Maexotic

Heute hat mir Facebook mitgeteilt, dass sie glauben mein Account wäre nicht gut genug geschützt und ich sollte doch meinen Account sicherer machen. Das fand ich so spannend, dass ich mir einmal angesehen habe, was sie denn denken, wie ich ihn sicherer machen könnte.

Nachdem ich erneut mein Passwort eingeben musste (immerhin!), erwartete mich diese Seite
(rechts oben kann man sehen, dass mein Account sowas von dermassen unsicher ist, klar!):

Contact Email

Als nächstes zeigen sie mir, welche E-Mail-Adressen mit dem Account verknüpft sind. Da diese Adressen - neben dem Passwort - zugleich ein Teil der Zugangsinformation sind, habe ich sie anonymisiert. (Das in der dritten Zeile ist nicht vorname.nachname@maexotic.de, das für alle Spielkinder vorneweg.)
Facebook hat insofern recht, dass da zwar drei E-Mail-Adressen stehen, aber nur zwei davon würden helfen (die dritte ist ja die Facebook Adresse) und die beiden anderen sind in einer Domain. Wenn also die Domain weg wäre und ich mein Passwort vergessen hätte, dann hätte ich ein Problem, aber nur dann.
Eine weitere Adresse hinzuzufügen, die nicht @maexotic.de wäre, wäre also für den Fall dass ich mein Passwort vergessen habe hilfreich. Zugegeben. Aber: warum soll ich ein Passwort vergessen, dass ich beinahe täglich eingebe? Nun ja ...

Mobile Phone

Klar, sie wollen, dass ich die (IMHO total kaputte) Mobile Phone App benutze. Da man einwilligt, dass die App auf so ziemlich alles zugreifen kann, was das Telefon so bietet, ist das ein ganz tolles Ding.
Sicherheit? Die App auf dem Telefon speichert natürlich auch das Passwort, wäre ja unbequem, das jedesmal eingeben zu müssen. Also wenn ich mein Passwort vergessen hätte, könnte ich trotzdem über die Mobile Phone App noch auf Facebook zugreifen. Da sie dann auch die Mobile Nummer kennen, könnten sie mir sogar eine SMS schicken.
Aber was, wenn ich das Telefon verliere oder verloren werde? Tja, dann ist Facebook offen. Dann kann derjenige, der mein Telefon hat, auf alle meine Facebook Informationen zugreifen und die aller meiner Freunde. Der kann dann meine Zugangsdaten und die E-Mail-Adressen ändern. Und wenn es echt blöd läuft steht sogar dass Passwort dechiffrierbar auf dem Telefon. Zugegeben, das habe ich jetzt nicht kontrolliert, aber alles andere würde mich wirklich verwundern, selbst wenn sie mit OAuth2 für die App rumhantieren würden.
Erhöht meine Sicherheit also echt voll. Vor allem, weil viele Leute ihr Passwort nicht nur für einen Zugang verwenden.
Andernfalls müsste man sich ja tatsächlich mehr als ein Passwort merken. Zusätzlich zur EC-Karten-Pin wohlgemerkt. Ach!? Echt das gleiche?

Security Question

Das ist in allen "Sicherheitssystemen" immer mein absoluter Liebling!
Alleine daran, dass sie die Sicherheitsfragen vorgeben, erkennt man, dass sie keinen Peil haben. Ein Challenge-Response Verfahren funktioniert in so einem Kontext nur, wenn ich mir beides selbst ausdenken kann, die Frage und die Antwort.. Mir ist natürlich klar, warum sie das machen: sie wollen verhindern, dass Leute sich so tolle Sicherheitsfragen ausdenken wie:

Frage: Wie heisst Justin Bieber mit Vornamen?
Antwort: Justin

So, jetzt haben wir alle einmal gelacht (auch wenn sowas traurigerweise in dieser Qualität vorkommt) - und jetzt schauen wir uns die Fragen an, die Facebook bereithält. Davor müssen wir uns aber über eines im Klaren sein:

Facebook ist ein System ist, in dem ich alle meine Freunde, die Familie, Klassenkameraden usw.
unterbringen und verknüpfen soll.

Jetzt nehmen wir mal einen ehemaligen Klassenkameraden, den (früher) besten Freund/beste Freundin, ein etwas entfernteres Familienmitglied (Cousin, Cousine), irgendjemand, mit dem man sich gerade gezofft hat und die jetzt richtig sauer sind - oder sich auch nur einen Spaß machen wollen. Sind für diese die Fragen unlösbar oder sehr schwierig oder eher einfach bis gar kein Problem?. Und dann müssen wir die Frage stellen:

Für wieviele von Deinen Freunden auf Facebook wäre es ein Problem
alle oder zumindest die meisten der Fragen richtig zu beantworten?

Das Problem ist aber noch viel weitreichender als man denkt. Ich habe oben immer "Facebook" als Einschränkung verwendet. Aber warum eigentlich?
Ist es nicht egal ob derjenige auf Facebook ist?

• Facebook Accounts (die meisten) lassen sich über Google auffinden. Damit ist schon klar, wer ich sein will.
• Bist Du bei Stayfriends oder hast Du Deine Schulgeschichte irgendwo anders hinterlegt? Vielen Dank, das macht das mit den Lehrern schon einmal sehr viel leichter.
  Nicht dass die Beantwortung dieser Fragen für einen Mitschüler jemals ein Problem gewesen wäre.
• Genealogie (Ahnenforschung) ist ja sowas von toll. Auch mitgemacht? Daten hinterlegt (oder jemand anders) über Vater, Mutter, Großeltern? Deren Geburts-/Sterbedaten, Geburts-/Sterbeorte, Berufe?
  Autsch! Habe ich schon gesagt, dass das Internet toll ist?

Sichererer? [*]

Tja, liebes Gesichtsbuch, da denke ich fahre ich mit meinen momentan bei euch hinterlegten Daten (einer E-Mail-Adresse nur für Facebook und ein ziemlich langes Passwort) dann doch am sichersten. Auch wenn ihr das offensichtlich anders seht.

Post Scriptum

Der Hinweis von @ruebezahl - Danke dafür! - hat mich dann noch zu dem Blog-Artikel "Your Facebook Account has Three Passwords" gebracht. Der Workaround den Facebook macht, um die Supportkosten für Benutzer zu eliminieren, die CAPS LOCK anhaben, führt dazu, dass sie den Pool möglicher Passwörter halbiern. Ein Geschenk an die Cracker. Dabei gibt Facebook selbst an, dass täglich ca 600.000 Logins über kompromittierte Accounts erfolgen. Graham Cluely von Sophos schreibt darüber in "600,000+ compromised account logins every day on Facebook, official figures reveal".
Und wir wissen nun woher das kommt. Zumindest zum Teil.

Thilo Weichert, seines Zeichens oberster Datenschutzbeauftragter Schleswig-Holsteins und damit Chef des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (kurz: ULD) hat sich schon desöfteren mit diversen "Internet Firmen" angelegt, ob deren Verstösse gegen den Datenschutz. In letzter Zeit hat er vermehrt Facebook im Visier. Speziell geht es ihm um den unsäglichen "Facebook Like Button" auf externen Websites, um den "Kontaktfinder" (Frank Bartels hat darüber geschrieben unter "Facebook verhöhnt seine Nutzer") und um die Tatsache, dass Facebook die Profile deutscher (und europäischer) Nutzer im Ausland speichert.

Auch wenn er manchmal etwas über das Ziel hinausschiesst muss man ihm - denke ich - zugute halten, dass er für die Bürger kämpft und gegen den Missbrauch ihrer Daten. Dennoch heult die gesamte "Social Media Industrie" (und auch die, die davon überhaupt keine Ahnung haben), als würde man ihnen ihr Lieblingsspielzeug wegnehmen.

Zum Börsengang von Facebook hat die Frankfurter Allgemeine nun ein Interview mit ihm veröffentlicht: "Facebook hat ein Problem". Darin warnt er davor, dass das Verhalten Facebooks nicht den Datenschutzrichtlinien entspricht.

Die bisherigen Kapitalwerte von Facebook beruhen auf einem datenschutzwidrigen Vorgehen, das gegen deutsches und europäisches Recht verstößt. Die Erwartung der Anleger ist, dass der Wert der Aktien steigt. Ich habe die Befürchtung, dass Facebook versuchen wird, die Daten seiner Nutzer noch stärker auszubeuten.

Diese Aussage ist vollkommen korrekt, den das Geld verdient Facebook vor allem mit Werbung, deren Güte nicht zuletzt davon abhängt, dass es über die "Social Plugins" das Surfverhalten seiner Benutzer (und auch der Nicht-Facebook-Benutzer) verfolgen und überwachen können. Bedauerlicherweise sind es ein weiteres Mal die Piraten, denen eigentlich der Datenschutz der Internetnutzer ein Kernthema sein sollte, die ziemlich verächtlich und mit wenig Sachverstand flamen [*].

Jan Dörrenhaus schreibt dazu bei twitter:

Btw, Thilo Weichert verabschiedet sich endgültig aus der Realität: http://www.golem.de/news/boersengang-facebook-kann-am-datenschutz-zusammenbrechen-1205-91887.html Als ob Facebook Europa juckt...

Und das Piratenverse retweetet. Natürlich. Thilo Weichert bashing ist schliesslich in Mode.

Ob Facebook Europa juckt ...? Ich denke: "aber ganz sicher".
Laut socialbakers.com stellt Europa die größte Anzahl von Benutzern bei Facebook. Mit 28% sind das mehr als die Benutzer aus Nordamerika, dabei sind nur ca 29% der Europäer aber über 40% der Amerikaner bei Facebook, die Zuwachsraten in Europa sind also enorm. Bei den europäischen Ländern liegt Deutschland an vierter Stelle, ebenfalls mit noch geringer Penetration von 28% und hohen Zuwachschancen. Dazu kommt, dass Deutschland momentan die stärkste und kräftigste Wirtschaftsmacht in Europa ist, mit der höchsten Kaufkraft. Und was will Werbung? Richtig, verkaufen. Brechen also die stärksten Käufer weg, bricht die Werbung weg und damit das Einkommen von Facebook.

Wenn Thilo Reichert das also so sieht, dann "verabschiedet [er] sich endgültig aus der Realität"?

Zudem hat Facebook seit gestern auch ganz gehörigen Gegenwind aus dem eigenen Land. zdnet berichtet: "Facebook hit with $15 billion class action user tracking lawsuit". Facebook hat zum wiederholten Male das US Bundesgesetz verletzt, das das Abhören regelt, wogegen heute Klage eingereicht wurde. Das Gesetz sieht Strafen von bis zu 10.000 USD pro Benutzer vor.

Doch nicht nur der finanzielle Druck lastet auf Facebook, sondern auch die Tatsache, dass sie enorme Einschränkungen hinnehmen müssen, wenn die Klage Erfolg hat. Die Klage richtet sich gegen die Verwendung von Cookies, mit denen Facebook die Benutzer ausspioniert und die sie illegalerweise auch ausserhalb von Facebook verwendet haben.

Ich würde ja sagen, Thilo Weichert sieht die Chancen von Facebook durchaus real.

Statt immer nur dummes Zeugs nachzuplappern, stünde es manchen Leuten ganz gut, wenn sie sich vorher informieren würden. Das ist das Internet, das ist gar nicht so schwer, man muss es nur tun.

Und Facebook? Der Börsengang war heute eher lau. Sie haben mit 40 USD eröffnet und mit 38 USD geschlossen. Da fallen mir nur immer wieder The Richter Scales aus 2007 ein ...*mitträller*