Passwort-Panne bei Facebook Was Nutzer jetzt wissen müssen
Jahrelang sollen die Passwörter von Hunderten Millionen Facebook-Nutzern unverschlüsselt auf Servern gespeichert worden sein, wie das soziale Netzwerk am Donnerstag mitteilte. Auch wenn das Problem mittlerweile wohl behoben ist, sollten Nutzer auf die Datenpanne reagieren.
Denn unverschlüsselt gespeicherte Passwörter sind ein hohes Risiko: Um Nutzer zu schützen, werden Kennwörter auf Onlineplattformen in der Regel niemals im Klartext gespeichert, sondern mit einem Algorithmus zunächst unkenntlich gemacht. Zu jedem Passwort wird eine sogenannte kryptische Prüfsumme generiert, die aber keinen Rückschluss auf das Passwort zulässt. Auf dem Server wird der kryptische Hashwert gespeichert. Damit kann eine Software das Kennwort bei der Eingabe überprüfen, ohne dass es im Klartext gespeichert werden muss.
Auf den Facebook-Servern lagen die Passwörter hingegen ungeschützt - Nutzer sollten daher jetzt handeln. Hier sind die Antworten auf die wichtigsten Fragen:
Wie finde ich heraus, ob mein Passwort im Klartext gespeichert wurde?
Die Anzahl der Passwörter, die im Klartext gespeichert wurden, ist enorm hoch. Der IT-Sicherheitsexperte Brian Krebs, der zuerst auf seinem Blog über die Sicherheitspanne berichtet hatte, geht davon aus, dass Kennwörter von bis zu 600 Millionen Nutzern unverschlüsselt auf Facebook-Server lagerten. Damit wäre rund ein Viertel der weltweit 2,7 Milliarden Mitglieder des sozialen Netzwerks betroffen.
Facebook hat angekündigt, dass alle betroffenen Nutzer informiert werden. Wann genau die E-Mails verschickt werden, ist allerdings unklar. Auf eine Anfrage von SPIEGEL ONLINE heißt es, dass man noch keine genaue Zeitangabe machen könne.
Welche Plattformen sind betroffen?
Nach Unternehmensangaben tauchen vor allem Kennwörter von Nutzern der abgespeckten Android-App Facebook Lite in der Liste auf. Doch auch Zehntausende Zugangsdaten von Instagram sollen ungeschützt auf den Servern abgelegt worden sein.
Außerdem funktioniert Facebook auch als Türöffner für viele andere Portale. Das soziale Netzwerk lässt sich mit Apps und Websites verbinden, damit Nutzer dort keinen neuen Account anlegen müssen. Zahlreiche populäre Seiten wie AirBnB, Spotify und die Video-App TikTok überlassen es neuen Mitgliedern, ob sie sich lieber neu registrieren oder per Facebook anmelden wollen.
Wer Zugriff auf das Facebook-Passwort hat, kann sich in vielen Fällen also auch auf anderen Seiten anmelden. Wer herausfinden will, welche Seiten mit dem Facebook-Login verknüpft sind, der kann sich in den Einstellungen eine Liste mit allen verknüpften Websites anzeigen lassen . Dort können Nutzer die Verbindung zwischen Onlineportalen und dem Facebook-Konto kappen.
Wie lange lagen die Passwörter ungeschützt auf den Servern?
Bei einer Routinekontrolle im Januar hatten Facebook-Entwickler die Datenpanne bemerkt und nach eigenen Angaben umgehend beseitigt. Wie lange die Passwörter dort ungeschützt gespeichert wurden, dazu will sich Facebook nicht äußern. Doch es könnte sich um mehrere Jahre handeln. Brian Krebs zufolge reichen Datensätze mit Klartext-Passwörtern bis ins Jahr 2012 zurück.
Hat jemand die Zugangsdaten bereits missbraucht?
Das ist schwer zu sagen. Nach Angaben von Facebook sind die Passwörter bisher nur von Facebook-Mitarbeitern einsehbar gewesen und nicht von außen. Man habe keine Beweise gefunden, "dass irgendjemand innerhalb des Unternehmens die Zugangsdaten missbräuchlich angewendet oder unerlaubt darauf zugegriffen hat".
Es ist allerdings schwer nachzuweisen, ob die Zugangsdaten möglicherweise nach außen gelangt sein könnten oder ob einer der 20.000 Facebook-Mitarbeiter auf die Datenbank zugegriffen hat. Gegenüber SPIEGEL ONLINE sagt eine Konzernsprecherin: "Wir pflegen strikte technische Kontrollen und Regeln, um den Zugriff von Mitarbeitern auf die Nutzerdaten einzuschränken." Es gebe einen "Null-Toleranz-Ansatz bei Missbrauch", und unangemessenes Verhalten führe zur Kündigung.
Auf "Krebs on Security" heißt es aber, es habe durchaus Zugriffe auf die Passwörter gegeben - Brian Krebs hatte mit einem Informanten aus dem Unternehmen gesprochen. Interne Protokolle würden darauf hinweisen, dass 2000 Entwickler etwa neun Millionen Suchanfragen gestellt hätten, deren Suchparameter auf Nutzerpasswörter im Klartext eingestellt waren.
Brauche ich ein neues Passwort?
Ja. Auch wenn offenbar nur ein Teil der Nutzer betroffen ist, sollte jeder seine Passwörter für Facebook und Instagram ändern. Das Risiko ist zu groß, dass Daten in die Hände von Fremden geraten sein könnten - und noch können die Nutzer ja gar nicht wissen, ob ihre Passwörter betroffen sind. Mit den Zugangsdaten können Unbefugte nicht nur sehen, was der Nutzer für "Gefällt mir"-Angaben verteilt und welchen Seiten er folgt. Mit dem Facebook-Passwort lassen sich auch alle gesendeten und empfangenen Nachrichten im Facebook-Messenger durchlesen.
Neben einem neuen und sicheren Passwort empfiehlt es sich, die Zwei-Faktor-Authentifizierung zu aktivieren . Die Anmeldung wird dadurch zwar umständlicher für den Nutzer, aber auch fast unmöglich für Fremde. Facebook bietet an, bei einer neuen Anmeldung einen zusätzlichen Login-Code auf das Smartphone zu schicken oder mit einer App wie dem Google Authenticator zu erstellen. Mit dem mobilen Gerät kann sich der Anwender eindeutig identifizieren.
