Stalking-Fall zeigt: Facebook-Mitarbeiter können Nutzer ausspionieren

"Ich habe Tinder-Chatprotokolle. Was soll ich damit machen?" – mit diesem Tweet hat die US-Sicherheitsexpertin Jackie Stokes nicht nur jüngst eine interne Facebook-Untersuchung ausgelöst. Auch der Öffentlichkeit wurde dadurch klar, dass Facebook einen wenig beachteten, wunden Punkt hat, wenn es um die Sicherheit seiner Nutzer geht: Mitarbeiter des Konzerns haben nämlich als Teil ihres Jobs die Möglichkeit, nicht-öffentliche Informationen aus privaten Facebook-Profilen einzusehen. Das bestätigten mehrere Quellen gegenüber Motherboard. Mitarbeiter sollen demnach etwa eine weit zurückreichende Liste der Aktivitäten eines Nutzers abrufen können. Dort lässt sich ablesen, wann jemand welche Posts in Gruppen oder in seiner Facebook-Timeline veröffentlicht hat, wann jemand andere Nutzer befreundet oder entfreundet hat.

Obwohl Facebook nach Motherboard-Informationen strenge interne Sicherheitssysteme hat, um einen Missbrauch dieser Zugriffsrechte zu verhindern, fallen unerlaubte Aktionen von Mitarbeitern nicht immer auf. Das zeigt der Fall, auf den Jackie Stokes mit ihrem Tweet am vergangenen Montag aufmerksam gemacht hat: Am 1. Mai hat der Silicon-Valley-Konzern einen Angestellten gefeuert, der seine Zugriffsmöglichkeiten missbraucht haben soll, um mit den Informationen Frauen online zu stalken.

Was dem ehemaligen Mitarbeiter genau vorgeworfen wird, ist bisher nicht bekannt. Facebook bestätigte allerdings gegenüber Motherboard die Kündigung. Jackie Stokes' Tweet zufolge soll der Mitarbeiter Mitglied von Facebooks Sicherheitsteam gewesen sein: "Ich habe erfahren, dass ein Sicherheitsingenieur bei Facebook wahrscheinlich seinen privilegierten Datenzugang nutzt, um Frauen zu stalken." Dazu twitterte sie einen Screenshot eines Chats, in dem sich der ehemalige Facebook-Mitarbeiter selbst als "professioneller Stalker" bezeichnet haben soll.

Woher Stokes, die das US-Beratungsunternehmen Spyglass Security gegründet hat, ihre Informationen bekommen hat, erklärte sie nicht. Sie twitterte allerdings, sie habe alle ihr vorliegenden Informationen an Alex Stamos, den Chef des Sicherheitsteams von Facebook, weitergeleitet.

Laut Motherboard-Informationen ist es nicht das erste Mal, dass Facebook-Angestellte gefeuert werden, weil sie sich unbefugt Zugriff zu Nutzerdaten verschafft haben. Eine Quelle spricht von mehreren Entlassungen; eine andere berichtet, dass man ihr gleich am ersten Arbeitstag als Warnung von drei Fällen erzählte, in denen Angestellte ihre Zugriffsmöglichkeiten missbraucht hätten. Darunter waren jeweils auch Stalking-Fälle. In einem Fall soll ein Mitarbeiter auf Daten zugegriffen haben, um seiner Ex-Frau hinterherzuspionieren.

Die Mitarbeiter, die mit Motherboard gesprochen haben, möchten anonym bleiben, weil sie für den Konzern eine strenge Verschwiegenheitserklärung unterschreiben mussten. Deshalb werden hier keine Informationen über sie genannt. Auch Alter, Geschlecht, der Zeitraum ihrer Mitarbeit bei dem Konzern oder das Land, in dem sie für Facebook tätig waren, werden nicht spezifiziert.

Ein ehemaliger Facebook-Mitarbeiter, der aber schon mehrere Jahre nicht mehr für die Firma arbeitet, beschreibt, dass er die nicht öffentlichen Nutzerdaten über eine Art Back-End-Tool einsehen konnte. Dazu musste er lediglich die Facebook-ID eines Nutzers, die sich problemlos öffentlich herausfinden lässt, in das Programm eingeben. Schon wurden dessen Aktivitäten wie Freundschaftsanfragen, Gruppenmitgliedschaften und Facebook-Posts in einer langen Liste aufbereitet. Dem Mitarbeiter zufolge war das interne Tool zumindest noch vor einigen Monaten im Einsatz. Wie viele Mitarbeiter auf diese Weise auf Nutzerdaten zugreifen können, ist nicht bekannt. Der Mitarbeiter erklärt aber, seinerzeit seien diese Zugriffsrechte nichts Besonderes gewesen

Über keinen der genannten Fälle wurde bisher öffentlich berichtet. Ob die Betroffenen davon erfahren haben, ist nicht bekannt.

Facebooks Sicherheitschef Alex Stamos betont auf Anfrage von Motherboard, dass man "strenge Kontrollen und technische Beschränkungen" habe. "So stellen wir sicher, dass Mitarbeiter nur die Daten einsehen können, die sie brauchen, um ihren Job machen zu können."

Tatsächlich gibt es Fälle, in denen Facebook-Mitarbeiter die nicht-öffentlichen Informationen von einem Facebook-Profil benötigen. Stamos zufolge könne das etwa beim Customer Support sein, um Fehler zu beheben oder um auf juristische Anfragen zu reagieren. Auch ein ehemaliger Facebook-Mitarbeiter bestätigt Motherboard, dass ein solcher Datenzugriff zur Fehlerbehebung bei Facebook-Kunden gebraucht wird. Von Kunden könne dies sogar erwünscht sein.

Alle Mitarbeiter, mit denen Motherboard sprechen konnte, bestätigen, dass Facebook strenge Sicherheitsmaßnahmen ergreift. Laut Motherboard-Informationen registriert Facebook automatisch, wenn Mitarbeiter sensible Nutzerdaten abrufen. Außerdem verpflichtet Facebook seine Mitarbeiter regelmäßig zu Sicherheitstrainings. In einem Tweet bekannte sich das Unternehmen zu einer Null-Toleranz-Politik: "Mitarbeiter, die die regeln brechen, werden sofort gefeuert."

Wie auch bei anderen großen Unternehmen haben nicht alle Facebook-Mitarbeiter die gleichen Zugriffsrechte. Laut Motherboard-Informationen können verschiedene Abteilungen im Konzern verschiedene Mengen von nicht-öffentlichen Nutzerdaten einsehen. Eine Quelle berichtet, es sei möglich, auf Anfrage weitere Zugriffsrechte zu erhalten, wenn diese benötigt werden. Das Sicherheitsteam beispielsweise genieße grundsätzlich mehr Vertrauen als andere Abteilungen. Daher sei Missbrauch dort auch schwerer zu ermitteln.

Ebenfalls auf Motherboard: Totalüberwachung für 150 Euro

Eine weitere Quelle berichtet, dass Mitarbeiter mehrfach Warnhinweise in Form von Pop-Up-Fenstern angezeigt bekommen, wenn sie nicht-öffentliche Nutzerdaten aufrufen. Mitarbeiter müssen vor ihrem Zugriff explizit bestätigen, dass sie die Daten anschauen dürfen und das dies zu Arbeitszwecken geschieht. Außerdem sei den Mitarbeitern klar, dass jeder Zugriff auf Nutzerdaten geloggt würde und von anderen Facebook-Mitarbeitern kontrolliert werden kann. "Sie machen dir eindeutig klar: Wenn du einen Schritt zu weit gehst, dann bekommst du große Probleme."

Motherboard-Recherchen zeigen, dass auch Mitarbeiter von Facebooks Partner-Unternehmen manchmal mehr Daten einsehen können als den Nutzern bekannt sein dürfte. Das berichtet der ehemalige Mitarbeiter einer von dutzenden Drittanbieter-Firmen, die im Auftrag von Facebook arbeiten. Er konnte einsehen, welche privaten Nutzer hinter einer beliebigen Facebook-Seite auf der Welt stecken. Die Mitarbeiter des Unternehmens konnten auch in Erfahrung bringen, in welcher Rolle die Nutzer für eine Facebook-Seite tätig sind – beispielsweise ob jemand Administrator ist oder nur einzelne spezifische Rechte besitzt. Der Mitarbeiter konnte das Motherboard anhand mehrerer Facebook-Seiten vorführen.

Ob dieser Zugriff bei dem Drittanbieter heute immer noch möglich ist, kann der Mitarbeiter nicht sagen. Aufgefallen ist der Zugriff auf Nutzerdaten aber damals offenbar nicht, weder Facebook noch der Drittanbeiter-Firma.

Eine detaillierte Anfrage von Motherboard, wie viel Prozent der Mitarbeiter Zugang zu nicht-öffentlichen Informationen haben und was sie genau einsehen können, wollte Facebook nicht beantworten. Auch dazu, welche Prozesse es gibt, um Missbrauch zu verhindern und wie diese im Laufe der Jahre verbessert wurden, hat Facebook sich nicht offiziell geäußert.

Max ist auf Twitter. Wenn ihr weitere Informationen zu dem Fall habt, könnt ihr ihn dort per DM oder per E-Mail kontaktieren.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter