• IT-Karriere:
  • Services:

Passwörter geleakt: Datenschützer prüft Sanktionen gegen Knuddels

Das Datenleck beim Chatanbieter Knuddels ruft nun auch die Aufsichtsbehörden auf den Plan. Nach der Datenschutz-Grundverordnung sind hohe Bußgelder möglich.

Artikel veröffentlicht am ,
Der baden-württembergische Datenschutzbeauftragte Stefan Brink
Der baden-württembergische Datenschutzbeauftragte Stefan Brink (Bild: Kristina Schäfer/LfDI BW)

Der zuständige baden-württembergische Datenschutzbeauftragte Stefan Brink sieht nach dem Datenleck beim Karlsruher Chatanbieter Knuddels "intensiven Klärungsbedarf". Vor allem eine Speicherung der Nutzerpasswörter im Klartext "wäre mehr als unverständlich", sagte Brink auf Anfrage von Golem.de und fügte hinzu: "Der heutige Standard ist, Passwörter nur in verschlüsselter Form als sogenannte Hashwerte zu speichern." Am Wochenende war bekanntgeworden, dass die Zugangsdaten von fast 1,9 Millionen Accounts im Klartext geleakt worden waren. Von den geleakten rund 808.000 E-Mail-Adressen seien 330.000 verifiziert gewesen.

Stellenmarkt
  1. AZTEKA Consulting GmbH, Freiburg, Mannheim
  2. über duerenhoff GmbH, Raum Stuttgart

Laut Brink meldete Knuddels die Datenpanne gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO). Verantwortliche sind demnach verpflichtet, entsprechende Vorfälle innerhalb von 72 Stunden zu melden. Mit rund 330.000 Nutzern handele es sich bei Knuddels um einen größeren Chatanbieter, hieß es weiter. "Aufgrund der Vielzahl Betroffener - von denen uns bislang allerdings keine Einzelbeschwerden erreichten - schließe ich neben der nun anstehenden weiteren Aufklärung auch eine spätere Sanktionierung nicht aus", sagte Brink.

Hohes Schutzniveau gefordert

Die Ende Mai 2018 in Kraft getretene DSGVO bietet den Aufsichtsbehörden die Möglichkeit, deutlich höhere Bußgelder als zuvor zu verhängen. Artikel 83, Nummer 4 der DSGVO sieht bei schweren Verstößen Geldbußen in Höhe von bis zu 10 Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes vor, wenn ein Datenverarbeiter seine Pflichten verletzt hat. Bei schweren Verstößen sind sogar doppelt so hohe Bußgelder möglich.

Zur "Sicherheit der Verarbeitung" fordert Artikel 32 auch die "Pseudonymisierung und Verschlüsselung personenbezogener Daten". Zudem heißt es in Nummer 2: "Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung - insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden - verbunden sind."

Knuddels hatte nach eigenen Angaben die Zugangsdaten seiner Mitglieder wegen einer Sicherheitsfunktion im Klartext gespeichert. "Im Jahr 2012 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden", hatte eine von Knuddels beauftragte Anwaltskanzlei auf Anfrage von Golem.de am 10. September 2018 mitgeteilt. Der Kanzlei zufolge wurde die ungehashte Version der Passwörter am vergangenen Freitag, 7. September 2018, um 7:00 Uhr gelöscht, die Filterfunktion sei ebenfalls deaktiviert worden. Ursache des Datenlecks war möglicherweise ein "Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war".

Nachtrag vom 11. September 2018, 12:00 Uhr

Nach Angaben des Datenschutzbeauftragten sind inzwischen bereits Einzelbeschwerden wegen des Vorfalls eingegangen.

Nachtrag vom 11. September 2018, 14:04 Uhr

Knuddels korrigierte am Dienstag seine Angaben zur Speicherung der Passwörter als Hashwerte. Anders als ursprünglich mitgeteilt, würden die Passwörter nicht erst seit 2016, sondern bereits seit 2012 als Hashwert gespeichert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 279,99€ (Bestpreis)
  2. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)
  3. 189,99€ (Bestpreis)

Truster 12. Sep 2018

vermutlich eine nicht dokumentierte Box, die Jahrelang ihren Dienst verrichtete :D

Baron Münchhausen. 12. Sep 2018

1+

emuuu 12. Sep 2018

Ich würde mich jetzt nicht derart an der Formulierung hochziehen. De facto ist ein Hash...

benneq 11. Sep 2018

Das kann man jetzt so oder so sehen. Wenn irgendwelche Datenschützer davon einen Batzen...

plutoniumsulfat 11. Sep 2018

2015 wurden noch Passwörter im Klartext verglichen. Da kann man erahnen, wie alt das...


Folgen Sie uns
       


Xbox Series S ausgepackt

Wir packen beide Konsolen aus und zeigen den Lieferumfang.

Xbox Series S ausgepackt Video aufrufen
Boeing 737 Max: Neustart mit Hindernissen
Boeing 737 Max
Neustart mit Hindernissen

Die Boeing 737 ist nach dem Flugzeugabsturz in Indonesien wieder in den Schlagzeilen. Die Version Max darf seit Dezember wieder fliegen - doch Kritiker halten die Verbesserungen für unzureichend.
Ein Bericht von Friedrich List

  1. Flugzeug Boeing erhält den letzten Auftrag für den Bau der 747
  2. Boeing 737 Max Boeing-Strafverfahren gegen hohe Geldstrafe eingestellt
  3. Zunum Luftfahrt-Startup verklagt Boeing

20 Jahre Wikipedia: Verlässliches Wissen rettet noch nicht die Welt
20 Jahre Wikipedia
Verlässliches Wissen rettet noch nicht die Welt

Noch nie war es so einfach, per Wikipedia an enzyklopädisches Wissen zu gelangen. Doch scheint es viele Menschen gar nicht mehr zu interessieren.
Ein IMHO von Friedhelm Greis

  1. Desktop-Version Wikipedia überarbeitet "klobiges" Design

Neue Fire-TV-Oberfläche im Test: Noch mehr Nachteile für Prime-Video-Kunden
Neue Fire-TV-Oberfläche im Test
Noch mehr Nachteile für Prime-Video-Kunden

Eigentlich wollte Amazon die Oberfläche von Fire-TV-Geräten verbessern - das ist gründlich misslungen.
Ein Test von Ingo Pakalski

  1. Media Markt und Saturn Erster Smart-TV der Ok-Eigenmarke mit Fire-TV-Oberfläche
  2. Amazon Fire TV Cube wechselt TV-Programm auf Zuruf

    •  /