Amazon: Whistleblower sehen Millionen von Kundendaten in Gefahr
Bei Amazon fehlten die Grundlagen für einen effektiven Datenschutz, monieren Insider. Das "Recht auf Vergessen" in der EU könne der Konzern nicht praktizieren.
Amazon hat sich seit ersten Schritten mit einem Empfehlungsalgorithmus für auch von anderen Kunden gern gelesenen Büchern zu einem der großen Akteure im Big-Data-Bereich entwickelt. Dem US-Konzern fehle aber als Gegengewicht jeglicher Ansatz für eine effektive Datenschutzkultur, erklärten drei frühere führende Mitarbeiter aus dem Bereich IT-Sicherheit gegenüber dem Online-Magazin Politico. Es existierten nicht einmal die grundlegenden Voraussetzungen, um die Privatsphäre der Nutzer angemessen zu schützen. Dies dürfte früher oder später zu massiven Folgen wie einem unkontrollierbaren Datenabfluss führen und könnte Hackern Angriffe erleichtern.
Kein Ăśberblick ĂĽber die Daten
Die Warnungen stammen laut dem Bericht von zwei Ex-Beschäftigten in den USA sowie einem aus Europa. Alle drei sollen demnach wiederholt versucht haben, intern die Führungsebene in der Zentrale in Seattle zu alarmieren. Sie seien aber beiseite geschoben, entlassen oder aus dem Unternehmen gedrängt worden. Das Hauptproblem besteht ihnen zufolge darin, dass der Online-Händler Zehntausende Teams auf Big-Data-Analysen ansetze. Den Mitarbeitern und der Konzernspitze sei aber überhaupt nicht klar, welche Daten vorlägen, wo sie gespeichert seien und wer Zugriff darauf habe.
Den etwa in der Datenschutz-Grundverordnung (DSGVO) und mittlerweile auch im kalifornischen Pendant verankerten Nutzerrechten etwa auf Auskunft und Korrektur könne das Unternehmen den Whistleblowern zufolge so gar nicht nachkommen. Wenn etwa ein Kunde seinen Löschanspruch nach dem "Recht auf Vergessenwerden" ausüben wolle, wäre es für Amazon nahezu unmöglich, alle Stellen ausfindig zu machen, an denen sich die persönlichen Daten in verschiedenen Systemen befänden.
"Wir haben Hunderttausende von Konten gefunden, bei denen der Mitarbeiter nicht mehr da ist, aber immer noch Zugriff auf das System hat", verweist einer der Insider auf eine weitere Schwachstelle. Laut internen Sicherheitsberichten aus 2016 und 2017, habe das Unternehmen angegeben, nur zwischen 55 und 70 Prozent seiner Systeme mit Sicherheitsupdates versorgen zu können. In einem internen Memo von 2018 sei die Wahrscheinlichkeit eines kritischen finanziellen Verlusts oder eines Imageschadens für das Unternehmen als "sehr hoch" eingeschätzt worden, da es nicht möglich sei, Angriffe von Gegnern zu identifizieren.
Weniger Datenschutz als bei AWS
Die Rede ist auch vom Einsatz eines unsicheres Verschlüsselungsprotokoll für Online-Zahlungen seit 2014. Das Problem sei erst nach weiteren Hinweisen 2016 und 2018 behoben worden. Zuvor habe Amazon erfolgreich Lobbyarbeit beim zuständigen Standardisierungsgremium betrieben und zwei Jahre Aufschub gewährt bekommen. Der Konzern, der bisher vor allem wegen mangelndem Arbeitnehmerschutz in der Kritik steht, soll zudem erst wenige Wochen vor der Anwendbarkeit der DSGVO im Frühjahr 2018 ein spezielles Team für die Umsetzung der Vorgaben eingerichtet haben. Deutlich mehr Wert lege Amazon auf die IT-Sicherheit bei seinem Cloud-Flaggschiff AWS. Dortige Datenlecks seien in der Regel auf nachlässige Nutzer zurückzuführen.
In der EU ist hauptsächlich die luxemburgische Datenschutzaufsichtsbehörde für den Konzern zuständig. Die bestätigte dem Bericht nach nur allgemein, dass Verfahren gegen Amazon anhängig seien. Erste Bußgelder hätten eigentlich 2020 fällig werden sollen, es sei aber zu Verzögerungen gekommen. Ein Unternehmenssprecher wies die Vorwürfe zurück. Bei Amazon gehöre es seit Jahren zu den obersten Prioritäten, die Privatsphäre der Kunden zu schützen und die Sicherheit ihrer Daten zu gewährleisten. Dafür gebe es lang etablierte Richtlinien und Verfahren. Die Behauptungen seien "ungenau, unbegründet und veraltet".
(mho)