Permalink

4

Facebook-Sicherheitsstufe: Sehr niedrig

Ist euch bei Facebook auch schon mal diese bedenkliche Nachricht auf der rechten Seite aufgefallen?

Wenn man etwas verunsichert auf „Schutz erhöhen“ klickt, um die vermeintliche Schwachstelle zu beheben, gelangt man zu einem 3-Schritte-Formular, in dem man aufgefordert wird, eine weitere Email-Adresse, eine Handynummer und eine Sicherheitsfrage anzugeben, wenn man dies nicht schon angegeben hatte. Aber zu welchem Zweck?

Und wieso nennt sich das ganze jetzt „Sicherheits-Stufe deines Kontos“? Wie und was wird bei Angabe dieser Daten besser geschützt?

Der immer gleiche Hinweis „Falls du jemals ein Problem mit deinem Konto feststellen solltest, kannst du dich mithilfe dieser Informationen erneut anmelden und mit deinen Freunden verbinden.“ hilft mir nicht weiter. Auch ein Klick auf das Fragezeichen [?] oben rechts beantwortet meine Fragen nicht.

Unter Sicherheit verstehe ich in erster Linie den Schutz  meines Accounts und meiner Daten vor dem Zugriff von Dritten. Wenn jemand in meinen Account eingedrungen ist, hat er die Schutzmaßnahmen gebrochen bzw. umgangen.

Inwiefern hätte die Angabe meiner Telefon-Nummer oder einer zweiten Email-Adresse diesen Hack verhindern können? Gar nicht. Im Gegenteil: Bei einem erfolgreichen Einbruch liefere ich dem Eindringling sogar noch mehr Daten von mir.

Jedoch wird hier suggeriert, dass es sich um die Sicherheit des (Facebook?-)Kontos handelt. Nur bei den Email-Einstellungen weisen sie darauf hin, dass „dein Konto geschützt [ist], wenn du den Zugang auf deine Haupt-Email-Adresse verlieren solltest“. Was genau ist denn da geschützt?

Wenn jemand in meinen Email-Account eindringt, dann habe ich erst mal bestimmt andere Probleme als meinen Facebook-Account. Denn jetzt kann der Angreifer bei vielen Webdiensten die „Passwort-vergessen“-Funktion nutzen, um sich ein neues Passwort zuschicken zu lassen und so weiteren Zugang zB. zu Ebay, Paypal oder eben Facebook zu verschaffen. Im schlimmsten Fall kann der Angreifen dann sogar die Email-Adressen ändern, und der Account ist für mich gar nicht mehr zu erreichen.

Und hier will Facebook ansetzen: Es wird also nicht der Schutz vor dem Eindringen in meinen Facebook-Account erhöht, sondern die Möglichkeit geboten, wieder in seinen Facebook-Account zu gelangen, wenn mich dort jemand mit Hilfe meines Email-Accounts ausgesperrt hat.

Diese Bedenken sind nicht von der Hand zu weisen. An diesem Szenario kann man auch sehr gut sehen, wie wichtig es ist, ein sicheres Passwort zu verwenden.

Wenn man eine zweite Email-Adresse angegeben hat, werden alle Email-Adressen über eine Änderung des Facebooks-Passwortes informiert. Hat man eine Handynummer hinterlegt, wird man per SMS informiert. Und wenn man eine Sicherheitsfrage angegeben hat, muss man diese erst richtig beantworten, bevor man die Passwort-vergessen-Funktion nutzen kann. So hat man die Chance, den Missbrauch der Email-Adresse durch Dritte sehr schnell zu erkennen und dem entgegen zu wirken. In einem solchen Angriffs-Fall ist es immer am wichtigsten, sofort sämtliche Passwörter zu ändern, angefangen beim Passwort des Email-Accounts.

Fazit

Ich muss Facebook hier zustimmen, was die Sicherheitsbedenken angeht. Allerdings ist bei der Aufforderung nicht ausreichend auf den Sinn dieser Angaben hingewiesen und die Erklärung dazu ziemlich mangelhaft. Hinzu kommt, dass man bei der Angabe von Daten in Facebook generell sehr sparsam sein sollte, da sich besonders Facebook-Anwendungsentwickler für solche Daten interessieren.

Angeben sollte man daher höchstens die Sicherheitsfrage bei Schritt 3 und auch hier sollte man eine falsche Antwort angeben, da sich alle Fragen auch durch Social Engineering lösen lassen könnten. Aber Achtung: die Sicherheitsfrage lässt sich nicht wieder ändern.

Autor: Artur

Der technikinteressierte und bibeltreue Christ Artur Weigandt bloggt über Datenschutz, Webprogrammierung, sicheren Umgang mit dem Internet und die Bibel. Er arbeitet an der christlichen Community youthweb.net mit, programmiert Webapplikationen und beteiligt sich bei diversen Open Source Projekten.

4 Kommentare