Erneut wurden kürzlich Telefonnummern und E-Mail-Adressen von hunderten Millionen Facebook-Nutzern in einem Hacker-Forum entdeckt. Nach ersten Aussagen des Unternehmens handelt es sich dabei um alte Daten, die über eine Sicherheitslücke erbeutet worden seien, die Facebook bereits im August 2019 geschlossen hatte.
Aber auch ohne Sicherheitslücke oder direkten Hackerangriff sind solche Lecks möglich. «Apps sind eine Möglichkeit, wie solche persönlichen Daten überhaupt gesammelt werden können, die nun in dunklen Kanälen auftauchen», sagt Hauke Mormann von der Verbraucherzentrale Nordrhein-Westfalen (NRW). Diese Apps sammeln viele persönliche Daten von Mitgliedern – nicht nur vom Nutzer selbst, sondern möglicherweise auch von Freunden. Das kann auch geschehen, ohne dass Betroffene das mitbekommen.
Es geht dabei ausdrücklich um Fremd-Apps, die Facebook als Plattform für Programme wie Spiele, Umfragen oder Tests nutzen. Es kann sich aber auch um Firmen handeln, die für ihren Shop einen Login mit Facebook-Daten ermöglichen. Das erscheint manchem Nutzer bequem, muss er doch kein zusätzliches Konto dafür einrichten.
Durch unseriöse Anbieter können solche Datensätze zweckentfremdet werden und etwa für Identitätsdiebstahl missbraucht werden.
Auf Facebook selbst nach unerlaubten Datensammlern suchen
Facebook selbst hat eine Seite, auf der Nutzer prüfen können, ob sie Apps auf Facebook verwendet haben, die unerlaubt Daten gesammelt haben. Solche Apps sperrt Facebook laut Eigenaussage, sobald sie dahingehend entdeckt werden. Von der Seite gelangt man auch auf einen Bereich, in dem Nutzer Zugriffsrechte für Apps und Internetseiten steuern können.
Die Verbraucherzentrale NRW rät dabei, den Apps so wenig Datenzugriffe wie möglich zu erlauben. Dann könne es allerdings sein, dass die Anwendung nicht mehr so funktioniert wie vorher. Hier gilt es genau abzuwägen.
Welche Daten sind von mir im Netz?
Um generell festzustellen, ob und wo persönliche Daten wie etwa Emailadressen, Telefonnummern und Log-in-Daten für ihre Accounts aus Datenlecks im Umlauf sind, können Nutzer mehrere Seiten ansteuern. Darunter etwa die «Pwned»-Datenbankabfrage des IT-Sicherheitsforschers Troy Hunt. Diese Datenbank wurde nach dem Facebook-Datenleak auch um eine Abfragemöglichkeit von Telefonnummern erweitert, berichtet das IT-Portal «golem.de».
Eine andere Möglichkeit ist der «Identity Leak Checker» des Potsdamer Hasso-Plattner-Instituts (HPI). Wer die zu untersuchende Emailadresse eingibt, bekommt geprüft, ob die Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse im Internet offengelegt wurde und missbraucht werden könnte.
Gibt es bei einem der Dienste einen Treffer, sollte das dort verwendete Passwort geändert und nicht weiter verwendet werden. Es sei denn, man kennt den Leak schon oder seine Entdeckung liegt schon sehr lange zurück und man ist sich sicher, das Passwort ohnehin längst geändert zu haben.
Nicht auf Links unbekannter oder Absender klicken
Was aber ist mit Phishing- und Spam-Mails oder -SMS? «Solange sie nicht Ihre E-Mail-Adresse oder Telefonnummer ändern, werden sie damit leben müssen», sagt Verbraucherschützer Hauke Mormann. Man sollte aber die Absender sperren und die Mails und die SMS sofort löschen. Und vor allem nie irgendwelche Links anklicken.
Davor warnt bei solchen Nachrichten auch die Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK). Auch sollte man niemals Apps installieren, falls das Handy dann danach fragt. Ansonsten ist die Gefahr groß, sich eine Schadsoftware einzufangen. Eine Drittanbietersperre ist daher sinnvoll.
Wichtig ist vor allem, sich immer typische Merkmale von Spam-Mails oder -SMS vor Augen zu führen: Etwa Rechtschreibfehler oder kryptische Absender- oder Linkadressen wie etwa «ar127bsi@yz.ru», die aber angeblich von renommierten Firmen stammen sollen.
Wer will mir wirklich eine SMS schicken?
«Auch die generelle Plausibilität der Angebote und Absender ist zu prüfen», sagt Mormann. «Würde mir der Paketdienstleister wirklich eine SMS mit seltsamen und zusammenhanglosen Links schicken?». Nein – wie DHL aktuell auf Twitter warnt: «Wir fordern grundsätzlich keine Daten per SMS an & informieren nicht per SMS über den Sendungsstatus.» Denn zur Zeit machen Betrugs-SMS die Runde, deren Absender sich als DHL oder Deutsche Post ausgeben. «Die Zahl solcher SMS ist merklich gestiegen und ein Zusammenhang mit dem Datenleak von Facebook-Nutzerinfos ist wahrscheinlich», so Mormann.
Am besten sei es, wenn man für soziale Netzwerke eine andere E-Mail-Adresse nutzt als für Bank- und Versicherungsgeschäfte, sagt Mormann. Aber auch diese Adresse sollten Nutzer regelmäßig wie oben beschrieben prüfen. Grundsätzlich gilt: Seinen echten Namen, das Geburtsdatum, E-Mail-Adresse und Telefonnummer stellt man besser so spärlich wie möglich im Internet öffentlich zur Verfügung – für Kriminelle sind das wertvolle Daten.
Wie man mobile Geräte generell sicherer nutzt, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seinen Seiten erläutert und bietet eine Broschüre zum Download.
Infokasten:
Link doch angeklickt – was tun?
Wer aus Versehen einen verdächtigen Link etwa aus einer SMS angeklickt hat, sollte umgehend aktiv werden. Das rät die Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK):
1. Handy sofort in den Flugmodus schalten. So kann es keine Befehle mehr von außen empfangen oder SMS versenden.
2. Den Mobilfunk-Betreiber per Anruf informieren. Dabei erkundigen, ob bereits ob schon Kosten verursacht wurden.
3. Eine Drittanbietersperre einrichten.
4. Die Polizei über 110 anrufen oder nächste Dienststelle aufsuchen.
5. Alle Daten und auch Einstellungen sichern. Dann das Handy au Werkseinstellungen zurücksetzen. So würden alle Apps und Daten gelöscht, die nach dem Kauf aufgespielt wurden.
6. Alle Passwörter ändern und wo möglich eine Zwei-Faktor-Authentifizierung aktivieren.