06.07.2021 Sicherheit & Privatsphäre

Facebook: 5 Praxistipps zu Facebook Sicherheit

Um seine Facebook und Instagram-Accounts zu schützen gibt es einige Tipps, welche kostenlos sind und in Kürze umgesetzt werden können. Damit erspart man sich verloren gegangene Zugriffe und daraus resultierend Folgeschäden, wie gestohlene Daten oder sogar Werbeausgaben von Hackern über die gekaperten Werbekonten.

‎Dorian Kostanjsek
7 Min. Lesezeit
1 Kommentar

Das Thema Sicherheit wird oft vernachlässigt und man macht einfach mal, was meist so lange gut geht, bis etwas schief läuft. Die Probleme, die daraus entstehen können, sind dann oft sehr schädlich und lassen sich – wenn überhaupt – nur mit grossem Aufwand wieder beheben.

Tipp 1: Mehr als ein Admin pro Business Manager / Facebook Seite

Auch wenn man äusserst sparsam mit Adminzugriffen umgehen soll, sollte es doch immer mehr als 1 Admin pro Business Manager oder Facebook Seite geben. Denn es kann leider jederzeit vorkommen, dass einem Admin etwas zustossen könnte. Dabei sind Ereignisse im echten Leben wahrscheinlich seltener als benutzerbezogene Sperren oder gelöschte Accounts, weil wegen Richtlinien verstossen wurde. Gibt es in einem solchen Fall keinen zweiten Admin, ist der Zugriff auf die Seite oder gleich das ganze Unternehmen verloren. Es gibt zwar auch dafür gewisse Prozesse bei Facebook, welche jedoch ohne weiteres ein halbes Jahr dauern, diverse Dokumente benötigen und entsprechend auch ins Geld gehen können.

Tipp 2: Zwei-Faktor-Authentifizierung aktivieren

Zwei-Faktor-Authentifizierung (2FA) bedeutet eigentlich nichts anderes, als dass neben dem Benutzernamen und Passwort ein weiterer Faktor für die Anmeldung an einen Dienst benötigt wird. Oft muss diese Authentifizierung nur dann durchgeführt werden, wenn sich jemand an einem neuen Gerät anmeldet. Somit muss die Anmeldung am selben Mobilgerät nicht immer wieder von neuem durchgeführt werden. Immer mehr Dienste erhöhen jedoch die Anforderungen aufgrund der steigenden Anzahl an Hacker-Angriffen. Deshalb ist es gut möglich, dass man sich mittelfristig nach einem gewissen Timeout, beispielsweise sobald ein Tag abgelaufen ist, erneut über die Zwei-Faktor-Authentifizierung anmelden muss. Dabei können verschiedene Faktoren zum Einsatz kommen. Allerdings werden hier lediglich die Faktoren aufgeführt, die bei Facebook eingesetzt werden:

  1. Codes über SMS vom Mobil-Gerät
  2. Physischer Sicherheitsschlüssel
  3. Login Codes von einer Authenticator App

Die Methode mit den Codes über SMS ist am schnellsten aufgesetzt, kann allerdings etwas umständlich sein, weil bei der Anmeldung an einem Gerät immer eine Mobilfunkverbindung vorhanden sein muss, was z.B. auf Reisen nicht immer der Fall ist.

Die Methode mit dem physischen Sicherheitsschlüssel ist ein Stück Hardware, welche es in verschiedenen Varianten gibt. Zum einen gibt es die Möglichkeit, bei der ein USB-Stick für die Anmeldung eingesteckt werden muss – zum anderen gibt es Geräte, welche in die Nähe vom jeweiligen Gerät gehalten werden müssen. Vor der Anschaffung einer solchen Hardware, sollte man sich bezüglich der Kompatibilität und den Anforderungen des Schlüssels informieren.

In diesem Artikel widmen wir uns aber der dritten Varianten mit einer Authenticator App. Diese ermöglicht den Zugriff ohne Mobilfunk und je nach Dienst können auch mehrere Personen die Authenticator App parallel nutzen. Dazu muss vorbereitend eine Authenticator App heruntergeladen werden, welche anschliessend für alle Dienste verwendet werden kann, die man benötigt.

Welche Authenticator Apps gibt es?

Authenticator Apps gibt es viele und die meisten davon funktionieren reibungslos.
Aus eigenen Erfahrungen funktioniert der LastPass Authenticator gut, welcher sowohl für iOS als auch für Android verfügbar ist. Deshalb wird dieser für die Konfiguration in diesem Artikel verwendet.

LastPass Authenticator einrichten

Nach dem Download vom LastPass Authenticator vom App- oder PlayStore, kann dieser geöffnet und ein neuer Account erstellt werden.
Wie Accounts hinzugefügt werden können, wird in den nächsten Abschnitten behandelt.
Nicht zwingend notwendig, aber empfehlenswert, ist die Erstellung von einem Backup vom LastPass Authenticator. Dies kann mit der App LastPass Passwort-Manager durchgeführt werden. So kann man sich etwas Zeit sparen, falls die Daten vom LastPass Authenticator verloren gehen sollten.

Zwei-Faktor-Authentifizierung bei Facebook einrichten

Um die Zwei-Faktor Authentifizierung mit dem LastPass Authenticator einzurichten, geht man folgendermassen vor:
  1. Anmeldung bei Facebook mit dem entsprechenden Benutzer am Desktop.
  2. Auf die Sicherheitseinstellungen auf Facebook gehen.
  3. Zum Abschnitt Zwei-Faktor-Authentifizierung gehen.
  4. Wenn die Zwei-Faktor-Authentifizierung noch nicht durchgeführt wurde, kann diese nun eingerichtet werden.
  5. Die LastPass Authenticator App öffnen und den Bildschirm-Anweisungen folgen.
  6. Den Bestätigungscode vom LastPass Authenticator bei Facebook eintragen. 
Sobald die 2FA aktiviert wurde, können Wiederherstellungscodes heruntergeladen werden. Diese Wiederherstellungscodes können wie die PUK-Codes von SIM-Karten angesehen werden und kommen bei Notfällen zum Zug, wenn kein Zugriff mehr auf die Authenticator-App möglich sein sollte.
Die Recovery-Codes befinden sich ebenfalls in den Sicherheitseinstellungen und können über den Menupunkt: Zwei-Faktor-Authentifizierung\Recovery Codes aufgerufen und heruntergeladen werden. Diese sollten anschliessend entsprechend sicher abgelegt werden, wie bereits in den Sicherheitsempfehlungen Teil 1 beschrieben.

Zwei-Faktor-Authentifizierung bei Instagram einrichten

Um die Zwei-Faktor-Authentifizierung für Instagram zu aktivieren, geht man wie folgt vor:
  1. In der Instagram-App auf das Profil unten rechts tippen.
  2. Danach auf den Hamburger/die drei Striche oben rechts tippen.
  3. Die Einstellungen öffnen.
  4. Zu Sicherheit wechseln.
  5. Die Zweistufige Authentifizierung öffnen.
  6. Dort die Authentifizierung über die App auswählen und anschliessend den Bildschirm-Anweisungen folgen.

Auch hier gibt es nach der Aktivierung Backup-Codes, welche unter Einstellungen – Sicherheit – Zweistufige Authentifizierung – Weitere Methoden – Backup-Codes eingesehen und danach abgelegt werden können.

Zwei-Faktor-Authentifizierung im Business Manager aktivieren

Wenn man die Sicherheit aus Unternehmenssicht betrachtet, ist es schön und gut wenn man sich darauf verlässt, dass jeder Mitarbeiter die 2FA aktiviert.
Anstatt sich aber gutgläubig darauf zu verlassen, kann die Aktivierung dieser im Business Manager entweder nur für Admins oder für alle User erzwungen werden.

Dazu müssen die Einstellungen geöffnet und die zweistufige Authentifizierung aktiviert werden: https://business.facebook.com/settings/info?business_id=[BM-ID hier eintragen]

Zweistufige Authentifizierung im Business Manager erzwingen

Wenn diese aktiviert wurde, kann es vorkommen, dass einzelne User weiterhin Zugriff auf beispielsweise Seiten haben, allerdings lediglich mit eingeschränkten Funktionen. So kann es sein, dass das Posten von Inhalten nicht möglich ist. Bei einem solchen Fehlverhalten muss somit zuerst überprüft werden, ob der entsprechende Mitarbeiter die 2FA aktiviert hat.

Tipp 3: Backup Codes nutzen

Backup Codes vom Facebook Profil

Sobald die 2FA aktiviert wurde, können Wiederherstellungscodes heruntergeladen werden. Diese Wiederherstellungscodes können wie die PUK-Codes von SIM-Karten angesehen werden und kommen bei Notfällen zum Zug, wenn kein Zugriff mehr auf die Authenticator-App möglich sein sollte.
Die Recovery-Codes befinden sich ebenfalls in den Sicherheitseinstellungen und können über den Menupunkt: Zwei-Faktor Authentifizierung/Recovery Codes aufgerufen und heruntergeladen werden.

Backup Codes vom Instagram Account

Auch hier gibt es nach der Aktivierung Backup-Codes, welche unter Einstellungen – Sicherheit – Zweistufige Authentifizierung – Weitere Methoden – Backup-Codes eingesehen und danach abgelegt werden können.

Tipp 4: Rechte vorsichtig verteilen

Grundsätzlich ist jede Berechtigung und der daraus resultierende Zugriff ein potenzielles Sicherheitsrisiko. Deshalb sollte jede Berechtigung hinterfragt werden und man sollte mit so wenig wie möglich und so viel wie nötig auskommen. Das fängt beim Betriebssystem an, auf welchem man nicht standardmässig mit Vollzugriff arbeiten soll und zieht sich weiter in den Facebook Business Manager, in dem nur diejenigen Adminzugriff benötigen, welche andere User verwalten sollen. Umso mehr Benutzer erweiterte Berechtigungen haben, umso mehr Sicherheitslücken und Risiken entstehen.

Viele denken, dass das Internet ein geregelter Ort ist – ein Happy Place, in welchem man Spass hat und sich keine Sorgen machen muss. Leider ist es aber eher ein wilder Dschungel, in dem alles erlaubt ist, was möglich ist. Die Strafverfolgung ist aufgrund der Verschleierung und erschwerter Nachverfolgung umso schwieriger.

Uneingeschränkter Zugriff sollte nur dann erteilt werden, wenn:

  • Seiten: Jemand eine Seite verwaltet und in den Seiteneinstellungen etwas ändern muss.
  • Werbekonten: Jemand Zahlungsmittel oder die Einstellungen vom Werbekonto verwalten muss.
  • Business Manager: Jemand Benutzer oder den Business Manager verwalten muss.

Tipp 5: Starke Passwörter verwenden

Oft werden Passwörter verwendet, welche sehr schwach und einfach zu erraten sind. Im Folgenden werden einige Beispiele aufgeführt, welche möglichst vermieden werden sollten:

  1. Sarah1994? (Name der Freundin, Geburtsjahr, Sonderzeichen)
  2. Dieci9500! (Name vom Unternehmen, Postleitzahl, Sonderzeichen)
  3. Hotelseeblick-2020 (Hotelname, Jahreszahl)

Passwörter müssen oft dann definiert werden, wenn man keine vorbereitet hat. Dies führt leider dazu, dass viele Menschen in diesem Moment nicht sehr kreativ sind und deshalb triviale Passwörter verwenden, um gerade knapp die Anforderungen zu erfüllen. Diese umfassen meist einen Gross- und Kleinbuchstaben, eine Zahl und Sonderzeichen.

Wenn man sich aber überlegt, wie einfach es heutzutage ist, Informationen mittels einer kurzen Social Media und Websuche über jemanden zu erlangen, muss man sich bewusst sein, dass Informationen über die Familie sowie den Wohn- und Arbeitsort meist ziemlich schnell herausgefunden werden können.

Deshalb sollten die folgenden Empfehlungen bei der Passwort-Definition berücksichtigt werden:

  1. Passwörter verwenden, welche schwierig zu erraten sind.
  2. Keine Passwörter mit einem persönlichen oder geschäftlichen Bezug verwenden. Keine Namen von Familienmitgliedern, Postleitzahlen, Wohn- oder Arbeitsorten verwenden.

Fazit

Mit den hier behandelten Massnahmen, kann die Sicherheit mit wenig Aufwand massiv verbessert werden und somit können allfällige Schäden reduziert werden. Das einzige Störende dabei ist, dass man beim Business Manager zurzeit jeweils nach einem Tag den 2FA-Code eingeben muss, die paar Sekunden Zeit sollte man sich aber nehmen, damit man dafür ruhiger schlafen kann.

Facebook Instagram Twitter LinkedIn Xing TikTok

Kommentar via Facebook

Bitte akzeptieren Sie die Cookies um die Facebook Kommentare zu nutzen.

Schreib uns einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kennst Du schon unsere wöchentlichen Newsletter?

Facebook & Instagram   LinkedIn