Produkte
- Produkte
  
  Insights & Alerts
  
  Bot Intercept
  
  Audience & Placement Protection
  
  Technologie
  
  KI Bot-Erkennung
  
  Integrationen
  
  Usercentrics
Lösungen
- Lösungen
  
  Für Marketing Manager
  
  Für Web Analysten
Preise
Ressourcen
- Neustes Whitepaper
  
  Unmasking the Shadows: Invalid Traffic 2024
  
  Erfahren Sie alles, was Sie über Invalid Traffic 2024 wissen müssen, basierend auf den Daten unserer Kunden. Einschließlich einer Aufschlüsselung nach Marketingkanälen, Branchen und vielem mehr.
  
  Kostenloser Download
  
  Ressourcen
  
  News
  
  Blog
  
  Whitepaper
  
  Webinare & Videos
  
  FAQ
  
  Glossar
Unternehmen
- Unternehmen
  
  Über uns
  
  Karriere
  
  Demo vereinbaren

Dezember 2022
Blog

Facebook: 277 Mio. Dollar DSGVO-Strafe wegen Scraping-Bots

Denis Kargl

Cybersecurity Content Specialist

Am 28. November verhängte die irische Datenschutzbehörde, die Data Protection Commission (DPC), gegen die Facebook-Muttergesellschaft Meta eine Geldstrafe in Höhe von 277 Millionen Dollar wegen zweier Verstöße gegen die Datenschutzgrundverordnung (DSGVO).

Angreifer konnten über einen längeren Zeitraum mittels einer Sicherheitslücke die Daten von mehr als 533 Millionen Usern abgreifen.

Dies ist die vierte Strafe, die die Behörde gegen Meta verhängt hat. Insgesamt hat die DPC dem Unternehmen eine Geldstrafe von mittlerweile knapp 1 Milliarde Dollar auferlegt.

Was ist passiert?

Im April 2021 wurde in einem Hackerforum ein Datensatz von mehr als 533 Millionen Facebook Usern veröffentlicht, der zahlreiche personenbezogene Daten beinhaltete.

Die offengelegten Daten umfassen die personenbezogenen Informationen von Facebook Usern aus 106 Ländern, darunter 32 Millionen aus den USA und 11 Millionen aus Großbritannien. Der Datensatz beinhaltete u.a. die Mobilfunknummer, die Facebook ID, Name, Geburtstag und in manchen Fällen auch die E-Mail-Adresse.

Böswillige Angreifer konnten über einen längeren Zeitraum in den Jahren 2018 und 2019 die User-Daten automatisiert über eine Schwachstelle im Kontaktimport-Tool abgreifen. Facebook gab an, die Sicherheitslücke behoben zu haben und möchte explizit betonen, dass es sich um keinen Hack der Plattform handelt, sondern um sog. “Scraping” öffentlich zugänglicher APIs.

Mit Inkrafttreten der DSGVO im Mai 2018 untersuchte die irische Datenschutzbehörde verschiedene Tools von Facebook, darunter die Facebook Suche und den Kontaktimport in Facebook und Instagram. Das Ergebnis der Untersuchung stellte Mängel in der Technikgestaltung (Privacy by design – Artikel 25 (1) DSGVO) und hinsichtlich datenschutzfreundlicher Voreinstellungen (Privacy by default – Artikel 25 (2) DSGVO) fest. Laut DPC hat Facebook es versäumt, seine Produkte so zu gestalten, dass sie Scraping-Angriffe verhindern.

Die DPC hat dem Mutterkonzern Meta zusätzlich zur Geldstrafe noch eine dreimonatige Frist auferlegt, innerhalb derer der Konzern eine Reihe von Maßnahmen ergreifen muss, um die Verarbeitung personenbezogener Daten mit den Vorschriften der DSGVO in Einklang zu bringen.

Was ist Scraping?

Web Scraping ist ein Begriff für verschiedene Methoden, mit denen Informationen automatisiert aus dem Internet erhoben werden. In der Regel geschieht dies mithilfe von Bots, die menschliches Verhalten auf Websites simulieren und automatisiert Inhalte extrahieren.

Neben dem legitimen Einsatz von sog. Scraper-Bots z.B. durch Suchmaschinen oder im Rahmen von Marktforschungen gibt es auch böswillige Bot-Entwickler, die die Software zum Sammeln personenbezogener Daten unter Ausnutzung von Sicherheitslücken auf Websites oder APIs einsetzen.

Scraping ist das neue Hacking

Bots sind heutzutage für mehr als die Hälfte (57%) des gesamten Internettraffics verantwortlich. Facebook steht mit dem Problem des Web Scrapings nicht allein da. Kurz nach Bekanntwerden des Facebook-Datenlecks im April 2021 tauchten Reports auf, dass auch das soziale Netzwerk Clubhouse Unmengen von User-Informationen über seine API preisgegeben hat.

LinkedIn war kurze Zeit später ebenfalls von einer “Scraping-Attacke” betroffen, in der Daten von über 500 Millionen User über öffentlich zugängliche APIs abgegriffen werden konnten.

Das automatische Auslesen dieser Informationen verstößt in den meisten Fällen gegen die Geschäftsbedingungen der sozialen Netzwerke und Facebook hat in der Vergangenheit bereits mehrere Unternehmen deswegen verklagt.

Dennoch zeichnet sich ein deutliches Bild: Bei so vielen öffentlichen APIs und Daten ist es nicht mehr notwendig, dass böswillige Angreifer heutzutage die Systeme im klassischen Sinn “hacken”. Sie müssen nur bereits zugängliche Daten automatisiert sammeln und ggf. zusammenführen, um vollständige Datensätze von Millionen Usern zu erbeuten.

Schützen Sie Ihr Unternehmen vor Scraper Bots

Um Ihr Unternehmen zuverlässig vor Scraping-Attacken zu schützen, müssen Sie eine Software zur Erkennung von Bots im Einsatz haben. fraud0 kann Ihnen hier helfen. Unsere Software erkennt und blockiert Bots in Echtzeit, sodass diese von Zugriffen auf Ihre Website abgehalten werden.

Melden Sie sich noch heute für eine kostenlose 7-tägige Testversion an und überzeugen Sie sich selbst!

Artikel teilen

Autor

Denis Kargl

Veröffentlicht: Dezember 5, 2022
Aktualisiert: November 28, 2023

Neustes Whitepaper

Unmasking the Shadows: Invalid Traffic 2024

Erfahren Sie alles, was Sie über Invalid Traffic 2024 wissen müssen, basierend auf den Daten unserer Kunden. Einschließlich einer Aufschlüsselung nach Marketingkanälen, Branchen und vielem mehr.