Awareness

Der Facebook Datenschutz: Ein Horrormärchen?

Aktualisiert am

Bei Facebook und Datenschutz denkt man gerne mal an den Wolf im Schafspelz. Facebook kommt süß und unschuldig daher, sagt uns, wie wichtig unsere Daten sind, dass man gut darauf aufpasst, nur um zu erfahren, dass unsere Daten bei einem Dritten gelandet sind.  Bestes Beispiel hierfür ist der Skandal aus dem Jahr 2018, bei dem Daten von ungefähr 87 Millionen Nutzern mit der britischen Datenanalysefirma Cambridge Analytica unerlaubt geteilt wurden. Dass diese Daten potenziell dazu genutzt wurden, um die Brexit-Kampagne und den Trump-Wahlkampf zu beeinflussen, ist schon wieder ein ganz eigenes Thema.

Wie die Datenschutzgrundverordnung Facebook verändert hat

Die Datenschutzgrundverordnung, die im Mai 2018 in Kraft trat, und über die wir bereits in Bezug auf Sicherheitslücken berichtet haben, zwang Facebook dazu, sich entsprechend vorzubereiten, wie man auf Facebook Business verkündete.  Man versprach Transparenz, Kontrolle und Rechenschaft. Aber was bedeutet das eigentlich für Privatnutzer? Wir stolperten über das Thema, weil wir versuchten, einen neuen Fake Account für unsere Hacking Szenarien anzulegen. Hierbei fiel als erstes auf: 

Facebook Sicherheit soll jetzt höher sein

Um zu verifizieren, dass es sich bei dem neuen Nutzer um eine echte Person handelt, mussten wir ein Foto des neuen Nutzers hochladen. Gesagt, getan! Da wir unsere eigenen Gesichter nicht dafür hergeben wollten, generierten wir uns einfach eines. Früher wäre diese Aktion kein Problem gewesen. Mittlerweile sieht das Ganze anders aus, denn Facebook fordert, dass man ein zweites qualitativ hochwertiges Foto hoch lädt.  Also ließen wir uns ein weiteres Foto generieren, in der Hoffnung, dass es dem ersten ähnlich genug sieht. Danach hieß es Geduld haben, denn Facebook überprüfte die Fotos – scheinbar nicht durch KI, sondern durch wirkliche Mitarbeiter. Natürlich wurde uns ein paar Tage später eine Anmeldung verweigert.

Und was ist, wenn ich Facebook privat und geschäftlich trennen will?

Auch das haben wir getestet und ich stellte mich als Versuchskaninchen zur Verfügung. Unser Plan: ich, die bereits einen privaten Facebook Account hat, würde versuchen, sich einen zweiten für Geschäftszwecke zu erstellen, natürlich mit anderer E-Mail Adresse und Klarnamen. Die erste Hürde stellte schon mein Nachname dar, der wurde nämlich als “unecht” angesehen. Drei Wörter gleich ein Nachname? Das scheint zu viel für die Facebook KI. Die Lösung: ich wurde dazu aufgefordert, einen gültigen Ausweis hochzuladen und an Facebook zu senden, um meine Identität zu verifizieren.

Es erschien auch ein Hinweis, dass Facebook meinen Ausweis für ein Jahr in seinem System behalten möchte, um gefälschte Ausweise besser zu erkennen. Natürlich könne man dem widersprechen und den Ausweis aus dem System löschen, und zwar in den Einstellungen zur Identitätsbestätigung (übrigens ist dies nur mit Login möglich, was also mit dem Ausweis passiert, wenn man abgelehnt wird, weiß keiner so recht…). Oder so dachte ich. Natürlich wurde ich bei meinem ersten Einlogversuch aufgefordert, zwei Fotos von mir hochzuladen, um zu überprüfen, dass ich auch wirklich existiere. Nach mehreren Tagen hatte ich immer noch keine E-Mail von Facebook zu diesem Thema erhalten, also versuchte ich mich einzuloggen.

Prompt wies man mich darauf hin, dass mein Konto deaktiviert wurde. Im Help Center wurde mir auch erklärt, was das für Gründe haben könne, wie zum Beispiel, dass es nicht erlaubt ist, multiple Facebook Konten zu haben… Ob dies tatsächlich der Grund war, warum man mir mein geschäftliches Facebook Konto letztendlich verwehrt hat, kann ich nicht sagen, aber es liegt nahe.

Heißt das, dass Facebook sicher ist?

Erst einmal kommt es einem so vor, als würde Facebook sich wirklich viel Mühe geben, Sicherheit und Datenschutz zu gewährleisten. Ob dies bei Nutzern wie mir, die gerne zwei getrennte Konten hätten, um Privat- von Geschäftsleben zu trennen, gut ankommt, wage ich zu bezweifeln, aber es lässt sich leider nicht ändern. Nutzungsbedingung ist Nutzungsbedingung. 

Dennoch stellt sich weiterhin die Frage: wie viel ist erlaubt, um zu verifizieren, dass es sich bei einem Nutzer um einen echten Menschen handelt? Wir beäugen das Hochladen von Ausweisen jedenfalls kritisch. Sensible Daten wie den vollständigen Namen, das Geburtsdatum und den Geburtsort an einen skandalumwitterten Riesen wie Facebook zu vermitteln ist und bleibt nicht nur fragwürdig, sondern auch unsicher.

Doch das ist noch nicht alles! Stellt euch einfach folgendes vor: auf Personalausweisen ist unter anderem auch der Mädchenname von verheirateten Frauen gedruckt. Und wer kennt sie nicht, die beliebte Sicherheitsfrage: “Wie lautet der Mädchenname deiner Mutter?”… ein gefundenes Fressen für Cyberkriminelle. 

Und wenn ich jetzt meinen Facebook Account löschen möchte?

Diese Frage wird uns nicht nur bei Live Hacking & Awareness Vorträgen gestellt, auch per E-Mail und sozialen Netzwerken, werden wir mit Plattformen konfrontiert, bei denen nicht auf den ersten Blick ersichtlich ist, ob eine Abmeldung möglich ist. Und wenn diese möglich ist, bedeutet das nicht, dass die Funktion auch leicht zu finden ist. Aus diesem Grund pflegen wir bei der AWARE7 eine ständige Liste namens cyberpflege.de mit Informationen darüber ob, und wenn ja, wie schwierig eine Abmeldung bei diversen Websites ist.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.