Gelbe Karte für GoDaddy: die US-amerikanische Federal Trade Commission (FTC) möchte dem weltweit führenden Hosting-Anbieter wegen eines zu sorglosen Umgangs mit Kundendaten die Implementierung eines Sicherheitsprogramms auferlegen.
Weltweit über 20 Mio. Kunden und mehr als 82 Mio. Domain-Namen unter Verwaltung – den Titel als größter Domain-Registrar der Welt trägt das 1997 von Bob Parsons gegründete Unternehmen schon seit vielen Jahren. Doch wo Licht ist, ist auch Schatten. Nach den Feststellungen der FTC gibt es Anlass zu der Annahme, dass sowohl die GoDaddy Inc. als auch die GoDaddy.com LLC gegen die Bestimmungen des Federal Trade Commission Act verstoßen haben. Mindestens seit dem Jahr 2015 vermarkte sich GoDaddy als sichere Wahl für Kunden, um ihre Websites zu hosten, und werbe dabei mit seinem Engagement für Datensicherheit. Tatsächlich sei das Datensicherheitsprogramm von GoDaddy für ein Unternehmen dieser Größe und Komplexität jedoch unangemessen, heißt es in einer Beschwerdeschrift der FTC. Trotz seiner Zusicherungen sei GoDaddy »blind to vulnerabilities and threats in its hosting environment« gewesen. Seit 2018 habe GoDaddy gegen Abschnitt 5 des FTC-Gesetzes verstoßen, indem versäumt worden sein soll, Standard-Sicherheitstools und -praktiken zum Schutz der Umgebung, in der GoDaddy Kunden-Websites und -Daten hostet, zu implementieren. Folgende konkrete Versäumnisse listet die Beschwerde auf:
(a) inventory and manage assets; (b) manage software updates; (c) assess risks to its website hosting services; (d) use multi-factor authentication; (e) log security-related events; (f) monitor for security threats, including by failing to use software that could actively detect threats from its many logs, and failing to use file integrity monitoring; (g) segment its network; and (h) secure connections to services that provide access to consumer data.
Infolge dieser Sicherheitslücken sei es zwischen 2019 und Dezember 2022 zu mehreren größeren Gefährdungen gekommen, bei denen unbefugte Dritte wiederholt Zugang zu den Websites und Daten der Kunden erlangt haben sollen.
Zur Beilegung der Beschwerde hat die FTC eine »settlement order« vorgeschlagen, in der sich GoDaddy zur Einrichtung eines umfassenden Datensicherheitsprogramms verpflichtet. Nach Angaben der FTC ähnele das Programm anderen Fällen, darunter auch der kürzlich erfolgte Vergleich mit der Hotelkette Marriott International. Der Vergleich sieht unter anderem folgende drei Auflagen vor:
- (a) GoDaddy soll es verboten sein, falsche Angaben über die eigene Sicherheit und das Ausmaß der Einhaltung von Datenschutz- oder Sicherheitsprogrammen zu machen, die von einer Regierung, Selbstregulierungs- oder Standardisierungsorganisation unterstützt werden (einschließlich des EU-US und der Swiss-US Privacy Shield Frameworks);
- (b) GoDaddy muss sich verpflichten, ein umfassendes Informationssicherheitsprogramm einzurichten und umzusetzen, das die Sicherheit, Vertraulichkeit und Integrität seiner Website-Hosting-Dienste schützt; und GoDaddy muss sich
- (c) dazu zu verpflichten, einen unabhängigen Prüfer zu beauftragen, der eine erste und alle zwei Jahre stattfindende Überprüfung des Informationssicherheitsprogramms durchführt.
Die FTC wird in Kürze eine Beschreibung der Zustimmungsvereinbarung veröffentlichen. Nach der Veröffentlichung kann die Allgemeintheit 30 Tage lang zu der Vereinbarung Stellung nehmen; danach wird eine Kommission entscheiden, ob die Vorschlag endgültig wird. GoDaddy selbst würde bei Annahme des Vergleichs kein Fehlverhalten einräumen müssen; ebenso wenig wäre GoDaddy unmittelbar zur Zahlung eines Geldbetrages an die FTC verpflichtet.
Samuel Levine, Direktor des Bureau of Consumer Protection der FTC, teilte mit: b
Millions of companies, particularly small businesses, rely on web hosting providers like GoDaddy to secure the websites that they and their customers rely on, sagte . The FTC is acting today to ensure that companies like GoDaddy bolster their security systems to protect consumers around the globe.