Vor knapp einem Jahr berichteten wir über ein eklatantes Datenleck bei Yahoo. Damals räumte das Unternehmen ein, bereits 2013 Opfer einer Cyberattacke geworden zu sein, bei der Daten von über 1.000.000.000 Nutzerkonten abhandengekommen sind. Diese gigantische Zahl musste nun aber nach oben korrigiert werden.
Der Inhalt im Überblick
Rekordverdächtiger Hack
Auf seiner Webseite teilt der mittlerweile zu Verizon gehörende Internetkonzern mit, dass der Hack einen weitaus größeren Umfang hatte, als eh schon angenommen: statt „nur“ einem Drittel seiner Kunden sind tatsächlich alle und somit 3 Milliarden Nutzerkonten betroffen. Damit toppt das Unternehmen sich erneut selbst, denn bereits 2014 wurden die Daten von 500 Mio. Nutzern geklaut.
Zu den betroffenen Daten zählen etwa Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Passwort-Hashes sowie teils unverschlüsselte Sicherheitsfragen inklusive der dazu gehörenden Antworten. Das Unternehmen hebt zwar hervor, dass keine im Klartext gespeicherten Passwörter abhandengekommen sind, teilt aber gleichzeitig mit, dass der veraltete Algorithmus MD5 verwendet wurde. Dieser lässt sich heutzutage jedoch relativ leicht „knacken“. Sensible Daten wie Zahlungsdaten oder Kontoinformationen waren laut Yahoo in dem betroffenen System nicht hinterlegt. Zu den Betroffen dürfen sich aber auch Nutzer von Flickr zählen, weil deren Konten gleichzeitig Yahoo-Konten sind.
Damals wie heute gilt: Ausmaß nicht absehbar
Das ganze Ausmaß ist erst jetzt im Rahmen einer erneuten Prüfung während der Übernahme des Yahoo-Kerngeschäfts durch Verizon bekannt geworden. Dazu seien auch externe Forensikexperten herangezogen worden.
Die konkreten Auswirkungen dieses Vorfalls dürften auch jetzt nicht ansatzweise absehbar sein. Der Hack liegt bereits mehrere Jahre zurück und wer die Angreifer waren und vor allem, wie es ihnen gelungen ist, in das System eizugringen und die Daten zu stehlen, ist nicht bekannt. Yahoo vermutete dahinter einen „staatlich finanzierten“ Angreifer. Konkrete Belege hierfür gibt es allerdings derzeit nicht.
Was kann der Nutzer jetzt noch tun?
Allgemeine Empfehlungen haben wir bereits in unserem Beitrag „Nutzerdaten gestohlen?! Was im Ernstfall zu tun ist“ gegeben. Im konkreten Fall sollte jeder, der sein Yahoo-Konto (oder Flickr-Konto) noch nutzt, sein Passwort ändern – wenn das seit 2013 nicht eh schon erfolgt ist. Dies ist umso wichtiger, wenn das gleiche Passwort auch bei anderen Diensten genutzt wird. Außerdem der obligatorische Hinweis: Wie man ein starkes Passwort auswählt und wie man es sich dann trotzdem noch merken kann, erfährt man hier.
Data Breach nach der DSGVO
Auch im Hinblick auf die anstehenden Änderungen durch die Datenschutz-Grundverordnung ist der Fall von Yahoo von Interesse. Das Unternehmen scheint keine effizienten Prozesse zur Erkennung und Meldung von einem solchen Data Breach eingerichtet zu haben. Es ist davon auszugehen, dass intern bereits länger Kenntnis über den Vorfall bestanden hat.
Ein so langes Abwarten mit der Meldung eines solchen Vorfalls wird ab 2018 nicht mehr möglich sein. Die DSGVO sieht eine deutlich verschärfte Meldepflicht bei Data Breaches vor. Wann eine solche Verpflichtung besteht, richtet sich nach den Art. 33 DSGVO für Meldungen an die Aufsichtsbehörde und Art. 34 DSGVO für Meldungen an die Betroffenen.
Bisher haben nach § 42a BDSG entsprechende Meldungen unverzüglich, also ohne schuldhaftes Zögern, nach Kenntniserlangung zu erfolgen.
Mit der DSGVO wird die Meldepflicht an die Aufsichtsbehörden auf 72 Stunden festgeschrieben. Erfolgt eine entsprechende Meldung erst nach Ablauf dieser Frist, muss die Verzögerung gesondert begründet werden. Und typisch für die DSGVO ist auch, dass bei einem Verstoß gegen die Pflichten aus Art. 33, 34 DSGVO durch die Aufsichtsbehörde ein Bußgeld von bis zu 10 Mio. Euro oder 2% des weltweit erzielten Konzernumsatzes des Vorjahres sanktioniert werden kann. Damit steht die Ernsthaftigkeit dieses Themas für die Politik zweifelsfrei fest. Man kann nur hoffen, dass dies ausreichend Anreiz für Großkonzerne wie Yahoo ist, zukünftig sorgsamer mit den Daten ihrer Nutzer umzugehen.
Irgendwie wärmen Sie nur ein altes Thema auf …. etwas enttäuschend Dr. D! Wenn ein so wichtiges Thema wie die EU Standardverträge an den EuGH verwiesen wird, sollte man meinen, beschäftigt sich ein solcher Blog damit! Sehr enttäuschend!
Ja, darüber hätte man auch berichten können.
Wir behalten die Entwicklung im Auge und werden bei konkreten Ergebnissen berichten.