Sicherheitsvorfall bei Discord
von caschy | 8 Kommentare
Discord berichtet aktuell von einem Sicherheitsvorfall. Wie das Unternehmen mitteilte, verschafften sich nicht autorisierte Personen Zugang zu einem externen Kundenservice-Dienstleister. Betroffen sind Nutzer, die in der Vergangenheit Kontakt zum Support oder dem „Trust & Safety“-Team aufgenommen haben.
Die gute Nachricht vorweg: Die Discord-Plattform selbst wurde nicht kompromittiert. Private Nachrichten und Aktivitäten der Nutzer sind sicher, mit Ausnahme der Informationen, die in Support-Tickets ausgetauscht wurden. Als der Angriff bemerkt wurde, hat Discord dem Support-Dienstleister sofort den Zugang zu den Ticketing-Systemen entzogen. Die Ermittlungen laufen auf Hochtouren, auch die Strafverfolgungsbehörden sind eingeschaltet.
Was wurde erbeutet? Neben Namen, Discord-Nutzernamen und E-Mail-Adressen hatten die Angreifer auch Zugriff auf eingeschränkte Zahlungsinformationen wie die letzten vier Ziffern von Kreditkarten und den Zahlungsverlauf. Auch IP-Adressen und der Kommunikationsverlauf mit dem Support waren betroffen. Bei einigen Nutzern, die Altersverifikationen angefochten hatten, wurden auch hochgeladene Ausweisdokumente kompromittiert. Betroffene Nutzer wurden bereits per E-Mail von noreply@discord.com benachrichtigt.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
„Trust & Safety“? Not really…
Und da soll noch jemand fragen, warum es eine gute Idee ist, dass das DSGVO eher vom Nicht-Speichern als Standardfall ausgeht. Und warum weder eine flächendeckende Altersverifikation, noch das massenhafte Abziehen von Daten vor dem Verschlüsseln (Chatkontrolle) eine gute Idee ist.
Ich frage mich immer, wie da die Prozesse aussehen, wenn Dokumente zur Altersverifikation länger als absolut nötig gespeichert werden. Da sollten zwei Mitarbeiter unabhängig voneinander draufschauen und wenn beide im System den gleichen Status anklicken (volljährig oder nicht) wird das Bild gelöscht.
Laut DSGVO sollte exakt so vorgegangen werden, wie Du es beschrieben hast. Sobald der Vorgang abgeschlossen wurde, für den die Daten benötigt wurden, sollten diese gelöscht werden. Das Problem ist nur, dass sich die Firmen nicht daran halten.
Ich hatte z.B. im Jahr 2022 Kontakt zum Support von Samsung. Und meine Daten wurden im März 2025 bei einem Sicherheitsvorfall gestohlen. Wie kann so etwas sein? Samsung, wie viele andere auch, bedienen sich dabei zweierlei Tricks:
1. Rechtliche Vorgaben: es wird einfach behauptet, man müsse „Daten“ z.B. aus „(steuer-)rechtlichen Gründen“ behalten. Bei Samsung sieht das so aus:
„Bitte beachten Sie in diesem Zusammenhang, dass Samsung Electronics GmbH mitunter handels- sowie steuerrechtlichen Aufbewahrungspflichten und damit einhergehenden gesetzlichen Aufbewahrungsfristen unterliegt. Dies betrifft bspw. Daten im Zusammenhang mit getätigten Bestell- und Bezahlungsvorgängen oder etwaige Korrespondenz mit dem Kundenservice.“
2. Berechtigtes Interesse: in der DSGVO gibt es die Möglichkeit, Daten aus „berechtigtem Interesse“ zu speichern (Art. 6 Abs. 1, DSGVO). Das soll das Speichern und Verarbeiten von Daten ermöglichen, um z.B. eine bestehende Geschäftsbeziehung nicht zu behindern. Fiese Geschäftemacher nutzen diese vage Formulierung jedoch aus und speichern Deine Daten unbefristet oder einfach unfassbare lange, weil sie damit Geld machen wollen. Und geben die eigenen wirtschaftlichen Interessen als „berechtigtes Interesse“ aus. Die Zeitung ZEIT ist ein absolutes Negativbeispiel hierfür. Kombiniert man dabei doch Fall eins und zwei zu einem unerträglichen Ergebnis für den Kunden:
„Kundendaten müssen wir zur Wahrung gesetzlicher Aufbewahrungspflichten bis zu 8 Jahre speichern.“
Und
„Die Weitergabe zum Zweck der Werbung erfolgt zur Wahrung
berechtigter Interessen (Art. 6 Abs. 1 f) DSGVO). Alle beteiligten
Unternehmen sind wirtschaftlich darauf angewiesen, neue Kunden zu
gewinnen und Bestandskunden zu halten. Sie können der
Übermittlung Ihrer Postanschrift an Marketingdienstleister jederzeit
widersprechen…“
Quelle: https://datenschutz.zeit.de/zon/1.5/zon.pdf
Kein Wunder also, dass Datenschutzvorfälle wie der hier berichtete so große Wellen ziehen. Die Firmen machen Geld mit Deinen Daten, und im Fall eines Sicherheitsvorfalls sind ja nur Deine Daten kompromittiert. Und weil dieses Vorgehen die Verachtung der eigenen Kunden zeigt, mache ich mit solchen Firmen nach Möglichkeit auch keine Geschäfte mehr. Wesentlich ist für mich hierbei, wie viele Informationen man von mir will und was in den AGB, NUB und der Datenschutzerklärung steht.
Das ist wirklich schon ganz schön krank. Dem kann man doch bestimmt mit einer Klage entgegenwirken, oder?
Dir bleiben einige Optionen:
1. Du kannst Deine Rechte gegenüber dem Unternehmen geltend machen,
2. Du kannst eine Beschwerde über die Firma beim Landesdatenschutzbeauftragten einreichen (alternativ Bundesebene),
3. Du kannst Verbraucherverbände aufmerksam machen, die klagen können und
4. Du kannst zivilrechtlich Klage einreichen.
Das ist aufwändig und hat natürlich den Nachteil, dass Du noch mehr Daten preisgibst, die irgendwo gespeichert werden. Im Zweifelsfall musst Du arbeitslos sein, um das als neue Beschäftigung zu betreiben. 😉
@Tandeki
Herzlichen Dank für diesen Kommentar, der deutlich die Schwächen der DSGVO und den Umgang mit Daten darlegt. Als Verbraucher kann man sich nur schwer dagegen wehren und eigentlich fällt es ja erst auf, wenn es einen meldepflichtigen Vorfall gibt.
Einige Menschen denken, sie und ihre Daten seien durch die DSGVO ausreichend geschützt. Dies ist leider ein Trugschluss, weil die Unternehmen fast immer ein berechtigtes Interesse für die Verarbeitung, lange Datenspeicherung und den Handel mit den erfassten Daten anführen können.
>> Und weil dieses Vorgehen die Verachtung der eigenen Kunden zeigt, mache ich mit solchen Firmen nach Möglichkeit auch keine Geschäfte mehr.
Aufgrund dieser Aussage, dürfte der Kreis von Firmen, mit denen Du Geschäfte machst, recht klein sein. Ob das alltagstauglich ist?
Eine Verschärfung der Gesetzgebung ist wahrscheinlich nicht im Interesse von Politik und Wirtschaft durchzusetzen, ohne den Wirtschaftsbetrieb negativ zu beeinflussen. Was wir hier sehen, ist die andere, negative Seite der durchaus notwendigen und politisch gewollten Digitalisierung. Scheinbar unausweichlich, auch wenn versucht wird es anders darzustellen. Es scheint nahezu unmöglich zu sein, selbst, immer und überall Herr über die eigenen Daten zu sein.
In der Tat. Ich überlege mir bei jedem Dienst, jeder Webseite und jedem Kontakt, ob er sein muss und wie ich im Zweifel einfach den Kontakt abbrechen kann, ohne meine Daten zu hinterlassen.
Aktuell habe ich dafür drei Ebenen: komplett erfundene Daten, anonyme, aber persistente Daten und echte Kontaktdaten. Wobei ich letztere so selten wie möglich angeben möchte. Das klappt manchmal erstaunlich gut. Zum Beispiel lese ich statt der ZEIT die New York Times. Die wissen von mir nur meine User-ID und eine SimpleLogin-E-Mail. Nicht einmal einen Namen wollten sie von mir haben. Und den benötigen sie ehrlich gesagt auch nicht für die Erfüllung der Leistung. Die ZEIT will selbst für ein Probeabo Deine kompletten Kontaktdaten. Selbst das Geschlecht, was mich bei der politischen Ausrichtung etwas amüsiert hat.
In den USA scheint es übrigens auch nicht besser zu sein. Kürzlich habe ich eine Senatsanhörung gesehen, bei der ein Unternehmensvertreter gefragt wurde, ob die Daten auf Wunsch des Kunden gelöscht werden. Als der Vertreter des Unternehmens dies bejahte, wurde er gefragt, wie das Registrierungsformular dann wissen könne, dass jemand sich früher bereits mit diesen Daten registriert hat, eben diese Daten aber mittlerweile gelöscht wurden.
Normalerweise geht so etwas datenschutzkonform mit Sperrlisten, die Hash/Salt-Vergleiche durchführen. In der Praxis werden die Daten aber einfach im Klartext verglichen. Deshalb speisen Dich Firmen bei Löschanfragen auch gerne mit „haben wir gesperrt“ ab. Dann müssen sie die Daten vorgeblich nicht „loslassen“, sondern versehen sie einfach in derselben Datenbank mit einem neuen Identifier. Was bei „Sicherheitsvorfällen“ aber natürlich völlig irrelevant ist.
Der letzte Absatz des Kommentars von @Tandeki bestärkt mich darin, dass meine Auffassung, nach der einmal erfasste Daten never-ever gelöscht werden, richtig ist. Ob es sich um Privatunternehmen oder den Staat handelt, dürfte egal sein? Solange es reicht, Daten mit einem Sperrvermerk zu versehen und sie trotzdem in der Datenbank zu belassen, scheint ja alles rechtskonform zu sein.
Vielleicht ist es sogar noch viel schlimmer? Bei einem „Sicherheitsvorfall“ werden nur die nicht gesperrten Daten ausgewertet und die Betroffenen informiert. Alles andere würde ja beweisen, dass die Daten nach der Löschanfrage nicht gelöscht wurden.