Facebook-Datenleck: Auch Handynummern von Politikern online

News

Zu den Dingen, die kaum einer in Hackerforen veröffentlicht sehen will, zählt wohl die eigene Handynummer. Genau das ist nun einer halben Milliarde Menschen passiert. Das Facebook-Datenleck betrifft nicht nur uns „Normalsterbliche“, sondern auch Politiker. Die kritisieren Facebook nun heftig – komisch, wo doch die Politik selbst häufig genug auf Datenschutz pfeift.

Diese Mega-Datenpanne trifft Groß und Klein

Der aktuelle Facebook-Datenleak hat es in sich: Ein Datensatz mit 533 Millionen Einträgen ging Anfang April online. Die in einem Hacker-Forum veröffentlichte Liste enthält Handynummern von einer halben Milliarde Menschen. Kein Wunder: Facebook sammelt seit wenigen Jahren vermehrt Handynummern, sei es mittels Zwei-Faktor-Authentifizierung, dem Hochladen von Adressbüchern oder der Naivität der Nutzer selbst, die ihre Handynummern in ihr Profil schreiben.

Netzpolitik.org wurde auf einen öffentlich zugänglichen Datensatz mit 495 Millionen Facebook-Profilen aus mindestens 105 Staaten (Name, Handynummer, Facebook-ID, Wohnort, Geburtsdatum, -ort, etc.) aufmerksam gemacht und wagte ein Experiment. Die Suche nach Bundestagsmitgliedern spuckte auf Anhieb 54 Abgeordnete aus. Wie diese wohl auf die Veröffentlichung ihrer Handynummern reagieren? Die Reporter fackelten nicht lange. Ein paar Anrufe später und die Politik war empört.

Seltsam, denn beim Thema Datenschutz sind viele Politiker normalerweise entweder ganz still – oder aber ganz vorne mit dabei, wenn es darum geht, diesen auszuhebeln. Erst wenn es sie selbst trifft, gibt es großes Gemecker. Das überrascht mich nicht, da die Handyliste ein großes Missbrauchspotential birgt: Als riesiges Telefonbuch ermöglicht sie Identitätsdiebstahl, Phishing, Smishing, Spam oder aus Marketingsicht positiv betrachtet, jede Menge Leads. Datenschutz scheint dann doch recht wichtig zu sein, nicht wahr?

Ihr seid Facebook egal

Auch wenn TikTok sowie Instagram Facebook so langsam den Rang ablaufen, bleibt der Social-Media-Riese das Nonplusultra. Das merkt man auch am Umgang Facebooks mit seinen Nutzerinnen und Nutzern: Facebook kann es sich leisten, User vor den Kopf zu stoßen.

Schweigen ist Gold

Wie viele von den über eine halbe Milliarde Betroffenen bereits vom Datenleck wissen, ist unklar. Zwar haben zwischenzeitlich Millionen von Menschen Have I Been Pwnd aufgesucht, um ihre Handynummern und E-Mail-Adressen dort prüfen zu lassen, noch immer dürften aber viele keinerlei Kenntnis von der Veröffentlichung ihrer Daten im Rahmen einer Liste haben. Das galt auch für die meisten betroffenen Politiker – bis zum Anruf.

Man könnte meinen, bei einer so unfassbar großen Anzahl Betroffener würde Mark Zuckerberg vom Thron herabsteigen und zum Volk sprechen. Stattdessen hüllt sich Facebook in (Beinahe-)Schweigen. Der Social-Media-Gigant ist sich der Tragweite und des Ausmaßes des Lecks durchaus bewusst, immerhin macht er Ausführungen dazu. Aber Betroffene informieren? Ne, keine Lust.

Facebook gibt an, es fehle am vollen Überblick darüber, welche Nutzer überhaupt zu benachrichtigen wären. Zudem hätten Nutzer sowieso keine Chance, das Problem selbst zu lösen, außerdem seien die Daten öffentlich zugänglich gewesen. Also kann man sich die Mühe auch gleich sparen. Die irische Datenschutzaufsicht hat Facebook bereits kontaktiert – Facebook schlottern sicher schon die Knie, ganz bestimmt.

Schuld am Datenleck sei laut Facebook übrigens kein Hack. Vielmehr hätten die Kriminellen die Daten durch „Scraping“ unter Verwendung einer Schwachstelle im Tool der Plattform zum Synchronisieren von Kontakten abgegriffen. Diese Sicherheitslücke sei 2019 gepatcht worden. Das mag sein, Facebook wird dadurch aber noch lange nicht zum Unschuldsengel: Die vergangenen Datenleaks von 2018 (30 Millionen Profile) und 2019 (419 Millionen Facebook Accounts) sprechen eine deutliche Sprache. Erst vor wenigen Tagen ging eine neue Handynummernliste online, zur Verfügung gestellt mit freundlichen Grüßen durch einen Telegram-Bot. Besonders pikant daran: Zumindest diese Handynummern standen nicht öffentlich im Profil. Ich bin gespannt, welche lahme Ausrede Facebook hierfür parat hält.

Die DSGVO ist goldiger

Ob betroffene Personen über Datenschutzvorfälle informiert werden müssen, bestimmt sich nach Art. 34 Abs. 1 DSGVO:

„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“

Facebook stützt sich vermutlich auf Art. 34 Abs. 3 lit. c DSGVO, wonach eine Benachrichtigung unterbleiben kann, wenn diese mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall ist z.B. auf eine öffentliche Bekanntmachung zurückzugreifen. Die Frage ist nun, ob die halbe Milliarde Betroffener auch davon erfährt, dass es eine Stellungnahme von Facebook gibt?

Was sagen eigentlich Politiker…

Viel, wenn der Tag lang ist. Manches davon ergibt Sinn, einiges schießt über das Ziel hinaus, das ein oder andere hätten sie sich auch sparen können. Werfen wir doch mal einen Blick darauf, wie Politiker reagieren, wenn sie selbst ins Kreuzfeuer von Daten-Kriminellen geraten und für wie wichtig sie Datenschutz ganz im Allgemeinen halten. Spoiler: Mit Datenschutz hat es die Politik nicht so. Es sei denn, es trifft die eigenen Daten.

…zu diesem Datenleck?

Nun, da ihre eigenen Handynummern publik wurden, fielen die Reaktionen der Bundestagsabgeordneten wie erwartet aus:

  • „Das geht gar nicht“
  • „völlig inakzeptabel“
  • „verdammt ärgerlich“
  • „besorgniserregend“
  • „bin schockiert“
  • „nicht hinnehmbar“
  • „sehr bedenklich“
  • „bin sauer“
  • „darf nicht passieren“
  • „Sie machen mir jetzt Angst“
  • „verurteile ich auf das Schärfste“
  • „Ein Schlag ins Gesicht“
  • und der Klassiker „Das ist eine Frechheit“

Ein Teil der Bundestagsabgeordneten wird mittlerweile durch Drohanrufe belästigt, einige machen sich Sorgen und haben Angst, manche wechselten sogar ihre Handynummer oder planen dies noch. Fast alle der Abgeordneten erwarten, dass Facebook endlich tätig wird und sämtliche betroffenen Personen informiert. Dass Facebook sich weigert, empfinden die Politiker als „nicht hinnehmbar“, als „absoluten Vertrauensverlust“ und wiederum als „Frechheit“. Mehrere verwiesen auf die aus der DSGVO resultierende Benachrichtigungspflicht. Weiterer Kritikpunkt: Facebook nehme Datenschutz und Datensicherheit nicht ernst. Da wäre ich ja im Leben nicht draufgekommen.

…zum Thema Datenschutz allgemein?

In Sachen Datenschutz für den Rest der Bevölkerung sieht die Welt schon ganz anders aus. Ob Corona (man erinnere sich an die verfassungswidrige Gästelisten-Regelung des Saarlands, die Diskussion um den Immunitätsausweis und an die weiterhin brandaktuelle Herabstufung von Grundrechten zu Privilegien), der seit Jahren gehuldigte Staatstrojaner oder der Dauerbrenner Vorratsdatenspeicherung: Egal, welches politische Vorhaben man betrachtet, datenschutzrechtlich sind sie häufig bedenklich, manchmal eine Katastrophe. Oft genug wird Datenschutz ignoriert, die Liste ließe sich wohl unendlich fortführen.

Ich habe mir einmal die Mühe gemacht und die Politiker-Handyliste danach abgegrast, wer sich in der Vergangenheit für datenschutzrechtlich bedenkliche Vorhaben ausgesprochen oder sich anderweitig kritisch zum Datenschutz geäußert hat. Und siehe da:

Der Parlamentarische Staatssekretär des Bundesinnenministeriums, Günter Krings (CDU), befürwortet die Umwidmung der Steuer-ID zu einer allgemeinen Identifikationsnummer. Im Zusammenhang mit der Corona-Warn-App meinte Michael Kuffer (CSU), dass die App schnellstens so geändert werden müsse, dass

„sichtbar ist, wann und wo die erfassten Risiko-Begegnungen stattgefunden haben. (…) Datenschutz darf nicht über dem Lebensschutz stehen.“

Verständlich, doch ist diese Art der Gegenüberstellung lästig. Datenschutz hat nicht einfach zu verschwinden, wenn es gerade mal passt. Datenschutz ist immer zu beachten, mal mehr, mal weniger. Bei der Diskussion um die Nutzung der Corona-Gästelisten durch die Polizei verglich er die Situation sogar mit Nummernschildern am Auto, die auf dem Weg ins Büro gesehen würden:

„Und dann weiß man, dass ich die Sonnenstraße heruntergefahren bin. Ähnlich ist es mit den Listen, wenn die unmittelbar zur Gefahrenabwehr benutzt werden. Warum nicht? Ich bitte an der Stelle wirklich, jetzt nicht überzuschnappen.“

Anderes Thema, ein ähnlich lockeres Verständnis von Datenschutz: Alexander Throm (CDU) ist ein Fan von Bestandsdatenauskünften.

„Bei den Grünen geht Datenschutz vor Opferschutz. Mit ihrer Datenschutzideologie schützen sie nicht den unbescholtenen Bürger, sondern diejenigen, die widerlichen rechtsextremen Hass und Hetze im Netz verbreiten…“

Ja ja, die alte Leier vom Täterschutz. Wer kennt sie nicht, die Datenschutzideologen?

Was kümmert mich mein Geschwätz von gestern?

Wir leben in einer schnelllebigen Zeit, da kann man schon mal was vergessen. Halb so wild? Naja, der ein oder andere Politiker dürfte darauf spekulieren. Einen Fauxpas, eine blöde Äußerung, einen selten dämlichen Anti-Datenschutz-Gesetzesvorschlag: Wenn überhaupt Diskussionen darüber auftreten, dann nur kurz, denn alsbald wird bereits die nächste Sau durch das Dorf getrieben. Wieso also die Aufregung? Im Zweifel merkt es eh keiner – zumindest nicht so lang.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. Das zeigt doch wie verlogen unsere Politik ist. Sofern Datenschutz den kleinen Mann betrifft, ist alles nicht so schlimm. Aber wehe die Herren Politiker trifft es, dann ist der Aufschrei groß. Von daher standhaft bleiben und den Datenschutz vorantreiben.

    • Die Liste liesse sich erweitern um „WhatsApp“ und „Messenger“ z.B. , beide überschwemmen sozial Media mit gefährlichen Links, die nicht nur Daten abgreifen, sonder Schadsoftware überspielen.

  2. Ob Herr Throm und Herr Kuffer – übrigens beides Juristen – mir wohl erklären könnten, warum der Datenschutz ausgerechnet Täter besonders schützt? Oder Opfer nicht schützt?
    Kann man diese Kategorisierung denn ohne gerichtliche Entscheidung schon treffen? Die „Überwachungsmaßnahmen“ finden doch wohl im Vorfeld etwaiger strafrechtlicher Maßnahmen / Bewertungen statt. Mir scheint es, die Herren, sehen die Unschuldsvermutung als eher theoretisches Grundprinzip an.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.