Der Eigentlich-Konzern

So oft wie Gründer Marc Zuckerberg schon Besserung gelobt hat, dürfte Facebook mittlerweile ja eigentlich keinerlei Grund mehr zu Beanstandungen liefern. Eigentlich. Denn genauso oft wie Zuckerberg etwa mehr Datensicherheit versprochen hat, kam der nächste Skandal um die Ecke.

Am späten Mittwochabend war es wieder soweit: »Zwei Firmen speicherten ungeschützt Daten von Facebook-Nutzern«, meldete dpa unter Verweis auf die Sicherheitsfirma UpGuard. Dieser zufolgen haben die betreffenden Unternehmen, App-Partner von Facebook, Nutzerdaten aus dem Netzwerk frei zugänglich gelagert. Bis vor kurzem waren so Informationen wie Accountnamen, Kommentare, Gefällt-mir-Angaben der seit Längerem eingestellten App »At the Pool« einsehbar. Im Fall Cultura Colectiva, Anbieter von digitalen Medien mit lateinamerikanischer Zielgruppe, geschah dies bei Amazon Web Services, der Cloud-Dienst-Tochter des Versandhändlers. Nach Bekanntwerden habe man mit Amazon daran gearbeitet, die Datenbank vom Netz zu nehmen, so Facebook in einer Erklärung.

Laut UpGuard geht es bei Cultura Colectiva um ein Datenvolumen von 146 Gigabyte mit 540 Millionen Datensätzen. Bei »At the Pool« sind es weniger Daten, die aber möglicherweise gefährlicher sind, da auch App-Passwörter von 22 000 Nutzern unverschlüsselt gespeichert waren. Damit könnten Internetkriminelle Zugang zu anderen Konten der Betroffenen erlangen, wenn diese gegen den Rat aller Experten für mehrere Zugänge das gleiche Passwort verwenden.

Facebook ist für dieses jüngste Leck zwar nicht direkt verantwortlich. Der Fall macht jedoch deutlich, dass Daten, die Partner des Internetgiganten erheben, in besonderem Maße gefährdet sind. Denn Facebook kann zwar wie nun darauf hinweisen, dass es für App-Partner verboten ist, Daten aus der Plattform ungeschützt zu speichern. Eigentlich. Die Kontrolle darüber hat Facebook aber nicht. Wie in den Fällen zuvor verspricht Facebook auch nun wieder, man wolle weiter daran arbeiten, die Daten der Nutzer zu schützen.

Dabei hat das Unternehmen nicht einmal die Daten im Griff, die direkt von ihm gespeichert werden. So musste es erst Ende März eingestehen, die Passwörter von hunderten Millionen Nutzern von Facebook, Facebook Lite und Instagram in unverschlüsselter Form auf internen Servern abgelegt zu haben. Dort sollten sie sich jedoch ausschließlich verschlüsselt befinden. Eigentlich.

In der Realität hatten laut KrebsOnSecurity, einer Internetseite für Nachrichten und Rechercheergebenisse zur Internetsicherheit, mehr als 20 000 Konzernangestellte zum Teil über mehrere Jahre Zugriff auf die Passwörter von bis zu 600 Millionen Nutzern.

Zwischen den beiden neuerlichen Datenpannen, mit denen Facebook fast nahtlos an die Skandale aus dem Jahr 2018 anknüpft, hatte sich Zuckerberg erst in der vergangenen Woche mit Bundesjustizministerin Katarina Barley (SPD) getroffen. Ohne zu überzeugen. »Mark Zuckerberg spricht seit einem Jahr viel über die Verantwortung von Facebook für Gesellschaft, Demokratie und die Privatsphäre von mehr als zwei Milliarden Menschen. Doch zu spüren ist davon wenig«, so Barley nach dem Termin. »Facebook hat durch sein Verhalten viel Vertrauen verspielt.«

Zuckerberg versucht sich derzeit mit Vorschlägen für eine weltweit einheitliche Regulierung im Internet etwa beim Datenschutz. Und stößt damit auf breite Skepsis. So auch bei Barley, die Zuckerbergs Anregungen offensichtlich als Zeitspiel bewertet: »Facebook hätte bereits heute alle Möglichkeiten, um unabhängig von staatlicher Regulierung höchstmöglichen Datenschutz für die User zu garantieren«, so die Ministerin. »Stattdessen vergeht kaum ein Monat ohne einen neuen Sicherheitsskandal.«

Kritik übte sie außerdem an den Plänen, die technische Infrastruktur von WhatsApp, Facebook-Messenger und Instagram zusammenzuführen. »Bei der Zusammenführung dieser Dienste bestehen ganz erhebliche kartellrechtliche und datenschutzrechtliche Fragen«, warnte sie. Das sei eine Abkehr von ursprünglichen Ankündigungen. Schon wieder eines dieser »eigentlich«. Mit Agenturen