Datenleck: Facebook und die Schlüsselfrage

Berlin - Schon wieder Facebook. Das beliebte soziale Netzwerk mit weltweit mehr als 500 Millionen registrierten Mitgliedern ist erneut durch einen schlampigen Umgang mit Nutzerdaten aufgefallen. Die IT-Sicherheitsfirma Symantec hat ein Datenleck entdeckt, über das Werbefirmen auf zahlreiche Informationen von Nutzern zugreifen konnten – ohne das Wissen oder die Genehmigung der Betroffenen. Möglich sei dies durch einen Fehler im Authentifizierungsmechanismus gewesen, sagte ein Sprecher von Symantec in Deutschland. Den Fehler, den die Bedrohungsforscher genannten Experten von Symantec jetzt entdeckten, bestand offenbar bereits seit 2007. Damals wurde die entsprechende Software eingeführt. Unklar ist, wer diese Lücke im Sicherheitssystem kannte und ob sie überhaupt jemals genutzt wurde, um Nutzer auszuspionieren.

Facebook jedenfalls erklärte am Mittwoch, bei einer Überprüfung seien keine Hinweise auf einen Missbrauch festgestellt worden. Zudem habe das Unternehmen Maßnahmen ergriffen, um das Leck zu schließen. Nutzern empfiehlt Symantec, sofort ihr Passwort zu ändern.

Die Lücke im System war in einem älteren Softwarecode versteckt, dort, wo die Schnittstelle zu den Zusatzprogrammen (kurz: Apps) liegt. Um diese Anwendungen nutzen zu können, brauchen die Anbieter in vielen Fällen den Zugang zu Informationen vom Nutzer. Dabei geht es um Profilinformationen wie etwa das Alter oder das Geschlecht, Bilder, Chats und die Möglichkeit, Nachrichten einzustellen, schreiben die Symantec-Experten in einem Blog-Eintrag. Zum April dieses Jahres seien etwa 100 000 Apps betroffen gewesen. Bevor die Anbieter auf diese Daten zugreifen können, muss der Nutzer allerdings seine Genehmigung erteilen. Diese Genehmigung ist so etwas wie der Ersatzschlüssel zum Profil oder zu bestimmten Daten des Nutzers. Der Fehler sei nun gewesen, dass bei der alten Version der Facebook-Software eine Weitergabe dieser Ersatzschlüssel durch die Apps möglich war – zum Beispiel an Werbefirmen oder Spezialisten für die Auswertung von Internetdaten. Das Passwort (das ist quasi der Originalschlüssel) zu ändern, reicht nach Angaben des Symantec-Sprechers aus, um die vorhandenen Ersatzschlüssel ungültig zu machen und das Leck zu schließen.

Facebook hat zwar bereits ein sichereres Anmeldeverfahren eingeführt, bei dem der Datenabfluss nicht mehr auftritt – allerdings wird das alte System noch unterstützt, damit bestehende Anwendungen weiter funktionieren können. Das Netzwerk kündigte in einem Firmenblog an, dass zum 1. September alle Softwareentwickler auf das neue Anmeldeverfahren umstellen müssen. Zugleich beklagte Facebook „einige Ungenauigkeiten“ in dem Symantec-Bericht. Unter anderem betonte das Netzwerk, dass Werbefirmen oder Softwareentwickler mit einem unerlaubten Zugriff auf Nutzerdaten gegen die Facebook-Regeln verstoßen hätten.

Symantec ist nach eigenen Angaben Marktführer bei Sicherheitssoftware, die Computernutzer vor Schadprogrammen oder Datenklau schützen soll. Weltweit hat das Unternehmen mehr als ein Dutzend Labore und mehr als 240 000 Sensoren im Internet, um Angriffe und Gefahren aufzuspüren. So sind die Bedrohungsforscher auf die Spur des Datenlecks gekommen. Dass Facebook immer wieder Cyberkriminelle anlockt, liegt nach Angaben des Symantec-Sprechers auch an der hohen Zahl der Mitglieder. Wenn ein Angriff gelingt, ist die Zahl der potenziellen Opfer hoch. (mit dpa)