Facebook verbannt 200 Apps: Noch mehr Leaks à la Cambridge Analytica?

Die Wogen des Cambridge Analytica-Skandals haben sich für Facebook geglättet. An der Börse ist man wieder zufrieden und die Nutzung des Sozialen Netzwerks hat keine bedeutenden Einschnitte erfahren. Nun ist eine von Mark Zuckerberg angekündigte Untersuchung von Apps im Gange, die vor 2014 große Datenmengen ansammelten. Bisher hat man bereits 200 dieser Apps verbannt; und die Review ist noch nicht abgeschlossen. Obwohl Facebook sich nicht zu Namen äußert, zeigen Berichte, dass die für den Cambridge Analytica-Skandal verantwortliche App kein Einzelfall war.

Facebooks App Review: Zuckerberg setzte schon früh Prüfungen an

Schon im März hatte Mark Zuckerberg im Zuge des Skandals um Cambridge Analytica eine Prüfung all jener Apps angekündigt, die seit Zeitpunkten vor 2014 Zugang zu großen Datensätzen hatten. Immerhin hatte Facebook in jenem Jahr den Zugang zu Daten für Apps drastisch reduziert. Zuckerberg erklärte:

First, we will investigate all apps that had access to large amounts of information before we changed our platform to dramatically reduce data access in 2014, and we will conduct a full audit of any app with suspicious activity. We will ban any developer from our platform that does not agree to a thorough audit. And if we find developers that misused personally identifiable information, we will ban them and tell everyone affected by those apps. That includes people whose data Kogan misused here as well.

Zudem sollte der Datenzugriff der Apps weiter beschränkt werden. So sollten die Entwickler von Apps keinen Zugriff mehr auf Nutzerdaten haben, sofern diese eine App seit drei Monaten nicht nutzen. Außerdem wurde geplant die Daten auf E-Mail-Adressen, Namen und Profilfotos zu beschränken. Dazu wollte Facebook den Entwicklern einen Vertrag aufzwingen, wenn sie weitere Daten der Nutzer zu verwenden gedachten. Zu guter Letzt erläuterte Zuckerberg, dass man den Usern bei Facebook auch ermöglichen wollte, per Tool zu erkennen, welchen Apps man Daten übermittelt hatte. Dies kann unter Apps und Webseiten eingesehen werden.

Ein genauerer Blick auf die Datensätze von Apps

Nun hat Facebooks VP der Product Partnerships, Ime Archibong, im Blogpost dargestellt, wie die App Review bis dato läuft. Dabei wird deutlich: diese ist in vollem Gange und besteht aus zwei Phasen. Zunächst werden all die Apps identifiziert, die Zugang zu sehr umfangreichen Datensets hatten, die sie vor 2014 generierten. Im zweiten Schritt werden dann Apps, bei denen Facebook Bedenken hat, genauer unter die Lupe genommen. Bei den Entwicklern dieser Apps fragt man nach Interviews, konkrete Informationen zum Datenzugriff werden angefordert und im Zweifel werden Kontrollen mitsamt Inspektion der Website durchgeführt.

Bisher wurden schon tausende Apps kontrolliert. Und 200 davon sind als verdächtig aufgefallen und entfernt worden. Zu diesen soll eine eingehende Untersuchung klären, ob sie tatsächlich Daten der Nutzer missbraucht haben. Sobald Facebook dies bestätigen kann, werden sie endgültig verbannt. Die Nutzer Facebooks werden auf einer Website über den möglichen Missbrauch ihrer Daten informiert.

Der Post verrät keine Namen von Apps und weist darauf hin, dass die Untersuchungen noch weitergehen und Nutzer auf dem Laufenden gehalten werden.

 We are investing heavily to make sure this investigation is as thorough and timely as possible. We will keep you updated on our progress.

Der undurchsichtige Prozess der Prüfung macht mögliche weitere Daten-Leaks plausibel

Während Facebook sich sehr bedeckt hält, was die genaueren Indikatoren für eine Prüfung der Apps angeht, mehren sich die Hinweise, dass es sich bei der App This Is Your Digital Life, mit deren Hilfe Cambridge Analytica unzulässig und massenhaft Daten sammelte, um keinen Einzelfall handelt. TechCrunchs Natasha Lomas erklärt in ihrem Beitrag, dass eine Sprecherin Facebooks zwar bestätigt habe, man plane vonseiten des Unternehmens mehr Informationen zu den Apps preiszugeben. Doch noch sei nicht klar, ob nur betroffene User über die Apps unterrichtet würden, die womöglich Daten missbrauchten oder ob diese öffentlich gemacht würden. Zu genaueren Nachfragen hatte die Sprecherin Aussagen abgelehnt. Sie wollte nicht angeben, wie groß Datensätze bei Apps sein müssen, damit Facebook sie einer Prüfung unterzieht. Auch zur Dauer und zum Umfang der Prüfungen gab es keine näheren Angaben.

Mit dieser defensiven Haltung möchte Facebook sicherlich etwaigen weiteren Eklats vorbeugen. Und eine Untersuchung des New Scientist hat jüngst herausgestellt, dass Daten von Nutzern der Persönlichkeits-App myPersonality zum Großteil online exponiert wurden. Phee Waterfield und Timothy Revell berichten, dass Akademiker der University of Cambridge die Daten, die sie aus dem Quiz der App gewannen, per Website an hunderte Researcher weitergaben. Diese Website hatte dabei nur unzureichende Sicherheitsvorkehrungen vorzuweisen. Die Daten umfassten hierbei persönliche Details der Nutzer; auch Resultate von psychologisch angelegten Tests. Die Hälfte der sechs Millionen Nutzer, die Tests bei der App absolvierten, stimmten dem Teilen ihrer Daten zu. Die Daten dieser drei Millionen User wurden, ihrer Namen entledigt, auf der Website zum Teilen hochgeladen. Beiteiligt waren laut Waterfield und Revell die Akadamiker David Stillwell und Michal Kosinski – und zuvor ebenso Alexander Kogan, der die Daten für Cambridge Analytica gesammelt hatte.

Die App ist entfernt, der Schaden aber angerichtet?

Am siebten April hatte Facebook die App myPersonality aufgrund von Verletzungen der Richtlinien vom Sozialen Netzwerk entfernt. Die Richtlinien der App selbst erlaubten ihr bei der Zustimmung der Nutzer das Teilen der Daten „in an anonymous manner such that the information cannot be traced back to the individual user“.

Doch die unzureichenden Sicherheitsvorkehrungen konnten die Anonymität nicht gewährleisten. Jahrelang sei ein Passwort und Username per Websuche zu finden gewesen, der jedem Zugriff auf die Seite mit den Daten aus der App erlaubte. Und da jedem User des Datensets eine ID zugeordnet wurde, war eine De-Anonymisierung nicht allzu schwer. Immerhin sind Angaben zu Alter, Geschlecht, Location, Status Updates, Beziehungsstatus, Ergebnissen des Persönlichkeitsquiz und dergleichen mehr an diese ID gekoppelt gewesen. Mit einer automatisierten Form der De-Anonymisierung hätten im Handumdrehen unzählige Informationen bereitgestanden. Und mit solchen Informationen lässt sich explizite Werbung bei Facebook schalten. Das hat Cambridge Analytica gezeigt; doch das Unternehmen war sicher nicht das einzige, dass von derlei Leaks profitiert hat.

Datenleaks werden heruntergespielt, aber das Geschäftsfeld ist deutlich

David Stillwell, der für myPersonality verantwortlich zeichnet, gab gegenüber New Scientist an, dass es nur einmal zu einem Problem mit den Daten gekommen ist. Außerdem hält er die Arbeit mit anonymisierten Daten für wichtig:

We believe that academic research benefits from properly controlled sharing of anonymised data among the research community.

Was sich wie ein guter Forschungsansatz anhört, kann aber nicht darüber hinwegtäuschen, dass mit diesen Daten heutzutage unheimlich viel Geld verdient werden kann. Und dass gerade Daten von Facebook-Nutzern für Werbetreibende – nicht zuletzt in Zeiten politischer Wahlen – besonders wertvoll sind. Stillwell eröffnete aber auch, dass Facebook schon 2011 mit ihm und seinem Partner in Kontakt stand. So scheint es, als reagierte man dort erst im Zuge der öffentlichen Skandale auf etwaige Leaks bei Daten. Das Gefühl, dass diese im Kontext verstärkter Werbung auf der Plattform nicht näher beleuchtet wurden, wird man nicht ganz los.

Letztlich ist nicht nachzuvollziehen, wer mit den Daten aus der myPersonality-App was gemacht hat. Klar ist, dass hier millionenfach Daten zugänglich gemacht wurden, ähnlich wie im Fall Cambridge Analytica. Wenn Facebook von bisher 200 Apps spricht, die entfernt wurden, sind diese beiden Fälle, die publik geworden sind, sicherlich nur die Spitze des Eisbergs. So ist Facebooks Vorgehen bei den Prüfungen aller Ehren wert. Das Kind ist womöglich allerdings an vielen Stellen schon lange in den Brunnen gefallen.

Zumindest dürfte die öffentliche Aufmerksamkeit für die Thematik für zweierlei sorgen. Facebook wird sich intensiver mit Apps und Werbetreibenden auseinandersetzen, was die Datenweitergabe angeht. Und die Nutzer werden wohl in Bezug auf das Teilen ihrer Daten und an sie gerichtete Werbung sensibilisiert.