Dazu kommt, dass sich das Unternehmen vielleicht ein wenig zu lange Zeit gelassen hat, die Panne der zuständigen irische Datenschutzbehörde zu melden. Innerhalb von 72 Stunden nach Feststellung des Problems, also drei Tage – so lauten die Bestimmungen zur Meldefrist. Facebook bemerkte den Hacker-Angriff am 26.09.2018. Die ersten Pressemeldungen gingen am 28.09. durch Netz.
Die Angreifer nutzten ein Sicherheitsleck im mobilen Anmeldeprozess, welcher dem User den einfacheren Zugang zum Portal ermöglichen sollte. Vermutlich gibt es diesen Fehler übrigens schon seit Juli 2017. Dass seit dem niemand etwas davon gewusst haben soll, kann man sich eigentlich nur schwer vorstellen. Es bleibt abzuwarten, ob Facebook wieder mit einem blauen Auge davon kommt, wie beim Datenskandal im März diesen Jahres. Die Hamburger Datenschutzbehörde stellte Ermittlungen übrigens nur wegen des Ablaufs der Verjährungsfristen kürzlich ein (mehr zum Thema)…
Aus den Fehlern lernen
Fehler passieren. Und wer glaubt, dass es die perfekte IT-Sicherheit gibt, macht sich etwas vor. Doch anders als die großen Datensammler im World Wide Web, zu denen soziale Netzwerke nun einmal gehören, haben die meisten „normalen“ Unternehmen eine andere Sichtweise auf das Thema Datenschutz und IT-Sicherheit. Für sie geht es um Risikomanagement als festen Bestandteil im Unternehmen und um den Schutz des Vertrauens, welches Kunden sowie Mitarbeiter und Geschäftspartner ins Unternehmen investieren. Bei IT-Sicherheitslücken stehen ganz andere Dinge auf dem Spiel, als eine drohende Strafe von bis zu 4% des Jahresumsatzes. Aber – und das ist auch gut so – bei den Milliardenumsätzen der Online Großkonzerne tun auch diese Beträge richtig weh. Und den Shareholdern wird das auf Dauer auch nicht gefallen. Das heisst: der Druck wächst – und damit hoffentlich auch die Motivation, mehr auf Datenschutz und IT-Sicherheit zu achten.
Chance nutzen
Ebenfalls gut ist, dass sich die Datenschutzbehörden zunächst auf die „Großen“ konzentrieren und die kleinen Unternehmen (noch) in Ruhe lassen. Dadurch haben wir die Chance, zu beobachten und zu lernen. So wissen wir zum Beispiel, dass es klüger ist, den Behörden Pannen schnellstmöglich zu melden, bevor es ein anderer tut. Schnelle Abhilfe zu leisten, gehört ebenfalls in diesen Prozess. Dafür ist zum Beispiel auch die Dokumentation zu den technischen und organisatorischen Maßnahmen äußerst hilfreich, die laut DS-GVO vorgeschrieben ist.
Kritisch bleiben
Ein letzter Gedanke gilt unserem eigenen User-Verhalten. Soziale Netzwerke sind oft unterhaltsam und manchmal auch recht nützlich. Deshalb ist fast jeder von uns irgendwo online „sozial vernetzt“. Aber wir sollten kritisch und aufmerksam bleiben. Facebook ist sicherlich nur ein Beispiel, weil es so extrem weit verbreitet ist. Doch wer kann schon garantieren, dass soziale Netzwerke wie LinkedIn oder XING sauberer arbeiten? Vielleicht sind sie bisher einfach noch nicht erwischt worden. Daher sollten wir alle immer genau überlegen, welche Daten wir wann wem und warum anvertrauen. Nicht des Gesetzes wegen, sondern um unser selbst willen. Vielleicht gibt es ja eine Alternative.