Permalink

4

Facebook-Sicherheitsstufe: Sehr niedrig

Ist euch bei Facebook auch schon mal diese bedenkliche Nachricht auf der rechten Seite aufgefallen?

Wenn man etwas verunsichert auf „Schutz erhöhen“ klickt, um die vermeintliche Schwachstelle zu beheben, gelangt man zu einem 3-Schritte-Formular, in dem man aufgefordert wird, eine weitere Email-Adresse, eine Handynummer und eine Sicherheitsfrage anzugeben, wenn man dies nicht schon angegeben hatte. Aber zu welchem Zweck?

Und wieso nennt sich das ganze jetzt „Sicherheits-Stufe deines Kontos“? Wie und was wird bei Angabe dieser Daten besser geschützt?

Der immer gleiche Hinweis „Falls du jemals ein Problem mit deinem Konto feststellen solltest, kannst du dich mithilfe dieser Informationen erneut anmelden und mit deinen Freunden verbinden.“ hilft mir nicht weiter. Auch ein Klick auf das Fragezeichen [?] oben rechts beantwortet meine Fragen nicht.

Unter Sicherheit verstehe ich in erster Linie den Schutz  meines Accounts und meiner Daten vor dem Zugriff von Dritten. Wenn jemand in meinen Account eingedrungen ist, hat er die Schutzmaßnahmen gebrochen bzw. umgangen.

Inwiefern hätte die Angabe meiner Telefon-Nummer oder einer zweiten Email-Adresse diesen Hack verhindern können? Gar nicht. Im Gegenteil: Bei einem erfolgreichen Einbruch liefere ich dem Eindringling sogar noch mehr Daten von mir.

Jedoch wird hier suggeriert, dass es sich um die Sicherheit des (Facebook?-)Kontos handelt. Nur bei den Email-Einstellungen weisen sie darauf hin, dass „dein Konto geschützt [ist], wenn du den Zugang auf deine Haupt-Email-Adresse verlieren solltest“. Was genau ist denn da geschützt?

Wenn jemand in meinen Email-Account eindringt, dann habe ich erst mal bestimmt andere Probleme als meinen Facebook-Account. Denn jetzt kann der Angreifer bei vielen Webdiensten die „Passwort-vergessen“-Funktion nutzen, um sich ein neues Passwort zuschicken zu lassen und so weiteren Zugang zB. zu Ebay, Paypal oder eben Facebook zu verschaffen. Im schlimmsten Fall kann der Angreifen dann sogar die Email-Adressen ändern, und der Account ist für mich gar nicht mehr zu erreichen.

Und hier will Facebook ansetzen: Es wird also nicht der Schutz vor dem Eindringen in meinen Facebook-Account erhöht, sondern die Möglichkeit geboten, wieder in seinen Facebook-Account zu gelangen, wenn mich dort jemand mit Hilfe meines Email-Accounts ausgesperrt hat.

Diese Bedenken sind nicht von der Hand zu weisen. An diesem Szenario kann man auch sehr gut sehen, wie wichtig es ist, ein sicheres Passwort zu verwenden.

Wenn man eine zweite Email-Adresse angegeben hat, werden alle Email-Adressen über eine Änderung des Facebooks-Passwortes informiert. Hat man eine Handynummer hinterlegt, wird man per SMS informiert. Und wenn man eine Sicherheitsfrage angegeben hat, muss man diese erst richtig beantworten, bevor man die Passwort-vergessen-Funktion nutzen kann. So hat man die Chance, den Missbrauch der Email-Adresse durch Dritte sehr schnell zu erkennen und dem entgegen zu wirken. In einem solchen Angriffs-Fall ist es immer am wichtigsten, sofort sämtliche Passwörter zu ändern, angefangen beim Passwort des Email-Accounts.

Fazit

Ich muss Facebook hier zustimmen, was die Sicherheitsbedenken angeht. Allerdings ist bei der Aufforderung nicht ausreichend auf den Sinn dieser Angaben hingewiesen und die Erklärung dazu ziemlich mangelhaft. Hinzu kommt, dass man bei der Angabe von Daten in Facebook generell sehr sparsam sein sollte, da sich besonders Facebook-Anwendungsentwickler für solche Daten interessieren.

Angeben sollte man daher höchstens die Sicherheitsfrage bei Schritt 3 und auch hier sollte man eine falsche Antwort angeben, da sich alle Fragen auch durch Social Engineering lösen lassen könnten. Aber Achtung: die Sicherheitsfrage lässt sich nicht wieder ändern.

Autor: Artur

Der technikinteressierte und bibeltreue Christ Artur Weigandt bloggt über Datenschutz, Webprogrammierung, sicheren Umgang mit dem Internet und die Bibel. Er arbeitet an der christlichen Community youthweb.net mit, programmiert Webapplikationen und beteiligt sich bei diversen Open Source Projekten.

4 Kommentare

  1. Genau das gleiche dachte ich mir auch, als ich die Meldung gelesen habe und habe daher garnichts angegeben…
    Hab erstmal google bemüht um herauszufinden ob andere Leute auch so denken wie ich und bin gleich hier gelandet.
    Na dann lasse ich meinen Schutz mal „Sehr niedrig“…

    • Hallo Dominik, danke für deinen Kommentar.

      Ganz grundlos ist der Gedanke von Facebook nicht. Aber weil es sich um Facebook handelt, sollte man sehr vorsichtig mit der Angabe einer weiteren Email-Adresse oder Handynummer sein.
      Eine Sicherheitsfrage (mit falscher Antwort, die du dir merkst) würde ich dir aber trotzdem empfehlen.

      Den besten Schutz auf der Anwenderseite kann man nur durch Vergabe von sehr sicheren und verschiedenen Passwörtern erreichen.

  2. Dieses „Erhöhen der Sicherheit“ ist meines Erachtens eine Farce. Es erhöht die Sicherheit meines Kontos gar nicht. Es erhöht lediglich den Wert meines Kontos für Facebook, weil diese dann NOCH mehr Daten von mir haben!
    Und weil sie diese Daten mit der Drohkulisse „meiner“ Sicherheit erhoben haben, ist die Wahrscheinlichkeit, dass ich da falsche Angaben gemacht habe geringer – somit der Wert dieser Informationen tendenziell höher zu bewerten als alle anderen Informationen, die sic noch von mir haben.
    Fazit: meine Handynummer, meinen realen Namen bekommen die von mir nie-nicht!

    • Lauf Wikipedia liegt der Wert von Facebook bei 50 Milliarden Dollar und hat nach eigenen Angaben über 600 Millionen Mitglieder.
      Wenn man nun den Wert durch die Mitgliederanzahl teilt, bekommt man den Wert eines Facebook-Nutzers heraus:
      83,3 Dollar (entspricht 60,9 €)
      So bekommt man eine Ahnung, wie viel Facebook pro User min. einnehmen möchte, um weiterhin mehr als rentabel zu sein.

      Und wenn ein User nicht willig ist, die unzähligen Daten freiwillig anzugeben, werden sie eben mit solchen Methoden erfragt.