Categories: RechtRegulierung

Datr-Cookie: Facebook fürchtet um Sicherheit seiner Nutzer

Facebook führt Sicherheitsgründe für den Einsatz des Datr-Cookies an, nachdem es von der belgischen Datenschutzbehörde CPVP verklagt wurde. „Das Vorgehen der belgischen Datenschutzbehörde könnte unsere Anstrengungen unterminieren, die Konten von Menschen in Belgien sicher zu halten“, argumentiert Facebooks Chief Security Officer Alex Stamos in einem Blogeintrag.

Das Datr-Cookie ist unter anderem deshalb umstritten, weil es auch die Nachverfolgung von Nutzern erlaubt, die nicht Mitglieder des Social Networks sind und nicht dort eingeloggt waren. Es wird vielmehr im jeweiligen Webbrowser schon beim Besuch der Website Facebook.com gesetzt – und meldet anschließend an Facebook, wenn dieser Browser eine Webseite mit einem aktiven Social-Plug-in wie einem „Like“-Button besucht.

Die belgischen Datenschützer fordern in dem seit Mitte Juni laufenden Prozess gegen Facebook eine hohe Geldbuße. Nach ihrem Willen soll das Social Network jeden Tag 250.000 Euro Strafe zahlen, solange es bei seinen Mitgliedern wie auch Anwendern ohne Facebook-Konto ohne deren Zustimmung Tracking einsetzt und damit gegen geltende Datenschutzgesetze verstößt.

Laut Sicherheitschef Alex Stamos, den Facebook im Juni von Yahoo abwarb, dient das seit über fünf Jahren eingesetzte Datr-Cookie jedoch nur der Sicherheit der Nutzer und nicht etwa dazu, Informationen über Nichtmitglieder zu sammeln und gezielte Werbung an sie auszuliefern. Es soll vielmehr die Erstellung gefälschter Konten verhindern, das Risiko der Übernahme eines Nutzerkontos verringern, von Nutzern geschaffene Inhalte vor Diebstahl schützen sowie DDoS-Angriffe abhalten, die das Social Network unerreichbar machen könnten.

Das Cookie sei nur mit Browsern und nicht mit individuellen Besuchern verbunden. Es werde eingesetzt, um statistische Informationen über das Verhalten eines Browsers auf Sites mit Social-Plug-ins zu sammeln und dadurch Verhaltensmuster eines typischen Angreifers von den Verhaltensmustern echter Personen zu unterscheiden. Wenn das gesetzte Cookie beispielsweise den Besuch von Hunderten Sites in den letzten fünf Minuten ausweise, spreche das für einen Bot. Umgekehrt erscheine ein Browser bei konsistenter Nutzung über Tage hinweg legitim und sollte den gewohnten Zugang zu Facebook erhalten. Mit Datr generierte Logs werden laut Facebook nach zehn Tagen „gründlich gelöscht“.

„Wenn das Gericht uns verbietet, das Datr-Cookie in Belgien zu nutzen, dann verlören wir eines unserer besten Signale dafür, dass jemand ein legitimer Besucher unserer Site ist“, schreibt Stamos. „In der Praxis würde das bedeuten, dass wir jeden Besuch unseres Dienstes von Belgien aus als eine nicht vertrauenswürdige Anmeldung behandeln und eine Reihe anderer Verifizierungsmethoden einsetzen müssten, mit denen die Menschen beweisen können, dass sie die wirklichen Besitzer ihrer Konten sind. Es würde Geräte in Belgien außerdem attraktiver für Spammer machen und andere, die in Untergrundforen mit kompromittierten Konten handeln.“

ANZEIGE

Server-Hosting: Sicherheit und Datenschutz Made in Germany

Sicherheit und Datenschutz sind zwei wesentliche Kriterien bei der Auswahl eines virtuellen Servers. Mit zwei nach ISO 27001 zertifizierten Hochleistungsrechenzentren in Deutschland bietet STRATO nicht nur strenge Sicherheitsmaßnahmen, sondern auch Datenschutz nach deutschem Recht. Zudem beinhalten die V-Server zahlreiche Komfortfeatures.

Die belgische Datenschutzbehörde hingegen erklärte, das Cookie sei nicht nötig zum Schutz der Nutzer. Eine Sprecherin verwies auf eine von der CPVP beauftragte Studie. Diese war zum Ergebnis gekommen, dass Facebook gegen europäisches Datenschutzrecht verstößt.

Facebook muss in Europa mit weiteren datenschutzrechtlichen Problemen rechnen, nachdem der Gerichtshof der Europäischen Union (EuGH) das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA über die Übermittlung personenbezogener Daten von EU-Bürgern kassiert hat. Das Verfahren ausgelöst hatte eine Beschwerde des österreichischen Juristen Max Schrems, der seine von Facebook auf US-Servern gespeicherten Daten nicht ausreichend vor einer Ausspähung durch US-Behörden geschützt sah. Schrems begrüßte das Urteil und lobte außerdem die Stärkung der Befugnisse nationaler Datenschutzbehörden in Europa. Sie haben nun das Recht, auch in Einzelfällen die Übertragung von Daten in die USA zu überprüfen.

Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago