Massives Datenleck entdeckt Was Facebook-Nutzer jetzt tun sollten
Millionen Facebook-Profile sollen durch einen Programmierfehler auf der Seite gehackt worden sein. Das Geständnis des Social Media-Giganten lässt viele Facebook-Nutzer geschockt und ratlos zurück. Was ist jetzt zu tun?
Die Meldung schlug am Freitag ein wie eine Bombe: Durch eine Reihe von Programmierfehlern auf der Facebook-Seite konnten Angreifer auf Millionen Nutzerprofile zugreifen. Etwa 50 Millionen Facebook-Nutzer sollen betroffen sein. Es ist die größte Datenpanne in der Geschichte des Social Media-Giganten.
Während das Bundesamt für Sicherheit in der Informationstechnik dem Internetkonzern einen professionellen Umgang mit der entdeckten Schwachstelle bescheinigt, bleiben unzählige Nutzer schockiert und ratlos zurück. Was bedeutet das Datenleck für sie? Wer ist überhaupt betroffen? Und was ist jetzt zu tun?
Was ist passiert?
Am Dienstag hat Facebook auf seiner Seite eine schwere Sicherheitslücke entdeckt – leider viel zu spät: Hacker hatten die Schwachstelle bereits ausgenutzt, um Millionen von sogenannten "Access Tokens" zu kopieren. Das sind digitale Zugangsschlüssel, die auf dem Gerät gespeichert werden, damit sich der Nutzer schneller einloggen kann. Diese Dateien ersetzen quasi die Passworteingabe.
Mit diesen erbeuteten Zugangsschlüsseln hatten die Angreifer theoretisch volle Kontrolle über die Facebook-Konten der Opfer. Sie konnten die Profile nutzen, als wären es ihre eigenen, sagte der Facebook-Manager Guy Rosen. Damit hatten sie auch Zugriff auf alle Online-Dienste, die mit dem Facebook-Konto verknüpft sind, zum Beispiel Instagram oder Spotify. Auch viele Online-Shops bieten Nutzern die Möglichkeit, den Registrierungsprozess zu überspringen und sich stattdessen über ihr Facebook-Login anzumelden.
Was bedeutet das Datenleck für die Nutzer?
Facebook hält sich mit einer Risikoabschätzung zurück. Erst am Freitag trat das Unternehmen mit seiner Entdeckung an die Öffentlichkeit. Laut einer Pressemitteilung des BSI habe der Konzern die Behörden "frühzeitig" benachrichtigt. Momentan ist von 50 Millionen Betroffenen die Rede. Das BSI geht davon aus, dass sich die Zahl erhöhen wird. Auch Deutsche sollen betroffen sein.
Inwiefern die Angreifer ihre Macht über die Nutzerzugänge ausgenutzt haben, ist noch völlig unklar. Offenbar sind jedoch reichlich Daten abgeflossen. So wurde das Leck schließlich entdeckt und gestopft. Erste Erkenntnisse deuten darauf hin, dass die Schwachstelle bereits seit Juli 2017 bestand. Die Frage ist, seit wann die Angreifer davon wissen und wofür sie dieses Wissen missbrauchen konnten. Das muss nun ermittelt werden.
Wer ist betroffen?
Um die Angreifer aus den angezapften Konten auszusperren hat Facebook die "Access Tokens" widerrufen und die Nutzer aus der App, im Browser und auf allen verbundenen Geräten abgemeldet. Das hat zur Folge, dass sich die Betroffenen überall neu anmelden müssen, inklusive Passworteingabe. Außerdem sollen sie nach dem Einloggen eine Erklärung zu dem Vorfall in ihrem Newsfeed vorfinden.
Insgesamt wurden etwa 90 Millionen Nutzer zur Sicherheit ausgeloggt. Dabei handelt es sich laut Facebook aber um eine reine Vorsichtsmaßnahme. Nicht jeder dieser Nutzer ist tatsächlich gehackt worden.
Wie können sich Nutzer schützen?
Nutzer, die sich ab und zu aus dem Facebook-Konto ausloggen, auf automatische Passworteingaben verzichten und ihren Browser-Cache regelmäßig löschen, reduzieren das Risiko für einen Hackerangriff wie diesen. Außerdem sollte man auf die Konto-Verknüpfung in Online-Shops und anderen Diensten verzichten. Der aktuelle Fall zeigt: Ein Facebook-Login gilt mittlerweile als eine Art Generalschlüssel für zahlreiche Dienste im Netz. Gerät dieser Schlüssel in die falschen Hände, kann dadurch großer Schaden entstehen.
Gibt es etwas, das man ganz konkret tun kann?
Wer sich unsicher fühlt, kann sich jetzt mit wenigen Klicks auf allen Geräten und Apps abmelden. So geht's:
- Öffnen Sie die Konto-Einstellungen
- Wählen Sie das Menü "Sicherheit und Login"
- Dort wird eine Liste angezeigt mit Geräten, wo man gerade angemeldet ist.
- Klicken Sie auf "Melde dich von allen Sitzungen ab"
Außerdem sollte man unter "Apps und Websites" überprüfen, mit welchen anderen Diensten man das Konto verknüpft hat.
Und wenn man schon dabei ist, kann man bei dieser Gelegenheit auch gleich die Zweifaktor-Authentifizierung einrichten. Dadurch wird bei jeder Anmeldung zusätzlich auch ein Code angefordert. Dieser kann entweder per App (wird empfohlen) oder per SMS aufs Handy geschickt werden. Alternativ gibt es auch Codes zum Ausdrucken.
Noch ein Hinweis: Trotz des aktuellen Datenlecks ist es nicht notwendig, das Passwort zu ändern. Schaden tut es aber nicht.
Welche Konsequenzen drohen Facebook?
Das weltweit größte soziale Netzwerk hütet die persönlichen Daten von weltweit zwei Milliarden Nutzern. Nachlässigkeit beim Thema Datenschutz wird dem Konzern nicht mehr so schnell verziehen. Doch es steht mehr auf dem Spiel als ein erneuter Vertrauensverlust: Für Facebook kann so ein Datenskandal seit diesem Jahr richtig teuer werden.
Laut der neuen europäischen Datenschutzgrundverordnung (DSGVO) sind Datenpannen meldepflichtig und zwar innerhalb von drei Tagen, sonst drohen Strafen von bis zu zehn Millionen Euro oder zwei Prozent des Umsatzes. Für Facebook ist die irische Data Protection Commission (DPC) zuständig, wo das Unternehmen seine EU-Niederlassung hat.
Die DPC bestätigte auf Nachfrage, dass sie eine Mitteilung von Facebook erhalten habe. Allerdings lasse diese wichtige Details vermissen. Die Tatsache, dass Facebook nicht in der Lage sei, das Ausmaß des Datenlecks und seine Risiken für die Nutzer einzuschätzen, nennt die Behörde besorgniserregend. Die DPC verlangt dringende Aufklärung von Facebook.
Die deutschen Sicherheitsbehörden geben sich entspannter. "Facebook hat augenscheinlich schnell und professionell auf den Cyber-Angriff reagiert und seine Kunden und Partner kurzfristig informiert", teilte der BSI-Präsident Arne Schönboohm mit. "Wir arbeiten nun gemeinsam an der Aufklärung. Klar ist aber auch, dass der Cyber-Angriff Folge mangelnder Qualität der Software war."
Welche Fragen sind noch offen?
Ausgerechnet Facebook hat bei der Programmierung seiner Seite offensichtlich Mist gebaut. Die Schwachstelle entstand, nachdem ein neues Video-Feature falsch implementiert wurde. Wie konnte es dazu kommen und wieso blieb das Problem mit den sensiblen "Access Tokens" ein Jahr lang unbemerkt? Hier besteht Aufklärungsbedarf.
Laut Facebook gab es bei dem Angriff keinen regionalen Schwerpunkt. Die Angreifer hatten es offenbar nicht auf bestimmte Zielgruppen abgesehen. Woran Facebook das festmacht, verrät das Unternehmen nicht.
Besonders besorgniserregend ist, dass Facebook noch nicht weiß, seit wann der Angriff läuft, also wie lange die Angreifer die Konten ausbeuten konnten. Welche Daten wurden dabei erbeutet? Auf welche Informationen hatten die Angreifer Zugriff? Ähnlich wie beim Skandal um die Analysefirma Cambrigde Analytica könnte sich der Kreis der Betroffenen bald radikal ausweiten, wenn sich herausstellt, dass die Täter auch sämtliche Kontakte der infizierten Accounts ausspähten.
- Eigene Recherche
- Facebook Mitteilung
- Bericht der New York Times
- Pressemitteilung des BSI