Der Horror für jeden Facebook-Seitenadministrator: Die eigene Seite wurde kompromittiert, und die Angreifer posten im Namen der Seite.
Keiner der Admins hat Zugriff auf die Seite und niemand kann schnell helfen. Das dies kein imaginäres Risiko ist, zeigte Delta Airlines im Jahr 2015. Die 1,4 Millionen Fans starke Seite war stundenlang unter Kontrolle von Fremden. Im Namen von Delta ging ein Post mit dem Titel „10 Reasons Why Girls Dont Give Bl0wjobs“ an alle Fans (Screenshot Huffington Post)
Wenn man jetzt mal verhalten mit einer Reichweite von 5 % rechnet, dann haben 70.000 Personen diesen Post im Namen von Delta in ihrem Newsfeed gesehen. Ein Horror für jeden Community Manager.
Wir selbst erhalten auch regelmäßig Anfragen, weil kein Zugriff mehr auf die eigene Seite besteht. Unser Rat: Im besten Fall macht man sich schon vorab Gedanken um die Sicherheit der eigenen Seite. Aber wie schützt man eine Facebook-Seite? Indem man die Facebook Accounts der Administratoren schützt!
Diese privaten Account stellen das größte Sicherheitsrisiko einer Seite dar. Jeder unachtsam agierende Admin riskiert seine Seite. Je mehr Personen Admins sind, desto höher ist das Risiko.
Wir wollen wir euch fünf kurze Tipps geben:
1. Weniger „richtige“ Admins
Die Admins einer Seite können alles und sind wie gesagt gleichzeitig das größte Risiko für eine Seite. Wird nur einer der Accounts kompromittiert, kann dieser alle anderen Administratoren entfernen. Der Angreifer erhält also alleinigen Zugriff auf die Facebook-Seite und kann tun und lassen was er will.
Der Tipp ist deshalb recht einfach: Nutzt so wenige Accounts mit kompletten Admin-Rechten wie möglich. Hinterlegt aber mindestens zwei Admins.
Zwei Accounts als Back-up, falls einer mal nicht funktioniert, warum auch immer. Die Personen mit den kompletten Admin-Rechten sollten keine Facebook-Anfänger sein, schon ein gewisses Know-how mitbringen und nicht auf jeden SCAM reinfallen.
2. Rechte richtig verteilen
Bezieht sich eigentlich auf Punkt 1. Gebt den involvierten Personen nur die Rechte, die Sie auch wirklich benötigen. Die wenigsten Personen müssen wirklich Admin einer Seite sein. Für die meisten genügen Redaktionsrechte.
Wird einer dieser Accounts kompromittiert,, kann im schlimmsten Fall etwas gepostet werden, dann gibt es allerdings immer noch die anderen Admins, die schnell reagieren können. Sie können dann nicht nur den Post schnell löschen, sie können auch den entsprechenden Redakteur entfernen, bis dessen Account wieder funktioniert.
Den betroffenen Account erkennt man relativ schnell, da beim Post sichtbar ist, wer diesen abgesetzt hat.
3. Anmeldebestätigung für Admins ist Pflicht
Für die Admins mit kompletten Zugriff ist die Facebook-Anmeldebestätigung eigentlich Pflicht. Hierbei muss man sich über sein Smartphone bei jedem frischen Log-in verifizieren. Ein Schutz, den ein Angreifer so schnell nicht umgehen kann, außer er hat euer Smartphone. Dann habt ihr aber noch ganz andere Probleme. Ihr findet die Option in der Einstellungen eures Accounts.
4. Keine Fake Accounts mit geteilten Passwörtern (inkl. keine Fake Namen)
Größte Schwachstelle sind eigentlich Accounts, die von mehreren Personen geteilt werden. Meist werden die Zugänge über gefühlte Generationen weitergegeben und das Passwort ist recht banal. Wer so arbeitet, handelt grob fahrlässig gegenüber sich selbst und möglichen Kunden. Im Ernstfall ist dann nicht nur die Facebook-Seite futsch, sondern auch alle anderen Accounts, die dieses Passwort genutzt haben.
Ihr solltet übrigens auch eure realen Namen auf Facebook nutzen, auch wenn das euch nicht gefällt. Namen wie „Sa Bine“ oder „Philipp Mustermann“ sind für Administratoren ein NoGo. Warum? Wenn euer Account, warum auch immer, gesperrt wird ist die letzte Option zum Freischalten ein offizielles Dokument wie ein Ausweis. Für euren Account mit Fake Account habt ihr so etwas leider nicht und damit dann auch kein Zugriff mehr auf den Account, und die Seite, …
5. Nutzt den Business Manager
Sofern ihr mehrere Seiten oder Werbeaccounts verwaltet. Wenn ihr nur eine einzige kleine Seite habt braucht ihr den Business Manager nicht. Über den Business Manager könnt ihr auf einfache Weise eure Accounts und deren Zugänge verwalten.
Wenn ein einzelner Account eines Kollegen nicht mehr sicher ist habt ihr diesen Kollegen mit nur einem Klick von allen Seiten entfernt. Außerdem behaltet ihr so deutlich besser den Überblick und seht wer alles Zugriff auf welche Seiten und Accounts hat. Beachtet aber natürlich das der Administrator eines Business Managers auch kein Anfänger sein sollte.
Noch ein kleiner Tipp: Wen ihr einen Nutzer im BM anschaut könnt ihr direkt sehen ob zur Sicherheit eine Handynummer hinterlegt wurde oder nicht.
6. …
Das ist natürlich nur eine kleine Auswahl an Tipps ohne Anspruch auf Vollständigkeit. Schaut mal in eurem Account unter Sicherheit, was es sonst noch für Optionen gibt. Wechselt mal wieder euer Passwort, benutzt nicht für den Mailaccount und für Facebook das gleiche Passwort, macht ein „downgrade“ und gebt euch selbst nur die Rechte dir ihr braucht, usw.
Schreibt uns eure Tipps gerne in Kommentare.
Kurz nachdem ein zweiter obszöner Post veröffentlicht wurde, hat Delta übrigens wieder Zugriff zur eigenen Seite erhalten und sich bei den Fans entschuldigt:
Was tun, wenn ein Account gehackt/kompromittiert, wurde?
Dazu haben wir hier eine ausführliche Anleitung geschrieben.
Artikelbild auf Basis von: EURO. Hands Giving & Receiving Money / Shutterstock.com
Zunächst mal: Es heißt kompromittiert, nicht gehackt. Hacker interessieren sich für Technik, sind aber keine Computerkriminellen.
Dann: Auch die Anmeldebestätigung kann leicht umgangen werden. Es gibt im Bankingbereich Trojaner; die so die SMS-TAN abgreifen. Wichtiger ist daher für einen Admin die Sicherung des Systems zuhause. Dann reicht auch ein gutes Passwort.
a. ist geändert :)
b. natürlich ist das System Zuhause das A&O. In den meisten Fällen die an uns heran treten war schlichtweg einer der Admins zu blauäugig hat auf einen (relativ offensichtlich) verseuchten Link geklickt. Menschliches Versagen ohne Trojaner oder andere Spielereien ;) – Die Anmeldebestätigung ist bestimmt nicht zu 100% sicher, aber die meisten der Übernahmen würden verhindert. Die Anmeldebestätigung ist in <30 Sekunden aktiviert und erfordert in der Bedienung auch so gut wie kein technisches Know-How ...
Alex, vielen Dank für diese Info. Wusste auch nicht, dass es kompromittiert und nicht gehackt heißt :-)
Danke für den informativen Beitrag und das nochmalige Hinweisen.
Übrigens: „Kompromittieren“ bedeutet jemandes oder das eigene Ansehen durch eine Äußerung/Verhalten schaden, jemanden bloßstellen … Das Unternehmen kann also durch solch einen Angriff kompromittiert werden – ein Account jedoch wird gehackt („hacken“ findet man auch im Duden ;))