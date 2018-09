Hannover

Mark Zuckerberg klang müde. So berichten es Journalisten, denen der Facebook-Chef am Freitag Rede und Antwort stehen sollte. Irgendwie kann man Zuckerberg auch verstehen: Facebook hat eine außergewöhnliche Woche hinter sich, die nicht gut begann und dann schlimmer wurde.

Am Montag kündigten die Instagram-Gründer Kevin Systrom und Mike Krieger an, den Konzern verlassen zu wollen. Am Mittwoch veröffentlichte Gizmodo einen Artikel, der Facebook dazu zwang, offiziell zuzugeben, dass Telefonnummern, eigentlich gedacht zur Zwei-Faktor-Authentifizierung, auch für gezielte Werbung verwendet werden – und gleichzeitig die Diskussion um Schatten-Profile wiederbelebte. Dazwischen präsentiere Zuckerberg noch eine neue Oculus, die den lahmenden VR-Markt ankurbeln sollte. Und während all dessen kämpfte Facebook hinter den Kulissen mit einem der größten Hacks seiner Geschichte.

Was ist passiert?

Sehr viele Details zu dem Hack sind noch nicht bekannt – Facebook selbst hat noch viele offenen Fragen. Doch so viel steht fest: Am 16. September begann Facebook, eine ungewöhnlich hohe Aktivität auf der Seite zu untersuchen. Am Dienstag dann war dem Netzwerk klar: Es gab eine Hackerangriff. 50 Millionen Facebook-Konten sind betroffen, 40 Millionen weitere Nutzer wurden aus Sicherheitsgründen aus ihren Accounts ausgeloggt.

Die Hacker haben keine Passwörter gestohlen. Stattdessen haben sie sich sogenannte access token verschafft. Sie erlauben es Nutzern, in Facebook eingeloggt zu bleiben. Wenn man also zum Beispiel auf Facebook einen weiteren Facebook-Link öffnet, muss man sich nicht erneut anmelden. Wenn man die App nutzt, muss man nicht immer wieder das Passwort eingeben.

Die Hacker „konnten den Account so nutzen, als würde er ihnen gehören“, erklärte Guy Rosen von Facebook. Das heißt, sie haben nicht nur Zugriff auf Informationen wie Geschlecht, Name oder Wohnort gehabt, sondern auch beispielsweise auf Nachrichten. Doch Facebook weiß noch nicht genau, wie die Konten gebraucht wurden. Man habe bisher noch keine Hinweise darauf, dass die Angreifer versucht hätten, auf private Nachrichten zuzugreifen oder etwas zu posten, sagte Rosen. Aber das kann sich noch ändern.

Wie haben die Hacker angegriffen?

Im Gegensatz zum Cambridge-Analytica-Skandal handelt es sich nicht um ein Datenleck, sondern um einen Hack. Der wurde durch eine Verkettung von Bugs möglich, für die Facebook verantwortlich ist. Diese Bugs ermöglichten es den Hackern, die „view as“-Funktion zu missbrauchen, auf deutsch heißt es „Anzeigen aus der Sicht von“. Das ist eigentliche eine Privatsphäre-Funktion, die einem Nutzer erlaubt zu sehen, wie die eigene Facebook-Seite aus Sicht eines anderen Nutzers aussieht.

Ein Beispiel: Wenn die Hacker einen access token für den Account von Peter hatten, konnten sie die „view as“-Funktion nutzen, um sich die anzuschauen, wie Peters Profil aus Sicht seiner Freundin Susanne aussieht. Damit bekamen sie dann Zugriff auf Susannes Facebook-Konto. Dann konnten sie sich wiederum anschauen, wie Susannes Profil aus Sicht ihrer Freundin Klara aussieht – und erhielten einen access token für Klaras Profil und immer so weiter.

Wer steckt hinter dem Facebook-Hack?

Auf jeden Fall keine Amateure. Es sei ziemlich klar, dass es sich um raffinierte Gegner handele, die entschlossen seien, einen Weg in ein System wie Facebook zu finden, heißt es von Seiten des Unternehmens.

Doch was die Angreifer mit dem Hack vorhatten, was sie erreichen wollten, ist noch unklar. Facebook hat den Hack an das FBI gemeldet und auch die Irish Data Protection Commission informiert. Sie ist verantwortlich dafür zu überprüfen, ob sich Facebook an die DSGVO hält.

Wer ist von dem Facebook-Hack betroffen?

Richtete sich die Attacke vorwiegend gegen Amerikaner? Waren viele Europäer betroffen? Facebook kann es noch nicht genau sagen. Doch es scheint, als konzentriere sich der Hack nicht auf einen bestimmte Region oder ein einziges Land, sondern ist breit gefächert. Auch in Deutschland wurden Menschen aus ihren Facebook-Accounts ausgeloggt.

Von Anna Schughart/RND