-Produktempfehlung: Kaspersky lab-

Wer kennt sie nicht, die kleinen Anwendungen, die dem Nutzer auf Facebook die Zeit vertreiben? Vom Nachbarschafts-Bauernhof-Spiel über tägliche Horoskope, mehr oder weniger lustige Statusbildchen, bis hin zur Verknüpfung mit externen Websites und Messengerdiensten ist hier alles vertreten. Manches kann einen echten Mehrwert bieten und anderes hat den „Nährwert eines Blattes Küchenkrepp“. Durch eine Sendung im TV sind diese Apps aktuell wieder in aller Munde. Ein Sicherheits- bzw. Datenleck sollen sie darstellen. Was ist an dieser Aussage dran, und kann man sie überhaupt so pauschal in den Raum stellen? Mit dieser Aussage und dem Fazit, das die Nutzer daraus ziehen sollten, wollen wir uns in diesem Artikel beschäftigen.

Vorab gesagt: Dieser Artikel ist etwas länger als gewöhnlich, weil das angesprochene Thema auch entsprechend komplex ist. Es lohnt sich auf jeden Fall, ihn aufmerksam zu lesen, denn es geht um die Sicherheit eurer Profile!

Was können Apps auf Facebook so alles anstellen?

Alle Entwickler von Apps greifen auf die von Facebook angebotene API (eine Programmierschnittstelle) zurück, um ihr Angebot zu entwickeln. Diese API bietet eine ganze Reihe von Befehlen, um auf die Aktivitäten und Daten des Nutzers zugreifen zu können. Likes und Kommentare, aktuelle und vergangene Statusmeldungen, Bilder, Videos, Nachrichten und Daten aus der Info des Nutzers. Alles ist über diese Schnittstelle abrufbar, wenn denn der Nutzer diesem zugestimmt hat.

Auch im Namen des Nutzers einen Status posten, die Freundschaftsliste bearbeiten und Nachrichten versenden sind Dinge die eine App kann, wenn sie denn darf.

Wer darf Apps auf Facebook anbieten?

Jeder! Wer über einen Facebook Account verfügt, hat auch die Möglichkeit, als Entwickler von Apps tätig zu werden. Ob es nun der Profi ist, der eine wirklich nützliche Anwendung erstellt oder aber jemand mit kriminellen Absichten. Auch ein Spaßvogel, der einfach nur neugierig ist, vielleicht der nette Junge von Nebenan, alle haben sie zumindest die Möglichkeit dazu.

„Was tun?“ ist also die Frage, die sich einem Nutzer mit diesem Wissen stellt.

Wir von ZDDK werden nie müde, unsere Fans bei entsprechenden Fragen („Mein Account tut merkwürdige Dinge, ohne das ich das will“) darauf hinzuweisen, ihre genutzten Apps durchzugehen und unnötige zu löschen oder sich zumindest die Berechtigungen dieser Apps anzuschauen. Welche App nun welches Verhalten auslöst, ist für uns fast unmöglich nachzuvollziehen, daher wollen wir keine App von vornherein „verteufeln“ oder alle Apps schlecht machen. Wir wollen aber unsere Fans für dieses Thema sensibilisieren und aufzeigen, dass nicht alles Gold ist was im Reich der Apps so glänzt.

Nehmen wir also ein paar Beispiele ohne auf spezielle Apps einzugehen.

  • Horoskope, Glückskekse, lustige Sprüche etc.:
    Hier findet man unzählige Varianten,die doch meist alle das Gleiche tun: Sie posten in deinem Namen um der Welt bzw. deinem Freundeskreis und dir etwas mehr oder weniger brauchbares mitzuteilen. Dass du zu 85% ein Engel bist oder einem Filmstar ähnlich siehst, dass heute dein Glückstag ist oder wie und wann du sterben wirst. Alles mit hoher Wahrscheinlichkeit per Zufallsgenerator aus einer Datenbank ausgewählt und wohl in den seltensten Fällen wirklich zutreffend. Ist so eine App gut gemacht, dann kann sie durchaus ihre Daseinsberechtigung haben, doch brauchen diese Apps zum Beispiel den Zugriff auf deine persönlichen Daten? Deine Freundesliste und E-Mail Adresse? Ganz davon abgesehen, dass der häufige Einsatz dieser Apps den Freunden als Spam unangenehm auffallen kann.
  • Kalender und Geburtstags-Erinnerer:
    Nützlich? Facebook bietet diese Funktionen bereits. Warum also noch eine App die diese Funktionen bietet? Man weiß nicht warum, aber auch von diesen Apps gibt es unzählige und auch hier tummeln sich schwarze Schafe unter den Anbietern.
  • Logins auf externen Websites und Datenübermittlung:
    Ob Videoplattformen, Onlineshops oder ein Forum: Viele Webseiten nutzen Facebook Connect oder eben selbst programmierte Plugins, um den Nutzern eine einfache Registrierung für die angebotenen Dienste zur Verfügung zu stellen. Manche Dienste bieten an, die aktuelle Musik Playlist oder einen gelesenen Artikel auf Facebook zu posten und den Freunden zu empfehlen. Daran ist zunächst nichts Verwerfliches. Doch auch hier sollte man einen Blick auf die Berechtigungen werfen. Braucht die Anwendung alle Daten die sie abruft?
  • Messenger und Chat Anwendungen auf mobilen Geräten:
    Diese Anwendungen sind sehr beliebt und in fast jedem Appstore der jeweiligen mobilen Betriebssysteme in Massen zu finden. Gerade die wichtigste Berechtigung die diese Anwendungen benötigen, damit sie überhaupt ihren Dienst erbringen können, sind aktuell in der Diskussion. Darf so eine Anwendung meine privaten Nachrichten lesen? Natürlich, wie sonst sollte sie funktionieren? Hier ist es also ein Abwägen; vertraue ich dem Anbieter? Muss ich überhaupt einen externen Anbieter wählen, wenn Facebook selbst diese Dienste als App anbietet? Wichtige Fragen, die sich ein Nutzer stellen sollte, bevor er solche Anwendungen nutzt.

Hier könnten wir nun noch seitenweise weitere Dienste aufzählen und würden wohl doch den einen oder anderen vergessen bzw. kennen auch wir nicht alle Apps auf dem Markt. Aber vielleicht haben wir euch zumindest etwas für dieses Thema sensibilisiert.

Was wir hier noch machen können ist euch aufzuzeigen, wie ihr eure Apps kontrolliert. Die Entscheidung welche Apps mit welchen Berechtigungen ihr zulasst, kann euch keiner abnehmen.

Wo finde ich meine Anwendungen?

Über das kleine Zahnrad in der Titelleiste kommst du zu deinen Kontoeinstellungen

clip_image002

Hier findest du alle von dir verwendeten Apps und ihre Einstellungsmöglichkeiten

clip_image004

Als erste Option findest du die strengste Regel. Sie deaktiviert die Nutzung von Apps komplett.

clip_image006

Klickt man hinter dem Namen einer Anwendung auf „Bearbeiten“ gelangt man zu weiteren Details dieser Anwendung.

Hier sind Daten wie „Letzter Zugriff“ (wann hast du die App genutzt), „Beiträge in deinem Namen“ (wer darf sehen, was die App in deinem Namen postet), „Diese Anwendung benötigt“ und „Diese Anwendung kann außerdem“ (welche Daten gebe ich frei und was erlaube ich der Anwendung) zu finden.

clip_image008

Klickt man in der obigen Ansicht auf „Letzter Datenzugriff“ (wann und was hat die App abgerufen) auf Details dann bekommt man weitere Informationen was die App so anstellt.

clip_image010
(Nur zur Information: Dieses Beispiel zeigt was ein Farm-Spiel so abruft. Was so ein Spiel mit Daten wie „Gefällt mir“ Angaben. Musik, Fernsehen etc. anfängt? Auf den Nutzer abgestimmte Werbung schalten zum Beispiel.)

Weiter unten in den Anwendungseinstellungen findet man noch zwei interessante Optionen:

Was dürfen Anwendungen von anderen Nutzern (deinen Freunden) an deinen Daten einsehen?

clip_image012

Und die sagenumwobene „Umgehende Personalisierung“

Lässt man diese Option zu, dann können Partnerseiten von Facebook (diese sind speziell von Facebook ausgewählt), dir und deinen Freunden auf eure „Bedürfnisse“ abgestimmte Inhalte zeigen.

clip_image014

Hinweis: Da mit dem Thema „Umgehende Personalisierung“ öfters Panikmache betrieben wurde, hier noch einmal ein paar Infos dazu:

Es gehen keine Daten verloren, wenn man sie deaktiviert: http://www.mimikama.at/facebook-funktionen/bei-der-umgehenden-personalisierung-gehen-keine-daten-verloren/ (Achtung: Die Anleitung und Screenshots in dem Artikel sind nicht mehr aktuell, da Facebook mittlerweile die Einstellungen anders arrangiert hat!)

Weiterhin betrifft diese Einstellung NUR eure Freunde. Es werden keine Bilder von Euch als Werbefotos öffentlich verbreitet, wie manche Gerüchte behaupten.

 

Zum Schluss noch ein Beispiel, woran ein Nutzer erkennt, ob ein Status auf der Startseite oder der Chronik tatsächlich vom Freund stammt oder ob eine App ihre Finger im Spiel hat.

clip_image016

In der Zeile unter dem Beitrag findet man neben den Kommentar- und Teil-Funktionen auch den namen der App, die das gepostet hat, bzw. ob dieser Beitrag von einem Mobilgerät gepostet wurde.

Aber nicht immer wenn dort „via [Appname]“ steht, ist der Beitrag automatisch von einer App und nicht vom Nutzer gepostet:

Mac-Nutzer haben z.B. ab OSX 10.8.2 auch die Möglichkeit, direkt aus der Nachrichtenzentrale heraus zu posten. Dort steht dann „via OSX“, der Beitrag ist aber trotzdem vom Nutzer selbst. Ähnlich auch viele Handy-Apps oder Blogs, die direkt einen veröffentlichten Beitrag auf Facebook posten können.

Klickt man auf den Namen der App dort, kommt man auf die Seite dieser App, wo man dann im Zweifelsfalle selbst sehen kann, ob dies eine sinnvolle oder vertrauenswürdige App ist, oder ob hier eine Spam- oder Scam-App am Werk ist.

Was kann ein App-Entwickler im Extremfall mit den gesammelten Daten machen?

Zunächst einmal kann er die Daten natürlich für Werbe- und Spamzwecke nutzen oder diese weiterverkaufen. Es gibt einen regelrechten Markt für Adressen, wo rege Handel getrieben wird. Je mehr Informationen mit einem Namen verknüpft sind, desto mehr Geld bringt diese Adresse.

„Der Handel mit persönlichen Daten ist ein Milliarden­geschäft, in dem es mafiöse Strukturen gibt.“ sagte Bernd Carstensen vom Bund Deutscher Kriminalbeamter gegenüber der Zeitschrift Stiftung Warentest.

Der Kreativität sind in dem Bereich der Verwendung solcher sensiblen Daten leider keine Grenzen gesetzt. Zwei sehr anschauliche Beispiele gibt es hier:

Video Verblüffender Gedankenleser verrät seine „Gabe“

„Take this Lollipop“

Diese App wurde zur Demonstration der Möglichkeiten erstellt, die man mit dem Zugriff auf die Facebook-Daten eines Nutzers hat. Das ganze in Form eines Thrillers, in dem ihr quasi die Hauptrolle spielt: http://www.takethislollipop.com/

Wenn ihr euch das anschauen wollt, müsst ihr der App gestatten, auf alle Eure Daten zuzugreifen. Wir haben zwar hier soeben versucht zu erklären, dass man das tunlichst nicht machen sollte, aber sonst funktioniert diese Demonstration eben nicht. Ihr könnt danach die App natürlich wieder aus eurem Profil entfernen, und der Autor sichert auf seiner Webseite zu:

„This is for entertainment purposes only, we will not save your information. We will not post without your approval. Promise. We don’t encourage hacking in any way.“

(„Dies ist nur zu Unterhaltungszwecken, wir werden eure Daten nicht speichern. Wir werden nicht ohne eure Zustimmung etwas posten. Versprochen. Wir unterstützen Hacking in keiner Weise.“)

Trotzdem bleibt es natürlich euch überlassen, ob ihr dem zustimmt. 😉

 Fazit

Was kann man also zur oben gestellten Frage „Sicherheitsleck oder Naivität der Nutzer“ sagen?

Eins der größten Sicherheitslecks im weiten Feld der sozialen Netzwerke und Apps ist der Nutzer selbst. Nur wer sich informiert, wo seine Daten landen, wie Anwendungen arbeiten und sich Gedanken macht, ob private Daten überhaupt im Internet landen sollten kann für die Sicherheit selbiger sorgen.

Generell tut man gut daran, immer zuerst zu denken, bzw. sich zu informieren, bevor man eine App benutzt. Häufig hilft es, einfach nach dem Namen der App zu googlen: Bei vielen „bösartigen“ Apps, Scam-Apps oder Hoaxes erhält man gleich zu Anfang eine Reihe von entsprechenden Artikeln, Warnungen und dergleichen. Oder einfach unsere Suchfunktion auf mimikama.at benutzen. Oft haben wir bereits einen Artikel über diese oder ähnliche Apps verfasst.

Was die persönlichen Informationen angeht, die man durch das wahllose Installieren und Nutzen von Apps quasi auf den Präsentierteller legt, so hilft beispielsweise der Leitsatz:

Poste nur das auf Facebook (oder anderen sozialen Netzwerken), bei dem du auch keine Probleme damit hättest, wenn es am nächsten Tag in der Zeitung stehen würde.

Mit der Kombination aus gesundem Menschenverstand, Umsichtigkeit und einem aktuellen Virenscanner ist man eigentlich auf der sicheren Seite. Und natürlich mit unserer Suchfunktion, die oft direkt den passenden Artikel zu dem Thema hervorbringt.

 

 Autoren: Markus Sauthoff und Rüdiger Reinhardt vom ZDDK-Team

-Mimikama unterstützen-