Sie sind hier:

Passwort-Skandal - Facebook verletzt elementare Datenschutzregeln

Datum:

Informatiker schütteln nur noch verständnislos den Kopf. Der neueste Passwort-Skandal von Facebook offenbart, dass im Konzern grundlegende technische Regeln missachtet werden.

Das Logo von Facebook auif einem Smartphone
Warum Facebook die Passwörter in den Archivdateien unverschlüsselt abgespeichert hat, dazu äußert sich der Konzern nicht.
Quelle: picture alliance / NurPhoto

Wie üblich hat Facebook auch beim neuesten Passwort-Skandal erst auf Druck gehandelt. Am vergangenen Donnerstag gab der Datenkonzern bekannt, dass Passwörter von Abermillionen Facebook-Nutzern konzernintern unverschlüsselt gespeichert worden waren.

Facebook-Mitarbeiter können Passwörter lesen

Zuvor hatte die Netzgemeinde Druck auf Facebook ausgeübt und den Datenkonzern mit Anfragen zur Passwortspeicherung regelrecht bombardiert. Ausgelöst hatte diese Anfragen ein Blog-Eintrag des IT-Sicherheitsexperten Brian Krebs. Der hatte zuvor geschrieben: "Hunderte Millionen von Facebook-Nutzern haben ihre Zugangs-Passwörter als normalen Text gespeichert, und der ist Tausenden von Facebook-Mitarbeitern zugänglich."

Brian Krebs stützte seinen Bericht auf Aussagen eines Facebook-Insiders. Der hatte davon berichtet, dass in Archiv- und Sicherheitsdateien für die Serverüberwachung Passwörter unverschlüsselt abgelegt seien. Bei der Zugangsdatenbank hingegen wende Facebook einen Verschlüsselungsmechanismus für die Passwörter an.

Verschlüsselte Passwörter sind Standard

"Es ist Stand der Technik, Passwörter nur in verschlüsselter Form zu speichern, beispielsweise als Hashwert", stellt Ulrich Kelber, Bundesbeauftragter für Datenschutz und Informationsfreiheit fest. Solch ein Hashwert ist eine Art digitaler Fingerabdruck des Passworts.

Wenn ein Nutzer sich zum Beispiel bei Facebook anmeldet, gibt er seinen Benutzernamen und sein Passwort ein. Aus dem Passwort wird eine Prüfsumme, auch Hashwert genannt, berechnet. Und dieser digitale Fingerabdruck wird dann mit dem hinterlegten Hashwert bei Facebook abgeglichen. Stimmen die in der Datenbank hinterlegten Angaben zum Nutzernamen und der Hashwert des Passworts überein, erhält der Nutzer Zugang zu seiner Facebook-Seite.

Facebook führt außerdem noch sogenannte Log-Dateien. Das sind Dateien, mit denen der gesamte Serverbetrieb dokumentiert wird. Insbesondere bei Betriebsstörungen sind Log-Dateien für die schnelle Fehleranalyse sehr wichtig.

Log-Dateien hatten Klartext-Passwörter

Diese Log-Dateien wiesen Passwörter im Klartext auf. Nach Informationen des Insiders, der sich Brian Krebs anvertraute, geht diese Speicherpraxis bei den Log-Dateien bis in das Jahr 2012 zurück. Und offenbar speicherte Facebook diese Log-Dateien und Archiv-Files länger, als dies für die Bearbeitung von Betriebsstörungen üblicherweise gemacht wird und nötig ist.

"Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert", kritisiert Datenschützer Kelber die Speicherpraxis von Passwörtern bei Facebook.

Abermillionen von Facebook-Nutzern und auch Inhaber eines Instagram-Accounts sollten nun schleunigst ihre Passwörter ändern. Denn insbesondere die Facebook-Zugangsdaten werden sehr häufig als Autorisierungsmechanismus für andere Dienste genutzt.

Viele Webdienste akzeptieren Facebook-Zugangsdaten

Wer den Facebook-Nutzernamen und das dazugehörige Passwort kennt, kann sich zum Beispiel gegenüber einer Gesundheits-App, die den Facebook-Autorisierungsmechanismus nutzt, als rechtmäßiger Inhaber ausgeben und teilweise hochsensible Daten stehlen.

Warum Facebook die Passwörter in den Archivdateien unverschlüsselt abgespeichert hat, dazu äußert sich der Konzern nicht. Für den Digitalpolitiker Konstantin von Notz von Bündnis90/Die Grünen fügt sich das "nahtlos in das Bild eines Konzerns ein, der seit Jahren die eigenen Profitinteressen vor den notwendigen Schutz seiner Nutzer stellt".

Nicht alle Informatiker gehen so weit wie Konstantin von Notz. Sie geben zu bedenken, dass die Klartext-Speicherung der Passwörter auch aus purer Gedankenlosigkeit passieren konnte. Dass der Konzern die Zugangsangaben in der Datenbank regelgerecht verschlüsselt, aber in den Archivdateien nicht, wirft jedenfalls Fragen auf.

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Abonniert auf Mein ZDF! Abo beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert.
Bitte beachten Sie die Nutzungsbedingungen des ZDF.

Die Website verwendet Cookies, um Ihnen ein bestmögliches Angebot zu präsentieren. Nähere Informationen und die Möglichkeit, die Verwendung von Cookies einzuschränken finden Sie hier.

Um Sendungen mit einer Altersbeschränkung zu jeder Tageszeit anzuschauen, können Sie jetzt eine Altersprüfung durchführen. Dafür benötigen Sie Ihr Ausweisdokument.

Sie wechseln in den Kinderbereich und bewegen sich mit Ihrem Kinderprofil weiter.