Mehr Sicherheit

13. Mai 2011 13:55; Akt: 13.05.2011 14:51 Print

Ohne SMS-Code läuft nichts mehr auf Facebook

von Daniel Schurter - Das soziale Netzwerk will die User besser vor Kriminellen schützen. Die neuen Sicherheitsmassnahmen sind vielversprechend - müssen jedoch zum Teil von Hand aktiviert werden.

Bildstrecke im Grossformat »
Facebook hat mit sofortiger Wirkung neue Sicherheitsfunktionen eingeführt. Unter anderem auch ein zweistufiges Anmeldeverfahren, das einen SMS-Code erfordert. 20 Minuten Online zeigt, wie einfach die Funktion zu aktivieren ist. Zunächst meldet man sich mit seinem Facebook-Profil an. Um die Sicherheitsfunktion zu aktivieren, muss unter den Kontoeinstellungen das Menü «Kontosicherheit» aufgerufen werden. Dort wird das Feld «Anmeldebestätigungen» aktiviert, indem man ein Häkchen setzt. Nun folgen verschiedene Hinweise: Um den Aktivierungsprozess vollständig durchführen zu können, braucht es das Handy. Ausserdem weist Facebook darauf hin, dass man jederzeit Zugang zum Konto hat über bereits registrierte Computer. Im nächsten Schritt wird die Handy-Nummer eingegeben. Natürlich stellt sich hier die Frage, ob man dem sozialen Netzwerk zutraut, diese Information zu schützen und nicht an Dritte weiterzugeben. Nach dem nächsten Mausklick trifft ein SMS von Facebook im Posteingang ein. Darin heisst es «Bestätigungscode für Facebook-Handy», gefolt von mehreren Zahlen und Buchstaben. Den Code aus der SMS gibt man im Facebook-Dialogfenster ein. Alternativ wird auch noch ein Link (Kurz-URL) aufgeführt. Mit dem nächsten Klick auf «Weiter» ist der Aktivierungsprozess bereits abgeschlossen. Die Sicherheitsfunktion heisst «Two Factor Authentication», abgekürzt 2FA. Sie kann jederzeit in den Kontoeinstellungen deaktiviert werden. Wer sein Handy nicht dabei hat, muss sich von einem Gerät einloggen, das im Facebook-Profil als bereits bekannt registriert wurde. Mehrstufige Anmeldeverfahren, die neben dem Computer ein zweites Gerät wie etwa ein Handy beanspruchen, sind seit längerem vom Online-Banking bekannt. In diesem Jahr hat Google die «2-step verification» für seinen Gratis-Webmaildienst Gmail eingeführt. Um die Sicherheitsfunktion zu aktivieren, muss allerdings die Spracheinstellung vorübergehend auf Englisch geändert werden. Nach dem Ändern der Spracheinstellung ist die neue Funktion unter den allgemeinen Google-Kontoeinstellungen zu finden. Wer sie aktivieren will, muss einige Zeit investieren. Dafür wird der Account vor Eindringlingen geschützt. Selbst wenn ein Angreifer das Passwort kennt, kann er sich ohne Handy des Opfers nicht anmelden.

Zum Thema
Fehler gesehen?

Wer einen Facebook-Account hat, muss sich in Acht nehmen. Das soziale Netzwerk wird immer häufiger von Spammern und Betrügern heimgesucht. Nun hat Facebook mehrere Sicherheitsfunktionen entwickelt, um die 600 Millionen Nutzer besser zu schützen. Die neuen Funktionen sind soeben auf dem offiziellen Facebook-Blog vorgestellt worden.

Passwort-Diebe haben keine Chance

Die Facebook-Nutzer können Passwort-Diebe mit einer zusätzlichen Sicherheitsstufe beim Anmeldevorgang fernhalten. Allerdings muss die Funktion in den Kontoeinstellungen von Hand aktiviert werden (siehe Bildstrecke). Facebook schützt die Konten vor nicht autorisierten Zugriffen, indem Anmeldeversuche von «ungewohnten» Geräten zuerst vom User bestätigt werden müssen. Dazu wird ein Code per SMS versendet. Ein Angreifer, der das Passwort gestohlen hat, kann sich nur einloggen, wenn er auch das Handy des Opfers in seiner Gewalt hat.

Im Gegenzug können sich autorisierte User an fremden Computern nur anmelden, wenn sie ihr Handy dabei haben. Wie die «ungewohnten» Geräte definiert beziehungsweise erkannt werden, teilt Facebook nicht mit. In den Kontoeinstellungen finden sich unter «Kontosicherheit» die gespeicherten Geräte, die Facebook bereits kennt.

Ob viele Nutzer dem Unternehmen vertrauen und ihre Handynummer bekannt geben, steht auf einem anderen Blatt. Facebook versichert, dass die Daten absolut sicher seien und nicht an Drittfirmen weitergegeben würden.

Schutz vor Clickjacking

Zu den lästigen Tricks der Facebook-Betrüger zählt das «Clickjacking». Dabei wird ein «Like»-Button hinter einem verlockenden Link versteckt. Wer unwissentlich auf das versteckte «Gefällt mir» klickt, autorisiert eine App, die anschliessend Beiträge veröffentlicht auf der Pinnwand des Nutzers und seiner Freunde. Neu verspricht Facebook, dass bekannte Clickjacking-Webseiten blockiert werden. Bei verdächtigen Vorgängen wird der User gefragt, ob er wirklich eine bestimmte Aktion durchführen will.

Schutz vor «Self-XSS»

Eine andere beliebte Masche der Betrüger ist das sogenannte «Self-XSS». Die Nutzer sollen animiert werden, JavaScript-Code in die Adresszeile ihres Browser zu kopieren. Dieser Code veranlasst den Browser, bestimmte, vom User ungewollte Aktionen durchzuführen, wie beispielsweise das Versenden von Spam-Nachrichten. Um das zu verhindern, erscheint neu jedes Mal eine Warnung, wenn von Hand Code in die Adresszeile des Browsers kopiert wird.

Partnerschaft mit Web of Trust

Zusätzlich ist Facebook eine Partnerschaft mit der in Finnland beheimateten Organisation «Web of Trust» (WOT) eingegangen. Die WOT-Community stuft Websites nach ihrer Vertrauenswürdigkeit ein. Ab sofort warnt Facebook, wenn ein Link angeklickt wird, der auf eine als unsicher eingestufte Seite führt.

Sicherheitsexperten kritisieren

Die neuen Massnahmen werden von den Sicherheitsexperten von Sophos begrüsst. Endlich sei Facebook aktiv geworden, um die Nutzer besser zu schützen, schreibt der Blog «Naked Security». Jedoch seien verschiedene grundsätzliche Probleme nicht behoben worden.

Diese (noch) nicht erfüllten Forderungen der Sicherheitsexperten sind in einem Offenen Brief an Facebook zusammengefasst. Zu den wichtigsten Punkten gehören: Schutz der Privatsphäre als Grundeinstellung, bessere Überprüfung der App-Entwickler hinsichtlich Seriosität und Sicherheit, und schliesslich verschlüsselte Verbindungen (HTTPS) als Grundeinstellung und für alle Daten-Übertragungen in Zusammenhang mit Facebook.

Die beliebtesten Leser-Kommentare

  • am 16.05.2011 11:44 Report Diesen Beitrag melden

    Facebook und Sicherheit (Das geht nicht)

    Facebook kann eig. keine Sicherheit mehr für die Nutzer garantieren da Facebook so oder so unsere Daten verkauft. Kürzlich hatte ein Bericht über Facebook veröffentlicht. Dort wurde auch der Punkt E-maildienst von Facebook angesprochen. Facebook ist eines der Unsichersten Social Networks der Welt

  • Alex Steiner am 17.05.2011 14:14 Report Diesen Beitrag melden

    Ja - klar

    Als würd ich dennen auch noch meine Handy Nummer anvertrauen!

    einklappen einklappen
  • Martin am 13.05.2011 14:06 Report Diesen Beitrag melden

    Byebye Facebook

    Ich bin froh, dass ich diesem Gugus vor ca. 4 Monaten den Rücken gekehrt habe. Am Anfang fiel es mir schwer, gefehlt hat mir das ganze Theater aber nie.

    einklappen einklappen

Die neusten Leser-Kommentare

  • KiKi am 19.05.2011 09:56 Report Diesen Beitrag melden

    no fb

    Läck bin ich froh, dass ich mich immer geweigert habe, ein account auf fb zu machen. jetzt schmunzle ich ein wenig.:)

    • Alex am 24.05.2011 16:47 Report Diesen Beitrag melden

      Naja

      Das Problem ist, dass heute viel auch über Facebook abgemacht und diskutiert wird, ich mag Facebook eigentlich auch nicht (mir ist der Firmeninhaber und die Firma unsympathisch), aber ohne ist man schon fast ein wenig Aussenseiter, wenn alle anderen Kollegen miteinander vernetzt sind.

    einklappen einklappen
  • Sebas am 18.05.2011 07:47 Report Diesen Beitrag melden

    SMS nein Danke

    Frage: wer bezahlt denn die täglichen Millionen SMSs Facebook ja wohl kaum. Abgesehen davon wird dieses Vorgehen ja nicht dazu beitragen Facebook auf auf Höhenflug zu halten sondern viele werden genervt aussteigen.

  • Alex Steiner am 17.05.2011 14:14 Report Diesen Beitrag melden

    Ja - klar

    Als würd ich dennen auch noch meine Handy Nummer anvertrauen!

    • olivia am 20.05.2011 19:51 Report Diesen Beitrag melden

      genau

      cool , jemand der denkt !!

    einklappen einklappen
  • am 16.05.2011 11:44 Report Diesen Beitrag melden

    Facebook und Sicherheit (Das geht nicht)

    Facebook kann eig. keine Sicherheit mehr für die Nutzer garantieren da Facebook so oder so unsere Daten verkauft. Kürzlich hatte ein Bericht über Facebook veröffentlicht. Dort wurde auch der Punkt E-maildienst von Facebook angesprochen. Facebook ist eines der Unsichersten Social Networks der Welt

  • Janine am 16.05.2011 09:47 Report Diesen Beitrag melden

    Unnötig?

    Am meisten würde mich nerven, jedes mal beim einloggen das Handy hervorzunehmen. Wenn man absolute Sicherheit möchte, sollte man sein Facebook-Profil löschen!

    • Vincent Meyer am 16.05.2011 11:00 Report Diesen Beitrag melden

      FB Profil löschen

      man kann ein Profil nicht löschen, nur deaktivieren

    • Julian Kern am 16.05.2011 11:39 Report Diesen Beitrag melden

      Komplett löschen

      komplett löschen geht auch, einfach mal googeln :)

    • martin am 19.05.2011 12:02 Report Diesen Beitrag melden

      geht nicht!

      Nein geht nicht, auf den Sicherheitskopien der Datenbanken ist das Profil immer noch da....

    einklappen einklappen