Facebook: Wie sich Unternehmen und Mitarbeiter durch Brand Safety und Security-Massnahmen schützen können

Die COVID-19-Pandemie hat zu massiven Veränderungen in der Welt geführt, einschliesslich einer Beschleunigung von Homeoffice und einer Zunahme der Zeit, die Menschen online verbringen. Diese Veränderungen haben auch zu einer Zunahme von Cyberkriminalität und betrügerischen Aktivitäten im Internet geführt. Angreifer nutzen Social-Engineering-Techniken wie Phishing oder die Aufforderung, bösartige Apps oder Software von Drittanbietern herunterzuladen. Die Absicht ist, Facebook-Anmeldedaten zu stehlen, wodurch die Angreifer Zugriff auf diese Tools erhalten. Dies sind gängige Techniken, die Angreifer bei vielen Online-Diensten und Plattformen einsetzen, nicht nur bei Facebook und Instagram.

Die Informationen und die Sicherheit der Menschen zu schützen, ist die wichtigste Verantwortung, die Facebook hat. Das Team arbeitet rund um die Uhr daran, Betrug zu erkennen und zu verhindern, Daten zu schützen und die Sicherheit der Systeme zu gewährleisten. Die Plattform möchte sicherstellen, dass die Menschen Massnahmen ergreifen, um all ihre Profile und Zugangsdaten sicher zu halten. Nur so können die Seiten und der Business-Manager vor fremden Zugriff geschützt werden.

Dabei gibt es nicht nur allein die Brand Safety-Kontrollen, in welchen bestimmte Anpassungen zum Schutz der eigenen Marke vorgenommen werden können. Auch im Business-Manager und im Hinblick auf Konten und Profile können vor allem Unternehmen und deren Mitarbeiter eigenständig Massnahmen anwenden, welche zu noch mehr Sicherheit beitragen. Dieser Artikel beinhaltet ebenfalls Tipps, welche direkt von der Plattform selbst veröffentlicht wurden.

Brand Safety-Kontrollen

In den Brand Safety-Kontrollen können Werbetreibende verhindern, dass ihre Werbeanzeigen in Zusammenhang mit Content ausgespielt werden, der für ihre Marke nicht effektiv oder sogar schädlich ist. Diese Kontrollen kann jeder Werbetreibender für sich und sein Unternehmen speziell für jedes Werbekonto vornehmen. Vorgenommene Anpassungen werden auf die bestehenden und auf zukünftige Kampagnen übernommen. Dabei ist zu beachten, dass diese Kontrollen zwar jederzeit stärker eingeschränkt werden können, es jedoch nicht mehr möglich ist, diese weniger einzuschränken. Dabei gibt es einige Hebel, welche man als Werbetreibender in den Kontrollen in Bewegung setzen kann.

Content-Filter

Anhand des Content-Filters, können Marketer die Art des Contents kontrollieren, in welchem die Werbeanzeigen in den Facebook Platzierungen Instant Articles, Facebook In-Stream-Videos und Audience Network erscheinen. In diesen Platzierungen kann jeweils unter den Einstellungen «Vollständiger Bestand», «Standardbestand» und «Eingeschränkter Bestand» ausgewählt werden.

• Vollständiger Bestand: Mit dieser Filtereinstellung kann die grösste Reichweite erzielt werden. Hier werden Inhalte ausgeschlossen, welche nicht für die Monetarisierung geeignet sind.
• Standardbestand: Dieser Filter wird von Anfang an in jedem Werbekonto angewendet. Hier werden zwar sensible Inhalte ausgeschlossen, zudem wird eine grosse Reichweite erzielt.
• Eingeschränkter Bestand: Hierbei wird die Reichweite gesenkt, indem alle moderaten und auch sensiblen Inhalte ausgeschlossen werden. Das kann zudem die Kosten erhöhen.

Eine detaillierte Auflistung der einzelnen Filter und deren Richtlinien in den Platzierungen kann man sich in den Content-Filtern anzeigen lassen.

Mögliche Filtereinstellungen für In-Stream-Videos und Instant Articles. (Quelle: Facebook Business – Brand Safety)

Mögliche Filtereinstellungen für das Audience Network. (Quelle: Facebook Business – Brand Safety)

Blockierlisten

Anhand von Blockierlisten können Werbetreibende steuern, dass ihre Werbeanzeigen nicht an Orten präsentiert werden, welche schädlich für die eigene Marke sein könnten. Da solche Listen die Reichweite natürlich einschränken, sollten wirklich nur die Orte angegeben werden, an welchen die Anzeigen nicht geschaltet werden sollen.

Dabei handelt es sich um eine URL-Liste (im CSV- oder TXT-Datei Format) von z.B. Webseiten, Apps oder auch Seiten im Audience Network, In-Stream Videos, IGTV oder Instant Articles. Bei der Erstellung der Liste ist es vollkommen ausreichend, wenn man nur die Top-Level-Domains mit aufnimmt. Subdomains einer Webseite werden dann automatisch auch blockiert. Zu beachten ist, dass pro File die Länge der Einschränkungen nicht mehr als 10’000 Zeilen betragen darf. Diese Liste kann für alle Videos greifen, oder nur für eine bestimmte Videoauswahl.

Hier im Business Manager können ausschliesslich Seitenadministratoren die Blockierlisten verwalten, erstellen und hochladen.

Für alle Werbetreibenden, welche bereits beim Hochladen einer zu grossen Blockierliste gescheitert sind, Achtung Geheimtipp! Das sind die aktuellen Obergrenzen für Blockierlisten:

• 54’000 Publishers für In-Stream
• 5’400 Publishers für Instant Articles
• 54’000 Publishers für das Audience Network Native, Banner und Interstitial
• 16’200 Publishers für Rewarded Video im Audience Network

Pro Blocklist dürfen wie erwähnt maximal 10’000 Publisher enthalten sein. Es ist jedoch möglich, die Listen bis zur angeführten Obergrenze zu füllen und anschliessend mehrere Listen hochzuladen. Möchte man also als Unternehmen die Platzierungen nutzen, ist es also dringend empfehlenswert, eine Blockierliste hochzuladen, um die eigene Marke zu schützen.

Themen-Ausschlüsse

Bei der Verwendung von In-Stream-Videos können Unternehmen gewisse Themen-Ausschlüsse vornehmen. Dabei wird verhindert, dass die Ads in On-Demand-Videos zu diesen speziellen Themen ausgespielt werden. Facebook hat folgende Themen dazu definiert: Gaming, Nachrichten, Politik und religiöse/ spirituelle Inhalte.

Themen-Ausschlüsse. (Quelle: Facebook Business – Brand Safety)

Livestreams von Gaming-Partnern ausschliessen

Unternehmen lassen oftmals ausser Acht, dass ihre Ads in der In-Stream-Video-Platzierung auch in Livestreams von Gaming-Partnern erscheinen können. Durch das Haken setzen bei «Alle Live-Streams ausschliessen» kann dies verhindert werden. Somit kann eine noch genauere Kontrolle der zu erscheinenden Platzierungen vorgenommen werden. Werbetreibende können diesen Ausschluss im Werbeanzeigenmanager direkt beim Erstellen einer Anzeige oder im Business Manager für das gesamte Konto einstellen.

Livestream-Ausschlüsse. (Quelle: Facebook Business – Brand Safety)

Publisher-Positivlisten

Um die Kontrolle über die Auslieferung der Werbeanzeigen zu stärken, können Unternehmen eine Publisher-Positivliste erstellen, die festlegt, wo die Anzeigen eingeblendet werden sollen. Hierbei ist jedoch zu beachten, dass die Reichweite dabei stark eingeschränkt werden kann.

Hier kann eine Publisher-Positivliste erstellt werden.

Publisher-Listen

Die Publisher-Listen führen die Orte auf, in denen die eigenen Werbeanzeigen erscheinen könnten. Diese Listen werden täglich aktualisiert und unterteilen sich nach den Platzierungen In-Stream-Videos, Facebook Instant Articles, Audience Network und Instagram-IGTV.

Publisher-Lists der verschiedenen Platzierungen. (Quelle: Facebook Business – Brand Safety)

Hier können die Publisher-Listen eingesehen werden.

Publisher-Listen ansehen und herunterladen

In den Brand Safety-Kontrollen können die Publisher-Listen als CSV-Datei exportiert werden, um diese zu analysieren, zu sortieren oder zu filtern. Aufgrund dieser Auswertung können entsprechend die Blockierlisten und/oder die Publisher-Positivlisten erstellt und aktualisiert werden.

Publisher zu Blockierliste hinzufügen

Sind bei der Auswertung Publisher dabei, bei denen man als Unternehmen nicht erscheinen möchte, können diese entsprechend der Blockierliste hinzugefügt werden. Das kann anhand der genannten CSV-Datei oder durch einen Klick direkt auf den Publisher mit dem Button «Zur Blockierliste hinzufügen» erfolgen.

Wie funktioniert das Prüfverfahren für Apps, Webseiten & Facebook-Seiten?

Für Werbetreibende ist es nichts Neues. Facebook prüft bereits vor Schaltung der Werbeanzeigen diese im Hinblick auf die Gemeinschaftsstandards. Nicht selten kommt es dann vor, dass Anzeigen, welche noch nicht in einer Kampagne aktiv waren, plötzlich mit dem Status «Abgelehnt» ausgezeichnet werden. Es soll schliesslich nur Content auf Facebook und Instagram geteilt werden, welcher den Standards entspricht.

Auch Publisher durchlaufen eine kurze Prüfung, bevor hier eine Auslieferung von Werbung im Audience Network erfolgt:

1. Publisher müssen alle Seiten und Apps monetarisieren.
2. Das Business Integrity Team prüft dann alles und bewertet das im Hinblick auf Qualität und Markensicherheit.
3. Werden die Markensicherheitsstandards vom Publisher erfüllt, erhält dieser eine Genehmigung, sodass nun Werbeanzeigen aus dem Audience Network empfangen werden können.
4. Dabei werden Publisher fortlaufend geprüft, damit sichergestellt werden kann, dass alle Assets den Inhaltsrichtlinien entsprechen.
5. Damit Publisher auch einen Mehrwert für Werbetreibende schaffen, analysieren automatisierte Systeme von Facebook kontinuierlich solche Seiten.

Publisher, welche sich nicht sicher sind, ob sie den Audience Network-Richtlinien entsprechen, können sich hier weiter dazu informieren. Weiterhin müssen die Voraussetzungen der Monetarisierungsrichtlinien für Partner erfüllt werden, damit Publisher mit Facebook Geld verdienen können.

Hier gibt es genauere Informationen zur Monetarisierung der Seite und hier zur Monetarisierung der App.

Auslieferungsberichte

Die Kampagne läuft, doch wie kann man feststellen, wo die Werbeanzeigen ausgespielt wurden? Hier kommen die Auslieferungsberichte ins Spiel, welche während oder nach Laufzeit einer Kampagne angeschaut werden können. Das Auslieferungsfenster bezieht sich auf die letzten 30 Tage. Es handelt sich dabei um Platzierungen, in welchen die Werbeanzeigen innerhalb oder neben Content erschienen sind. Der Auslieferungsbericht zeigt an, ob und wie oft die Werbeanzeigen in Webseiten, Apps, In-Stream-Videos, IGTV oder auch auf Facebook-Seiten eingeblendet wurden. Entdeckt man hier eine nicht passende URL, kann man diese direkt auf die Blockierliste setzen. Dies ist dringend empfehlenswert für die Optimierung zukünftiger Kampagnen, da so im Vorhinein weitere Ausschlüsse in den Blockierlisten vorgenommen werden können.

Auslieferungsbericht für die Platzierung In-Stream-Videos. (Quelle: Facebook Business – Brand Safety Auslieferungsberichte)

Hier können die Auslieferungsberichte angeschaut werden.

Security Massnahmen im Business Manager

• Domains im Business Manager verifizieren: Damit Domains nicht missbräuchlich verwendet werden, müssen diese entsprechend verifiziert werden. Das sorgt dafür, dass ausschliesslich berechtigte Parteien eine Linkvorschau bearbeiten können, welche auf den jeweiligen Content verweist. Hier sind weitere Informationen zur Domainverifizierung zu finden.

• Eine geschäftliche E-Mail-Adresse nutzen: Im Business Manager und in den dazugehörigen Anzeigenkonten sollte immer eine geschäftliche E-Mail-Adresse hinzugefügt werden. Ausserdem sollte man seine E-Mails regelmässig auf Benachrichtigungen von Facebook prüfen. Hier ist eine Schritt-für-Schritt-Anleitung zu finden, wie die E-Mail-Adresse im Business Manager aktualisiert werden kann.

• Zwei-Faktor-Authentifizierung implementieren: Um die Sicherheit noch zu verstärken, sollte bei jeder Person, die mit dem eigenen Business Manager verbunden ist, die Zwei-Faktor-Authentifizierung eingerichtet werden. Auch Partner wie beispielsweise Agentur-Mitarbeiter sollten ebenfalls darauf hingewiesen werden, diese Authentifizierung bei sich einzusetzen. Dadurch wird die Person bei einer Anmeldung über ein anderes Gerät oder über einen anderen Browser dazu aufgefordert, einen entsprechenden Code einzugeben. Dieser Code kann über eine Authentifizierungs-App und/oder einer SMS zugestellt werden. Wir empfehlen hier die Verwendung beider Methoden, um die Sicherheit zu erhöhen. Facebook bietet an, Wiederherstellungscodes generieren zu lassen, welche für den Login verwendet werden können, falls das Telefon nicht zur Hand ist und man keine SMS oder App abrufen kann. Unter Konto à Einstellungen & Privatsphäre à Einstellungen à Sicherheit und Login kann die Zweistufige Authentifizierung für das eigene private Profil eingestellt werden. Business Manager Administratoren können festlegen, ob alle Administratoren oder sogar alle Personen in einem Business Manager die Zwei-Faktor-Authentifizierung zwingend eingerichtet haben müssen, um den Business Manager überhaupt nutzen zu können. Wir raten stark dazu, diese Sicherheitsstufe einzurichten, da im Worst-Case eines Hacks nicht nur das private Profil, sondern auch alle Assets des Business Managers in Gefahr sind.
  Hier ist aufgeführt, wie man diese Sicherheitsfunktion für den Business Manager aktivieren kann.

• Prüfen der Rechte und Rollen: Personen können im Business Manager verschiedene Rollen einnehmen und entsprechende Rechte zugeteilt bekommen. Mit dieser aufgabenbasierten Einteilung der Berechtigungen können Facebook-Informationen besser geschützt werden. Dabei sollte die Person jeweils die niedrigste Zugriffstufe zugewiesen bekommen, mit der die Person ihre Aufgabe ausführen kann. Hier sind weitere Informationen zu Rollen und Berechtigungen im Business Manager zu finden. Hier ist eine Übersicht über die verschiedenen Seitenrollen zu finden.

• Benachrichtigungen einschalten: Die geschäftliche E-Mail-Adresse, welche im Business Manager hinterlegt ist und für Aktualisierungsbenachrichtigungen zu Rollen, Anzeigenkonten und Anzeigenfreigaben verwendet wird, sollte regelmässig auf Neuigkeiten geprüft werden. Um das Ganze zu erleichtern, sollten die Benachrichtigungen dementsprechend eingeschaltet werden.

• Anzeigen und Ausgaben regelmässig überwachen: Es sollten wöchentlich alle aktiven Anzeigen und die Kontoabrechnungen überprüft werden, um sicherzustellen, dass alle Aktivitäten den Erwartungen entsprechen.

Wir empfehlen ausserdem, die Konten regelmässig zu überprüfen und zu aktualisieren, um die besten Praktiken zur Kontosicherheit aufrechtzuerhalten.

Security Massnahmen für Konten und Profile

• Security Checkup nutzen: Facebook bietet ein Tool zur Sicherheitsüberprüfung an, um das persönliches Facebook-Konto zu überprüfen und mehr Sicherheit zu gewährleisten.

• Autorisierte Logins für das Konto überprüfen: In den Sicherheits- und Anmeldeeinstellungen kann eingesehen werden, wo man angemeldet ist und prüfen, ob es unberechtigte Geräteanmeldungen für das Konto gibt.

• Anmeldeinformationen prüfen und downloaden: Es sollten regelmässig Details zu Geräten, Browsern, IP-Adressen und anderen Informationen überprüft werden, basierend darauf, wo und wann man sich angemeldet hat. Facebook bietet hier die Möglichkeit, die eigenen Informationen ganz einfach herunterzuladen. Darunter befinden sich auch Informationen zur Sicherheit und dem Login, welche einen Verlauf zu den An- und Abmeldungen und auch zur Dauer der Sitzung aufzeigen. Auch Geräte, welche für den Zugriff eingesetzt wurden, sind so ersichtlich und verhelfen über einen genauen Überblick. Hier können die eigenen Informationen heruntergeladen werden.

• Zugriff auf Konten prüfen: Mit dem Business Manager Security Center kann überprüft werden, ob alle Personen, welche einen Zugriff auf den Business Manager haben, die Zweistufige Authentifizierung eingerichtet haben. Falls das nicht der Fall ist, sollten diejenigen Personen dazu aufgefordert werden, die Authentifizierung bei sich zu aktivieren. Weiterhin kann hier die Unternehmensverifizierung eingesehen und ein Backup-Admin hinterlegt werden, falls der Haupt-Admin keinen Zugriff mehr auf das eigene Konto haben sollte.

• Vorsicht beim Herunterladen von Apps und Installieren von Webbrowser-Plugins: Angreifer können bösartige Webbrowser-Plugins und Apps verwenden, die versprechen, bei der Ausrichtung von Anzeigen zu helfen, um Geräte zu kompromittieren. Eine neue App oder ein Plugin, sollte überprüft werden, bevor es auf dem Gerät installiert wird. Hier ist aufgeführt, wie man bösartige Apps und Software erkennen und entfernen kann.

• Geräte auf Malware überprüfen: Apps und Browser-Plugins sollten regelmässig auf den Geräten überprüft werden. Solche, die nicht mehr verwendet werden, sollten entfernt werden. Hier können die Anzeichen eines infizierten Computers oder Geräts erkannt und nach bösartiger Software gescannt werden.

• Sicheres Passwort wählen: Es sollte ein Passwort gewählt werden, welches sonst nirgends zu genutzt wird. Dabei sollte es nicht die eigene E-Mail-Adresse, Telefonnummer oder das eigene Geburtsdatum enthalten. Wir empfehlen, sich das Passwort anhand eines Passwort-Generators erstellen zu lassen. Längere Passwörter sind meistens sicherer als kurze.

Weiteres über die Sicherheit im Business Manager ist hier zu finden.

Fazit

Da Facebook weiss, dass die Arbeit an der Sicherheit nie zu 100 % abgeschlossen ist, arbeiten die Teams jeden Tag an Innovationen und Iterationen, um neuen und sich entwickelnden Bedrohungen entgegenzuwirken. Die Sicherheitsfunktionen der Produkte und die Erkennungsmechanismen, mit denen Facebook bösartige Aktivitäten auf der Plattform identifizieren und verhindern kann, werden ständig verbessert. Ausserdem bietet die Plattform für Unternehmen eine grosse Menge an Sicherheitsmassnahmen, welche in den Brand Safety-Kontrollen eigenständig evaluiert und umgesetzt werden können. Um die eigene Werbung zielgerichtet, sicher und markengeschützt ausspielen zu können, empfehlen wir dringend den Einsatz der oben aufgeführten Massnahmen. Auch im Hinblick auf die Sicherheit der eigenen privaten Profile, und um fremde Zugriffe auf den Business Manager vermeiden zu können, sollten die oben erwähnten Massnahmen ergriffen werden. Vor allem für Werbetreibende, welche sowohl für die Markensicherheit nach aussen und auch für die Sicherheit des Business Managers verantwortlich sind, bietet Facebook genügend Hebel, welche eigenständig umgesetzt werden können.

Schreib uns einen Kommentar