2012 als Hashwert gespeichert.



Anzeige
Blu-ray-Angebote
  1. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  3. 5€ inkl. FSK-18-Versand

Truster 12. Sep 2018

vermutlich eine nicht dokumentierte Box, die Jahrelang ihren Dienst verrichtete :D

Baron Münchhausen. 12. Sep 2018

1+

emuuu 12. Sep 2018

Ich würde mich jetzt nicht derart an der Formulierung hochziehen. De facto ist ein Hash...

benneq 11. Sep 2018

Das kann man jetzt so oder so sehen. Wenn irgendwelche Datenschützer davon einen Batzen...

plutoniumsulfat 11. Sep 2018

2015 wurden noch Passwörter im Klartext verglichen. Da kann man erahnen, wie alt das...


Folgen Sie uns
       


Apple Pay ausprobiert

Dank Apple Pay können nun auch Nutzer in Deutschland kontaktlos mit ihrem iPhone bezahlen. Wir haben den Dienst bei unserem Lieblingscafé ausprobiert.

Apple Pay ausprobiert Video aufrufen
Geforce RTX 2060 im Test: Gute Karte zum gutem Preis mit Speicher-Aber
Geforce RTX 2060 im Test
Gute Karte zum gutem Preis mit Speicher-Aber

Mit der Geforce RTX 2060 hat Nvidia die bisher günstigste Grafikkarte mit Turing-Architektur veröffentlicht. Für 370 Euro erhalten Spieler genug Leistung für 1080p oder 1440p und sogar für Raytracing, bei vollen Schatten- oder Textur-Details wird es aber in seltenen Fällen ruckelig.
Ein Test von Marc Sauter

  1. Grafikkarte Geforce GTX 1660 Ti soll 1.536 Shader haben
  2. Geforce RTX 2060 Founder's Edition kostet 370 Euro
  3. Turing-Architektur Nvidia stellt schnelle Geforce RTX für Notebooks vor

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
IT-Sicherheit
12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Eine Analyse von Friedhelm Greis

  1. Datenleak Ermittler nehmen Verdächtigen fest
  2. Datenleak Politiker fordern Pflicht für Zwei-Faktor-Authentifizierung
  3. Politiker-Hack Wohnung in Heilbronn durchsucht

WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

    •  /