Zum Inhalt springen

Umstrittener Identitäts-Cookie Facebook rechtfertigt seine Datensammelei

Ja, wir beobachten Nutzer auf anderen Websites. Aber wir tun das nur für die Sicherheit unserer eigenen Nutzer! Facebook reagiert auf die Kritik eine Datenschützers und erläutert erstmals detailliert, wie die Abwehr-Systeme des Netzwerks funktionieren.
Facebook: Die Firma speichert auf Rechnern von Nicht-Mitgliedern Identifikations-Dateien

Facebook: Die Firma speichert auf Rechnern von Nicht-Mitgliedern Identifikations-Dateien

Foto: TAN SHUNG SIN/ REUTERS

Facebook legt auf den Rechnern aller Nutzer, die einmal eine Facebook-Seite aufgerufen haben, Cookies mit einer solchen Identifikationsnummer ab. Muss Facebook wirklich Dateien mit eindeutigen Identifikationsnummern auf Computern von Mitgliedern und Nicht-Mitgliedern speichern, um sein Netzwerk vor Spam-Angriffen zu schützen?

Bislang hat Facebook diese Maßnahmen immer mit dem vagen Hinweis auf die Abwehr "böswilliger Aktivitäten" gerechtfertigt. An dieser Aussage zweifelt der hamburgische Datenschutzbeauftragte. Durch seine Anfang November veröffentlichte technische Analyse sah Johannes Caspar den Verdacht erhärtet, dass Facebook "Nutzungsprofile führt, bei denen die gesammelten Daten den Nutzern direkt zugeordnet werden". Wenn der Vorwurf stimmt, könnte Facebook protokollieren, wie Menschen andere Websites nutzen, auf denen Facebook-Dienste wie der Like-Button eingebunden sind.

Facebook wehrt sich gegen diese Bewertung. Arturo Bejar, der Technik-Chef des Unternehmens, versichert auf SPIEGEL ONLINE: "Die Informationen über Seitenbesuche - ganz gleich ob bei eingeloggten oder nicht-eingeloggten Nutzern - werden nicht fürs Werbetargeting verwendet. Wir nutzen diese Informationen nur für die Sicherheit."

Bejar hat auf SPIEGEL ONLINE erstmals genauer erläutert, wie Facebooks Sicherheitsmechanismen im Detail funktionieren und welche Rolle dabei verschiedene Cookies spielen.

600.000 missbräuchliche Login-Versuche am Tag

Das von Facebook intern "Delta" genannte Sicherheitssystem prüft bei jedem Login, ob ein Nutzerkonto von Dritten übernommen worden ist. Kriminelle, Spammer und Malware-Versender kommen nach wie vor an die Login-Daten von Facebook-Nutzern. Zum Beispiel durch Phishing-Angriffe - man tippt sein Passwort ein auf einer Seite, die nach Facebook aussieht, aber nicht Facebook gehört.

Wie auch immer Dritte an die Login-Daten kommen: Laut Technik-Chef Bejar verhindert das Delta-System jeden Tag im Durchschnitt 600.000 unrechtmäßige Logins von Dritten, die irgendwie an die Login-Daten von Mitgliedern gekommen sind. Dabei prüft das System die in Verbindung mit dem sogenannten Datr-Cookie gespeicherten Informationen. Dieses kleine Textdokument enthält eine eindeutige Identifikationsnummer. Facebook platziert es auf jedem Rechner, von dem aus Facebook aufgerufen wird. Die Datei bleibt standardmäßig für zwei Jahre auf dem betroffenen Rechner gespeichert.

Rechner-Identifizierung, vertrauenswürdiges Surfverhalten, Sicherheits-Profile - so wertet Facebook den Datr-Cookie aus.

Datr-Cookie verrät, ob jemand auf Reisen ist

Bei Login-Versuchen prüft Facebook in seiner Datenbank, von welchen IP-Adressen aus in der Regel ein Konto abgerufen wird und ob auf dem gerade benutzten Rechner ein Datr-Cookie liegt. Wenn ein Nutzer sich zum Beispiel immer von IP-Adressen in Deutschland aus bei Facebook einloggt und das Konto dann plötzlich von Nigeria aufgerufen wird, schlägt Facebooks Sicherheitssystem Alarm. Es sei denn, auf dem gerade genutzten Rechner liegt ein Datr-Cookie mit einer vertrauenswürdigen Geschichte. Vertrauenswürdig sind Browser mit einem Datr-Cookie, von dem aus Nutzer sich schon häufiger erfolgreich eingeloggt haben.

Die Logik dieses Systems: Es kann sein, dass jemand ihre Login-Daten über einen Phishing-Angriff geklaut hat. Aber es ist extrem unwahrscheinlich, dass dieser Kriminelle auch die Notebooks, Smartphones und Desktop-Rechner aller Phishing-Opfer geklaut hat.

Wenn jemand in Nigeria Urlaub macht und versucht, sich von einem neuen Rechner aus bei Facebook einzuloggen, kann er das mit etwas mehr Aufwand tun. Facebook fordert bei solchen verdächtigen Logins zusätzliche Nachweise, dass jemand auch wirklich derjenige ist, als der er sich einloggen will. Dazu gehören die sogenannten Social Captchas. Dieser Mechanismus, für den Facebook 2009 ein Patent  einreichte, funktioniert so: Dem Nutzer werden drei Fotos von Menschen angezeigt, mit denen er bei Facebook befreundet ist. Er muss aus je neun Namensvorschlägen auswählen, wer auf dem jeweiligen Foto zu sehen ist.

Rechner-Identifizierung per Datr-Cookie

Den Datr-Cookie nutzt Facebook auch bei zusätzlichen Sicherheitsmechanismen, die nicht standardmäßig aktiviert sind, zum Beispiel bei der Funktion "Anmeldebestätigungen" und "Bekannte Geräte". Diese Verfahren funktionieren so: Jeder Browser, der einen Datr-Cookie gespeichert hat, wird von Facebook in einer Übersicht "bekannter Geräte" aufgeführt. Die Nutzer können jedem Browser einen Namen geben (zum Beispiel "Arbeitsplatz", "Browser Tablet", "Facebook-App Smartphone") und in einer Übersicht verfolgen, von welchen Browsern aus und mit welchen IP-Adressen ihr Facebook-Konto abgerufen wurde.

Dabei ist der Datr-Cookie zentral, erläutert Technik-Chef Bejar: "Wir erkennen die Computer allein am platzierten Datr-Cookie." Das kann man nachvollziehen: Wir haben den Datr-Cookie in einem zuvor bei Facebook als bekanntes Gerät registriertem Browser gelöscht. Beim nächsten Login erkannte Facebook diesen Browser nicht und verlangte eine Identifizierung dieses neuen Geräts.

Laut Bejar nutzt Facebook "kein Browser- oder Computer-Fingerprinting". Dies wäre eine Möglichkeit, Rechner ohne Cookie-Einsatz zu identifizieren. Facebook verzichtet laut Bejar auf diese Methode, weil sie sich völlig der Kontrolle durch die Nutzer entzieht: "Nutzer können die Cookies auch jeden Tag löschen oder gar nicht erst zulassen. Dann funktioniert Facebook weiterhin, es ist nur etwas umständlicher."

Für Bejars Darstellung spricht auch, dass beispielsweise auf einem iPhone die Facebook-Anwendung und der Safari-Browser von Facebooks Sicherheitssystem als unterschiedliche Geräte geführt werden. Safari speichert seine Cookies an anderer Stelle als der in der Facebook-Anwendung integrierte Browser.

Wie Facebook das Surfverhalten ausgeloggter Nutzer analysiert

Facebook speichert bestimmte Informationen über das Surfverhalten von Nutzern auf Websites, die wie SPIEGEL ONLINE Facebook-Plugins wie den Like-Button eingebunden haben. Diese Informationen nutzt Facebook in einem zweiten Sicherheitssystem namens Sigma, das verdächtiges Verhalten und von Malware übernommenen Konten aufspüren soll. Die Software analysiert jeden Tag etwa 20 Milliarden Aktionen auf Facebook und zusätzliche Informationen. Auf dieser Basis entscheidet das System bei jedem Versuch einer Konto-Registrierung, eines Postings, einer App-Anmeldung, ob eine zusätzliche Verifizierung (zum Beispiel per SMS-Code) nötig ist.

Bejar beschreibt einen Fall, in dem Sigma misstrauisch wird: "Wenn Sie ein Konto anlegen, von einem uns mangels Datr-Cookie unbekannten Browser und dann sofort eine Facebook-Anwendung registrieren wollen oder sehr viele Freundschaftsanfragen versenden, geht das nicht ohne weitere Überprüfung."

Für vertrauenswürdig hält Sigma Nutzer, die regelmäßig mit Freunden über Facebook interagieren, die eine gute Login-Geschichte haben oder eine solide Datr-Cookie-Nutzung. Wenn jemand Websites mit integrierten Facebook-Plugins aufruft, aber nicht bei Facebook eingeloggt ist, erhält Facebook diese Informationen: die ID des Datr-Cookies, die URL der Website, die IP-Adresse (für Nutzer in Deutschland wird diese anonymisiert) und den Zeitpunkt des Aufrufs.

Facebook speichert die Informationen über aufgerufene Websites nicht detailliert. Technik-Chef Bejar beschreibt das Verfahren so: "Wir fassen Tausende von Websites in großen Klumpen zusammen und speichern die Information, dass ein Browser eine der Seiten in diesem Klumpen besucht hat." Die Websites werden rein zufällig, nicht thematisch sortiert zu Klumpen zusammengefasst. Technik-Chef Bejar begründet das so: "Die wertvolle Information ist die Verteilung der Besuche, nicht, welche Websites wer im Detail besucht hat." Diese Informationen lösche Facebook nach 90 Tagen.

Was passiert nach dem Login?

Facebook betont, dass die Informationen über die Nutzung von Dritt-Seiten, die mit dem Datr-Cookie verknüpft sind, niemals einem Facebook-Konto zugeordnet werden. Die Informationen über das Surfverhalten eines Datr-Cookies würden nur verwendet, um festzustellen, wie vertrauenswürdig ein Browser ist, wenn ein Nutzer sich bei Facebook registrieren will.

Bei eingeloggten Nutzern wertet Facebooks Sicherheitssystem nach Angaben des Technik-Chefs Bejar nicht Informationen über Besuche auf Drittseiten aus. Bejar: "Wir werten nur das Verhalten auf Facebook aus." Dauerhaft speichere Facebook bei eingeloggten Nutzern von Dritt-Seiten nur Likes, Empfehlungen und Kommentare in Verbindung mit ihrem Konto.

Die Kernfrage ist, ob Facebook die ID-Cookies setzen und auswerten muss, um Sicherheit zu gewährleisten. Das deutsche Telemediengesetz erlaubt es Anbietern, personenbezogene Daten eines Nutzers ohne Widerspruchsmöglichkeit zu erheben und verwenden, wenn dies "erforderlich ist", um die Inanspruchnahme des Dienstes zu ermöglichen.

Bejars Darstellung zufolge ist es das: "Wenn wir Datr-Cookies mit eindeutigen IDs nicht mehr platzieren dürften, würde es unsere Möglichkeiten beeinträchtigen, Nutzer zu schützen. Wir könnten Rechner nicht identifizieren. Delta könnte ohne Datr-Cookie nicht 600.000 missbräuchliche Login-Versuche verhindern."

Die Wiedergabe wurde unterbrochen.