Facebook will in Zukunft Mitglieder der Plattform vor Hacker-Attacken auf das Benutzerkonto warnen. Sofern ein solcher Angriff durch einen Staat durchgeführt wird oder zumindest der begründete Verdacht besteht, dass sich hinter der Attacke eine staatliche Behörde verbirgt, sollen Benutzer einen entsprechenden Hinweis erhalten.
Das Social Network nutzt die Ankündigung zu diesem recht ungewöhnlichen Schritt, um nochmals auf seine ohnehin jedem Benutzer zur Verfügung stehenden 2-Faktor-Authentifizierung hinzuweisen. Diese sichert jeden Facebook-Account doppelt ab: wenn der Benutzername und das Passwort an einem bisher unbekannten Gerät eingegeben werden, muss der Login durch einen weiteren, stets neu generierten Sicherheitscode vollendet werden.
Wie genau Facebook identifizieren will, dass ein Staat und nicht der eifersüchtige Lebenspartner oder ein Komplott planende Arbeitskollege hinter einer Attacke auf ein Facebook-Konto steht, bleibt unklar. Man wolle nicht zu viele Informationen über das dahinter stehende Erkennungssystem bekanntgeben und werde sich deshalb mit detaillierten Angaben zurückhalten. Die in der Warnmeldung enthaltenen Details sind tatsächlich recht spärlich und lassen z.B. keinerlei Rückschlüsse auf den Namen einer staatlichen Organisation zu.
Facebook weist allerdings darauf hin, dass die gezielte Hacker-Attacke auf ein Benutzerkonto ein Indiz dafür sein könnte, dass sich längst auch Accounts bei anderen Diensten im Visier eines Angreifer befinden. Sollte man also tatsächlich irgendwann einen entsprechenden Warn-Hinweis erhalten, könnte es bei schlechter abgesicherten Diensten schon längst zu einem erfolgreichen Eindringen gekommen sein. Zudem bestehe die Wahrscheinlichkeit, dass der eigene Rechner mit malware, einem Trojaner oder einem Keylogger verseucht sei.
Einen blinden Alarm will Facebook weitestgehend ausschliessen können. man werde sich nur dann bei einem Benutzer melden, wenn der Verdacht ausreichend sei.
Diese neue Funktion lässt selbstverständlich verschiedene Rückschlüsse zu. Zum einen dürfte es relativ offensichtlich sein, dass Facebook-Accounts regelmäßig das Ziel von Angriffsversuchen sind, auch wenn man im Allgemeinen nicht unbedingt einen dahinter stehenden Staat als Drahtzieher vermutet. Während die einen nun an die NSA und den “Kampf gegen den Terror” denken (und andere sofort einwenden werden, dass die doch sowieso Vollzugriff auf die Facebook-Server haben), haben andere evtl. weitere US-Strafverfolgungsbehörden im Bereich Organisierte Kriminalität im Sinn.
Doch spätestens bei einem Blick auf den Arabischen Frühling und vergleichbare Ereignisse dürfte klar werden, dass Facebook hier vor allem Staaten adressiert, denen die Plattform generell ein Dorn im Auge ist – also nach allgemeinen Vorstellungen “Unrechtsstaaten”, in denen es politisch Verfolgte gibt. Denkbar wäre auch, dass Facebook längst ein interessantes Ziel für Wirtschaftsspionage oder ähnliche Nebenbereiche der Geheimdienste ist, da Benutzer hierüber einen großen Teil ihrer Kommunikation abwickeln.
Zudem muss man wohl festhalten, dass persönliche Daten generell die Begehrlichkeiten von Staaten zu wecken scheinen. Bereits im November 2013 erschien eine umfangreiche Studie, die auf einen starken Anstieg systematischer Zugriffe hinwies – daran dürfte sich in den beiden zurückliegenden Jahren nicht allzu viel geändert haben.
Report: die Preise für gestohlene Kontodaten im Dark Web
Dieser in regelmäßigen Abständen betonten Rücksicht auf die Sicherheit der eigenen Benutzer steht immer noch entgegen, dass es auf Facebook weiterhin – offiziell – eine Klarnamenpflicht gibt und sich somit niemand aus z.T. berechtigtem Anlass hinter einem Pseudonym verstecken darf. In der Vergangenheit gab es mehrere Kampagnen, in denen Benutzer aufgefordert wurden, den Namen eines anderen Benutzers zu bestätigen. Erhärten solche Hinweise bei Facebook den Verdacht auf einen Verstoß gegen die Klarnamenpflicht, kann es in Windeseile zu einer zeitweisen Deaktivierung, Vollsperrung oder Löschung des Accounts kommen. Bei anderen Netzwerken wie z.B. Google+ gibt es diese Klarnamenpflicht nicht.
