Wer Instagram verwendet, dem raten Experten schon lange dazu, den Datenaustausch mit Facebook und den Zugriff Dritter auf Beiträge und private Daten zu beschränken. Und natürlich soll nicht jeder Unbekannte auf den Standort zugreifen. Wie die Süddeutschen Zeitung berichtet, sind von einem US-US Startup Millionen Standortdaten von Instagram-Nutzern abgegriffen worden. Ein Fall, der trotz der unterschiedlichen Datennutzung fatal an den Cambridge-Analytica-Skandal erinnert.
Ethische Aspekte
Der Vorfall betrifft unterschiedliche Bereiche, eigentlich nicht Cybersicherheit als solche. Da ist zunächst der ethische Aspekt, wenn Dritte Daten aus Instagram für ihre Zwecke nutzen. In dieser Hinsicht erinnert der Vorfall an den Cambridge-Analytica-Skandal. Bis zum öffentichen Bekanntwerden hatten sowohl Instagram als auch Mutterkonzern Facebook diese Datennutzung implizit gestattet. Instagram hatte daraufhin seine Privatsphäre-Einstellungen angepasst und die Richtlinien geändert, aber reicht das? Die Daten werden nämlich weiterhin gesammelt, weil Instagram entweder nicht versteht, nachvollzieht oder sich schlicht nicht dafür interessiert, was mit diesen Daten passiert, wenn Dritte ihre Schnittstellen nutzen um darauf zuzugreifen. Wo bleibt hier die Sogfaltsspflicht des Unternehmens gegenüber seinen Kunden? Ich bezweifele stark, dass Instagram-Nutzer darüber Bescheid wussten oder zustimmen würden, Standortdaten oder private Informationen mit außenstehenden Dritten zu teilen.
EU-Datenschutz-Grundverordnung
Und dann ist da noch die EU-Datenschutz-Grundverordnung. Die Daten von EU-Bürgern dürfen nur für solche Zwecke genutzt werden, denen der Nutzer ausdrücklich zugestimmt hat und nicht darüber hinaus. Nun mag es zwar vielleicht ein verstecktes Kästchen in den Privatsphäreeinstellungen geben, wo Instagram sich die Nutzung auch für andere Zwecke bestätigen lässt, aber ist das tatsächlich eine Einwilligung im Sinne des Opt-in/Opt-out? Die Aktivitäten von EU-Bürgern nachzuvollziehen und Standortprofile zu erheben und diese für Marketing- und Werbezwecke zu verwenden ist die eine Sache. Eine andere ist es, wenn diese Dritten selbst Opfer eines Hackerangriffs werden oder die Daten auf andere Art und Weise missbraucht werden. Wer ist strafrechtlich verantwortlich? Ich vermute, dass Instagram und Facebook an dieser Stelle sehr viel klarer gegenüber ihren Partnern sein und viel mehr darauf achten müssen, was Dritte, die auf diese Daten zugreifen können, damit tatsächlich tun.
Konfigurationsprobleme
Und schliesslich sind da noch die Konfigurationsprobleme. Lasche Handhabung von Berechtigungen und Zugriffskontrollen gehören zu den üblichen Hintertüren über die Hacker sich Zutritt in auf Systeme verschaffen. In diesem Fall handelt es sich um einen vertrauenswürdigen Partner von Instagram und Facebook, dies führt aber zum selben Ergebnis. Instagram hat verpasst, das Richtige zu tun und diese Hintertüren nicht geschlossen, ja nicht ein Mal überprüft. Die betreffenden Daten sind vermutlich bereits über ein Jahr lang geleakt. Es führt kein Weg daran vorbei, den Zugriff Dritter auf sensible Daten und Informationen nach zu verfolgen und zu überwachen.
Sichere Passwörter
Sämtliche Konten und Passwörter sollten unter Verschluss gehalten und Zugriff nur dann gewährt werden, wenn dieser unbedingt nötig ist. Solche Massnahmen tragen insgesamt dazu bei Konfigurationsprobleme zu beheben. Das soll aber nicht heißen, dass man Konfigurationen nicht routinemäßig überprüfen sollte. Das gilt ganz besonders dann, wenn man wie Instagram gerade die Richtlinien geändert hat.