Im September 2018 griffen noch bislang nicht identifizierte Personen millionenfach Daten bei Facebook ab, darin enthalten die Namen, Emailadressen, Telefonnummern, Religionszugehörigkeit, Wohn- und Geburtsort, Arbeitgeber und viele weitere Daten.
Heute findet als Tagesordnungspunkt 3 im Bundestagsausschuss Digitale Agenda ein Gespräch mit Vertreterinnen von Facebook zu diesem Hack statt.
Auf Antrag der Linksfraktion und der Fraktion von Bündnis 90/Die Grünen wird dieses Gespräch öffentlich stattfinden.
Morgen werden #NetzDG u Berichte v #Facebook, #Twitter u #Google dazu Thema i Ausschuss Digitale Agenda sein u Facebook Vertreter erklären sich zum Datenmissbrauch u Hackerangriff auf Nutzerdaten. Wegen gesell. Bedeutung beantragten ich u @DJanecek Öffentlichkeit im #BTADA dafür. pic.twitter.com/NuGmTOVEyv
— anke domscheit-berg (@anked) October 16, 2018
Die Einigung für die öffentliche Sitzung erfolgte erst in der Obleuterunde unmittelbar vor dem Start der Sitzung. Auch wenn eine Sitzung öffentlich tagt, findet nicht automatisch ein Webstreaming der Sitzung statt. Teilnehmen kann damit letztlich nur, wer eh schon über einen Hausausweis oder einen sonstigen Zugang zum Parlament verfügt, da eine Anmeldung so kurzfristig nicht mehr praktikabel ist.
Damit die neu errungene Öffentlichkeit auch etwas bringt, wird hier im Blog ein Protokoll der Anhörung erstellt. Alle Tippfehler werden der Eile geschuldet sein.
[17:22 Uhr]
Soeben ist Tagesordnungspunkt 2, ein Gespräch mit den Vertretern von Google, Facebook und Twitter zu den Berichten über die Umsetzung des Netzwerkdurchsetzungsgesetzes beendet. Der Ausschuss unterbricht seine Sitzung für ein paar Minuten.
[17:25 Uhr]
Einleitende Worte von Steve Satterfield von Facebook über seinen Auftritt im Ausschuss. Er erwähnt, dass er hier ist, um über die Cambridge Analytica-Nachfragen und über den Hack im September zu berichten. Er listet die Bereiche auf, in denen Facebook nach eigener Darstellung noch nicht genug geleistet hat, um Nutzer*innen zu schützen vor Verletzungen der Privatsphäre und politischer Desinformation. Facebook hat bislang 400 Anwendungen gesperrt, die personenbezogene Daten genutzt haben. Satterfield wiederholt den Sachstand zu den Nachforschungen Facebooks zu der App „My Personality“. Er verweist auf die schriftlichen Antworten Facebooks auf die Nachfragen von Behörden und Parlamenten in Deutschland und Großbritannien.
Sein Eingangsstatement ist relativ umfangreich. Dies – zusammen mit der Tatsache, dass die Sitzung regulär um 18 Uhr enden wird – wird die Zeit für Abgeordnete zum Fragenstellen dramatisch reduzieren.
Satterfield erwähnt nun den Angriff im September 2018, bei dem millionenfach personenbezogene Daten erbeutet wurden. Profildaten von 30 Millionen wurden dabei erbeutet, 90 Millionen Nutzer mussten ihr Passwort ändern. FBI, Irische Datenschützer und das deutsche BSI wurden informiert.
Neue Daten von Satterfield. Unter den 30 Millionen Personen, deren Daten erbeutet wurden, sind hunderttausende Nutzer aus Deutschland.
[17:37]
Wir steigen jetzt in die Fragerunde ein.
Frage von der CDU: Man wolle bitte den Bericht über den Angriff als Angriff haben. Die Fragestellung mündet zugespitzt in: Welchen legitimen Anwendungsfall gibt es noch, Adressbücher in die Plattform hochzuladen?
Satterfield: Es sei eine rein optionale Möglichkeit für Nutzer, das Adressbuch hochzuladen und es gäbe wertvolle Anwendungen.
Es gibt nun kurze Diskussionen über den Unterschied von zulässig und wertvoll.
Erstes Gelächter bei der Behauptung Satterfields, der Inhaber des Adressbuches besitze auch die Daten (und die Verfügungsgewalt).
Frage von der SPD: Wie konnte es überhaupt passieren, dass diese 400.000 Accounts der View As-Funktion zu kapern? Ist es korrekt, dass auch nicht nur eingegebene Daten erbeutet wurden, sondern auch gespeicherte Daten wie die letzten Suchanfragen. Letzte Frage: Wenn die Lücke seit 14 Monaten bestand, müssten nicht mehr Personen betroffen sein?
Satterfield erläutert nun die technischen Details der drei Bugs, die den Grundlage für den Hack ergaben und wie die Zugangs-Token für andere Personen erzeugt wurden. Satterfield bestätigt auch die Angaben, dass nicht nur von Nutzer*innen eingebene Profildaten, sondern auch Verkehrsdaten wie Suchanfragen erbeutet wurden.
Frage der AfD: Wie verteilen sich die betroffenen Nutzer geographisch? Sind auch Anmeldefunktionen auf anderen Webseiten via Facebook betroffen, welche Konsequenzen zieht Facebook?
Satterfield: Die betroffenen Nutzer sind weit verteilt. Leider keine Ausführung. Facebook habe keine Belege um anzunehmen, dass Dienste zur Anmeldung auf Dritt-Seiten. Facebook werde die Zahl der Angestellten im Bereich Sicherheit von 10.000 auf 20.000 Personen erhöhen. Er bestätigt die Prozedur, dass Telefonnummern für 2FA auch für Werbezwecke genutzt werden.
Fragen der FDP: Frage zur bekanntgewordenen Sicherheitslücke bei Whatsapp. Fragen zur Nutzung des Belohnungssystems für das Melden von Sicherheitslücken und zum Missbrauch von Daten an Facebook direkt.
Satterfield: Kann leider nichts zum Umfang und der Natur der Whatsapp-Lücke sagen. Er bestätigt, dass das Meldesystem für den Missbrauch von Daten genutzt werde, aber er wolle keine Zahlen nennen.
Fragen der Linksfraktion: Wie sind die betroffenen Accounts geographisch verteilt. Wurden die erbeuteten Daten bereits missbraucht. Welche Hilfe stellt Facebook bereit für Nutzer, die Schaden erlitten haben? Wie sieht die Zusammenarbeit mit dem BSI aus?
Satterfield: Er habe keine Daten über die geographische Verteile. Er habe keine genauen Zahlen. Facebook hat derzeit keine Daten über den Missbrauch der erbeuteten Daten. Zum gegenwärtigen Zeitpunkt geht Facebook nicht davon aus, dass damit Identitätsdiebstahl betrieben wurde (u.a. da Kreditkarten- und Personalausweisdaten fehlten). Die Hilfe von Facebook besteht derzeit aus Ratschlägen.
Facebook-Kollegin: Facebook hat das BSI informiert. Es wurden keine Daten an das BSI geliefert und keine technische Hilfe erhalten. Es gab Abstimmung zur Art der Information der betroffenen Nutzer.
Fragen der Grünen: Nachfrage zur Sicherheitslücke bei Whatsapp. Nachfrage zum Missbrauch der Daten oder Aufkommen im Darknet. Wurden vor 2017 Daten erbeutet?
Satterfield: Man werde Angaben zur Whatsapp-Lücke nachreichen. Grundlage des Hacks waren Programmfehler, die erst 2017 in die Software eingebaut wurden. Es sei möglich, dass es zwischen dem Einfügen des Programmfehlers und der großflächigen Ausnutzung auf kleiner Ebene
Facebook-Kollegin: Hauptbehörde, mit denen Facebook zusammenarbeitet, ist das FBI und die irische Datenschutzbehörde. Eine Zusammenarbeit mit ENISA nach Forderung des Europäischen Parlaments sei derzeit nicht geplant, werde aber geprüft.
[18:05]
Wir steigen in eine verkürzte zweite Runde ein, da die reguläre Sitzungszeit des Ausschusses bereits überschritten ist.
(Ich überspringe eine Frage zur DSGVO-Befolgung).
SPD: Frage über das Maß an Zugriff auf Nutzerdaten für Dritt- und Tochterunternehmen. Wie soll jemals wieder Vertrauen in Facebook entstehen?
Satterfield: Die Antwort entspricht dem Eingangsstatement, beginnend ab „wir haben nicht genug getan“.
(Ich überspringe eine Frage zum Austausch und der Nutzung von Whatsapp-Daten und die jeweilige DSGVO-Anwendung)
AfD: (Ich überspringe eine Frage zur Ausspielung von Werbung über Toaster mittels über Whatsapp sowie zum Vertrauen in Facebook Portal). Wann erfolgte die Meldung an die Datenschutzbehörde?
Satterfield: Kann derzeit wenig nichts über das neue Produkt Portal sagen. Die Datenschutzbehörden wurden im Rahmen der gesetzlichen Zeit informiert.
FDP: Eine Frage zur Nutzung von Schattenprofilen durch Facebook. Wiederholte Nachfrage zur Nutzung der Mobilfunknummer von 2FA für Werbung und andere Zwecke.
Satterfield: Facebook speichert Kontaktdaten von Nicht-Facebook-Nutzern, wenn diese über Adressbücher von Nutzern hochgeladen werden. Bestätigt die Nutzung der 2FA-Daten, kündigt eine mögliche Änderung an.
Frage Linksfraktion: Sind Sie derzeit unter gesetzlichen oder richterlichen Auflagen, um Angaben zur Attribution der Täter dieses Angriffes nicht zu veröffentlichen? Welche Maßnahmen unternehmen Sie gegen politische Desinformationskampagnen. Warum nudgen Sie Menschen, weiterhin so viele Daten bereitzugeben?
Satterfield: Das FBI hat uns untersagt mitzuteilen, wen wir für den Täter halten. Das FBI begründet dies mit einer laufenden Untersuchung. Satterfield erwähnt Maßnahmen im Bereich der Wahlintegrität und Werbeintegrität. „There are no more dark ads“. „We build a data driven circus. And the circus gets better with more information“. Facebook werde nicht aufhören, weiterhin Menschen zu ermutigen, mehr und mehr Daten einzuspeisen.
Frage der Grünen: Man habe in jüngerer Zeit nichts mehr zur Kooperation mit Correctiv gehört. Warum wurden die Datenschutzbehörden in Hamburg nicht informiert? Wenn sie nicht teilen können, wer die Angreifer sind, können Sie dann bitte sagen, was sie vermuten.
Satterfield: „The FBI has told us not to share information about the perpretators we suspect for the attack.“.