Facebook-Skandal

Die Sicherheit stehe bitte nicht zu sehr im Weg

Von Constanze Kurz
01.10.2018
, 15:23
Ist Facebook bei einem Verlust von 50 Millionen Daten noch zu retten?
Eine gravierende Sicherheitslücke bei Facebook hat die Daten von mindestens fünfzig Millionen Nutzern zugänglich gemacht. Das Unternehmen will jetzt alle Lücken schließen – aber geht das überhaupt?
ANZEIGE

Die Gemüter hatten sich hierzulande gerade erst beruhigt. Facebook war wieder etwas aus den negativen Schlagzeilen gerutscht, nachdem herausgekommen war, dass der Konzern gegen den Willen und das Wissen seiner Nutzer deren Telefonnummern an Werbekunden verhökert hatte. Ironischerweise waren die missbräuchlich zu Werbezwecken genutzten Telefonnummern aus Sicherheitsgründen von den Nutzern hinterlegt worden. Doch eine gravierende Sicherheitslücke bringt den Konzern nun mit Wucht wieder in den internationalen Schlagzeilen: Eine Lücke im Authentifizierungsmechanismus machte die gesammelten Daten von mindestens fünfzig Millionen Nutzern zugänglich – wahrscheinlich waren es noch mehr.

ANZEIGE

Wer die Angreifer gewesen sind, dazu konnte Facebook keine Angaben machen. Man habe aber das FBI und Polizeibehörden informiert und auch eine Meldung an die irische Datenschutzbehörde gemacht. Denn dazu zwingt die europäische Gesetzgebung den Konzern. Die europäischen Nutzer können also sicher sein, dass auch sie mitbetroffen sind. Man habe das Sicherheitsproblem nun aber unter Kontrolle, erklärte Mark Zuckerberg in einem Beitrag auf seiner eigenen Facebook-Seite. Und man werde sich wirklich daran machen, „neue Werkzeuge“ zu entwickeln, um solche Schwachstellen künftig zu verhindern.

Da winken innerlich schon viele ab: Es hat sich als eine Art Naturgesetz in vielen Köpfen festgesetzt, dass eine komplexe technische Plattform dieser Größe nicht absicherbar sein kann. Schon vor fünf Jahren gab ein technischer Angestellter von Facebook die Auskunft, dass der Kern der Plattform mehr als sechzig Millionen Zeilen Code umfasse. Weniger dürften es seither nicht geworden sein. Und selbst die besten Unternehmen produzieren statistisch gesehen einen ausnutzbaren Fehler alle fünfundzwanzigtausend Zeilen Code.

„Login with Facebook“

Aber darf die Komplexität die bequeme Ausrede dafür sein, dass man gegen „die Hacker“ quasi wehrlos ist? Dass deswegen einer der größten Datenabflüsse in der Geschichte des Konzerns nicht zu verhindern gewesen ist? Facebook hat, wie alle anderen Firmen der Silicon-Valley-Großmächte, ein umfangreiches und durchaus fähiges Sicherheitsteam – ein Argument, das oft wie eine Entschuldigung für die immer weiter grassierende Zentralisierung von wichtigen Funktionen wie Authentifizierung („Login with Facebook“) angeführt wird.

ANZEIGE

Faktisch bietet Facebook damit ein starkes Sicherheitsversprechen an, nämlich den kooperierenden Partnern die Identität des Nutzers zu bezeugen. Entsprechend wirkt sich die jüngste Sicherheitslücke auch auf andere große Dienstleister wie die Facebook-Tochter Instagram aus: Der Zugriff über den „Access Token“ erlaubt nämlich nicht nur die Nutzung des Facebook-Accounts selbst, sondern auch beispielsweise damit verknüpfte Instagram-Accounts. Facebook will derzeit nicht ausschließen, dass auch Instagram-Accountdaten betroffen waren.

Wir dürfen gespannt sein, welche Dienste noch in den Skandal verwickelt werden. Immerhin hat sich Facebook im Vergleich zu den vorangegangenen Skandalen zu einer schnelleren und offensiveren Medienstrategie entschlossen, die sowohl den eigenen Kunden, den betroffenen Nutzern und auch der breiten Öffentlichkeit zeitnah Informationen zukommen lässt. Bisher ist bereits bekannt, dass die Angreifer jegliche Informationen aus den mindestens fünfzig Millionen Profilen einsehen konnten. Nur die Privatnachrichten könnten noch geschützt gewesen sein, aber nicht mal das konnte der Konzern verbindlich zusichern. Auf jeden Fall betroffen sind die typischerweise enthaltenen Angaben zu Namen, Geburtsdaten, Wohnort und Geschlecht.

ANZEIGE

Wer ist bei wem in den Kontaktlisten und wer kontaktiert wen wie oft?

In welcher prinzipiellen Zwickmühle Facebook mit seinem Datenhaufen-Geschäftsmodell steckt, wenn es um das Thema Sicherheit geht, wurde diese Woche noch an einem anderen Beispiel deutlich. Einer der Gründer von Whatsapp gab in einem Interview einen seltenen Blick hinter die Kulissen dieses Konflikts. Den Messaging-Dienst hatte sich Facebook vor ein paar Jahren für eine Rekordsumme einverleibt.

Whatsapp hat eine Ende-zu-Ende-Verschlüsselung eingebaut, die es Facebook technisch unmöglich macht, die Nachrichten zu lesen. Zwar sind damit die Inhalte der Nachrichten selbst der Werbeverwertung entzogen, jedoch will Facebook die Metadaten gern verwerten – also wer kommuniziert mit wem, wer ist bei wem in den Kontaktlisten und wer kontaktiert wen wie oft? Dieser Konflikt führte am Ende dazu, dass Brian Acton lieber einen erheblichen Teil seiner Facebook-Aktienoptionen verfallen ließ, als Teil dieser Strategie zur Nutzerdatenverwertung zu bleiben – für Silicon-Valley-Verhältnisse ein unerhörter Vorgang.

Wenn man bedenkt, dass Facebook, aber auch Google in immer mehr Geschäftsbereichen die Platzhirsche sind, wird klar, wie gravierend das Problem ist. Denn Facebook ist eben lange nicht mehr nur eine werbegeflutete Flirt- und Entertainmentplattform für Millionen, sondern ein Zugangsdaten-Authentifizierer für viele weitere große und kleine Plattformen, die nun potentiell alle ein Problem haben. Aber neben der Authentifizierung engagieren sich die großen Datenkonzerne in vielen weiteren Bereichen, von virtueller Realität über autonomes Fahren bis zu Zahlungssystemen.

ANZEIGE

Mit viel Geschick haben es Datenkonzerne eine ganze Weile geschafft

Sicherheit gibt es bei den Werbefirmen nur bis zu dem Punkt, an dem sie dem eigentlichen Geschäftszweck nicht im Wege steht, möglichst bequem für die Nutzer ist und keine übermäßigen Kosten verursacht. Der jetzige Facebook-Sicherheitsskandal ist nur der letzte Sargnagel der Illusion, dass die Datenkonzerne zwar alle Profilinformationen auswerten wollen, aber wenigstens dafür sorgen können, dass sie nicht in fremde Hände fallen.

Mit viel Geschick haben es Datenkonzerne eine ganze Weile geschafft, sich als „soziale Netzwerke“ zu inszenieren und dabei ihr offenkundiges Geschäftsmodell vergessen zu machen. Nachdem Cambridge-Analytica-Skandal und dem peinlichen Agieren von Mark Zuckerberg sowohl vor den amerikanischen als auch den europäischen Abgeordneten bröckelt die Fassade mit dem neuen Skandal nun noch gewaltiger. Denn am Ende passen eben Datengier und Datensicherheit nicht gut zusammen.

Quelle: F.A.Z.
  Zur Startseite
Verlagsangebot
Verlagsangebot
ANZEIGE