Ein Datenskandal, Vertrauensverlust, Image-Schaden und eine Aktien-Talfahrt an der Börse. Was für Unternehmen normalerweise lebensbedrohlich wird, ist für Facebook bis dato ein kleiner Schnupfen gewesen. Die letzte Woche hingegen hatte es in sich. Auf den wenig harmonischen Abgang der Instagram-Gründer folgte ein Statement des WhatsApp-Gründers Brian Acton, der öffentlich den Verkauf des Dienstes an Facebook bereut. Und dann gab es als Draufgabe auch noch den Angriff von unbekannten Hackern, die Daten von mehr als 50 Millionen Nutzern abgreifen konnten.

Mehr als 2,4 Milliarden Menschen nutzen Facebook. Trotz zahlreicher Skandale rund um Verletzungen des Datenschutz und dem laxen Umgang mit der Privatsphäre der Nutzer wächst das Unternehmen. Beim Datenskandal um Cambridge-Analytica war die Genesung erfolgreich. Reumütige Entschuldigungsinterviews bei Medien und eine Mea-Culpa-Tour bei hochrangigen Politikern - und schon war die Sache wieder vergessen. Man konnte die Nutzerzahlen sogar noch weiter in die Höhe treiben; allen Boykott-Aufrufen zum Trotz.

Nun ist Facebook erneut mit Aufklärungsarbeit beschäftigt. Reumütig erklärte man, dass eine Kombination aus drei Lücken den Angriff ermöglichte. Paradoxerweise ermöglichte genau jene Funktion den Angriff, die für eine bessere Privatsphäre eingeführt wurde ( "Profil sehen als"). Ausgenutzt wurde eine beim Rendern einer bestimmten HTML-Komponente des View-As-Features; gemeinsam mit drei weiteren Software-Fehlern.

Ein Fehler, der seit 2017 unbemerkt blieb

Denn eigentlich sollte in der "View as"-Funktion nur Leserecht gewährt werden. Das wurde aber bei einer Box mit Schreibzugriff, in der man jemandem zum Geburtstag gratulieren konnte, oder ein Video posten, übersehen. Nutzte man diese nämlich, wurde ein Video-Uploader aus 2017 aktiviert, der fälschlicherweise ein Access-Token aktiviert, der die Rechte der mobilen App besaß. Ob der Fehler seit seinem Bestehen ausgenutzt wurde, will man derzeit untersuchen.

Solche Tokens ermöglichen Zugriff auf einen Dienst ohne Passwort. Normalerweise haben diese ein Ablaufdatum und nur beschränkte Zugriffsrechte. Das wurde aber übersehen, weswegen der Angreifer sich im HTML der Webseite den Token holen konnte. Mit dem Token gelangten die Angreifer zu weiteren Konten, über die sie sich weitere Token beschaffen konnten.

Doch das Problem dieser Token ist, dass man sich nicht nur auf Facebook Zugangsdaten beschaffen konnte. Diese Technologie wird auch bei Webseiten genutzt, die "Anmelden über Facebook-Konto" anbieten. Ob hierüber Daten abgegriffen werden konnten, ist bislang unklar.

Token von mehr als 50 Millionen Facebook-Usern wurden zurückgesetzt; 40 Millionen Token weitere Benutzer wurden sicherheitshalber auch für ungültig erklärt. Die Funktion wurde deaktiviert.

Betroffen sind jene Nutzer, die sich bei der App neu anmelden mussten. Sie bekommen auch eine Information über den Vorfall. Betroffen waren anscheinend zudem auch Mark Zuckerberg selbst und Sheryl Sandberg, COO von Facebook.

Auch diese Krise wird vorübergehen

Die eigene Betroffenheit scheint für Mark Zuckerberg aber vorerst nachrangig sein. Auch an der Börse scheint das Schlimmste abgewendet worden zu sein. Die Aktie scheint sich nach einem Verlust von drei Prozent langsam wieder zu erholen.



Nun muss sich der Facebook-Chef darum kümmern, dass die internen Querelen nicht zunehmend an die Öffentlichkeit gelangen. Seit dem Cambridge-Analytica-Skandal scheint er sich zunehmends in die Belange der akquirierten Unternehmen wie WhatsApp und Instagram einzumischen.

Viel schwerer wiegt die anstehende Untersuchung der europäischen Aufsichtsbehörden. Diese könnten zu dem Schluss kommen, dass Facebook gegen die Auflagen der Datenschutzgrundverordnung verstoßen hat. Die Strafe läge hier bei 1,4 Milliarden Euro. Die Summe per se wird Facebook nicht schaden, aber damit könnte die Forderung, das Unternehmen zu zerschlagen, Form annehmen.