Facebook Token- und Cookie-Sicherheit: Was Jeder Werbetreibende Wissen Sollte

Wenn Sie Facebook-Werbekonten verwalten — Ihre eigenen oder die von Kunden — sitzen Sie auf einem Stapel von Zugangsdaten, die in den falschen Händen Budgets plündern, Daten stehlen und Werbeassets dauerhaft zerstören können. Das ist nicht hypothetisch. Es passiert jede Woche.

Die wachsende Abhängigkeit der Werbebranche von inoffiziellen Tools, Anti-Detect-Browsern und Token-Sharing-Workflows hat eine massive Angriffsfläche geschaffen, die die meisten Media Buyer nicht vollständig verstehen. Dieser Leitfaden erklärt genau, wie Facebook-Tokens und Cookies funktionieren, welchen Risiken Sie ausgesetzt sind, wenn Sie sie teilen, und wie Sie Ihre Operation schützen können.

Facebook-Zugriffstoken Verstehen

Was EAAB-Tokens Sind und Was Sie Kontrollieren

Jedes Mal, wenn eine Drittanbieter-Anwendung mit Metas Werbeinfrastruktur interagiert, tut sie dies über einen Zugriffstoken — eine Anmeldedaten-Zeichenkette, die den API-Servern von Meta mitteilt, wer die Anfrage stellt und was die Person tun darf.

Der häufigste Token-Typ in der Werbung ist der EAAB-Token (das Präfix steht für das App-bezogene Bezeichnerformat, das Meta verwendet). Wenn Sie eine Zeichenkette wie EAABsbCS1iHgBAxxxxxxx sehen, blicken Sie auf einen Schlüssel, der potenziell:

• Alle Kampagnen lesen und ändern kann — über jedes Werbekonto, auf das der Token-Inhaber Zugriff hat
• Budgets und Gebote ändern kann — einschließlich der Möglichkeit, Tagesbudgets auf den maximal erlaubten Betrag zu setzen
• Auf Rechnungsinformationen zugreifen kann — Zahlungsmethoden, Ausgabenhistorie und Rechnungen einsehen
• Zielgruppendaten herunterladen kann — benutzerdefinierte Zielgruppen, Lookalike-Seed-Daten und Kundenlisten exportieren
• Business-Manager-Assets verwalten kann — Personen hinzufügen oder entfernen, Werbekonten neu zuweisen, Berechtigungen ändern
• Auf das Meta-Pixel zugreifen kann — Conversion-Daten einsehen, Pixel-Einstellungen ändern und Ereignisdaten lesen

Der Umfang des Zugriffs hängt von den Berechtigungen ab, die bei der Erstellung des Tokens gewährt wurden. Die zwei gefährlichsten Berechtigungen im Werbekontext sind ads_management (vollständige Kontrolle über Werbekampagnen und Creatives) und business_management (strukturelle Kontrolle über den Business Manager selbst).

Token-Typen: Die Hierarchie Verstehen

Nicht alle Tokens sind gleich. Das Token-System von Meta hat drei unterschiedliche Ebenen, jede mit unterschiedlichen Sicherheitsimplikationen:

Benutzer-Zugriffstoken werden generiert, wenn sich eine Person über Facebook Login bei einer Drittanbieter-App anmeldet. Diese Tokens erben die Berechtigungen, die der Nutzer während des Autorisierungsablaufs erteilt hat. Kurzlebige Benutzer-Tokens verfallen nach etwa einer Stunde. Langlebige Tokens, die durch den Austausch eines kurzlebigen Tokens über die API von Meta erhalten werden, sind ungefähr 60 Tage gültig. Dies sind die am häufigsten gestohlenen Token-Typen, da sie das volle Gewicht der Berechtigungen eines menschlichen Nutzers tragen.

Seiten-Zugriffstoken leiten sich von Benutzer-Tokens ab, sind aber auf eine bestimmte Facebook-Seite beschränkt. Ein ordnungsgemäß generierter langlebiger Seiten-Token kann nicht ablaufend werden — das heißt, er bleibt gültig, bis er explizit widerrufen wird oder sich die Beziehung des Nutzers zur Seite ändert. Diese werden häufig von Social-Media-Management-Tools verwendet.

Systemnutzer-Tokens werden im Business Manager für Machine-to-Machine-API-Zugriff erstellt. Sie sind an kein persönliches Facebook-Konto gebunden, verfallen nicht und können auf bestimmte Werbekonten und Assets beschränkt werden. Aus Sicherheitsperspektive sind Systemnutzer-Tokens die kontrollierteste Option: Sie können widerrufen werden, ohne menschliche Nutzer zu beeinflussen, sie tragen keine persönlichen Konto-Berechtigungen und erstellen klare Audit-Trails. Jede legitime Werbeplattform sollte Systemnutzer-Tokens oder OAuth-basierte Abläufe verwenden, anstatt persönliche Benutzer-Tokens anzufordern.

Token-Lebensdauer und Aktualisierungsmechanik

Ein weit verbreitetes Missverständnis ist, dass Tokens schnell verfallen und daher ein begrenztes Risiko darstellen. Die Realität ist nuancierter:

• Kurzlebige Tokens: ~1 Stunde Lebensdauer. Relativ geringes Risiko wenn abgefangen, aber sie können von jedem, der sie zusammen mit dem App-Geheimnis besitzt, gegen langlebige Tokens eingetauscht werden.
• Langlebige Tokens: ~60 Tage. Dies ist der Standard-Token-Typ, den die meisten Werbetools verwenden. Sechzig Tage uneingeschränkter Zugriff reichen mehr als aus, um ein siebenstelliges Werbebudget zu plündern.
• Nicht ablaufende Seiten-Tokens: Gültig bis zum Widerruf. Diese überstehen Passwortänderungen und sogar einige Konto-Sicherheitsmaßnahmen.
• Systemnutzer-Tokens: Verfallen nie. Auf Business-Manager-Assets beschränkt. Können nur über Business-Manager-Einstellungen widerrufen werden.

Der kritische Punkt: Das Ändern Ihres Facebook-Passworts macht aktive Zugriffstoken nicht ungültig. Wenn ein Token kompromittiert wurde, müssen Sie ihn explizit über Ihre Facebook-App-Einstellungen oder den Business Manager widerrufen.

Cookie-Basierter Zugriff: Die Tiefere Bedrohung

Wie Facebook-Session-Cookies Funktionieren

Während Tokens API-Zugriff gewähren, bieten Cookies etwas möglicherweise Gefährlicheres: vollständigen Browser-Session-Zugriff auf Ihr Facebook-Konto, der von Ihrem eigentlichen Eingeloggtsein nicht zu unterscheiden ist.

Zwei Cookies sind kritisch:

c_user: Enthält Ihre numerische Facebook-Nutzer-ID. Dies ist an sich kein Geheimnis — Ihre Nutzer-ID ist halb-öffentlich — aber es dient als Bezeichner-Hälfte des Authentifizierungspaars.

xs: Der Session-Authentifizierungs-Cookie. Das ist die eigentliche Anmeldedaten. Kombiniert mit c_user repräsentiert er eine vollständig authentifizierte Facebook-Sitzung. Jeder, der beide Cookies besitzt, kann sie in einen beliebigen Browser importieren und sofort vollen Zugriff auf Ihr Konto erlangen.

Warum Cookie-Import die 2FA Umgeht

Dies ist der Teil, der die meisten Werbetreibenden alarmiert, wenn sie es erstmals verstehen: Cookie-basiertes Session-Hijacking umgeht die Zwei-Faktor-Authentifizierung vollständig.

Hier ist der Grund. Die Zwei-Faktor-Authentifizierung (2FA) ist eine Login-Sicherheitsmaßnahme. Sie verifiziert Ihre Identität, wenn Sie eine neue Sitzung erstellen. Aber wenn jemand Ihre c_user- und xs-Cookies importiert, erstellt er keine neue Sitzung — er nimmt Ihre bestehende, bereits authentifizierte Sitzung wieder auf. Aus der Perspektive von Facebook sieht das identisch aus, als würden Sie einen neuen Browser-Tab öffnen. Die Sitzung wurde bereits mit 2FA validiert, als Sie sich ursprünglich angemeldet haben.

Deshalb sind Anti-Detect-Browser und Cookie-Import-Tools so gefährlich. Sie umgehen nicht nur Anmeldeaufforderungen — sie übernehmen Ihre vollständige authentifizierte Identität. Jeder mit Ihren Cookies kann:

• Auf jedes Werbekonto zugreifen, das mit Ihrem Business Manager verknüpft ist
• Business-Manager-Einstellungen ändern (Nutzer hinzufügen, Assets neu zuweisen)
• Ihre Konto-Sicherheitseinstellungen ändern (2FA deaktivieren, E-Mail/Telefon ändern)
• Auf Messenger-Gespräche und Seiten-Posteingänge zugreifen
• Datenexporte und Backup-Codes herunterladen

Wie Cookies Gestohlen Werden

Die häufigsten Cookie-Diebstahl-Vektoren in der Werbebranche:

1. Bösartige Browser-Erweiterungen: Erweiterungen mit weitreichenden Berechtigungen können Cookies von jeder Domain lesen, einschließlich facebook.com. Der Nutzer sieht keinerlei Hinweis darauf, dass seine Cookies exfiltriert wurden.

2. Infostealer-Malware: Malware-Familien wie RedLine, Raccoon und Vidar zielen gezielt auf Browser-Cookie-Datenbanken ab. Sie extrahieren Cookies aus Chrome, Firefox, Edge und anderen Browsern, verpacken sie und senden sie an Command-and-Control-Server. Diese gestohlenen Cookies werden dann in großen Mengen auf Telegram-Kanälen und Darknet-Märkten verkauft.

3. Phishing mit Session-Erfassung: Fortgeschrittene Phishing-Angriffe nutzen Reverse-Proxy-Tools wie Evilginx, um die tatsächlichen Session-Cookies in Echtzeit abzufangen, während das Opfer sich über eine gefälschte Login-Seite anmeldet. Dies erfasst sogar 2FA-geschützte Sitzungen.

4. Freiwillige Weitergabe über Grey-Hat-Tools: Viele inoffizielle Werbetools fordern explizit, dass Nutzer ihre Facebook-Cookies exportieren und weitergeben. Nutzer tun dies freiwillig, weil sie nicht verstehen, dass sie vollen Konto-Zugriff übergeben. Weitere Details finden Sie in unserer Analyse darüber, wie Grey-Hat-Facebook-Tools funktionieren.

Der AdsPower Chrome-Erweiterung-Hack: Eine Fallstudie

Was Geschah

Im Januar 2024 erlitt AdsPower — einer der am häufigsten verwendeten Anti-Detect-Browser in der Affiliate-Marketing- und Media-Buying-Branche — einen Supply-Chain-Angriff über seine Chrome-Erweiterung. Der Vorfall war eine eindringliche Demonstration dessen, was passiert, wenn Werbeprofis übermäßiges Vertrauen in Tools mit tiefem Browser-Zugriff setzen.

Der Angriff entfaltete sich über ein kompromittiertes Erweiterungs-Update. Die Chrome-Erweiterung von AdsPower, die umfangreiche Browser-Berechtigungen benötigte, um als Anti-Detect-Tool zu funktionieren, erhielt ein Routine-Update, das bösartigen Code enthielt. Da Nutzer der Erweiterung bereits umfangreiche Berechtigungen erteilt hatten — Zugriff auf alle Websites, Fähigkeit Cookies zu lesen und zu ändern, Fähigkeit Web-Anfragen abzufangen — löste das bösartige Update keine zusätzlichen Berechtigungsaufforderungen aus.

Der Technische Mechanismus

Der injizierte Code zielte gezielt auf Kryptowährungs-Wallet-Interaktionen ab. Wenn ein Nutzer eine Transaktion in seiner browserbasierten Krypto-Wallet initiierte (z. B. MetaMask), fing die kompromittierte Erweiterung die Transaktionssignierungsanfrage ab und änderte stillschweigend die Ziel-Wallet-Adresse zu einer, die vom Angreifer kontrolliert wurde. Der Nutzer würde die korrekte Adresse auf dem Bildschirm sehen, aber die eigentliche Blockchain-Transaktion würde Gelder an eine andere Wallet senden.

Schätzungsweise 4,7 Millionen Dollar in Kryptowährungen wurden gestohlen, bevor der Angriff erkannt und die Erweiterung entfernt wurde.

Warum Das für Werbetreibende Wichtig Ist

Der AdsPower-Hack ist für jeden Media Buyer aus drei Gründen relevant:

Erstens demonstrierte er, dass Anti-Detect-Browser-Erweiterungen hochwertige Angriffsziele sind. Diese Tools benötigen konstruktionsbedingt die invasivsten Browser-Berechtigungen, die möglich sind. Sie müssen Cookies ändern, Browser-Fingerprints verändern, Anfragen abfangen und Skripte injizieren. Dieselben Berechtigungen machen sie zu idealen Angriffsvektoren.

Zweitens zeigte er, dass Supply-Chain-Angriffe Tools kompromittieren können, denen Millionen von Menschen vertrauen. Sie können den Code eines Tools heute auditieren und es morgen durch ein automatisches Update kompromittiert haben. Die Angriffsfläche ist nicht statisch.

Drittens bewies er, dass das Risiko nicht auf Werbung beschränkt ist. Wenn Sie einen Anti-Detect-Browser für Ihre Werbeoperationen verwenden, ist jede andere sensible Aktivität in dieser Browser-Umgebung — Banking, Krypto, E-Mail, andere Geschäftskonten — ebenfalls gefährdet. Dieselbe Erweiterung, die Ihre Browser-Fingerprints verwaltet, kann Ihre Bank-Cookies lesen, Ihre E-Mail-Sitzungen erfassen und auf jeden authentifizierten Dienst im Browser zugreifen.

Offizielles OAuth vs. Token-Extraktion: Ein Grundlegender Unterschied

Wie OAuth Funktioniert (Der Sichere Weg)

Wenn eine legitime Werbeplattform Zugriff auf Ihre Meta-Werbekonten benötigt, verwendet sie den offiziellen OAuth 2.0-Autorisierungsablauf von Meta:

1. Sie klicken auf "Mit Facebook verbinden" in der Plattform
2. Sie werden zur offiziellen Domain von Meta (facebook.com) weitergeleitet
3. Meta zeigt Ihnen genau, welche Berechtigungen die App anfordert
4. Sie genehmigen die spezifischen Berechtigungen, mit denen Sie einverstanden sind
5. Meta stellt der Anwendung direkt einen Token aus — Sie sehen oder handhaben ihn nie
6. Der Token ist nur auf die von Ihnen genehmigten Berechtigungen beschränkt
7. Sie können den Zugriff jederzeit über Ihre Facebook-Einstellungen widerrufen

Dieser Ablauf bietet mehrere kritische Sicherheitseigenschaften:

• Beschränkte Berechtigungen: Die App erhält nur die spezifischen Berechtigungen, die Sie genehmigt haben. Wenn Sie nur ads_read erteilen, kann die App Ihre Kampagnen nicht ändern.
• Widerrufbarer Zugriff: Sie können den Zugriff der App sofort über Facebook-Einstellungen > Apps und Websites widerrufen, und der Token wird sofort ungültig.
• Audit-Trail: Meta protokolliert alle API-Aufrufe, die mit dem Token gemacht werden, verknüpft mit der spezifischen App, die ihn angefordert hat.
• Keine Anmeldedaten-Exposition: Sie sehen, kopieren oder handhaben den Token nie. Er wird direkt von den Servern von Meta zu den Servern der Anwendung übertragen.
• App-Verantwortlichkeit: Die App ist bei Meta registriert, hat eine App-ID und unterliegt den Plattformrichtlinien von Meta. Wenn sie sich falsch verhält, kann Meta ihren API-Zugriff vollständig widerrufen.

Wie Token-Extraktion Funktioniert (Der Gefährliche Weg)

Grey-Hat-Tools verwenden einen ganz anderen Ansatz:

1. Sie melden sich in Ihrem Browser bei Facebook an
2. Das Tool weist Sie an, Chrome Developer Tools (F12) zu öffnen
3. Sie navigieren zum Application-Tab, finden Cookies oder führen einen spezifischen API-Aufruf durch
4. Sie kopieren einen rohen Zugriffstoken oder Cookie-Werte
5. Sie fügen sie in das Drittanbieter-Tool ein

Dieser Ansatz hat keine der Sicherheitseigenschaften von OAuth:

• Keine Berechtigungsbeschränkung: Der extrahierte Token trägt Ihre vollständigen Berechtigungen, keine begrenzte Teilmenge
• Kein Widerrufsmechanismus: Das Tool besitzt den rohen Token und kann ihn speichern, weitergeben oder verwenden, auch nachdem Sie versuchen, den Zugriff zu widerrufen
• Kein Audit-Trail: API-Aufrufe, die mit Ihrem extrahierten Token gemacht werden, sind von Aufrufen, die Sie selbst machen, nicht zu unterscheiden
• Vollständige Anmeldedaten-Exposition: Sie handhaben eine rohe Anmeldedaten, die, wenn sie an irgendeinem Punkt abgefangen wird (Zwischenablage, Screenshot, unsichere Formularübermittlung), vollständigen Zugriff gewährt
• Keine App-Verantwortlichkeit: Das Tool ist nicht bei Meta registriert und kann nicht über die Plattformdurchsetzung von Meta abgeschaltet werden

So Schützen Sie Ihre Werbeoperation

Sofortige Maßnahmen

1. Auditieren Sie jetzt Ihre verbundenen Apps. Gehen Sie zu Facebook-Einstellungen > Sicherheit und Login > Apps und Websites. Entfernen Sie alles, was Sie nicht aktiv verwenden und erkennen. Für den Business Manager prüfen Sie Unternehmenseinstellungen > Nutzer > Systemnutzer auf Tokens, die Sie nicht erstellt haben.

2. Aktivieren Sie die Zwei-Faktor-Authentifizierung auf jedem Konto, das Ihre Werbeoperationen berührt — Ihr persönliches Facebook-Konto, jeden Business-Manager-Administrator, Ihr E-Mail-Konto und Ihren Domain-Registrar. Verwenden Sie eine Authenticator-App (nicht SMS) für die Codes.

3. Hören Sie sofort auf, rohe Tokens zu teilen. Wenn ein Tool in Ihrem Workflow Sie auffordert, einen Zugriffstoken oder Cookies zu extrahieren und einzufügen, ist dieses Tool eine Sicherheitslast. Migrieren Sie zu einer Plattform, die OAuth verwendet.

4. Überprüfen Sie Ihre Browser-Erweiterungen. Überprüfen Sie jede Erweiterung, die in einem Browser installiert ist, über den Sie sich bei Facebook anmelden. Entfernen Sie jede Erweiterung, die Sie nicht unbedingt benötigen. Achten Sie besonders auf Erweiterungen, die Zugriff auf "alle Websites" oder "alle Ihre Daten auf besuchten Websites lesen und ändern" anfordern.

5. Verwenden Sie separate Browserprofile. Ihre Facebook-Werbe-Sitzung sollte kein Browserprofil mit persönlichem Surfen, Krypto-Wallets, Banking oder anderen sensiblen Aktivitäten teilen. Erstellen Sie ein dediziertes Chrome-Profil für das Anzeigenmanagement.

Fortlaufende Sicherheitspraktiken

Überwachen Sie nicht autorisierte Aktivitäten. Überprüfen Sie Ihr Aktivitätsprotokoll regelmäßig auf Aktionen, die Sie nicht durchgeführt haben — insbesondere Änderungen an Business-Manager-Einstellungen, neue Werbekonten oder unbekannte Kampagnen. Richten Sie Facebook-Login-Benachrichtigungen ein, um über neue Sitzungsaktivitäten informiert zu werden.

Implementieren Sie IP-basierte Einschränkungen. Aktivieren Sie im Business Manager die Einstellung "Zwei-Faktor-Authentifizierung für alle erforderlich". Beschränken Sie für Systemnutzer-Tokens den API-Zugriff auf bestimmte IP-Adressen, wenn Ihre Werbeplattform dies unterstützt.

Rotieren Sie Anmeldedaten nach einem Zeitplan. Systemnutzer-Tokens sollten mindestens vierteljährlich rotiert werden. Überprüfen und regenerieren Sie langlebige Tokens regelmäßig. Wenn ein Teammitglied das Unternehmen verlässt oder ein Tool außer Betrieb genommen wird, widerrufen Sie sofort alle zugehörigen Tokens.

Verwenden Sie Systemnutzer-Tokens anstelle persönlicher Tokens. Wann immer möglich, erstellen Sie Systemnutzer im Business Manager für API-Integrationen. Dadurch wird der API-Zugriff von persönlichen Konten entkoppelt, ermöglicht granulare Berechtigungssteuerung und ermöglicht Widerruf ohne Auswirkung auf menschliche Nutzer.

Schulen Sie Ihr Team. Jede Person, die Ihre Werbekonten berührt, sollte die Grundlagen verstehen: Niemals Tokens oder Cookies teilen, niemals ungeprüfte Browser-Erweiterungen installieren, immer offizielle OAuth-Abläufe verwenden und jede verdächtige Kontoaktivität sofort melden.

Was Zu Tun Ist, Wenn Sie Eine Kompromittierung Vermuten

Wenn Sie glauben, dass ein Token oder Cookie kompromittiert wurde:

1. Sofort alle Sitzungen beenden: Facebook-Einstellungen > Sicherheit und Login > Wo Sie angemeldet sind > Alle Sitzungen abmelden
2. Passwort ändern: Dies macht Session-Cookies ungültig (aber nicht alle Token-Typen)
3. Alle App-Berechtigungen widerrufen: Entfernen Sie jede verbundene App und autorisieren Sie nur die erneut, denen Sie vertrauen
4. Business-Manager-Einstellungen prüfen: Suchen Sie nach neuen Nutzern, geänderten Berechtigungen oder unbekannten Systemnutzern
5. Aktuelle Werbeaktivität überprüfen: Suchen Sie nach nicht autorisierten Kampagnen, Budgetänderungen oder Creative-Modifikationen
6. Login-Benachrichtigungen aktivieren: Richten Sie Benachrichtigungen für nicht erkannte Anmeldungen ein
7. Meta-Support kontaktieren: Wenn Sie Hinweise auf nicht autorisierten Zugriff sehen, melden Sie dies über das Meta Business Help Center

Das Gesamtbild: Warum Das für Ihr Unternehmen Wichtig Ist

Die hier beschriebenen Sicherheitsrisiken sind keine abstrakten Bedrohungen — sie sind die operative Realität einer Branche, in der die Grenzen zwischen legitimen Tools und Grey-Hat-Services oft absichtlich verwischt werden. Jedes Mal, wenn Sie einen Token teilen, Cookies in einen Anti-Detect-Browser importieren oder eine Erweiterung installieren, die Sie nicht gründlich überprüft haben, machen Sie einen Kompromiss zwischen Bequemlichkeit und Sicherheit.

Für ein tieferes Verständnis dessen, was passiert, wenn Meta nicht autorisierten Tool-Einsatz erkennt, lesen Sie unseren Leitfaden zu Meta-Nutzungsbedingungen-Verstößen und ihren Konsequenzen. Und wenn Sie derzeit Cloaking oder andere Umgehungstechniken verwenden, erklärt unsere Analyse der Cloaking-Risiken 2026, warum sich das Fenster für diese Methoden schnell schließt.

Die Werbeplattformen, die überleben und wachsen werden, sind die auf offiziellem API-Zugriff, OAuth-Abläufen und transparenten Sicherheitspraktiken aufgebaut sind. Die Ära der Token-Extraktion und des Cookie-Sharings endet — nicht wegen moralischer Argumente, sondern weil die finanziellen und operativen Risiken unlösbar geworden sind.