[IITR – 4.7.16] Der Online-Händler Amazon hat die Konten einiger seiner Nutzer aus Sicherheitsgründen deaktiviert. „Im Rahmen einer Routineüberprüfung“ habe man „im Internet eine Liste mit E-Mail-Adressen und dazugehörigen Passwörtern entdeckt“, schrieb Amazon in einer E-Mail an betroffene Kunden.
Amazon betont, dass die gefundene Passwort-Liste „in keinerlei Verbindung zu Amazon“ stehe. Aber man wisse, „dass viele Kunden die gleichen Passwörter auf verschiedenen Websites verwenden“. Deshalb habe man die Amazon-Passwörter der betroffenen Kunden zurückgesetzt, wohl um einen Identitätsklau zu verhindern. Die betroffenen Nutzer zwingt Amazon mit diesem Vorgehen dazu, ein neues Passwort einzurichten.
Die Konten-Deaktivierung erfolgte einen Monat nach Bekanntwerden des massiven LinkedIn-Hacks. Im Falle eines Lesers war sein Amazon-Passwort mit dem LinkedIn-Passwort identisch gewesen. Es ist aber unklar, ob Amazon tatsächlich diese Passwörter abgeglichen hat, deren Hashwerte seit Anfang Juni frei verfügbar im Netz sind. Auch ist unklar, wie viele Amazon-Kunden betroffen sind. Die Amazon-Pressestelle reagierte nicht auf unsere Nachfrage.
Bislang wurde nicht bekannt, dass Plattform-Betreiber von sich aus gehackte Passwörter mit den Passwörtern des eigenen Nutzerstamms abgleichen. Datenschutzexperte Thilo Weichert vom „Netzwerk Datenschutzexpertise“ hält das Vorgehen für legitim und vorbildlich: „Man kann von einem Telemedien-Anbieter schon erwarten, dass er solche Sicherheitsmaßnahmen ergreift.“ Gesetzlich sei dies aber bisher nicht verlangt, auch die kommende Datenschutz-Grundverordnung sehe dies nicht vor. Es besteht aber eine Meldepflicht für Sicherheitsvorkommnisse, die den eigenen Dienst betreffen.
Das CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt davor, dass Phishing-Mails derzeit verschickt werden, die aufgrund persönlicher Ansprache plausibel wirken. Vermutlich stammen die Informationen aus dem LinkedIn-Hack. Inzwischen ist eine Klage gegen LinkedIn anhängig, da das Unternehmen die Passwörter nicht nach dem Stand der Technik geschützt hat.
Autorin:
Christiane Schulzki-Haddouti
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.