Es sind Größenordnungen, bei denen man durchaus einmal innehalten darf, um sie in ihrer Tragweite zu erfassen: Vor wenigen Tagen ist eine Datenbank mit den Telefonnummern von mehr als 500 Millionen Facebook-Nutzern aufgetaucht – allein 1,2 Millionen davon aus Österreich. Angesichts dieses Vorgangs sollte man eigentlich meinen, dass Facebook gerade im Alarmmodus ist, um mit allen Mitteln Schadensbegrenzung zu betreiben. Umso verblüffender war die recht nüchterne Reaktion des Konzerns auf erste Berichte: Es handle sich hierbei um alte Daten, die betreffende Sicherheitslücke sei längst geschlossen, und damit gebe es eigentlich nichts Weiteres zu tun.

Offene Fragen

Immer langsam mit den jungen Pferden sagen hingegen Datenschützer und fordern von Facebook nun zusätzliche Antworten. Und dabei geht es nicht zuletzt um die Klärung der zeitlichen Abfolge, wie die irische Datenschutzbehörde in einer Stellungnahme betont. So verweist Facebook lediglich darauf, dass die für das Abgreifen der Telefonnummern genutzte Sicherheitslücke bereits im August 2019 geschlossen wurde, die Daten aber noch älter seien. Tatsächlich wurden ähnliche Datensätze bereits 2018 und 2019 veröffentlicht.

Warum ist das relevant? Weil im Mai 2018 die Datenschutzgrundverordnung in Kraft getreten ist, die eine Meldepflicht für solche Fälle vorsieht. Sollte Facebook gegen diese verstoßen haben, könnte dies eine saftige Strafe nach sich ziehen. Erschwert wird die Spurensuche dadurch, dass entsprechende Sammlungen oft ein Amalgam aus verschiedensten Vorfällen sind. Und da es bei Facebook über die Jahre eine Fülle riesiger Datenlecks gegeben hat, ist es selbst für Experten kaum möglich, die Herkunft exakt nachzuvollziehen. In diesem Fall sieht die Beweislage aber nicht gut aus für Facebook, so zeigen Analysen des veröffentlichten Materials, dass die neuesten Daten aus dem Mai 2019 stammen – also einer Zeit lange nach dem Inkrafttreten der DSGVO.

Reaktion

In einem neuen Blogposting geht das Unternehmen nur indirekt auf solche Fragen ein: Der Vorfall sei bereits 2019 berichtet worden, bezieht man sich auf einen damals veröffentlichten Artikel von CNET. Da wurde auch schon das eigentliche Problem beschrieben: Unbekannte hatten einen Weg gefunden, über die Importfunktion für Kontakte massenhaft Profilinformationen abzugreifen – darunter aufgrund eines Fehlers bei Facebook auch nicht-öffentliche Details wie die Telefonnummer. Ob solch ein Bericht die Meldepflicht erfüllt, ist allerdings zweifelhaft. Sollte hier ein DSGVO-Verstoß nachgewiesen werden, könnte das für das Unternehmen jedenfalls teuer werden. Immerhin ist die Anzahl der Betroffenen riesig.

Während es in dieser Hinsicht also noch einigen Klärungsbedarf gibt, können Facebook-User jetzt zumindest selbst herausfinden, ob sie betroffen sind. Dies allerdings nicht dank des Betreibers selbst, sondern mithilfe eines externen Tools. Die auf solche Datenlecks spezialisierte Website "Have I been pwned" hat nicht nur das gesamte Datenmaterial übernommen, sondern gleich auch eine neue Suche nach Telefonnummern implementiert. Damit können die Nutzer also sehen, ob sie betroffen sind. Bisher bot der Service von Sicherheitsforscher Troy Hunt "nur" eine Suche anhand der Mail-Adresse. Das neue Datenleck bewegte ihn aber zum Umdenken. Immerhin sind in diesem Fall nur wenige E-Mail-Informationen enthalten. Die knapp 2,5 Millionen Einträge verblassen im Vergleich zu den 533 Millionen Telefonnummern.

Reine Information

Ein Problem bleibt aber: Zwar können solche Dienste Aufklärung verschaffen, wirklich viel tun können Betroffene hingegen nicht – außer noch misstrauischer gegenüber unbekannten Anrufern oder überraschenden Mail-Nachrichten zu sein. Immerhin werden solche Daten gern für betrügerische Anrufe verwendet, um dann die Zielperson direkt mit ihrem Namen anzusprechen, oder mit anderen biografischen Details falsches Vertrauen zu schaffen. Besonders wertvoll werden solche Datensätze dadurch, dass die meisten Nutzer ihre Telefonnummern nur selten wechseln, die Daten also lange Gültigkeit behalten. Entsprechend finden sich in dem Datenmaterial natürlich auch die aktuellen Nummern von diversen Prominenten und Politikern – selbst jene von Facebook-Chef Mark Zuckerberg ist zu finden.

In der aktuellen Situation empfehlen sich insofern vor allem allgemeine Ratschläge, die auch sonst gelten: sich bei unbekannten Anrufern nicht mit dem Namen zu melden und diesen auch nicht zu bestätigen, wenn man explizit danach gefragt wird. Damit überprüfen Betrüger nämlich, ob ihr Datenmaterial noch korrekt ist. Generell ist die beste Reaktion ein schnelles Auflegen. Zwar kann ein langwieriges Gespräch mit einer bewussten Irreleitung der Betrüger in einzelnen Fällen amüsant sein, darauf sollte man dann aber auch gut vorbereitet sein. Für die breite Masse empfiehlt es sich, die betreffende Nummer anschließend zu blockieren und als Spam zu melden – entsprechende Funktionen bieten mittlerweile viele Telefonieprogramme bei aktuellen Smartphones. Zwar verwenden Betrüger eine Vielzahl unterschiedlicher Nummern, zumindest verhindert das aber einen umgehenden Neuanruf und schützt auch andere. (Andreas Proschofsky, 7.4.2021)