FM4-Logo

jetzt live:

Aktueller Musiktitel:

Facebook HackerWay

APA/AFP/JOSH EDELSON

Erich Moechel

Neue, beunruhigende Details zum Facebook-Datendiebstahl

Das EU-Parlament verlangt von Facebook nun eine unabhängige Überprüfung der Programmierung des Sozialen Netzwerks. Max Schrems sagt, vorerst seien Techniker am Zug und nicht Juristen.

Von Erich Moechel

Das EU-Parlament hat den Druck auf Facebook noch einmal verstärkt und einen Datenschutzaudit verlangt. Am Freitag folgte ein Update des Facebook-Managements zum Ausmaß des Angriffs Ende September. 30 Millionen Konten wurden abgezogen, bei etwa der Hälfte davon sind sämtliche persönlichen Informationen betroffen. Auch eine noch unbekannte Zahl österreichischer Accounts sind betroffen, in allen Fällen spielten individuelle Einstellungen keine Rolle, denn die Sicherheitslücke war tief im System.

Das werde ein Audit für Techniker und nicht für Juristen, sagte der Datenschützer Max Schrems zu fm4.ORF.at, denn nun komme alles darauf an, ob grobe Fahrlässigkeit vorliege. Wenn ja, dann würden laut Datenschutzgrundverordnung (DSGVO) hohe Strafen fällig. Laut Facebook wurde man auf den Vorgang erst nach elf Tagen aufmerksam, als 30 Millionen persönliche Profile schon abgezogen waren. Die Sicherheitslücke bestand seit über einem Jahr.

Max Schrems

APA/GEORG HOCHMUTH

Die von Max Schrems gegründete neue Bürgerrechtsorganisation hat den plakativen Namen „None of your Business“ NOYB.

Zugang zum Facebook-Code gefordert

In der Plenardebatte wird sich zeigen, ob Facebook die Auflagen der EU-Kommission für politische Werbekampagnen erfüllt hat, widrigenfalls hat Brüssel schon mit Regulation gedroht. Die Angst vor einer Manipulation der EU-Wahlen 2019 geht in Brüssel um.

Die DSGVO sei beim technischen Schutz von Daten gegen Hacker eher vage, grob gesagt müsse man „angemessene Sicherheit garantieren - aber eben keine absolute Sicherheit“, sagte Max Schrems in einer ersten Reaktion zu FM4. „Bei einem Unternehmen wie Facebook mit sehr sensiblen Daten“ werde man also „von den allerhöchsten Standards ausgehen müssen, bei einem kleinen Unternehmen mit wenig gefährdeten Daten davon, dass die üblichen Sicherheitsmaßnahmen“ getroffen würden.

„Ob und inwieweit der Hack leicht verhinderbar gewesen wäre“ sei dann „eine Frage für technische Sachverständige - nicht unbedingt für Juristen“, sagt Schrems. Das heißt, der vom EU-Parlament noch vor Bekanntwerden des neuen Facebook-Statements geforderte Datenschutzaudit durch die EU-Sicherheitsagentur ENISA ist allein schon deshalb notwendig, um überhaupt beurteilen zu können, ob hier ein strafbarer Sachverhalt vorliegt. Facebook wird dafür also erstmals Teile seines Codes offenlegen müssen.

Sicherheitsloch betraf alle

Ende August hat ein Musterprozess des FBI gegen Facebook begonnen. Die Strafverfolger verlangen Zugang zu verschlüsselten Telefonaten und Videocalls für den Messenger-Dienst und streben einen Präzedenzfall an.

Die Lücke selbst wurde von Facebook zwar umgehend beseitigt und regelkonform sofort gemeldet, die Verunsicherung der Benutzer aber bleibt, denn solchermaßen detaillierte, personenbezogene Datensätze sind bei Kriminellen sehr begehrt. Genausogut könnte hier aber auch ein sehr gezielter Angriff durch staatliche Akteure vorliegen, denn die Angreifer agierten sehr professionell. Von Facebook kamen unter Berufung auf Ermittlungen des FBI bis jetzt weder geographische Angaben zu den gestohlenen Accounts, noch Hinweise darauf, was diese Angreifer eigentlich im Schilde führten.

Wie es jetzt aussieht, hatte diese Sicherheitslücke nichts mit den individuellen Einstellungen der gestohlenen Konten zu tun, sondern betraf ganz einfach alle. Laut Angaben des Internetkonzerns führten drei verschiedene Softwarebugs im Zusammenspiel zu folgendem Szenario. Die Unbekannten verfügten beim Start der Aktion über eine Anzahl von eigenen Facebook-Konten, denen eine Anzahl von real existierenden „Freunden“ folgte.

Facebook Sicherheitslücken

- public domain -

Das Feature „View As“ ist eine ziemlich versteckt angebrachte Funktion von Facebook. Es wurde bereits aus dem betreffenden Menü entfernt, nur die FAQ zeigt jetzt noch an, dass es dieses Feature überhaupt gegeben hat.

Seit der Präsentation der jüngsten Quartalergebnisse Ende Juli, die einen gewaltigen Kurseinbrauch zur Folge hatte, hat sich die Aktie nicht mehr von den Verlusten erholt.

Wenig bekanntes Feature ausgenützt

Das Zusammenspiel dreier Programmierfehler sorgte für eine völlig neue Funktion des „View As“-Features, das der Kontrolle dient, wie die eigenen Timeline für „Freunde“ bzw. für alle anderen Benutzer dargestellt wird. Die Bugs schalteten nämlich auch die kompletten Konten dieser „Freunde“ frei, wenn diese Facebook-Feature benutzt wurde. Damit fielen den Angreifern so gut wie alle - auch nicht für die Öffentlichkeit bestimmte - Daten in die Hände und oben drein waren auch die individuellen „Access tokens“ mit dabei.

Das ist eine intern vergebene Identifikationsnummer, die periodisch dafür sorgt, dass der Benutzer eingelogged bleibt. Ein sehr praktisches Feature also, doch wehe, wenn so ein Token in die falsche Hand gerät. Mit diesen Tokens übernahmen die Angreifer die Accounts ihrer „Freunde“, das geschah nicht manuell, dafür gab es ein Skript, das den Vorgang automatisierte. 400.000 kamen so zusammen, dann wurde nach noch unbekannten Kriterien selektiert, ein Teil links liegen gelassen, über die ausgewählten Konten wurden dann die „Freundesfreunde“ attackiert.

Cambridge Analytica Reloaded

Von der einen Hälfte wurde nur die Basisdaten abgerufen, von der anderen wurde alles abgesaugt: Von Benutzernamen, Geschlecht, Sprache, Wohnort, Personenstand, Religion, Wohnort, Geburtsdatum, zum Facbook-Zugang benutzte Geräte, Ausbildung, Arbeitsplatz, was oder wen man zuletzt gesucht hat, usw. Die Schlüsselinformationen aber wurden in der Facebook-Erklärung vorenthalten: Wie sahen jene Konten aus, von denen der Angriff ursprünglich ausgegangen war?

Facebook Sicherheitslücken

- public domain -

Die Resolution des Ausschusses für Bürgerliche Freiheiten, Inneres und Justiz wurde mit 40 zu 10 Stimmen verabschiedet. Es ist damit zu rechnen, dass sie für die Plenardiskussion am 23. Oktober noch einmal verschärft wird. Die neuen Informationen von Facebook kamen ja erst danach ans Licht.

Und welche gemeinsamen Interessen hatten sie mit diesen „Freunden“ denn verbunden? Nur damit ließen sich genauere Schlüsse ziehen. Über diese Informationen verfügen allerdings derzeit nur Facebook und das FBI. Der Vorfall selbst zeigt deutliche Parallelen zum Datenklau der britischen Cambridge Analytica. Auch da wurde anfangs eine Facebook-Funktion ausgenützt, um die persönlichen Daten von mehr als 50 Millionen Konten auszuplündern. 2015 war diese Zugriffsmöglichkeit ein Facebook-Feature für App-Entwickler, 2018 passiert exakt dasselbe für Unbekannte über einen kapitalen Facebook-Bug.

Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Verbindungen via TOR-Netz willkommen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Wie es nun weitergeht

Die Resolution wurde im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments mit großer Mehrheit verabschiedet, am 23. Oktober soll sie im Plenum des EU-Parlaments diskutiert werden. Dieser neueste Datendiebstahl ist darin derzeit nur vermerkt, hauptsächlich geht es um die Methoden von Cambridge Analytica und Co in Hinblick auf die kommenden EU-Wahlen.

Es ist also davon auszugehen, dass die Resolution eher noch verschärft als abgemildert wird und eine ebensolche Mehrheit findet. Jene Stimmen, die einer Zerschlagung des Datenhandelskonzerns das Wort reden - zuletzt etwa der Vizepräsident des Parlaments Manfred Weber (EVP) - werden mehr und lauter werden. Es sieht nicht gut aus für den vormaligen Überflieger, der durch das eigene, explosives Wachstum der letzten Jahre nun zunehmend überfordert ist.

Aktuell: