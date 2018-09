Ein Angriff auf Facebook mit Zigmillionen Betroffenen? Was ist da los?

Wenn es in Facebooks Online-Netzwerk mit seinen 2,2 Milliarden Mitgliedern eine Sicherheitspanne gibt, können die Folgen schnell große Ausmaße haben: Das zeigt eine Mitteilung des Unternehmens von Freitag, in der es bekannt gab, drei Tage zuvor einen Angriff erkannt und eine Schwachstelle beseitigt zu haben - mit der Folge, dass als Vorsichtsmaßnahme gleich 90 Millionen Nutzer aus ihren Accounts ausgeloggt wurden.

Die entsprechenden Nutzer informiert Facebook mit einem Hinweis ganz oben in ihrem Newsfeed über den Vorfall: In einer im Warn-Post verlinkten Erklärung heißt es: "Es kann sein, dass wir dich vor Kurzem aus Sicherheitsgründen von deinem Facebook-Konto abgemeldet haben. Wir haben festgestellt, dass es am 25. September 2018 zu einem Angriff auf unser System kam. (...) Aktuell wissen wir noch nicht, ob auf die Facebook-Informationen von Nutzern zugegriffen wurde. Wir möchten dich jedoch an dieser Stelle darüber informieren, was wir unternehmen, um dein Konto zu schützen."

Als von dem Angriff direkt betroffen gelten Facebook zufolge mindestens 50 Millionen Facebook-Konten weltweit. Laut "New York Times" und "Financial Times" zählen auch die Profile von Zuckerberg und Geschäftsführerin Sheryl Sandberg dazu. Für Facebook kommt der Vorfall zu einem denkbar ungünstigen Zeitpunkt: Das Unternehmen hat dieses Jahr schon im Zuge des Datenskandals rund um Cambridge Analytica einiges an Vertrauen seiner Nutzer eingebüßt.

Um was für einen Angriff geht es genau?

Facebook-Manager Guy Rosen sagt, bislang unbekannte Angreifer hätten eine Sicherheitslücke in Facebooks Code ausgenutzt, die in Zusammenhang mit der Funktion "Anzeigen aus der Sicht von" steht. Diese Funktion erlaubt es nachzuvollziehen, wie das eigene Profil aus der Sicht anderer Personen aussieht. Im Alltag ist sie zum Beispiel hilfreich, wenn man überprüfen will, dass wirklich nur bestimmte Kontakte, nicht aber die beruflichen Fotos von der Party vom Abend zuvor alle angezeigt bekommen.

Rosen sagt, den Angreifern sei es dank eines unglücklichen Zusammenspiels mehrerer Programmierfehler gelungen, Zugriffs-Token, also quasi digitale Schlüssel zu stehlen, mit denen sie die Accounts anderer Nutzer übernehmen konnten. Dank des Schlüssels hatten sie die Möglichkeit, fremde Accounts so zu nutzen, wie ihren eigenen. Ebenso konnten sie von geenterten Konten aus Zugang zu weiteren Accounts verschaffen. Facebook nutzt die Digitalschlüssel, damit sich Nutzer nicht jedes Mal neu einloggen müssen, wenn sie die App benutzen.

Sobald die Angreifer die Digitalschlüssel für einen Account gehabt hätten, konnten sie "Anzeigen aus Sicht von" nutzen, um zu sehen, was ein per Facebook-Freundschaft verbundenes Konto von jenem Konto sehen konnte, erklärte Rosen in einem Telefonat mit der US-Presse. Eine Schwachstelle habe es ihnen ermöglicht, dabei wiederum die Digitalschlüssel dieses Freundes-Account zu erhalten - "und so weiter und so fort".

Ich wurde aus meinem Facebook-Account ausgeloggt - heißt das, ich war sicher von dem Angriff betroffen?

Nicht zwingend. Technisch möglich gewesen sei die Attacke vom Juli 2017 an, sagte Guy Rosen, damals hatte Facebook Änderungen an seiner Videoupload-Funktion vorgenommen, die für den Angriff ebenfalls bedeutend waren. Mit ersten Indizien für einen tatsächlichen Angriff sah sich Facebook aber erst am 16. September konfrontiert, finale Gewissheit hatte das Unternehmen laut Eigenauskunft erst Dienstag.

Das eine Jahr, indem die Lücken eventuell noch von niemandem bemerkt oder ausgenutzt wurden, erklärt, warum Facebook meldet, neben den 50 Millionen betroffenen Accounts 40 Millionen weitere ausgeloggt zu haben: Dabei handelt es sich um Accounts, über die die "Anzeigen aus Sicht von" im Laufe des letzten Jahr benutzt wurde. Man könnte auch sagen: Bei 40 der 90 Millionen Accounts ist sich Facebook letztlich nicht sicher, ob die Funktion einfach nur so oder vielleicht doch im Zuge eines Angriffs genutzt wurde.

Was wissen die Angreifer jetzt über betroffene Nutzer?

Ob und wofür genau die Angreifer die entwendeten Schlüssel eingesetzt haben, ist bislang unklar. Nach bisherigen Erkenntnissen haben die Angreifer aber keine privaten Nachrichten abgerufen, betont Facebook, oder versucht, etwas im Namen der betroffenen Nutzer im Netzwerk zu posten.

Zugleich hätten die Angreifer aber in großem Stil Profilinformationen wie Name, Geschlecht und Wohnort abgerufen. Dadurch sei die Attacke auch erst aufgefallen. Bisher habe Facebook keinen speziellen Fokus auf bestimmte Regionen oder Nutzergruppen feststellen können.

Möglicherweise, Belege dafür gibt es jedoch noch nicht, könnte ein Sicherheitsforscher aus Taiwan mit der Attacke zu tun haben. Er hatte Mitte der Woche angekündigt, am Sonntag in einem Livestream das Facebook-Profil von Mark Zuckerberg zu löschen. Am Freitag sagte er die Übertragung dann ab und erklärte, er habe stattdessen Facebook kontaktiert.

Betraf das Sicherheitsproblem nur Facebook selbst?

Anders als in seinem ersten Statement, erwähnte Guy Rosen in seinem Telefonat mit der US-Presse auf Nachfrage, dass Angreifer die Digitalschlüssel theoretisch auch nutzen konnten, um sich in Dritt-Apps einzuloggen, bei denen dies per Facebook möglich ist, wie beispielsweise Instagram. Ob die Angreifer dies getan haben, ist nicht bekannt.

Die Option "Log-In mit Facebook" bieten neben Instagram unter anderem Internet-Händler sowie viele andere Websites an. Sie soll Nutzern den Aufwand ersparen, sich für jeden Dienst neue Passwörter überlegen zu müssen.

Der in Deutschland beliebte Facebook-Tochterdienst WhatsApp ist Facebook zufolge ausdrücklich nicht von dem Angriff betroffen.

Sollte ich jetzt mein Facebook-Passwort ändern?

Akut ist das nicht nötig. Facebook zufolge kennt jemand, der den Digitalschlüssel zu einem Account erbeutet, dadurch nicht das Passwort des Nutzers. Das bedeutet aber auch: Bei einem Angriff wie in diesem Fall hätte Nutzern auch ein noch so starkes Passwort nicht geholfen, sich zu schützen. Davon abhalten, ein starkes Passwort zu benutzen, sollte Sie diese Erkenntnis aber nicht: Es gibt schließlich auch genügend simplere, für Sie persönlich und Ihren Account im Zweifel ähnlich gefährliche Attacken.

Prüfen könnten Sie dieser Tage mal, auf welchen womöglich uralten oder Dienstgeräten Sie aktuell in Facebook eingeloggt sind: In der Browser-Version des Dienstes lässt sich das hier nachsehen.

Und ansonsten - einfach weitermachen?

Bloß nicht. Wenn die Facebook-Attacke Stand Sonntagmorgen eine Lektion für Normalnutzer birgt, dann die, dass der Ansatz, sich bei verschiedenen Diensten über Facebook einzuloggen zwar bequem ist, aber auch ein zusätzliches Sicherheitsrisiko darstellt.

Denn, das zeigt der aktuelle Fall: Wer Ihre Facebook-Digitalschlüssel hat, der ist - sofern Sie die Option "Log-In mit Facebook" nutzen - eben im Zweifel auch schnell in Ihrem Instagram-Account oder unter Ihrem Namen in einem anderen mit Facebook verbundenen Drittdienst. Überlegen Sie sich also genau, ob es unterm Strich nicht oft vielleicht doch sinnvoller ist, für jeden Dienst einen individuellen Login zu nutzen.