Passwörter geleakt: Datenschützer prüft Sanktionen gegen Knuddels

Das Datenleck beim Chatanbieter Knuddels ruft nun auch die Aufsichtsbehörden auf den Plan. Nach der Datenschutz-Grundverordnung sind hohe Bußgelder möglich.

Artikel veröffentlicht am ,
Der baden-württembergische Datenschutzbeauftragte Stefan Brink
Der baden-württembergische Datenschutzbeauftragte Stefan Brink (Bild: Kristina Schäfer/LfDI BW)

Der zuständige baden-württembergische Datenschutzbeauftragte Stefan Brink sieht nach dem Datenleck beim Karlsruher Chatanbieter Knuddels "intensiven Klärungsbedarf". Vor allem eine Speicherung der Nutzerpasswörter im Klartext "wäre mehr als unverständlich", sagte Brink auf Anfrage von Golem.de und fügte hinzu: "Der heutige Standard ist, Passwörter nur in verschlüsselter Form als sogenannte Hashwerte zu speichern." Am Wochenende war bekanntgeworden, dass die Zugangsdaten von fast 1,9 Millionen Accounts im Klartext geleakt worden waren. Von den geleakten rund 808.000 E-Mail-Adressen seien 330.000 verifiziert gewesen.

Stellenmarkt
  1. Full Stack Developer für Cloud-native Anwendungen (d/m/w)
    INTENSE AG, Würzburg, Köln, Saarbrücken, Leipzig
  2. Entwickler PIM/DAM (m/w/d)
    abilex GmbH, Stuttgart, Berlin
Detailsuche

Laut Brink meldete Knuddels die Datenpanne gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO). Verantwortliche sind demnach verpflichtet, entsprechende Vorfälle innerhalb von 72 Stunden zu melden. Mit rund 330.000 Nutzern handele es sich bei Knuddels um einen größeren Chatanbieter, hieß es weiter. "Aufgrund der Vielzahl Betroffener - von denen uns bislang allerdings keine Einzelbeschwerden erreichten - schließe ich neben der nun anstehenden weiteren Aufklärung auch eine spätere Sanktionierung nicht aus", sagte Brink.

Hohes Schutzniveau gefordert

Die Ende Mai 2018 in Kraft getretene DSGVO bietet den Aufsichtsbehörden die Möglichkeit, deutlich höhere Bußgelder als zuvor zu verhängen. Artikel 83, Nummer 4 der DSGVO sieht bei schweren Verstößen Geldbußen in Höhe von bis zu 10 Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes vor, wenn ein Datenverarbeiter seine Pflichten verletzt hat. Bei schweren Verstößen sind sogar doppelt so hohe Bußgelder möglich.

Zur "Sicherheit der Verarbeitung" fordert Artikel 32 auch die "Pseudonymisierung und Verschlüsselung personenbezogener Daten". Zudem heißt es in Nummer 2: "Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung - insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden - verbunden sind."

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Masterclass: Data Science mit Pandas & Python
    9./10. September 2021, online
  3. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

Knuddels hatte nach eigenen Angaben die Zugangsdaten seiner Mitglieder wegen einer Sicherheitsfunktion im Klartext gespeichert. "Im Jahr 2012 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden", hatte eine von Knuddels beauftragte Anwaltskanzlei auf Anfrage von Golem.de am 10. September 2018 mitgeteilt. Der Kanzlei zufolge wurde die ungehashte Version der Passwörter am vergangenen Freitag, 7. September 2018, um 7:00 Uhr gelöscht, die Filterfunktion sei ebenfalls deaktiviert worden. Ursache des Datenlecks war möglicherweise ein "Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war".

Nachtrag vom 11. September 2018, 12:00 Uhr

Nach Angaben des Datenschutzbeauftragten sind inzwischen bereits Einzelbeschwerden wegen des Vorfalls eingegangen.

Nachtrag vom 11. September 2018, 14:04 Uhr

Knuddels korrigierte am Dienstag seine Angaben zur Speicherung der Passwörter als Hashwerte. Anders als ursprünglich mitgeteilt, würden die Passwörter nicht erst seit 2016, sondern bereits seit 2012 als Hashwert gespeichert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Akkutechnik
CATL stellt erste Natrium-Ionen-Akkus für Autos vor

160 Wh pro Kilogramm. 80 Prozent Akkuladung in 15 Minuten. 90 Prozent Kapazität bei minus 20 Grad Celsius. CATL startet eine neue Ära der Akku-Technik.
Eine Analyse von Frank Wunderlich-Pfeiffer

Akkutechnik: CATL stellt erste Natrium-Ionen-Akkus für Autos vor
Artikel
  1. Erneuerbare Energien: Größte Gezeitenturbine geht vor Schottland in Betrieb
    Erneuerbare Energien
    Größte Gezeitenturbine geht vor Schottland in Betrieb

    Die Meere bieten viel Energie, die sich in elektrischen Strom wandeln lässt. In Schottland ist gerade ein neues Gezeitenkraftwerk ans Netz gegangen.

  2. Verschlüsselung: Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen
    Verschlüsselung
    Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen

    Eine mit Bitlocker verschlüsselte SSD mit TPM-Schutz lässt sich relativ einfach knacken. Ein Passwort schützt, ist aber nicht der Standard.

  3. Spionagesoftware: Israelische Behörden überprüfen Pegasus-Hersteller NSO
    Spionagesoftware
    Israelische Behörden überprüfen Pegasus-Hersteller NSO

    War es eine Razzia oder eine freundliche Besichtigung? Der diplomatische Druck auf Israel wegen des Trojaner-Herstellers NSO zeigt offenbar Wirkung.

Truster 12. Sep 2018

vermutlich eine nicht dokumentierte Box, die Jahrelang ihren Dienst verrichtete :D

Baron Münchhausen. 12. Sep 2018

1+

emuuu 12. Sep 2018

Ich würde mich jetzt nicht derart an der Formulierung hochziehen. De facto ist ein Hash...

benneq 11. Sep 2018

Das kann man jetzt so oder so sehen. Wenn irgendwelche Datenschützer davon einen Batzen...

plutoniumsulfat 11. Sep 2018

2015 wurden noch Passwörter im Klartext verglichen. Da kann man erahnen, wie alt das...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Bosch Professional günstiger • Asus TUF Gaming 23,8" FHD 144Hz 169€ • Acer-Chromebooks zu Bestpreisen (u. a. 14" 64GB 229€) • Alternate (u. a. Deepcool-Gehäuselüfter ab 24,99€) • EA-Spiele (PC) günstiger (u. a. Battlefield 5 5,99€) • Philips-Fernseher 65" Ambilight 679€ [Werbung]
    •  /