Passwortpanne bei Facebook: Was tun?
26. März 2019Selbst vermeintlich IT-affine Unternehmen wie Kreditkartenfirmen, IT-Serviceprovider oder Social-Media-Plattformen machen in regelmäßigen Abständen mit schwerwiegenden IT-Sicherheitsverfehlungen auf sich aufmerksam. Passwörter der Nutzer werden unsachgemäß (und unverschlüsselt) abgespeichert, einfachste Sicherheitsregeln werden missachtet, oder der Mitarbeiter setzt alle Kunden, Lieferanten und Mitarbeiter in das CC-Feld des Email-Programms – und klickt auf „senden“.
Aktuell hat es „Facebook“ erwischt, oder sollte man besser sagen: „Aktuell hat es die Kunden von Facebook erwischt“. Vielleicht hätte der Social-Media-Spezialist aus USA besser auf einen IT-Security-Spezialisten gehört. Was können nun die betroffenen Facebook-Mitglieder selbst unternehmen? Sophos gibt Tipps zum Umgang mit dem aktuellen Datenskandal.
Frage: Soll man das Facebook-Passwort ändern?
- Sophos: Es kann nicht schaden. Es ist zwar prinzipiell möglich, dass keine Passwörter in die Hände von Gaunern gelangt sind. Sollte es aber passiert sein, dann muss man davon ausgehen, dass diese auch missbraucht werden. Hash-Passwörter müssen noch geknackt werden, bevor sie verwendet werden können; Klartext-Passwörter sind das eigentliche Geschäft, da kein weiteres Cracken notwendig ist. Also: Ja, bitte das Passwort ändern.
Frage: Sollte man die Zwei-Faktor-Authentifizierung aktivieren?
- Sophos: Ja, spätestens jetzt sollte die Zwei-Faktor-Authentifizierung (2FA) aktiviert werden. Es ist dringend anzuraten, die Zwei-Faktor-Authentifizierung überall dort zu verwenden, wo Sie angeboten wird – damit reicht ein Passwort allein nicht aus, um Gauner den Zugriff auf ein Konto zu ermöglichen.
Frage: Soll man sein Facebook-Konto schließen?
- Sophos: Diese Frage können wir nicht beantworten. Da die falsch gespeicherten Passwörter auf der Datenbank nicht leicht zugänglich waren oder bewusst für den routinemäßigen Gebrauch für die Anmeldung gespeichert wurden, halten wir dieses Versäumnis allein nicht für ausreichend, um ein Konto zu kündigen. Auf der anderen Seite steht Facebook damit nicht wirklich gut da und es könnte mit all den anderen Datenschutzbedenken, die Facebook in den letzten Jahren ausgelöst hat, ausreichen, um diesen letzten Schritt zu gehen. Kurz gesagt, man muss selbst entscheiden. Sollte es zur Entscheidung beitragen, Sophos schließt seine Konten nicht.
Michael Veit, Security-Spezialist bei Sophos dazu: „Der aktuelle Datenskandal bei Facebook hat noch einmal eine andere Tragweite als die verschiedenen Privatsphäre- und Sicherheitsdiskussionen, die Facebook in den letzten Monaten immer wieder in die Medien gebracht haben. Der Schutz von Authentifizierungsdaten genießt höchste Priorität und auch Facebook hat zahlreiche interne und externe Mechanismen installiert, um die Sicherheit dieser Daten zu gewährleisten. Auch wenn die genauen Details der Datenpanne noch nicht bekannt sind, scheint es so zu sein, dass ein zufälliger Programmierfehler all diese Sicherheitsmaßnahmen ausgehebelt und Log-in-Daten unverschlüsselt zugänglich gemacht hat. Das hätte nie passieren dürfen und Facebook muss nun sicherstellen, dass keine Nutzerdaten aufgrund dieses Fehlers kompromittiert worden sind. Eine Mammutaufgabe und zugleich ein weiterer Wink mit dem Baumpfahl für Nutzer, Passwörter grundsätzlich auf keinen Fall doppelt zu nutzen und, falls vorhanden, die 2-Faktor-Authentifizierung einzuschalten.“