Aus Nutzersicht kann man nur wenig Gutes über die Privatsphäre-Einstellungen von Facebook sagen. Wenn man das Netzwerk nutzen will, muss man sie hinnehmen. Immerhin eine Sache aber kann eine Nutzerin entscheiden: wer das, was man postet, sehen kann und wer nicht. Jedes Update, jedes Foto, jedes Video kann sie ausschließlich für eine bestimmte Zielgruppe zugänglich machen, sogar nur für einzelne Personen. Mit der View-As-Funktion können Nutzerinnen und Nutzer dann prüfen, ob die Inhalte wirklich nur für einen Freund oder auch für einen völlig fremden Menschen sichtbar sind. 

Genau über diese Funktion, die den Nutzern eigentlich Kontrolle suggerieren soll, haben sich Angreifer offenbar Zugriff auf 50 Millionen Facebook-Profile verschafft. Das geht aus einer Mitteilung hervor, die das soziale Netzwerk veröffentlichte. Demnach nutzten die Angreifer eine Sicherheitslücke im Code des View-As-Features aus und sicherten sich auf diese Weise sogenannte access token. Das sind digitale Zugriffsschlüssel, die es dem Nutzer ermöglichen, eingeloggt zu bleiben, wenn er Facebook oder den Facebook-Messenger als App verwendet. Durch die Token konnten die Angreifer die Konten von Nutzerinnen und  Nutzern übernehmen. Die Sicherheitslücke bestand seit einer Aktualisierung der Uploadfunktion für Videos 2017.

Private Nachrichten wurden offenbar nicht gelesen

Facebook-Manager Guy Rosen sagte, die Angreifer hätten die Profile nutzen können, als wären es ihre eigenen. Sie hätten Profilinformationen wie Name, Geschlecht und Wohnort abgefragt. Durch diese konzentrierten Abrufe sei die Attacke den Facebook-Entwicklerinnen überhaupt erst aufgefallen. Private Nachrichten seien nach bisherigen Erkenntnissen nicht gelesen worden, auch wurden Profile nicht verändert oder es wurde nicht im Namen der Betroffenen gepostet. Es gibt auch keine Hinweise darauf, dass sich die Hacker auf bestimmte Regionen oder Zielgruppen konzentriert hätten.

Wer die Angreifer sind, von wo aus sie agierten und welche Motive sie möglicherweise hatten, ist noch ungeklärt. Die Untersuchungen stünden ganz am Anfang, heißt es vonseiten des Unternehmens. 

Facebook entdeckte die Sicherheitslücke nach eigenen Angaben erst am Dienstag, hat sie aber mittlerweile geschlossen. Als Vorsichtsmaßnahme wurden nicht nur die Nutzerinnen und Nutzer aus ihren Accounts ausgeloggt, die von der Attacke betroffen sind, sondern auch 40 Millionen weitere, die im vergangenen Jahr die View-As-Funktion genutzt hatten. Wer sich neu einloggt, dem wird eine Mitteilung über die Attacke angezeigt. Das amerikanische Unternehmen hat das View-As-Feature zudem vorerst deaktiviert. 

Für Facebook ist der Vorfall ein weiterer inmitten einer Zeit voller Krisen. Seit den US-Präsidentschaftswahlen 2016 steht die Firma von Mark Zuckerberg in der Kritik: Zunächst ging es um die Frage, ob durch das Ausspielen von Falschmeldungen in der Timeline von Nutzern ihre politische Meinung beeinflusst und der Filterblaseneffekt verstärkt wurde (auch wenn es an einer Monokausalität Zweifel gibt). Im März wurde dann öffentlich, dass die Analysefirma Cambridge Analytica die Daten von 87 Millionen Nutzerkonten illegal erworben und mit deren Hilfe Wähler beeinflusst haben soll. Seitdem mehren sich grundsätzliche Zweifel am Umgang des Unternehmens mit Daten. Der Druck stieg in den vergangenen Monaten, Gründer und CEO Zuckerberg musste sich vor dem US-Kongress und vor dem EU-Parlament erklären, ebenso seine operative Chefin Sheryl Sandberg. Der Firma droht auch Regulierung.  

Der nun bekannt gewordene Angriff unterstreicht einmal mehr den Eindruck, dass Facebook die Daten seiner Nutzerinnen nicht richtig schützt. Der demokratische Senator Mark Warner bezeichnete den Fall als einen weiteren Indikator dafür, dass der Kongress die Privatsphäre von Social-Media-Nutzern schützen müsse. Er forderte eine Untersuchung, deren Ergebnisse öffentlich gemacht werden müssten.

Brisant ist die Sicherheitslücke auch, weil in den USA im November Nachwahlen zum Kongress anstehen und sich das Techunternehmen bemühte, den Eindruck zu erwecken, die Sicherheitsvorkehrungen auf seiner Plattform verschärfen und Einflüsse von außen verhindern zu wollen. Dass eine solche Lücke mehr als ein Jahr unbemerkt bleibt, widerspricht diesen Beteuerungen von Facebook.

Im Fall von Cambridge Analytica konnte Facebook noch argumentieren, dass die Daten zwar legal über eine Schnittstelle erworben, sie dann aber illegal an Cambridge Analyca weiterverkauft wurden. Für die jetzt entdeckte Sicherheitslücke ist Facebook hingegen selbst verantwortlich. 

Aus Kommunikationsfehlern gelernt

Immerhin scheint das Management eines aus dem Cambridge-Analytica-Skandal gelernt zu haben: Kommunikation. Facebook hatte die Analysefirma schon 2015 aufgefordert, die Daten zu löschen, hielt es aber nicht für notwendig, die Öffentlichkeit oder gar die betroffenen Nutzerinnen und Nutzer zu informieren. Selbst im März, als der Skandal öffentlich wurde, dauerte es Wochen, bis das Unternehmen einen Link bereitstellte, über den man erfahren konnte, ob die eigenen Daten bei Cambridge Analytica gelandet waren oder nicht. Zuckerberg spielte die Affäre zunächst sogar herunter.

Dieses Mal reagierten die Verantwortlichen schnell und transparent. Zuckerberg zeigte sich im Gespräch mit Reportern zudem selbstkritisch. "Wir nehmen das sehr ernst", sagte der Gründer des Netzwerks. "Ich bin froh, dass wir die Sicherheitslücke gefunden haben, aber es ist definitiv ein Problem, dass es sie überhaupt gab." Vielleicht ist Selbsterkenntnis wirklich der erste Schritt zur Besserung.