So sehr ich soziale Netzwerke auch mag, aber unter der Fülle an Auswahl hat man sicherlich mehr oder weniger geliebte Anlaufpunkte. In Deutschland gehören wohl ohne Frage Facebook und die VZ-Netzwerke zu den Webseiten, die besonders oft angeklickt werden. Mit der Gefahr, mich als Mitläufer zu outen, muss ich sagen dass ich bei “meinVZ” nur angemeldet bin, weil sich dort auch ein Großteil meiner Freunde tummelt. Den Sprung auf Facebook haben bisher nur wenige gewagt. “Zu kompliziert” sei Facebook, außerdem habe man in den Medien oft vernommen, Facebook habe Sicherheitslücken.

Tatsächlich hatten die Betreiber von Facebook mit teils heftiger Datenschutz-Kritik zu kämpfen, viele angeprangerten Bedenken waren sicherlich berechtigt. Mit einer raschen Lösung von “Sicherheitslücken” konnte man seitens Facebook aber meist rechnen.

Datenschutz-Skandale traten bei den VZ-Netzwerken auch auf, beispielsweise war es möglich anhand der URL problemlos mehrere Mitglieder zu “grabben”. Dies ist einige Jahre her und wurde zum Glück auch schnell beseitigt. Aber kann sich das VZ-Portal auch heute noch von allen Sicherheitslücken freisprechen?

Probleme bei den VZ-Netzwerken

Die Antwort lautet: Vermutlich ja – bis jetzt gelang kein grobes Datenschutz-Vergehen an die Öffentlichkeit. Ich habe aber von einem Fall zu berichten, der zwar nicht den Datenschutz von den VZ-Netzwerken anprangert, aber auf einige Probleme des Portals hinweist.

Ins Rollen kam meine Geschichte, als sich meine Ehefrau plötzlich nicht mehr auf “meinVZ” einloggen konnte. “Falscher Nutzername oder falsches Kennwort” lautete die Antwort auf den Loginversuch. Als selbstbekennende “Dumm-Userin” wandte sich meine Frau an mich, aber auch ich konnte bekannte Fehlerquellen (Caps Lock etc.) ausschließen. Da ich mich mit meinem Namen problemlos einloggen konnte, ging ich nicht von einem Datenbank-Problem des sozialen Netzwerks aus.

Als einige Bekannte dann auch noch dubiose Nachrichten vom Account meiner Frau bekamen und ich nicht mehr in ihrer Freundesliste auftauchte, wurde uns klar, dass der Account geklaut wurde. Das Wort “hacken” wäre an dieser Stelle sicherlich übertrieben, denn zugegebenermaßen benutzte meine Frau ein relativ leicht zu erratenes Kennwort.

Natürlich zogen wir auch die Funktion “Passwort vergessen?” in Betracht. Dabei musste man die E-Mail-Adresse angeben, die mit dem Account hinterlegt war. Auf eine Passwortzusendung warteten wir vergebens. Ergo hatte die Person, die den Account klaute, auch die Kontakt-Email-Adresse geändert.

Wir hatten also schlicht und ergreifend überhaupt keine Kontrolle mehr über den Account. Natürlich war es ein Fehler meiner Frau, ein solch simples Passwort zu benutzen. Darüberhinaus wussten ein, zwei Bekannte auch ihr Passwort – bei Frauen tauscht man sich offensichtlich über alles aus. Am Ende ist man natürlich immer schlauer: Hätten wir gewusst, dass jemand so böswillig ist und den Account kapert, hätte sie natürlich strenger auf ihr Passwort geachtet. Wie dem auch sei: Der Account war nicht mehr in ihrer Hand. Eine fremde Person konnte nun mit diesem tun und lassen, was sie wollte. Das Ende vom Lied war, dass die Person schlussendlich den Account gelöscht hatte. Natürlich ist es kein Problem, einen neuen zu erstellen. Es war nur schade um eingestellte Fotos unserer Töchter, die teilweise für immer verloren sind.

Natürlich wandte ich mich mit einer nett formulierten E-Mail an die VZ-Betreiber, um eventuell wenigstens herauszufinden, wie die (vom “Täter”) neu zugewiesene E-Mail-Adresse lautete. Vielleicht ließen sich ja so Rückschlüsse aus dem “Täter” ziehen. Ich freute mich über eine freundliche, rasche Antwort, aber wirklich weitergeholfen hat sie mir nicht. Auszug:

Wir werden auf Profile aufmerksam gemacht weil sie uns gemeldet werden.
Alle Meldungen werden von uns gewissenhaft überprüft.
Bei groben Verstößen gegen unseren Verhaltenskodex oder unsere AGB wird das
gemeldete Profil unwiderruflich aus unserem System gelöscht.
Da nach der Löschung keine weiteren Daten in unserem System erhalten bleiben,
haben wir über den eigentlichen Löschgrund keine Informationen mehr vorliegen.

Eines ist jedoch sicher: Unbegründet werden von uns keine Profile gelöscht.

Wenn Deine Freunde Dein Profil noch sehen können, lass Dir von ihnen bitte den
Link mitteilen.

Ich glaube, dass meine E-Mail höchstens überflogen wurde. Ich habe nicht gefragt, warum der Account meiner Frau gelöscht wurde, sondern ob es Hinweise auf die Aktivitäten des Fremden geben könnte. Mit dem Profillink, den Freunde eventuell gespeichert haben, kann ich selbstverständlich auch nichts reißen.

Um es nochmal klarzustellen: Natürlich trägt VZ keine Schuld daran, dass der Account gehackt wurde. Mehr als auf ein sicheres Passwort hinzuweisen können die Betreiber des Portals auch nicht.

Aber warum erzähle ich diese Geschichte? Antwort: Ich glaube, dass man bei “meinVZ” vieles hätte anders machen können. Facebook, trotz Datenschutz-Kritik und Medienrummel um Sicherheitslücken, hat diese Sachen einfach besser im Griff.

Facebook schickt eine Information an die alte E-Mail-Adresse

Dass die E-Mail-Adresse vom VZ-Account meiner Frau geändert wurde, geschah völlig unbemerkt. Ich hätte mir gewünscht, dass auch eine Informations-Mail an das elektronische Postfach meiner Frau geschickt wird. Tatsächlich kommt nur eine Bestätigungs-E-Mail an die neu eingegebene E-Mail-Adresse.

Facebook löst das geschickter: Die Information über die E-Mail-Adressänderung wird an beide Adressen gesendet: Die Änderung muss man hier erst beim alten E-Mail-Konto bestätigen.

Im Klartext bedeutet das, dass der unbekannte “Täter” hier keine Chance gehabt hätte, die E-Mail-Adresse heimlich zu ändern – es sei denn, der Unbekannte kennt auch die Accountdaten für den E-Mail-Zugang. Zur Erinnerung: “meinVZ” hat die “alte” E-Mail-Adresse völlig im Stich gelassen und die Änderung einfach vollzogen. Facebook dagegen verlangt auch eine Bestätigung der alten E-Mail-Adresse. Von hier aus hätte sich der Account noch retten lassen.

Selbst ohne diese Bestätigungsfunktion hätte man die geänderte E-Mail-Adresse einsehen können und so vielleicht Rückschlüsse auf den “Täter” zuzulassen.

Facebook verlangt erneut das Passwort beim Ändern der E-Mail-Adresse

Möglicherweise war dem “Täter” das Passwort meiner Frau gar nicht bekannt. Es hätte sein können, dass das Passwort vom Browser gespeichert wurde, als sie sich an einem fremden Computer einloggte.

Beim Ändern der E-Mail-Adresse bei VZ-Netzwerken ist es nicht nötig, dass Passwort erneut einzugeben. Was macht Facebook, wenn man im Begriff ist, die E-Mail-Adresse zu ändern?

Diese Funktion verhindert, dass sicher ein Fremder, der sich mit einem vom Browser gespeicherten Passwort unerlaubterweise eingeloggt hat, die E-Mail-Adresse ändern kann.

Facebook informiert über das Nichtvorhandensein der E-Mail-Adresse

Zurück zur “Passwort vergessen”-Funktion: Egal, welche E-Mail-Adresse ich bei “Passwort vergessen?” angebe: VZ gibt immer die gleiche Antwort:

Diese Nachricht suggeriert dem Benutzer, dass die eingebene E-Mail-Adresse anerkannt wurde und auf jeden Fall eine E-Mail versendet wurde. Wie in unserem Fall wartet man darauf allerdings ewig – denn ist die eingegebene E-Mail-Adresse nicht mit einem Passwort verknüpft, verschickt das Portal auch keine E-Mail. Diese Meldung ist also irreführend. Und das passiert bei Facebook, wenn ich mir ein Passwort an eine nicht vorhandene E-Mail-Adresse zusenden lassen möchte:

Diese schöne Nachricht hätte uns von Anfang an darüber informiert, dass der Fremde bereits die E-Mail-Zuordnung entfernt hat. Ein weiterer Pluspunkt bei Facebook ist die Möglichkeit, sich das Passwort aufs Handy zu senden.

Facebook bietet dem Nutzer mehr Kontrolle über Logins

Möglicherweise hatte unser “Täter” ja schon seit langem Kenntnis über das Passwort. Innerhalb der VZ-Netzwerke ist es möglich, einzusehen, welche IP-Adressen wann eingeloggt sind bzw. waren:

Hier kann man allenfalls sehen, dass eine weitere Sitzung unter einer anderen IP-Adresse läuft. Nicht mehr, nicht weniger. Facebook bietet uns da schon ein wenig mehr:

Wir sehen nicht nur den ungefähren Ort (Okay, Bielefeld ist etwa 100 kilometer weit weg von Hannover…) des Logins, sondern auch mit welchem Browser der vermeintlich Fremde unterwegs ist und – das allerbeste – besitzen die Möglichkeit, bestehende Logins zu beenden. Diese Funktion findet man bei Facebook etwas versteckt in den Kontoeinstellungen.

Fazit

Ich würde mir wünschen, dass auf eine so großartige, durchdachte Plattform wie Facebook weniger rumgehackt wird. Wer glaubt, die Betreiber Facebooks seien bösartige Kraken auf der Jagd nach neuen Privatinformationen, sollte sich bei Wikipedia den Artikel über “Verfolgungswahn” ansehen. Facebook ist in einigen Sicherheitsbereichen einfach ein paar Schritte weiter als VZ-Netzwerke.

Wie siehts denn mit der Meinung meiner Leser aus? Gehe ich Recht der Annahme, dass Facebook einiges intelligenter löst? Oder habe ich etwas wichtiges vergessen? Lasst es mich wissen.