Wenn Apps das Steuer übernehmen
Wer sich per Facebook bei anderen Online-Diensten anmeldet, riskiert die Kontrolle über sein Konto zu verlieren.
SAARBRÜCKEN Bei vielen Internetseiten und Anwendungen müssen die Benutzer ein eigenes Konto inklusive Benutzernamen und Passwort erstellen und sich diese Daten merken oder notieren. Sich diese Zugangsdaten zu merken, fällt nicht nur älteren Menschen schwer. Viel einfacher und bequemer scheint da die immer wieder offerierte Alternative, sich direkt mit dem eigenen Facebook-Konto anzumelden und auf die komplizierte Registrierung zu verzichten – manche Angebote können sogar nur auf diese Weise genutzt werden. Was sich zunächst nach einer komfortablen Funktion anhört, kann bei unseriösen Webseiten jedoch Konsequenzen für das eigene Facebook-Profil haben.
Wenn sich Nutzer mit ihrem Facebook-Account auf anderen Webseiten anmelden, erfolgt die Autorisierung über den Open Standard for Authorization (OAuth). Das funktioniert immer nach demselben Schema: Nutzer werden von der Webseite des Drittanbieters direkt zu Facebook geleitet und können sich dort mit ihren Zugangsdaten anmelden. Bei diesem Schritt teilt Facebook dem Nutzer mit, auf welche Bereiche des eigenen Profils der Drittanbieter Zugriff fordert. Von Facebook wird dann ein sogenanntes Token (Zeichen) erstellt, das an die jeweilige Webseite geschickt wird und dort als Zugriffschlüssel dient. Daraufhin wird im Facebook-Profil eine Anwendung (von Facebook App genannt) installiert, die Berechtigungen des Tokens speichert, wie Heiko Wichelhaus von der Verbraucherzentrale Nordrhein-Westfalen erklärt. Das ist notwendig, damit sich Nutzer später wieder auf der jeweiligen Webseite anmelden können.
Doch vor allem in der aktuellen Version 2.0 ist OAuth nicht unumstritten. So kehrte Chefentwickler Elan Hammer dem Projekt 2012 überraschend den Rücken und wandte sich in einem offenen Brief an die Internet-Gemeinschaft. Darin klagt er darüber, dass bei der Entwicklung von OAuth 2.0 fast ausschließlich die Interessen der Industrie im Vordergrund gestanden hätten. Es seien massive Sicherheitsprobleme zu erwarten.
So werde beispielsweise die EMail-Adresse, mit der man sich bei Facebook anmeldet, ohne Verschlüsselung an den Drittanbieter weitergeleitet. Theoretisch könnte sie also jeder auf diesem Weg abfangen. Auch die ausschließliche Verwendung von Tokens zur Autorisierung sieht Hammer kritisch, da sich diese ebenfalls von Cyber-Kriminellen abpassen ließen. „Wer auch immer das Token besitzt, kann auf den Account zugreifen, es gibt keine Möglichkeit, das zu überprüfen“, sagt Hammer.
Ein weiteres Sicherheitsrisiko geht von den Anwendungen aus, die durch die OAuth-Anmeldung auf dem sozialen Netzwerk Facebook installiert werden. So berichtete der Verein Mimikama, der sich mit Betrugsfällen im Internet
Heiko Wichelhaus beschäftigt, dass diese Apps teilweise ohne Wissen des Nutzers „Gefällt mir“-Angaben zu bestimmten Beiträgen auf Facebook machen oder etwa ganze Beiträge veröffentlichen. Diese enthalten dann häufig Werbung oder Links zu dubiosen Webseiten.
Die Nutzer würden jedoch in der Regel darüber informiert, welche Berechtigungen installierte Apps auf Facebook einfordern, sobald sie sich auf einer Webseite anmelden. „Nutzer sollten nicht einfach wegklicken, sondern genau lesen, was von ihnen verlangt wird“, rät Heiko Wichelhaus. Besonders wenn Apps Berechtigungen forderten wie „Inhalte im Namen deiner Seite veröffentlichen“, sei Vorsicht angebracht. Denn klickt der Nutzer auf „Ok“, darf die Seite eigenmächtig Beiträge auf dem eigenen Facebook-Profil veröffentlichen oder andere Beiträge mit „Gefällt mir“markieren.
Nutzer müssten stattdessen über den Link „Wähle aus, was du genehmigst“die Berechtigungen einzeln prüfen und könnten im Zweifelsfall über „Jetzt nicht“oder „Abbrechen“verhindern, dass die Anwendung ausgeführt wird, sagt Heiko Wichelhaus. In den Facebook-Einstellungen unter dem Menüpunkt „Apps“können Nutzer im Nachhinein überprüfen, welche Apps installiert sind und welche Rechte diese besitzen. Hier können auch einzelne Apps gelöscht oder allgemeine Berechtigungen für alle Anwendungen festgelegt werden.
Unter „Von anderen Personen verwendete App“kann auch eingestellt werden, welche Informationen die Apps von anderen Facebook-Nutzern über das eigene Profil sammeln dürfen. Wer auf Nummer Sicher gehen will, kann die Apps komplett deaktivieren. Hierfür muss unter „Apps, Webseiten und Plugins“der Menüpunkt „Plattform deaktivieren“ausgewählt werden. Dann kann man sich allerdings auch nicht mehr mit dem Facebook-Konto auf anderen Internetseiten anmelden.
„Nutzer sollten nicht einfach klicken, sondern genau lesen, was von ihnen verlangt wird.“