01.04.2021 Sicherheit & Privatsphäre

Facebook: Sicherheitsempfehlungen – Teil 1

Wenn man sich Gedanken darüber macht, wie man seinen Umgang am Rechner und vor allem auf Facebook sicherer gestalten kann, dem soll dieser Blogartikel einige Tipps und Tricks mit auf den Weg geben. Insbesondere um unerwünschte Hackerattacken und damit verbundene Schäden zu minimieren. Diese Sicherheitsempfehlungen decken Grundlagen ab, wie man starke Passwörter definiert und verwaltet und gibt Empfehlungen über die Berechtigungsstufen von Facebook ab.

‎Dorian Kostanjsek
11 Min. Lesezeit
4 Kommentare

Sicherheit ist meistens so lange kein Thema, bis jemand Opfer von einem Angriff wird. Um Angriffen vorzubeugen und Sicherheitslücken zu minimieren, ist eine entsprechende Konfiguration und ein bewusster Umgang mit Daten und der Nutzung von Diensten unumgänglich. In diesem Artikel werden die wichtigsten Grundlagen betreffend sicherem Umgang mit Passwörtern, sowie Sicherheitsaspekten für Facebook und dessen Dienste behandelt.

1. Auswahl von einem guten Passwort

Dieser Abschnitt behandelt die Themen, was ein gutes und somit auch was ein schlechtes Passwort ist. Ausserdem gibt es Tipps dazu, wie starke Passwörter definiert werden können.

1.1 Was ist ein gutes Passwort?

Oft werden Passwörter verwendet, welche sehr schwach und einfach zu erraten sind. Im Folgenden werden einige Beispiele aufgeführt, welche möglichst vermieden werden sollten:

  1. Sarah1994? (Name der Freundin, Geburtsjahr, Sonderzeichen)
  2. Dieci9500! (Name vom Unternehmen, Postleitzahl, Sonderzeichen)
  3. Hotelseeblick-2020 (Hotelname, Jahreszahl)

Passwörter müssen oft dann definiert werden, wenn man keine vorbereitet hat. Dies führt leider dazu, dass viele Menschen in diesem Moment nicht sehr kreativ sind und deshalb triviale Passwörter verwenden, um gerade knapp die Anforderungen zu erfüllen. Diese umfassen meist einen Gross- und Kleinbuchstaben, eine Zahl und Sonderzeichen.

Wenn man sich aber überlegt, wie einfach es heutzutage ist, Informationen mittels einer kurzen Social Media und Websuche über jemanden zu erlangen, muss man sich bewusst sein, dass Informationen über die Familie sowie den Wohn- und Arbeitsort meist ziemlich schnell herausgefunden werden können.

Deshalb sollten die folgenden Empfehlungen bei der Passwort-Definition berücksichtigt werden:

  1. Passwörter verwenden, welche schwierig zu erraten sind.
  2. Keine Passwörter mit einem persönlichen oder geschäftlichen Bezug verwenden. Keine Namen von Familienmitgliedern, Postleitzahlen, Wohn- oder Arbeitsorten verwenden.

1.2 Wie kann ich ein gutes Passwort definieren?

Wenn man gerade nicht kreativ ist, kann es helfen sich im Raum oder in seinen Gedanken umzusehen, um nach Inspirationen zu suchen, welche nicht so einfach in Verbindung gebracht werden können.
Ein Beispiel: Es kann das Modell vom Keyboard vor einem verwendet werden und in Kombination mit der Marke vom T-Shirt, das man trägt, gebracht werden. Das würde etwas wie “volcomMPK49.” ergeben.
Wenn man dies noch etwas erweitert, können Buchstaben durch andere Zeichen ersetzt werden und man würde etwas wie “v0Lc0m-MPK+49:)” erhalten.
Eine andere Möglichkeit ist die Verwendung von Mustern. Die Gängigsten sind “qwertz” oder “asdf”, welche nicht verwendet werden sollten.
Aber wenn man z.B. “3edc8ik,” (alle Zeichen von beiden Mittelfingern) verwendet, hat man auch eine gute Basis, die man mit weiteren Zeichen verstärken kann.

2. Sichere Ablage und Austausch von Passwörtern

Ein sicheres Passwort zu definieren ist nur ein kleiner Schritt zu mehr Sicherheit. Eine sichere Ablage der Zugangsdaten und ein bewusster Austausch sollten nicht vernachlässigt werden. Denn ein gutes Schloss nützt einem nichts, wenn der Schlüssel unter der Fussmatte liegt.

2.1 Passwort Ablage

Leider sieht man immer wieder sehr bequeme und ungünstige Ablageorte von Zugangsdaten.

Wenn man von vorne anfängt, ist eine der sichersten Ablagen, die auf Papier an einem gut versteckten Ort. Ein gut versteckter Ort ist dabei nicht unter der Tastatur oder in der Nähe vom Arbeitsplatz. Das Niederschreiben auf Papier ist jedoch nur für komplexe Masterpasswörter zu empfehlen, auf welche später eingegangen wird.

Was in jedem Fall vermieden werden sollte, ist die Ablage von Zugangsdaten in unverschlüsselten Word-Dokumenten, Excel-Tabellen, Txt-Files oder ähnlichen Dateien. Wenn aus beliebigen Gründen ein Passwort-Finder auf ein Gerät oder Netzwerk kommt, durchsucht es alle erreichbaren Dateien und sammelt die Zugangsdaten, welche dann meist an den Angreifer zurückgesendet werden.

Für die Passwort Ablage wird die Nutzung von Passwort-Management Tools empfohlen, welche im Abschnitt 2.3 thematisiert wird.

2.2 Sicherer Austausch von Passwörtern

Nachdem behandelt wurde, wie sichere Passwörter generiert und bislang nicht abgelegt werden sollten, folgt als nächster Schritt der sichere Austausch.

Weil Zugangsdaten regelmässig ausgetauscht werden müssen, zum Beispiel weil eine Person Accounts aufsetzt und diese dann anderen zur Verfügung stellen muss oder weil mehrere Personen mit demselben Account arbeiten, muss darauf geachtet werden, dass diese nicht abgefangen werden können.

Meistens werden Zugangsdaten per E-Mail ausgetauscht, was ziemlich gefährlich und unsicher ist. Hier kann man sich vorstellen, dass man seinen Autoschlüssel ein paar wildfremden Personen gibt, mit der Bitte, sie dem gewünschten Empfänger zu übergeben. Dabei hat man keinen Einfluss, was alle involvierten Zwischenstellen mit dem Schlüssel anstellen.

Heutzutage werden E-Mails meistens verschlüsselt versendet, was es schon schwieriger macht. Nichtsdestotrotz muss man sich bewusst sein, dass die Provider, welche für die Verschlüsselung verantwortlich sind, die durchgehenden Elemente auch entschlüsseln könnten.
Befindet man sich in einem öffentlichen WLAN, sollte man umso vorsichtiger mit Informationen umgehen, vor allem wenn es sich um unverschlüsselte Netzwerke handelt. Denn dort kann der Betreiber vom WLAN-Router mit ein bisschen technischem Wissen einfach Bit für Bit mitlesen und den ganzen Datenverkehr und somit auch Zugangsdaten oder Kreditkarten-Informationen abfangen.
Müssen sensible Daten ausgetauscht werden, sollten eine der folgenden Empfehlungen dabei berücksichtig werden:
  1. Versand über verschiedene Wege: Eine Aufteilung auf zwei Übertragungsmittel, zum Beispiel Benutzername per E-Mail und Passwort, per SMS/Whatsapp/Viber/etc. Hierdurch kann die Sicherheit bereits massiv erhöht werden.
  2. Verschlüsselter Versand: Bei mehreren Datensätzen kann eine verschlüsselte Datei hilfreich sein. Dateien lassen sich unter anderem mit Archiv-Tools wie 7-Zip verschlüsseln, wobei das Verschlüsselungspasswort entsprechend dem Empfänger mitgeteilt werden muss. Hier wäre die beste Methode, das Passwort persönlich ohne irgendwelche Zwischenstationen zu übergeben. Bei globaler Zusammenarbeit kann dies jedoch etwas schwierig werden. Man ist verhältnismässig sicher unterwegs, wenn man es sich am Telefon oder per SMS mitteilt.
Screenshot 7-ZIP

Screenshot 7-ZIP

Kurz zusammengefasst sollte man sich merken, dass sensible Daten nie über einen Kanal (vor allem E-Mail) gesammelt versendet werden sollten.

2.3 Nutzung von Passwort-Management Tools

Passwort-Management Tools decken normalerweise die folgenden Funktionen ab:

  • Verschlüsselte Ablage von Daten, meist Zugangsdaten und Notizen für sonstige Daten.
  • Sicherer Zugriff durch ein Master-Passwort.
  • Passwort-Generator für die Erstellung komplexer Passwörter.
  • Gruppierungs- und Suchfunktion, was vor allem bei einer hohen Anzahl an Daten hilfreich sein kann.
Um kurz zwei Beispiele vorzustellen, gibt es die kostenlose Lösung mit KeyPass. KeyPass arbeitet mit einer kdbx-Datenbank, welche in einem Speicherort abgelegt werden kann. Wenn mehrere Benutzer auf dieselben Zugangsdaten zugreifen können, kann die Datenbank entsprechend auf einem Netzwerk- oder Cloudspeicher bzw. einem Server abgelegt werden, damit sie für alle erreichbar ist, die Zugriff haben sollten. Bei der Einrichtung muss ein Masterpasswort definiert werden, welches für das Öffnen der Datenbank und somit den Zugriff auf die Daten erforderlich ist. Das Masterpasswort sollte, wie unter Abschnitt 1.2 behandelt, eine entsprechende Komplexität mit sich bringen und über sichere Wege ausgetauscht werden. Schlussendlich ist der Grundgedanke, dass man sich nur noch das Masterpasswort merken muss und dieses dafür umso komplexer sein sollte.
Screenshot KeyPass

Screenshot KeyPass

Bei KeyPass gibt es leider kein Berechtigungssystem. Das heisst, dass jeder der Zugriff hat, alle Daten sehen kann. Wenn man eine Gruppe an Daten mit anderen teilen und gleichzeitig eine andere Gruppe für sich privat nutzen will, kann dafür aber eine zweite Datenbank erstellt werden.

Geht es um etwas komplexere Berechtigungssysteme, können erweiterte Passwortmanagement-Tools wie RoboFrom eingesetzt werden, welche zu einem fairen Preis erhältlich sind und die folgenden, zusätzlichen Funktionen anbieten:

  • Berechtigungssystem, um zu definieren, welcher User welches Verzeichnis mit welchen Daten verwenden kann.
  • Synchronisierung der Daten, was mögliche Sicherheitslücken über Austausch eliminiert.
  • Sicherheitscenter mit Score der jeweiligen Benutzer.
  • Mobile-App, damit die Daten auch unterwegs vorhanden sind.
  • Richtlinien für beispielsweise 2-Faktor-Authentifizierung.
Screenshot Report Security Score RoboForm

Screenshot Report Security Score RoboForm

3. Sicherheit und Autorisierungs-Stufen

Nachdem die Grundlagen behandelt wurden, stehen als nächstes weitere Sicherheitsaspekte sowie die Autorisierungsstufen von Facebook auf dem Programm. 

3.1 Allgemeine Sicherheitsempfehlungen

Grundsätzlich ist jede Berechtigung und der daraus resultierende Zugriff ein potentielles Sicherheitsrisiko. Deshalb sollte jede Berechtigung hinterfragt werden und man sollte mit so wenig wie möglich und so viel wie nötig auskommen. Das fängt beim Betriebssystem an, auf welchem man nicht standardmässig mit Vollzugriff arbeiten soll und zieht sich weiter in den Facebook Business Manager, in dem nur diejenigen Adminzugriff benötigen, welche andere User verwalten sollen. Umso mehr Benutzer erweiterte Berechtigungen haben, umso mehr Sicherheitslücken und Risiken entstehen.

Viele denken, dass das Internet ein geregelter Ort ist – ein Happy Place, in welchem man Spass hat und sich keine Sorgen machen muss. Leider ist es aber eher ein wilder Dschungel, in dem alles erlaubt ist, was möglich ist. Die Strafverfolgung ist aufgrund der Verschleierung und erschwerter Nachverfolgung umso schwieriger.

Uneingeschränkter Zugriff sollte nur dann erteilt werden, wenn:

  • Seiten: Jemand eine Seite verwaltet und in den Seiteneinstellungen etwas ändern muss.
  • Werbekonten: Jemand Zahlungsmittel oder die Einstellungen vom Werbekonto verwalten muss.
  • Business Manager: Jemand Benutzer oder den Business Manager verwalten muss.
In den folgenden Abschnitten wird auf die Autorisierungsstufen von Facebook mit Empfehlungen eingegangen. Dabei muss beachtet werden, dass sich die Rollen auf Facebook mit der neuen Page Experience leicht ändern – prinzipiell sind sie aber sehr ähnlich geblieben.

3.2 Rollen für Facebook Seiten

Facebook Seiten bieten aktuell die folgenden Rollen an:
Eingeschränkter Zugriff
  • Inhalt veröffentlichen
  • Nachrichten und Kommentare moderieren
  • Werbeanzeigen erstellen
  • Seiten-Performance ansehen
  • Insights zu Einnahmen ansehen
Uneingeschränkter Zugriff
  • Seite verwalten

Für den eingeschränkten Zugriff ist zu beachten, dass wenn man die Berechtigung erhält, um Inhalte zu veröffentlichen, man automatisch auch alle darunterliegenden Berechtigungen erhält. Beispielsweise um Nachrichten und Kommentare zu moderieren und um Werbeanzeigen zu erstellen. Sofern die Berechtigung vorhanden ist, um Werbeanzeigen zu erstellen, kann gleichzeitig auch die Seiten-Performance angesehen werden. Es ist zurzeit nicht möglich, dass man Inhalte veröffentlichen aber keine Werbeanzeigen erstellen kann.

Meistens trifft man die folgenden Personas an:

  1. Publisher: Diese Personen veröffentlichen Beiträge und moderieren Inhalte. Erforderliche Berechtigung: Inhalt veröffentlichen.
  2. Moderator: Bei grösseren Konstrukten kann es sinnvoll sein, dass gewisse Personen nur moderieren und kommentieren, aber nicht selbst veröffentlichen sollen. Erforderliche Berechtigung: Nachrichten und Kommentare moderieren.
  3. Werbetreibende: Damit Werbetreibende Anzeigen erstellen können, benötigen sie neben einem Werbekonto (folgt im nächsten Abschnitt) auch die folgende Berechtigung: Werbeanzeigen erstellen.

3.3 Rollen für Werbekonten

Die Rollen für Werbekonten ähneln den Rollen für Seiten und bieten die folgenden Möglichkeiten:
Eingeschränkter Zugriff
  • Kampagnen verwalten
  • Performance ansehen
  • Verwalten von Mock-ups im Creative Hub
Uneingeschränkter Zugriff
  • Werbekonto verwalten
Um Werbung zu schalten, benötigt man die Berechtigung “Kampagnen verwalten”. Wenn man aber keine Kampagnen schaltet, sondern nur Auswertungen erstellen möchte, ist es ausreichend, wenn man die Performance ansehen kann. So kann bei einem Hackerangriff vorgebeugt werden, dass böswillige Ads geschaltet werden. 
Das Werbekonto müssen nur diejenigen verwalten, welche die Zahlungsmittel verwalten oder Einstellungen am Werbekonto vornehmen müssen.

3.4 Rollen für Instagram Accounts

Leider hinkt Instagram noch etwas hinterher und bietet keine Rollen und Berechtigungen. Instagram Accounts erfordern einen Benutzernamen und Passwort, was dazu führt, dass ein Austausch der Zugangsdaten unumgänglich ist, sobald mehrere Benutzer mit einem Account arbeiten sollen. Deshalb sollten hier die Empfehlungen betreffend dem Austausch der Informationen berücksichtigt werden.

3.5 Rollen im Business Manager

Der Business Manager, was als Treppenhaus zu den einzelnen Elementen wie Seiten, Werbekonten und vielen weiteren Elementen angesehen werden kann, ist der Knotenpunkt und sollte dementsprechend mit der grössten Vorsicht verwaltet werden.

Der Business Manager bietet die folgenden Unternehmensfunktionen an, welche zugewiesen werden können:

  • Mitarbeiterzugriff
  • Administratorzugriff
  • Zahlungsanalyst (Optional zum Mitarbeiter- oder Administratorzugriff)
  • Zahlungseditor (Optional zum Mitarbeiter- oder Administratorzugriff)
  • Entwickler (Optional zum Mitarbeiter- oder Administratorzugriff)

Wer einen Mitarbeiterzugriff hat, kann sich keine Berechtigungen auf die Elemente zuweisen, sondern kann nur die Aktivitäten durchführen, welche ihm zugewiesen wurden. Diese Berechtigung sollte für die meisten Benutzer der Standard sein.

Administratorzugriff sollte sparsam erteilt werden, weil mit dieser Berechtigung alles möglich ist. Somit gilt zu berücksichtigen, dass wenn ein Administatorzugriff gehackt wurde, entsprechend die Werbekonten für missbräuchlichen Gebrauch genutzt oder Seiten abgezogen werden können. Business Manager mit einem hohen Werbevolumen können innerhalb kürzester Zeit hohe Beträge verlieren – neben dem Verlust der über längere Zeit aufgebauten Seiten.

Zahlungsanalysten können Finanzdaten wie Kreditkartenabbuchungen und Rechnungen betrachten.

Zahlungseditoren können darüber hinaus noch Zahlungsmethoden verwalten.

Entwickler haben die Möglichkeit, Conversions API aufzusetzen, Applikationen zu bearbeiten, System User zu verwalten und Access Tokens zu erstellen.

Wenn mit Dritt-Tools gearbeitet wird, wie zum Beispiel Social Media Management oder Reporting Tools, benötigt man meistens uneingeschränkten Zugriff auf die Elemente, welche verbunden werden sollten. Hier muss das jeweilige Unternehmen abwägen, ob es die Berechtigungen erteilen will oder ein paar zentrale Personen definiert, welche die Verbindungen herstellen und verwalten. Mehr zu solchen Verbindungen und Integrationen sind im folgenden Artikel nachzulesen: Funktionsweise und Handhabung der Business-Integrationen

Fazit

Wer diese Sicherheitsempfehlungen umsetzt, kann Risiken und daraus resultierende Schäden bereits sehr stark minimieren. Um sich optimal zu schützen, gibt es aber noch einige weitere Massnamen, allen voran die 2-Faktor-Authentifizierung – kurz 2FA. Diese, sowie einige spannende Beispiele über mögliche Attacken und Schäden sind Bestandteil vom zweiten Teil der Sicherheitsempfehlungen, welcher im April 2021 veröffentlicht wird.

Lese mehr unter Facebook: Sicherheitsempfehlungen – Teil 2

Höre mehr unter Podcast: Sicherheitsempfehlungen für Personen mit Zugriff auf die Social Accounts

Facebook Instagram Twitter LinkedIn Xing TikTok

Kommentar via Facebook

Bitte akzeptieren Sie die Cookies um die Facebook Kommentare zu nutzen.

Schreib uns einen Kommentar

Comments are closed.

Möchtest Du immer auf dem neusten Stand mit unseren Newsletter sein?

Melde Dich jetzt an