Ein universeller Zugang zu den Weiten des Web

Was VeriSign, Microsoft oder Google nicht geschafft haben, könnte Facebook gelingen: eine Art „Personalausweis“ für das Internet zu etablieren. Ist Facebook Connect aber den Sicherheitsanforderungen gewachsen?

Scheinbar unaufhaltsam wandelt sich Facebook von einem sozialen Netzwerk zu einer kritischen Infrastruktur im Internet. Und das nicht nur für den Austausch mit anderen Nutzern, sondern auch bei der Authentifizierung: Über eine Million Webseiten bieten inzwischen die Möglichkeit an, sich mittels des „Connect“-Buttons über den eigenen Facebook-Zugang bei ihnen einzuloggen. Dazu gehören so unterschiedliche Anbieter wie CNN, Youtube, Bild oder Lufthansa. Und zahlreiche weitere Online-Angebote dürften in Kürze auf den Connect-Zug aufspringen.

Wie es aussieht, könnte sich das im Juli 2008 eingeführte System in diesem Jahr als De-facto-Standard etablieren – und damit das schaffen, was VeriSign, Microsoft, Yahoo oder Google nicht gelungen ist: eine Art „Personalausweis“ für das Internet zu werden. Dass das Internet eine eigene „Identitätsschicht“ gebrauchen könnte – ein einheitliches Protokoll für die Authentifizierung von Nutzern –, wird unter IT-Sicherheitsexperten schon seit längerem debattiert.

Mehrere Faktoren sprechen dabei für Facebook Connect. Zum einen kann man in dem Netzwerk ohne persönliche Registrierung nur rudimentäre Inhalte einsehen. Je mehr Freunde und Bekannte dort online sind, desto größer wird der Druck, sich selbst auch zu registrieren. Zum anderen schreiben die allgemeinen Geschäftsbedingungen von Facebook vor, dass Nutzer „reale Namen und Informationen“ angeben. Tatsächlich hat Facebook schon Konten mit offensichtlich falschen Namen oder von fiktiven Personen gelöscht.

Und schließlich investieren Facebook-Nutzer eine Menge Zeit und Inhalte in ihre Konten. All die Fotos, Statusmeldungen und Verbindungen zu anderen sorgen dafür, dass Nutzer in der Regel eine langfristige Verbindung mit dem sozialen Netzwerk eingehen.

Weil Facebook auf einer realen Identität besteht, könnte es mit Connect auch eines der drängendsten Probleme im Netz lösen: die drastische Zunahme an Nutzernamen und Kennwörtern, die überall im Web verlangt werden.

Dabei geht es den Webseitenbetreibern häufig gar nicht um eine reale Identität, sondern nur darum, das Verhalten der Nutzer im weiteren Verlauf verfolgen zu können. Online-Medien etwa wollen auf diese Weise Kommentare zuordnen und Spam beschränken können. Finanzdienstleister wiederum wollen ihren Kunden ermöglichen, vertrauliche und persönliche Informationen etwa zu Börsenkursen zu beobachten.

Wer sich dazu entschließt, Nutzer-Identitäten zu verwalten, geht allerdings ein Risiko ein. Dies bekam im vergangenen Monat der Blog-Aggregator Gawker Media schmerzlich zu spüren: Hacker knackten die Gawker-Server und luden dort über eine Million Nutzerkontendaten herunter. Zwar waren die Kennwörter verschlüsselt, doch in vielen Fällen ließen sie sich leicht erraten, wie eine Analyse von Sicherheitsforschern der University of Cambridge zeigte. Einige andere Dienste, darunter LinkedIn und Woot, forderten daraufhin ihre Nutzer in Rundmails auf, ihre Kennwörter zu ändern, falls diese identisch mit denen für Gawker sein sollten.

Mittels Facebook Connect kann nun jede Webseite die Identitätsinfrastruktur des Netzwerk-Riesen mit ihren Sicherheitsmaßnahmen nutzen. Ein paar Zeilen Code auf dem Server eingefügt, und schon taucht auf den Seiten der Button „Login with Facebook“ (oder einer ähnlichen Formulierung) auf. Jeder Besucher, der bereits bei Facebook angemeldet ist, muss nur noch auf den Button klicken, um die Anmeldung abzuschließen. Andernfalls werden kurz in einem eigenen Fenster Nutzername und Kennwort des Facebook-Kontos abgefragt.

Webseitenbetreiber sparen sich damit nicht nur ein eigenes Identitätsmanagement. Sie bekommen auch noch die Klarnamen ihrer Nutzer frei Haus, womöglich mit weiteren Informationen über deren Freunde und Vorlieben, die sie über den „Like“-Button bekundet haben. Noch ist die Nutzung von Facebook Connect kostenlos, doch der Netzwerk-Riese wird wohl über kurz oder lang Geld dafür verlangen.

Angesichts der Daten von einer halben Milliarde Nutzern muss sich Facebook aber sehr viel genauer mit Fragen der Netzsicherheit beschäftigen als andere Dienste. Umso mehr, als die Plattform inzwischen für immer mehr andere Zwecke eingespannt wird: So kündigte im November etwa eine neuseeländische Bank an, dass ihre Kunden künftig ihre Kontoinformationen auch über Facebook einsehen könnten. Sollte sich nun Connect als Standard etablieren, werden die Sicherheitsanforderungen noch weiter zunehmen.

Facebook hat allerdings schon vor längerer Zeit begonnen, seine Plattform möglichst sicher zu machen. Ein Beispiel ist das im vergangenen Jahr eingeführte „Einweg-Kennwort“. Wer sich von einem öffentlich zugänglichen Rechner in dem sozialen Netzwerk einloggt, weiß nicht, ob vielleicht seine Anschläge auf der Tastatur – und damit sein reguläres Kennwort – mittels Keylogging-Software aufgezeichnet werden. Facebook verschickt deshalb per SMS Kennwörter aufs Handy, die sich nur ein einziges Mal nutzen lassen. Um es anzufordern, muss man die Nachricht „otp“ an eine spezielle Mobilnummer – in den USA 32665, für „FBOOK“, in Deutschland 2665 – schicken. Schnüffler können mit dieser Information, wenn sie am Terminal eingegeben wird, nichts mehr anfangen.

Eine weitere Innovation ist, dass Nutzer in ihren Kontoeinstellungen eine Übersicht finden, in wie vielen Browsern und auf wie vielen Rechnern sie gerade auf Facebook angemeldet sind. Von jedem einzelnen Browser oder Gerät kann sich der Nutzer gleich in den Einstellungen abmelden – ohne direkt auf sie zugreifen zu müssen. Eine praktische Sache, wenn man vergessen hat, sich aktiv auf dem Rechner von Dritten auszuloggen. Facebook informiert auf Wunsch ebenfalls per SMS, wenn auf einem anderen Gerät auf das eigene Konto zugegriffen wurde. Bei einem unbekannten Rechner wäre es dann höchste Zeit, das Kennwort neu zu setzen.

Leider ist Facebook immer noch an zwei Punkten verwundbar – und damit noch nicht so sicher wie das Online-Banking: Zum einen verlässt sich das Netzwerk standardmäßig nur auf eine einzige Kombination von Nutzername und Kennwort, ohne zusätzliche Sicherheitsabfragen vorzunehmen. Angreifer könnten Nutzername und Kennwort also entweder auf einer anderen Seite abfangen oder durch wiederholtes, systematisches Raten herausfinden. „Wir haben Vorkehrungen gegen solche Brute-Force-Angriffe getroffen“, versichert aber Facebook-Sprecher Simon Axten. „Wenn wir zum Beispiel feststellen, dass es eine verdächtig hohe Zahl von Login-Versuchen für ein Konto gibt, blenden wir ein Captcha ein“. Captchas sind Bilddateien, deren Inhalt ein Nutzer in ein zusätzliches Feld eintippen muss. „Gegebenenfalls sperren wir auch den Zugang zum Konto.“

Ob es sich um einen Angriff handelt, schließe Facebook aus verschiedenen „Signalen“, sagt Axten. Dazu gehörten Ort und Rechner, von denen ein Zugriff auf ein Konto erfolge. „Wenn wir anhand dessen eine Anmeldung als Angriffsversuch markiert haben – selbst bei Eingabe korrekter Daten –, verlangen wir weitere Informationen zur Authentifizierung: etwa eine Sicherheitsfrage, die Eingabe eines per SMS verschickten Codes oder die Identifizierung von Facebook-Freunden auf entsprechend gekennzeichneten Fotos.“

Zum anderen setzt Facebook nur unverschlüsselte Cookies ein. Diese kleinen Dateien dienen eigentlich dazu, Facebook mitzuteilen, in welchem Webbrowser ein Nutzer eingeloggt ist. Durch sie können aber auch Kriminelle Zugriff auf ein Facebook-Konto erlangen. Denn während Kennwörter verschlüsselt übertragen werden, sind die Cookies in Klartext verfasst. Das ist solange kein Problem, wie die Cookies über verschlüsselte Verbindungen an die Facebook-Server übertragen werden. Nutzt man jedoch ein unverschlüsselt operierendes WLAN in einem Café, könnte ein Angreifer am selben Ort mittels Sniffer-Software das Cookie abfangen, auslesen und mit der darin enthaltenen Information auf das Facebook-Konto zugreifen.

Seit vergangenem Herbst ist dieses Ausschnüffeln leichter denn je: dank des Zusatzprogramms „Firesheep“ für den Firefox-Browser, das der Software-Entwickler Eric Butler aus Seattle veröffentlicht hat. Firesheep erstellt eine Liste aller Authentifizierungscookies, die „erschnüffelt“ worden sind: Mit einem Klick auf das dazugehörige Konto in der Liste kann man auf dieses zugreifen, ohne sich überhaupt einzuloggen.

Zurzeit hilft gegen das Cookie-Sniffing nur ein Einloggen über eine verschlüsselte Verbindung. Facebook bietet hierfür die Seite https://ssl.facebook.com an. Laut Axten wird der SSL-Server noch getestet, Facebook wolle diese Option aber „in den kommenden Monaten“ aktiv bewerben.

„Wir raten den Leuten immer, beim Senden und Empfangen über unverschlüsselte WLANs Vorsicht walten zu lassen“, fügt Axten hinzu. Die Herausforderung, vor der das Halbe-Milliarde-Netzwerk stehe, sei auf jeden Fall größer als die aller anderen Seitenbetreiber – Regierungen eingeschlossen. „Die Tatsache allerdings, dass weniger als ein Prozent aller Facebook-Nutzer je ein Sicherheitsproblem hatten, ist eine Leistung, auf die wir sehr stolz sind“, so Axten.

(nbo)