Facebook und Datensicherheit – ein unendliches Thema. Obwohl die Gruppen-API, die App-Entwickler nutzen, um eine Verbindung zwischen Gruppen-Administratoren und Mitgliedern herzustellen, bereits im April 2018 eingeschränkt wurde, konnte der Zugang trotzdem uneingeschränkt genutzt werden, wie nun ans Tageslicht kam.

API-Zugriffe gehören eindeutig zu den Unternehmens-Privilegien und sollten deshalb auch dementsprechend behandelt bzw. geschützt und überwacht werden. Das heißt, dass Unternehmen bewährte Methoden des Privileged Access Managements (PAM) im Einsatz haben sollten, um sicherzustellen, dass der Zugriff auf APIs zulässig und autorisiert ist.

APIs sorgen für Automatisierung und Integration und stellen sicher, dass Anwendungen ihre Aufgaben ordnungsgemäß ausführen können. Viele Unternehmen konzentrieren sich deshalb vor allem darauf, dass APIs schnell verfügbar und einfach zu bedienen sind. Die Sicherheit bleibt dabei leider oft auf der Strecke. Um die entsprechenden Sicherheitskontrollen kümmern sich viele IT-Abteilungen oft erst im Nachhinein, d.h. nachdem die APIs bereits über einen längeren Zeitraum im Einsatz sind. Das birgt große Risiken.

Nicht selten kommt es vor, dass Unternehmen aus Gründen der Sicherheit die Funktionsweise ihrer APIs im Laufe der Zeit ändern oder den Zugriff darauf komplett wiederrufen – so wie es Facebook nach ihrem letzten Datenschutzskandal hat tun müssen. Doch das muss dann auch konsequent umgesetzt werden. Warum das nun bei Facebook nicht funktioniert hat, ist die große Frage.

Tatsache ist, dass Facebook endlich anfangen muss, seinem Privileged Access Management mehr Aufmerksamkeit zu schenken und Zugriffe auf neue und bestehende Dienste gemäß dem Prinzip der minimalen Rechtevergabe (Least Privilege) zu verwalten. Hier hat Facebook immer noch großen Nachholbedarf, wie der jüngste Vorfall zeigt.