Mit dem Facebook-Login könnt ihr euch nicht nur auf der Startseite von Facebook Deutschland anmelden, sondern auch bei vielen anderen Apps und Webdiensten. Das ist unter Umständen aber gefährlicher als man denkt. Experten warnen davor, dass ihr über den Facebook-Login ausspioniert werden könnt.
Spätestens seit dem Datenskandal um die Firma Cambridge Analytica ist der Ruf von Facebook angekratzt. Weltweit sind die Daten von mehr als 87 Millionen Nutzern unrechtmäßig an die Datenanalyse-Firma gelangt, darunter auch rund 310.000 Personen aus Deutschland. Ein Entwickler einer Umfrage-App hatte Nutzerinformationen an Cambridge Analytica weitergegeben, allerdings nicht nur die der Teilnehmer, sondern auch deren Facebook-Freunde. Deshalb sind auch so viele Nutzer betroffen.
Selbst wenn ihr nicht von dem Datenleck betroffen seid, ist der Facebook-Login aber eine potentielle Gefahrenquelle. Vor allem der Single-Sign-On, mit dem ihr euch bei anderen Apps und Diensten anmeldet, ist alles andere als sicher.
Facebook-Login: Beim Anmelden werden Nutzerdaten weitergegeben
Bei vielen Apps und Webseiten kann man sich inzwischen mit seinem Facebook-Konto anmelden. Das ist einerseits praktisch, weil man sich nicht für jeden einzelnen Webdienst einen eigenen Account erstellen muss. Andererseits gewährt ihr den Apps dabei aber auch Zugriff auf euer Facebook-Profil. Hier wird es sehr schnell unübersichtlich – und potentiell gefährlich.
Amerikanische Forscher haben herausgefunden, dass in vielen Webseiten, auf denen ihr euch mit dem Single-Sign-On anmeldet, Skripte von Drittanbietern eingebettet sind, die ebenfalls Zugriff auf diese Daten haben. Benutzt ihr den Facebook-Login und meldet euch an, werden eure Facebook-Daten auch von diesen Skripten erfasst – wohlgemerkt ohne, dass die betreffende Webseite davon wüsste. Solche Skripte fanden die Wissenschaftler immerhin auf 343 der 1 Millionen meistbesuchten Webseiten im Netz.
Im Video zeigen wir euch, wie ihr Facebook sicherer machen könnt:
Facebook Single Sign On: Spionage beim Login-Vorgang
Die Skripte fragen in der Regel den Facebook-Namen und die E-Mail-Adresse des Besuchers ab, der sich über Facebook auf der Seite anmeldet. Dabei wird eine User-ID erstellt, die zunächst auf die Anmelde-Routine der betreffenden Webseite beschränkt ist. Das Tracking über mehrere Seiten ist also beschränkt, allerdings lassen sich die öffentlichen Facebook-Informationen des Besuchers auslesen. Dazu zählt beispielsweise der Facebook-Name und das Profilbild des Nutzers.
Nutzer sieht nicht, welche Daten weitergegeben werden
Problem bei der Anmeldung mit Facebook: Der Nutzer bekommt zwar eine Meldung angezeigt, die ihn auf das Auslesen der Informationen hinweist. Allerdings ist nicht klar, welche Dritt-Skripte auf der Seite aktiv sind. Nach dem Abgreifen gelangen die Daten an spezialisierte Tracking-Firmen. Mit der Facebook-ID können diese unter anderem auf der Ausgangsseite gezielte Werbung platzieren. Bei dieser unbeabsichtigten Weitergabe der Daten handelt es sich den Wissenschaftlern zufolge nicht etwa um einen Bug des Facebook-Logins. Das Problem seien vielmehr fehlende Sicherheitsvorkehrungen, um Skripte von Drittanbietern zu blockieren.