Soziales Netzwerk

Der Sicherheitswächter von Facebook

Von Martin Gropp, Brüssel
05.06.2012
, 11:40
Joe Sullivan sorgt für die Sicherheit im größten sozialen Netzwerk der Welt. Bei seiner Arbeit setzt er auf die Zusammenarbeit mit Nutzern - und wehrt sich gegen Überwachungsversuche.

Joe Sullivan trägt keinen Stern, und auch sonst wirkt der oberste Sicherheitswächter des sozialen Netzwerk Facebook eher wie ein Undercover-Agent als wie ein übereifriger Sheriff. Leise und bedächtig redet Sullivan über Sicherheitsfragen im beherrschenden sozialen Netzwerk der Welt. Oft wird Facebook aufgrund seiner Größe mit mehr als 900 Millionen Mitgliedern mit Staaten verglichen. Wenn Facebook also ein Land wäre, dann wäre Joe Sullivan so etwas wie Verteidigungsminister und Innenminister in einer Person.

Seine Mitarbeiter und er kümmern sich um die Sicherheit nach innen wie außen: Sie überwachen die Infrastruktur, damit die Facebook-Seite läuft, sie sorgen auch dafür, dass die Nutzer dort sicher sind: vor Spamnachrichten und Schadsoftware, vor Phishing, mit dem Kriminelle versuchen, Passwörter von Nutzern zu erobern, oder vor Clickjacking und Likejacking - Methoden mit denen Hacker versuchen, unbedarfte Nutzer auf ihre Internetseiten und die Werbung dort zu ziehen.

Obwohl die Zahl der Spamnachrichten auf Facebook zuletzt zurückgegangen ist, gibt es nach Angaben des Sicherheitsunternehmens Sophos keinen Grund zur Entwarnung. „Die Hacking-Gefahr in sozialen Netzwerken ist alles andere als gebannt“, schreibt das Unternehmen in seinem Bedrohungsbericht 2011. Im vergangenen Jahr hatte Sophos Facebook in einem offenen Brief aufgefordert, seine Sicherheitsvorkehrungen anzupassen. Unter anderem forderte das Unternehmen, dass das Netzwerk Entwickler von Zusatzprogrammen, sogenannten Apps, eingehender prüft und es das sichere Internetprotokoll Https verbindlich für alle Nutzer einführt. „Einen zusätzlichen Schutz könnten Nutzer auch durch die Aktivierung von Browser-Zusatzprogrammen wie ,No Script’ erreichen“, sagt Sophos-Experte Dirk Kollberg. No Script erlaube das Ausführen von sicherheitsanfälligen Codes wie JavaScript nur bei vertrauenswürdigen Seiten.

Böse Hacker zu guten machen

„Die Menschen würden Facebook nicht nutzen, wenn sie uns nicht vertrauen würden“, argumentiert dagegen Joe Sullivan im Gespräch mit dieser Zeitung. Zu sehr hänge das Geschäftsmodell von der Sicherheit der Nutzer ab: „Es hat überhaupt keinen Nutzen für uns, wenn Menschen Facebook verwendeten und sich dort betrogen fühlten.“ Was aber die Frage betrifft, das sichere Internetprotokoll Https flächendeckend einzuführen, verweist Sullivan auf die Technik. „Über die vergangenen Jahre haben wir eine Reihe von sicherheitstechnischen Funktionalitäten entwickelt, von denen wir denken, dass sie nicht jeder tolerieren wird, weil sie etwa die Surf-Geschwindigkeit stark beeinflusst wie Https“, sagt Sullivan. „Viele Menschen könnten unsere Dienstleistung nicht nutzen, wenn wir sie verpflichtend vorschreiben würden.“ Immerhin ein Drittel der Nutzer habe aber das Protokoll inzwischen voreingestellt. „Das zeigt, dass die Menschen, die jetzt das Internet nutzen, viel erfahrener sind als noch vor einiger Zeit“, sagt Sullivan.

Auch in anderer Hinsicht setzen die Sicherheitsmitarbeiter von Facebook auf die Initiative der Nutzer. So können alle Mitglieder anstößigen Inhalt oder auch Spam melden. Außerdem hat der oberste Aufpasser ein Verfahren eingeführt, das Straffreiheit für Hacker garantiert, die auf die Seite von Facebook wechseln. Mit dem sogenannten Bug-Bounty-Programm belohnt das Netzwerk Personen, die die Seite hacken, um Sicherheitslücken aufzudecken. „Wir haben gesehen, dass diese Menschen dazu beitragen, die Sicherheit zu erhöhen. Deshalb haben wir gesagt: Warum sollen wir ihnen nicht etwas bezahlen?“, sagt Sullivan. Jeder, der eine schwere Schwachstelle aufdeckt, erhält 500 Dollar. „Die Maximalsumme, die wir bisher an eine Einzelperson gezahlt haben, ist 5000 Dollar.“ Kürzlich gab das Netzwerk bekannt, insgesamt 300 000 Dollar an Belohnungen ausgezahlt zu haben. Inzwischen erreichten die Sicherheitsabteilung ein bis zwei Berichte je Woche, sagt Sullivan. Ein eifriger jugendlicher Schwachstellensucher wird in den nächsten Tagen sein Sommerpraktikum beim Netzwerk beginnen.

Angriffe mit dem Feuerwehrschlauch

Um die Nutzung für alle 900 Millionen Mitglieder sicherer zu machen, übernimmt Facebook auch selbst Polizeiaufgaben auf der Seite. Es gebe einen Mitarbeiter, der Vollzeit Schadsoftware auseinandernehme, um die Technik dahinter zu verstehen, sagt Sullivan. Außerdem versuchten seine Mitarbeiter in speziellen Internetforen aktiv zu sein, um über die Methoden der Hacker auf dem Laufenden zu bleiben. Und es werden Großangriffe analysiert. „Das ist zum Beispiel bei Denial-of-Service-Attacken so, die uns jeden Tag treffen“, sagt Sullivan. Dabei senden Angreifer massiv sinnlose Anfragen an die Server, um sie in die Knie zu zwingen. „Sie überschütten uns mit Anfragen wie aus einem riesigen Feuerwehrschlauch. Aber das kennen wir schon: Es sind für uns normale Nutzungsmomente von Facebook wie die Olympischen Spiele oder der Tag, an dem Usama Bin Ladin gefasst wurde.“

Andersherum haben auch Sicherheitsbehörden oft Interesse an einer Zusammenarbeit mit Facebook. So wurde etwa in Amerika schon ein vermisstes Kind gefunden, weil das Netzwerk den Aufenthaltsort des Kindes per IP-Adresse zu lokalisieren half. Und der Zugang eines mutmaßlich pädophilen Pfarrers wurde gesperrt, nachdem er vermehrt Kontakt mit Minderjährigen aufgenommen hatte.

Für Sullivan hat das wenig mit Szenarien von einem Überwachungsstaat zu tun. Es gebe hohe Standards, die solche Anfragen erfüllen müssten. „Wenn Strafverfolgungsbehörden zu uns kommen und einen geringeren Standard einfordern, dann geben wir ihnen eine E-Mail-Adresse und eine IP-Adresse heraus.“ In jedem Zusammenhang, der darüber hinausgeht, gelte: „Wenn Strafverfolgungsbehörden eine seriöse Auskunft über die Kommunikation von bestimmten Nutzern haben wollen, müssen sie den Rechtsweg im jeweiligen Land beschreiten.“ Denn es gilt wohl auch die Annahme, dass Facebook-Nutzer sich unwohl mit dem Dienst fühlen, wenn ihnen zu viel Überwachung drohen würde. „Wir haben die Sichtweise eingenommen, dass alles, was ein Nutzer bei uns tut, Kommunikation ist“, sagt Sullivan. Und die gelte es zu schützen.

Quelle: F.A.Z.
Martin Gropp - Portraitaufnahme für das Blaue Buch "Die Redaktion stellt sich vor" der Frankfurter Allgemeinen Zeitung
Martin Gropp
Redakteur in der Wirtschaft.
FacebookTwitter
  Zur Startseite
Verlagsangebot
Verlagsangebot