Facebook-Hack: Weniger als zehn Prozent der Betroffenen aus der EU

90 Millionen Facebook-Nutzer wurden vergangene Woche automatisch aus ihren Accounts ausgeloggt: Mehr als die Hälfte davon gilt als direkt von einem Hackerangriff auf das Netzwerk betroffen. Zu letzterer Gruppe sind nun erste Details bekannt geworden: Von den fast 50 Millionen betroffenen Konten stammen offenbar weniger als zehn Prozent aus der Europäischen Union. Das teilte die zuständige irische Datenschutzbehörde am Montagabend via Twitter mit. Facebook habe zugesichert, "bald" ausführlichere Informationen liefern zu können, hieß es in der knappen Stellungnahme weiter.

Facebook hatte am Freitag mitgeteilt, dass unbekannte Angreifer vollen Zugriff auf fast 50 Millionen Accounts des Online-Netzwerks erlangt hatten. Die Basis dafür war das Abgreifen sogenannter Zugriffstoken, mit denen man in einen Account kommt, ohne dafür das Passwort eingeben zu müssen. Möglich war das durch eine Kette von drei Programmierfehlern rund um die Funktion "Anzeigen aus der Sicht von", mit der Nutzer überprüfen können, wie ihr Profil für andere Nutzer aussieht.

Die Täter hätten auch Zugang zu anderen Online-Diensten bekommen können, bei denen sich die Nutzer mit ihrem Facebook-Log-in anmeldeten, räumte Facebook ein. Die Lücke sei am Donnerstag geschlossen worden und nach bisherigen Erkenntnissen hätten die Angreifer nicht versucht, private Nachrichten abzurufen oder etwas im Namen der Nutzer bei Facebook zu posten, hieß es. Passwörter zu Facebook-Accounts hätten sie nicht einsehen können.

Die neue EU-Datenschutzgrundverordnung (DSGVO) sieht eine Benachrichtigung der zuständigen Aufsichtsbehörden durch die betroffenen Unternehmen binnen 72 Stunden vor, nachdem ihnen selbst der Vorfall bekannt wurde. Facebook hat den Angriff nach eigenen Angaben am Dienstag entdeckt, die Benachrichtigung ging bei den irischen Datenschützern am Donnerstag ein.

Unternehmen drohen nach der DSGVO bei Verstößen gegen Datenschutzregeln im Extremfall Strafen von bis zu vier Prozent des Jahresumsatzes - das wären im Fall von Facebook 1,6 Milliarden Dollar nach den Geschäftszahlen von 2017. Verstöße gegen die Meldepflichten allein führen gemäß Artikel 83 DSGVO zu einer höchstens halb so hohen Strafe. Allerdings muss ein Unternehmen wie Facebook weitere Auflagen zum Schutz seiner Nutzer erfüllen. Ob dies gegeben war, muss die irische Behörde feststellen.

Update, 3. Oktober: Facebook hat mittlerweile neue Informationen zum Hack veröffentlicht. Das Unternehmen hat nach eigenen Angaben bislang keine Beweise dafür gefunden, dass die Angreifer die erbeuteten Zugänge genutzt haben, um sich damit auf Seiten außerhalb Facebooks, die sich auch mit einer Anmeldung per Facebook-Account nutzen lassen, einzuloggen.

Update, 12. Oktober: Facebook hat nach einer Untersuchung bekanntgegeben, dass nur 30 Millionen statt wie zunächst geschätzt 50 Millionen Nutzer vom Hack betroffen seien. Von einem Teil erbeuteten die Hacker jedoch sensible Daten.