#1: Nur ein Admin im Businessmanager
Auch wenn man aus Sicherheits- und Geheimhaltungsgründen äußerst sparsam mit Admin-Zugriffen umgehen sollte, raten wir, immer mehr als einen Admin pro Business Manager oder Facebook Seite zu vergeben. Denn egal, ob es um Ereignisse im echten Leben, benutzerbezogene Sperren oder gelöschte Accounts geht, weil gegen Richtlinien verstoßen wurde: Gibt es in diesen Fällen keinen zweiten Admin, ist der Zugriff auf die Seite oder gleich der ganze Business-Account verloren. Der Prozess, um das wieder auszubügeln, kann bei Facebook mehrere Monate dauern, diverse Dokumente und sowie Geld benötigen. Ganz zu schweigen von den Folgen für dein Unternehmen.
#2: Zwei-Faktor-Authentifizierung deaktiviert
Was versteht man darunter? Zwei-Faktor-Authentifizierung (2FA) bedeutet, dass neben dem Benutzernamen und Passwort ein weiterer Faktor für die Anmeldung benötigt wird.
Oft muss diese Authentifizierung nur dann durchgeführt werden, wenn sich jemand an einem neuen Gerät anmeldet. Somit muss die Anmeldung am selben Mobilgerät nicht immer wieder von neuem durchgeführt werden. Geht man bei der Sicherheit eine Stufe höher, kann es durchaus sein, dass bei jedem Login auf die Authentifizierung zurückgegriffen wird – beispielsweise bei Apps im Finanzwesen.
Zurück zu Facebook – hier funktionieren folgende Faktoren:
- Codes per SMS
- Physischer Sicherheitsschlüssel
- Login mittels Authenticator App
Die Methode mit dem physischen Sicherheitsschlüssel funktioniert über Hardware, welche bei der Anmeldung ausgelesen wird.
Der Vorteil einer Authenticator App ist der Zugriff ohne Mobilfunknetz. Dazu muss vorbereitend eine Authenticator App heruntergeladen werden, welche anschliessend für alle Dienste verwendet werden kann, die man benötigt. Anbieter:innen dafür gibt es viele und die meisten davon funktionieren reibungslos.
Aus eigener Erfahrung können wir den Google Authenticator empfehlen, welcher sowohl für iOS als auch für Android verfügbar ist.
#3: Backup Codes nicht genutzt
Sobald die 2FA aktiviert wurde, können Wiederherstellungscodes heruntergeladen werden. Diese können wie PUK-Codes von SIM-Karten angesehen werden und kommen in Notfällen zum Zug, wenn kein Zugriff auf die Authenticator-App möglich sein sollte. Die Recovery-Codes findet man in den Sicherheitseinstellungen des jeweiligen Profils.
#4: Unvorsichtig bei der Verteilung der Rechte
Bei der Verteilung der Rechte an die Mitarbeiter:innen empfehlen wir nach folgendem Prinzip vorzugehen: So wenig wie möglich, aber so viel wie nötig. Umso mehr Benutzer:innen erweiterte Berechtigungen haben, umso mehr Sicherheitslücken und Risiken entstehen.
#5: Leichte Passwörter verwendet
Oft werden schwache Passwörter verwendet, welche einfach zu erraten oder zu knacken sind. Folgende Beispiele sollten möglichst vermieden werden:
Tom1989? (Name, Geburtsjahr, Sonderzeichen)
Ado8010! (Name vom Unternehmen, Postleitzahl, Sonderzeichen)
HotelSeestern-2020 (Hotelname, Jahreszahl)
Passwörter müssen oft zu Zeitpunkten definiert werden, wo man vielleicht keinen kreativen Moment hat und einfach nur schnell die Registrierung oder Profileinrichtung abschließen möchte. Schätzungsweise ist das der Hauptgrund, warum triviale Passwörter so häufig verwendet werden. Dabei sollte stets im Hinterkopf behalten werden, wie einfach es heutzutage ist, Informationen über Wohnort, Familie etc. im Internet herauszufinden.
Fazit
In puncto Sicherheit hat sich in den vergangenen Jahren im Internet so einiges getan – wäre doch schade wenn die vorhandenen Ressourcen nicht genutzt werden. Die hier behandelten Fehler sind nicht einfach und schnell behoben. Wie immer bei sicherheitsbezogenen Themen gilt auch hier: Solange nichts passiert, schenkt man solchen Bereichen meist wenig Aufmerksamkeit. Doch lassen wir es erst gar nicht so weit kommen und machen hier keine Abstriche! 😉