Die facebook-Falle

Layer) von uns verschlüsselt«, schüttelten die Informatiker ungläubig den Kopf, als es ihnen mit dem einfachen Base-64-Programm nicht nur gelang, alle übertragenen Daten, sondern sogar das E-Mail-Passwort – für jeden Internet-Nutzer ein kleines Heiligtum – wieder lesbar zu machen. Von der zugesicherten Verschlüsselung kann also keine Rede sein. »Wir gehen davon aus, dass die Entwickler bei der Online-Einführung des Dienstes die SSL-Verschlüsselung einfach vergessen haben«, sagte Malte Woelky. Die Sicherheitslücke betraf die gesamte Funktion Freundessuche, unabhängig davon, ob wir die Daten aus dem iPhone, über Outlook, über E-Mail-Portale wie WEB.DE oder jeden anderen E-Mail-Provider auslesen ließen. Der Facebook-Konzern reagierte unmittelbar nach der »Monitor«-Sendung auf die Veröffentlichung des Tests und schloss die Sicherheitslücke noch in derselben Nacht. 23
    Millionen Facebook-Nutzer konnten jahrelang ausspioniert werden
    Der Direktor des Gelsenkirchener Instituts für Internetsicherheit Norbert Pohlmann, Professor für Verteilte Systeme und Informationssicherheit, ist ein gut vernetzter Experte, der mit der Sicherheitsagentur der EU zusammenarbeitet und Mitglied des wissenschaftlichen Beirates der Gesellschaft für Datenschutz und Datensicherung ist. Ein sehr besonnener
Wissenschaftler, der sich gern im Internet bewegt und tagtäglich mit dessen Risiken auseinandersetzt. 24 Dass sogar das vertrauliche Passwort, das Facebook-Nutzer dem Konzern zur Freundessuche überlassen, unverschlüsselt übertragen wird, hat ihn und seine Kollegen erstaunt. »Das ist sehr gefährlich, weil im Prinzip jeder, der über einfache Kenntnisse verfügt, in der Lage ist, das mitzulesen.« Pohlmann vergleicht den Vorgang mit einer Wohnung, in die Fremde mit einem nachgemachten Schlüssel eindringen können. Und er fragt: »Würde ich das gleiche, was ich auf Facebook tue, auch im realen Leben tun, will ich, dass Fremde in meinen E-Mail-Account hereinkommen?« Das sei nicht nur ein Riesenpotenzial für kriminelle Organisationen, sondern auch ein »Reizpotenzial, kriminell zu werden«. Norbert Pohlmann ist ziemlich abgeklärt, wenn er über unser Verhalten im World Wide Web spricht. Jeder, der sich im Netz bewege, hinterlasse dort Spuren: »Sobald ich im Internet bin und mit mehreren großen Anbietern Daten austausche, bin ich in den Fängen dieser Dienste.«
    Die unverschlüsselte Passwort-Weitergabe beflügelt meine Fantasie. Man stelle sich vor, ein anderer kommerzieller Internetdienst wäre auf die Idee gekommen, sich in alle diese »Freundessuchen« hineinzuhacken. Ihm stünde heute ein unermesslicher Datenschatz zur Verfügung. Und Millionen Facebook-Nutzer hätten nicht die leiseste Ahnung, dass ein obskurer Konzern, eine Regierungsbehörde oder ein Geheimdienst jahrelang ihren E-Mail-Verkehr verfolgen konnte. Sie hätten es nicht gemerkt, weil E-Mail-Provider uns, wenn überhaupt, nur vergebliche Zugriffsversuche mit falschem Passwort auf unser E-Mail-Konto melden.
Sie hätten nicht gemerkt, wie der unsichtbare Dritte auch ihre anderen E-Mail-Kontakte aus ihren Adressbüchern herauskopierte. Aus den E-Mails selbst hätten Konzerne auf die Konsumneigungen und sonstigen Vorlieben ihrer Absender schließen können.
    Angesichts dessen ist es schier unglaublich, dass bis zum Zeitpunkt des Tests Hunderte Millionen Menschen weltweit bereitwillig ihre Kontaktdaten samt unverschlüsseltem Passwort preisgegeben haben.
    Die Informatiker vom Institut für Internetsicherheit gehen davon aus, dass die Sicherheitslücke von Anfang an bestand. Auf meine Anfrage antwortet Facebook ausweichend. Selbstverständlich sei die Übertragung der »Facebook-Passwörter« schon immer SSL-verschlüsselt gewesen. Auch könnten Nutzer seit Oktober 2010 alle aktiven Sitzungen überwachen und gegebenenfalls auch aus der Ferne beenden, um den Missbrauch eigener Konten zu verhindern. Und: »Facebook macht Fortschritte in weiteren SSL-Tests für den Facebook-Zugang und hofft, es in den kommenden Monaten anbieten zu können.« Zu der brisanten Sicherheitslücke bei der Übertragung unserer E-Mail-Passwörter erhalte ich leider keine Antwort.
    Im Oktober 2010 deckte Michael Arrington von TechCrunch eine weitere brisante Sicherheitslücke auf. 25 Er meldete sich ausgerechnet mit den Daten von Google-Chef Eric Schmidt bei Facebook an. Dazu benutzte er einfach eine gültige E-Mail-Adresse von Schmidt. Zwar versendet Facebook bei der Anmeldung