Facebook: Datenschutzlücke System mit Schnüffel-Lizenz

Ein kleiner Trick erlaubt es, über Facebook E-Mail-Kontakte von Fremden auszuschnüffeln. Die Lücke ist kein neuer Skandal - sie beweist jedoch einmal mehr, dass mangelnder Datenschutz Teil des Firmenkonzepts ist.

Von J. Kuhn

Der Heilige Gral, den Facebook-Gründer Mark Zuckerberg sucht, besteht aus einem dichten Geflecht: Einem Geflecht aus Beziehungen und Querverbindungen zwischen den Menschen rund um den Erdball, im Fachjargon "sozialer Graph" genannt.

Bei 500 Millionen Facebook-Nutzern weltweit, die ihre Freunde aus dem echten Leben hinzufügen und mit ihnen über die Server der Firma interagieren, besitzt Zuckerberg bereits jetzt die größte Datenbank über die Online-Vernetzung der Menschheit. Eine Recherche der Frankfurter Allgemeinen Sonntagszeitung (FAS) ruft ins Gedächtnis zurück, dass dabei längst auch Nicht-Mitglieder von Facebook Teil des sozialen Graphen sind.

Die FAS-Autoren hatten sich dabei zwei problematische Datenschutzregelungen von Facebook zunutze gemacht: Erstens: Wer sich bei Facebook registriert, kann auch ohne Bestätigung der E-Mail-Adresse Freundesanfragen senden. So hatte sich jüngst der US-Technologieblogger Michael Arrington unter der E-Mail-Adresse von Google-Chef Eric Schmidt bei Facebook registriert und fleißig Freunde aus der IT-Branche hinzugefügt.

Zweitens: Facebook-Nutzer besitzen die Möglichkeit, ihre E-Mail-Kontakte mit der Mitgliederliste des Netzwerks abzugleichen. Hierfür geben sie Facebook einmalig Zugriff auf das Adressbuch ihres E-Mail-Kontos. Was viele Nutzer nicht wissen: Die Software gleicht nicht nur die Kontakte ab, sondern speichert alle Adressen auf den Servern des Unternehmens. Deshalb erhalten neue Mitglieder oftmals sofort passende Freundschaftsvorschläge: Ihre E-Mail-Adresse ist bereits erfasst und mit registrierten Mitgliedern in Verbindung gebracht.

Die Journalisten gingen im Wissen um diese Lücken folgendermaßen vor: Sie legten ein neues Fantasieprofil an und nutzten dafür die E-Mail-Adresse einer Frau, die noch nicht bei Facebook registriert war. Sofort nach der Registrierung erhielten sie 20 Kontaktvorschläge von möglichen Freunden: 18 davon kannte die Frau tatsächlich. Offenbar hatten diese Nutzer ihre E-Mail-Adressbücher mit Facebook synchronisiert - und damit auch die von den Autoren benutzte Adresse der Frau auf die Servers des Unternehmens geladen.

Neue Form der sozialen Spionage

In der Praxis öffnet dies einer neuen Form der sozialen Spionage die Tür: Wer noch nicht bei Facebook angemeldet ist, muss befürchten, dass seine E-Mail-Adresse nun von Fremden verwendet werden kann, um einen Einblick in die Kontakte zu erhalten. Bundesverbraucherschutzministerin Ilse Aigner (CSU) nennt dies in der FAS "grotesk", der Hamburger Datenschutzbeauftragte Johannes Caspar spricht von einer Datenerhebung "hinter dem Rücken von Betroffenen".

Die Spionage-Methode hat allerdings Grenzen: So erhält der Inhaber des Kontos eine Bestätigungsmail, in der er die Registrierung als Datenmissbrauch melden kann - in der Regel dürfte zumindest Privatnutzern mit einem normalen E-Mail-Aufkommen eine solche Nachricht auffallen. Solange die E-Mail-Adresse nicht bestätigt ist, können Nutzer auf die meisten Funktionen nicht zugreifen und beispielsweise keine Nachrichten versenden.Auch kann der Facebook-Spion von den Namen der Kontakte keine Rückschlüsse daraus ziehen, ob es sich um Geschäftspartner, Freunde oder gar den Verlobten handelt, Kontaktdaten wie E-Mail-Adresse oder Handynummer bleiben bis zur Annahme der Freundschaftsanfrage geheim.

Fragen an Facebook

Dennoch muss sich Facebook einige Fragen gefallen lassen: Die Möglichkeit, die Plattform auch ohne Bestätigung der E-Mail-Adresse nutzen zu können, erleichtert zwar Neu-Mitgliedern den Start - wenn sie jedoch Fremden sensible Daten preisgeben könnte, steht dieser Komfort in keinem Verhältnis zum möglichen Schaden. Verwunderlich ist zudem, dass das Unternehmen auf die Schmidt-Imitation von Techcrunch-Autor Arrington trotz dessen Bitte um ein Statement nicht reagierte. In den kommenden Tagen wird Facebook sich zu dieser Lücke äußern und sie gegebenenfalls schließen müssen.

Die Synchronisation des Facebook-Accounts mit den Daten aus dem E-Mail-Adressbuch per se ist einmal eine sinnvolle Funktion: Heutzutage ermöglicht jeder E-Mail-Anbieter bei der Konto-Erstellung, die Daten aus einem anderen Adressbuch zu importieren, um diese nicht mühsam per Hand kopieren zu müssen. Facebook macht allerdings nicht klar, dass es diese Daten speichert, um den sozialen Graphen zu füttern. Eine Möglichkeit zur Löschung der importierten Informationen gibt es - sie ist jedoch weit hinten in den Einstellungen zur Privatsphäre versteckt.

Ob und wie stark Facebook Datenschutz-Bedenken künftig Rechnung tragen wird, ist unklar. Zwar gab das Unternehmen seinen Mitglieder in den vergangenen Monaten mehr Kontrolle über ihre Privatsphäre, Datenschutzprobleme werden im Silicon Valley jedoch immer noch als Kollateralschäden beim Sammeln von Informationen wahrgenommen. So twitterte Google-Chef Schmidt, er sei zufrieden, dass Arrington sich bei Facebook für ihn ausgebe. "Mal sehen, wie er mit allem fertig wird", schrieb er.

In Deutschland dürfte er für eine solche Aussage wenige Lacher ernten.