Zugriff auf Accounts Weniger als fünf Millionen EU-Bürger vom Facebook-Hack betroffen

Von den 50 Millionen gehackten Facebook-Konten gehören weniger als zehn Prozent Nutzern aus der Europäischen Union. So jedenfalls versteht die irische Datenschutzaufsicht die Angaben des Unternehmens.
Nachgestelltes Facebook-Logo

Nachgestelltes Facebook-Logo

Foto: Dado Ruvic/ REUTERS

90 Millionen Facebook-Nutzer wurden vergangene Woche automatisch aus ihren Accounts ausgeloggt: Mehr als die Hälfte davon gilt als direkt von einem Hackerangriff auf das Netzwerk betroffen. Zu letzterer Gruppe sind nun erste Details bekannt geworden: Von den fast 50 Millionen betroffenen Konten stammen offenbar weniger als zehn Prozent aus der Europäischen Union. Das teilte die zuständige irische Datenschutzbehörde am Montagabend via Twitter  mit. Facebook habe zugesichert, "bald" ausführlichere Informationen liefern zu können, hieß es in der knappen Stellungnahme weiter.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Facebook hatte am Freitag mitgeteilt, dass unbekannte Angreifer vollen Zugriff auf fast 50 Millionen Accounts des Online-Netzwerks erlangt hatten. Die Basis dafür war das Abgreifen sogenannter Zugriffstoken, mit denen man in einen Account kommt, ohne dafür das Passwort eingeben zu müssen. Möglich war das durch eine Kette von drei Programmierfehlern rund um die Funktion "Anzeigen aus der Sicht von", mit der Nutzer überprüfen können, wie ihr Profil für andere Nutzer aussieht.

Die Täter hätten auch Zugang zu anderen Online-Diensten bekommen können, bei denen sich die Nutzer mit ihrem Facebook-Log-in anmeldeten, räumte Facebook ein. Die Lücke sei am Donnerstag geschlossen worden und nach bisherigen Erkenntnissen hätten die Angreifer nicht versucht, private Nachrichten abzurufen oder etwas im Namen der Nutzer bei Facebook zu posten, hieß es. Passwörter zu Facebook-Accounts hätten sie nicht einsehen können.

Die neue EU-Datenschutzgrundverordnung (DSGVO) sieht eine Benachrichtigung der zuständigen Aufsichtsbehörden durch die betroffenen Unternehmen binnen 72 Stunden vor, nachdem ihnen selbst der Vorfall bekannt wurde. Facebook hat den Angriff nach eigenen Angaben am Dienstag entdeckt, die Benachrichtigung ging bei den irischen Datenschützern am Donnerstag ein.

Unternehmen drohen nach der DSGVO bei Verstößen gegen Datenschutzregeln im Extremfall Strafen von bis zu vier Prozent des Jahresumsatzes - das wären im Fall von Facebook 1,6 Milliarden Dollar nach den Geschäftszahlen von 2017. Verstöße gegen die Meldepflichten allein führen gemäß Artikel 83 DSGVO zu einer höchstens halb so hohen Strafe. Allerdings muss ein Unternehmen wie Facebook weitere Auflagen zum Schutz seiner Nutzer erfüllen. Ob dies gegeben war, muss die irische Behörde feststellen.

Update, 3. Oktober: Facebook hat mittlerweile neue Informationen zum Hack veröffentlicht. Das Unternehmen hat nach eigenen Angaben bislang keine Beweise dafür gefunden, dass die Angreifer die erbeuteten Zugänge genutzt haben, um sich damit auf Seiten außerhalb Facebooks, die sich auch mit einer Anmeldung per Facebook-Account nutzen lassen, einzuloggen.

Update, 12. Oktober: Facebook hat nach einer Untersuchung bekanntgegeben, dass nur 30 Millionen statt wie zunächst geschätzt 50 Millionen Nutzer vom Hack betroffen seien. Von einem Teil erbeuteten die Hacker jedoch sensible Daten.

pbe/dpa
Die Wiedergabe wurde unterbrochen.