Netzwelt

Passwort-Panne bei Facebook

Was Nutzer jetzt wissen müssen

Hunderte Millionen Passwörter lagen im Klartext auf den Servern des sozialen Netzwerks. Wie sollten Nutzer von Facebook und Instagram auf die Sicherheitspanne reagieren, um ihre Daten zu schützen?

AFP

Von
Freitag, 22.03.2019   15:15 Uhr

Jahrelang sollen die Passwörter von Hunderten Millionen Facebook-Nutzern unverschlüsselt auf Servern gespeichert worden sein, wie das soziale Netzwerk am Donnerstag mitteilte. Auch wenn das Problem mittlerweile wohl behoben ist, sollten Nutzer auf die Datenpanne reagieren.

Denn unverschlüsselt gespeicherte Passwörter sind ein hohes Risiko: Um Nutzer zu schützen, werden Kennwörter auf Onlineplattformen in der Regel niemals im Klartext gespeichert, sondern mit einem Algorithmus zunächst unkenntlich gemacht. Zu jedem Passwort wird eine sogenannte kryptische Prüfsumme generiert, die aber keinen Rückschluss auf das Passwort zulässt. Auf dem Server wird der kryptische Hashwert gespeichert. Damit kann eine Software das Kennwort bei der Eingabe überprüfen, ohne dass es im Klartext gespeichert werden muss.

Auf den Facebook-Servern lagen die Passwörter hingegen ungeschützt - Nutzer sollten daher jetzt handeln. Hier sind die Antworten auf die wichtigsten Fragen:

Wie finde ich heraus, ob mein Passwort im Klartext gespeichert wurde?

Die Anzahl der Passwörter, die im Klartext gespeichert wurden, ist enorm hoch. Der IT-Sicherheitsexperte Brian Krebs, der zuerst auf seinem Blog über die Sicherheitspanne berichtet hatte, geht davon aus, dass Kennwörter von bis zu 600 Millionen Nutzern unverschlüsselt auf Facebook-Server lagerten. Damit wäre rund ein Viertel der weltweit 2,7 Milliarden Mitglieder des sozialen Netzwerks betroffen.

Facebook hat angekündigt, dass alle betroffenen Nutzer informiert werden. Wann genau die E-Mails verschickt werden, ist allerdings unklar. Auf eine Anfrage von SPIEGEL ONLINE heißt es, dass man noch keine genaue Zeitangabe machen könne.

Welche Plattformen sind betroffen?

Nach Unternehmensangaben tauchen vor allem Kennwörter von Nutzern der abgespeckten Android-App Facebook Lite in der Liste auf. Doch auch Zehntausende Zugangsdaten von Instagram sollen ungeschützt auf den Servern abgelegt worden sein.

Außerdem funktioniert Facebook auch als Türöffner für viele andere Portale. Das soziale Netzwerk lässt sich mit Apps und Websites verbinden, damit Nutzer dort keinen neuen Account anlegen müssen. Zahlreiche populäre Seiten wie AirBnB, Spotify und die Video-App TikTok überlassen es neuen Mitgliedern, ob sie sich lieber neu registrieren oder per Facebook anmelden wollen.

Wer Zugriff auf das Facebook-Passwort hat, kann sich in vielen Fällen also auch auf anderen Seiten anmelden. Wer herausfinden will, welche Seiten mit dem Facebook-Login verknüpft sind, der kann sich in den Einstellungen eine Liste mit allen verknüpften Websites anzeigen lassen. Dort können Nutzer die Verbindung zwischen Onlineportalen und dem Facebook-Konto kappen.

Wie lange lagen die Passwörter ungeschützt auf den Servern?

Bei einer Routinekontrolle im Januar hatten Facebook-Entwickler die Datenpanne bemerkt und nach eigenen Angaben umgehend beseitigt. Wie lange die Passwörter dort ungeschützt gespeichert wurden, dazu will sich Facebook nicht äußern. Doch es könnte sich um mehrere Jahre handeln. Brian Krebs zufolge reichen Datensätze mit Klartext-Passwörtern bis ins Jahr 2012 zurück.

Hat jemand die Zugangsdaten bereits missbraucht?

Das ist schwer zu sagen. Nach Angaben von Facebook sind die Passwörter bisher nur von Facebook-Mitarbeitern einsehbar gewesen und nicht von außen. Man habe keine Beweise gefunden, "dass irgendjemand innerhalb des Unternehmens die Zugangsdaten missbräuchlich angewendet oder unerlaubt darauf zugegriffen hat".

Es ist allerdings schwer nachzuweisen, ob die Zugangsdaten möglicherweise nach außen gelangt sein könnten oder ob einer der 20.000 Facebook-Mitarbeiter auf die Datenbank zugegriffen hat. Gegenüber SPIEGEL ONLINE sagt eine Konzernsprecherin: "Wir pflegen strikte technische Kontrollen und Regeln, um den Zugriff von Mitarbeitern auf die Nutzerdaten einzuschränken." Es gebe einen "Null-Toleranz-Ansatz bei Missbrauch", und unangemessenes Verhalten führe zur Kündigung.

Mehr zum Thema

Auf "Krebs on Security" heißt es aber, es habe durchaus Zugriffe auf die Passwörter gegeben - Brian Krebs hatte mit einem Informanten aus dem Unternehmen gesprochen. Interne Protokolle würden darauf hinweisen, dass 2000 Entwickler etwa neun Millionen Suchanfragen gestellt hätten, deren Suchparameter auf Nutzerpasswörter im Klartext eingestellt waren.

Brauche ich ein neues Passwort?

Ja. Auch wenn offenbar nur ein Teil der Nutzer betroffen ist, sollte jeder seine Passwörter für Facebook und Instagram ändern. Das Risiko ist zu groß, dass Daten in die Hände von Fremden geraten sein könnten - und noch können die Nutzer ja gar nicht wissen, ob ihre Passwörter betroffen sind. Mit den Zugangsdaten können Unbefugte nicht nur sehen, was der Nutzer für "Gefällt mir"-Angaben verteilt und welchen Seiten er folgt. Mit dem Facebook-Passwort lassen sich auch alle gesendeten und empfangenen Nachrichten im Facebook-Messenger durchlesen.

Neben einem neuen und sicheren Passwort empfiehlt es sich, die Zwei-Faktor-Authentifizierung zu aktivieren. Die Anmeldung wird dadurch zwar umständlicher für den Nutzer, aber auch fast unmöglich für Fremde. Facebook bietet an, bei einer neuen Anmeldung einen zusätzlichen Login-Code auf das Smartphone zu schicken oder mit einer App wie dem Google Authenticator zu erstellen. Mit dem mobilen Gerät kann sich der Anwender eindeutig identifizieren.

insgesamt 10 Beiträge
thomhein 22.03.2019
1. nie nie niemals
das ist eine nicht zu überbietende Schlamperei. kein Programmierfehler sondern Ignoranz hoch zehn. bei einem Internetkonzern.
das ist eine nicht zu überbietende Schlamperei. kein Programmierfehler sondern Ignoranz hoch zehn. bei einem Internetkonzern.
tso 22.03.2019
2.
"Kryptische Prüfsumme" - so so. Ist das alternative Kryptographie?
"Kryptische Prüfsumme" - so so. Ist das alternative Kryptographie?
Wunderhorn 22.03.2019
3.
Wenn hierzulande jemand einen Punkt oder Komma in seinem Impressum vergißt darf er gleich der Abmahn-Industrie zum Fraß vorgeworfen werden. Wenn dagegen Facebook den Datenschutz millionfach mit Füßen tritt, dann ist das [...]
Wenn hierzulande jemand einen Punkt oder Komma in seinem Impressum vergißt darf er gleich der Abmahn-Industrie zum Fraß vorgeworfen werden. Wenn dagegen Facebook den Datenschutz millionfach mit Füßen tritt, dann ist das einfach eine Panne und man soll eben sein Passwort ändern. Das ist ja wohl ein Witz! Es wird Zeit, daß für solche Vergehen angemessen Milliardnstrafen verhängt werden, und daß Nutzer von entschädigt werden können.
StonyBrook 22.03.2019
4. @2, tso
Naja, was wäre denn eine kompakte Umschreibung von eines Hashs?
Naja, was wäre denn eine kompakte Umschreibung von eines Hashs?
sosume 22.03.2019
5. Sind die noch zu retten?
Eine unglaubliche Schlamperei, die sich nahtlos in die Reihe vom Nachlässigkeiten, Schlampereien und glatten Missachtungen von allen Regeln des Datenschutzes bei diesem Konzern einreiht. Jede Nachrichten Organisationen, die auf [...]
Eine unglaubliche Schlamperei, die sich nahtlos in die Reihe vom Nachlässigkeiten, Schlampereien und glatten Missachtungen von allen Regeln des Datenschutzes bei diesem Konzern einreiht. Jede Nachrichten Organisationen, die auf ihre Unabhängigkeit und Qualität Wert legt, sollte jegliche Zusammenarbeit und Verlinkung mit irgendwelchen Like Buttons etc. zu dieser Firma einstellen.

Mehr im Internet

Verwandte Themen

Die zehn größten Börsengänge der Welt

Rang Firma Jahr Volumen in Mrd Dollar Land
1. General Motors 2010 23,1* USA
2. AgBank 2010 22,1 China
3. AIA (Versiche- rer) 2010 22,0 Hongkong
4. ICBC (Bank) 2006 21,97 China
5. Visa (Kredit- karten) 2008 19,65 USA
6. NTT Mobile 1998 18,05 Japan
7. Enel (Energie) 1999 16,59 Italien
8. Facebook 2012 16,01** USA
9. NTT (Telekom) 1986 13,75 Japan
10. Deutsche Telekom 1996 12,49 Deutschland

* Bei Addition der Stamm- und Vorzugsaktien; ** Bei Verkaufspreis am oberen Ende der Spanne; Quelle Reuters

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung

TOP