Daten-Panne bei Facebook: Vorsicht vor gefälschten Paket-SMS

Es ist ein riesiges Leck: Daten von 533 Millionen Facebook-Mitgliedern sind im Internet aufgetaucht – auch aus Deutschland. Dass Kriminelle gerade im großen Stil SMS mit Schad-Software versenden, ist möglicherweise kein Zufall. Wie du dich schützen kannst.  

Das Wichtigste zum Thema Facebook Datenleck

• Persönliche Daten von 533 Millionen Facebook-Mitgliedern aus 106 Ländern sind in einem Hacker-Forum aufgetaucht. Darunter sind auch Informationen von 6 Millionen deutschen Nutzer:innen – und die von Facebook-Chef Mark Zuckerberg.

• Insgesamt ist jedes 5. Mitglied des Netzwerks betroffen. Facebook hat 2,8 Milliarden Nutzer:innen, die mindestens einmal pro Monat aktiv sind.

• Laut Facebook stammen die erbeuteten Informationen von 2019. Das Datenleck gefährdet aber auch jetzt noch die Privatsphäre der Betroffenen.

• Kriminelle können die Daten zum Identitäts-Diebstahl oder zum Ausspähen weiterer Daten verwenden.

• Es gab schon mehrere Daten-Skandale bei Facebook - und das Unternehmen wird für seinen Umgang mit privaten Informationen immer wieder kritisiert.

Diese User-Informationen stehen öffentlich im Internet

🗣 Der volle Name

📧 E-Mail-Adresse

📞 Telefonnummer

🏙 Aktueller und bisheriger Wohnort

🗺 Land

🚼 Geburtsdatum

🚺 Geschlecht

💕 Beziehungsstatus

👷 Beruf

🆔 Facebook-ID und Datum, an dem der Account erstellt wurde

ℹ Weitere biografische Informationen

Was du über die Daten-Panne wissen musst

Kriminelle hatten die Facebook-Daten erstmals im Januar im Internet angeboten, damals aber verschlüsselt und gegen Geld. Nun stehen sie kostenlos und offen im Internet – und andere können sich einfach bedienen.

Die gestohlenen Daten stammen aus einer Sicherheitslücke, die Facebook nach eigenen Angaben 2019 geschlossen hat.

Die Datendiebe nutzten unter anderem das sogenannte Scraping: Mit Hilfe externer Tools und einer offenen Schnittstelle riefen sie automatisiert Informationen ab. Das verstieß schon damals gegen Facebook-Vorschriften, war aber möglich, bis das Netzwerk die Funktion deaktivierte.

Die Hacker griffen also nicht auf geheime Informationen zu, sondern erbeuteten im großen Stil Daten, die öffentlich sichtbar waren.

Für den Diebstahl der Telefonnummern nutzten die Kriminellen zusätzlich eine Sicherheitslücke aus. Sie konnten diese auslesen, auch wenn sie nicht öffentlich sichtbar war.

Die IT-Sicherheitsfirma Hudson Rock hatte die damals noch verschlüsselte Datenbank bereits im Januar entdeckt und Alarm geschlagen. Nun machte die Firma darauf aufmerksam, dass die Informationen unverschlüsselt im Netz stehen.

So reagiert Facebook auf die Daten-Panne

Facebook hat sich für die Panne bisher nicht entschuldigt. Eine Sprecherin erklärte lediglich lapidar bei Twitter, dass die Daten alt seien und die Sicherheitslücke geschlossen sei.

Wieso die gestohlenen Daten gefährlich für dich werden können

• Auch wenn die Informationen schon zwei Jahre alt sind, können Kriminelle dir trotzdem noch schaden, falls du betroffen bist. Weil sie verschiedene Daten über dich besitzen, können sie gezielter vorgehen.
• Sie schicken dir zum Beispiel Phishing-Mails und sprechen dich mit deinem Namen an. Das erscheint glaubwürdiger. Du klickst mit größerer Wahrscheinlichkeit auf einen Link – und landest auf einer manipulierten Webseite, auf der du weitere sensible Daten eingeben sollst.
• Außerdem können Kriminelle mit den Informationen deine Identität annehmen und in deinem Namen Konten eröffnen – oder einkaufen.

So findest du heraus, ob du von dem Daten-Leck betroffen bist

• Du kannst einfach überprüfen, ob du von dem Datenleck bei Facebook betroffen bist – oder von anderen Sicherheitslücken.
• Spezielle Dienste checken kostenlos, ob deine E-Mail-Adresse, Telefonnummer oder andere persönliche Daten bei Hacker-Angriffen erbeutet wurden oder in Datenbanken im Darknet zu finden sind.
• Die englischsprachige Seite Have I been pwned des IT-Sicherheitsforschers Troy Hunt informiert dich unter anderem, wenn deine Facebook-Informationen öffentlich zu sehen sind.
• Die Seite E-Mail Leak-Check nutzt die Datenbank von Have I been pwned, ist aber auf Deutsch übersetzt.
• Hilfreich ist generell auch der Identity Leak Checker des Hasso-Plattner-Instituts in Potsdam.
• Gib auf den Seiten jeweils die E-Mail-Adresse an, mit der du bei Facebook angemeldet bist. Bei Have I been pwned und dem E-Mail Leak-Check kannst du auch deine Telefonnummer checken.
• Have I been pwned und E-Mail Leak-Check zeigen dir umgehend an, ob du betroffen bist. Das Hasso-Plattner-Institut sendet dir nach wenigen Minuten eine E-Mail.

Hilfe, meine Daten stehen in der Liste: Was soll ich jetzt machen?

📄 Wenn Daten einmal abgegriffen und öffentlich gemacht wurden, kursieren sie für immer im Internet. Das kannst du nicht verhindern.

🕵 Du kannst nicht viel tun, außer noch genauer darauf zu achten, was du im Internet tust - zum Beispiel, auf welche Links zu klickst.

📱 Sei auch bei WhatsApp-Nachrichten von Fremden oder bei Telefon-Anrufen vorsichtig und checke zuerst genau, ob die Absender:innen und Anrufer:innen echt und seriös sind.

🦺 Ändere dein Passwort bei Facebook und am besten bei allen Diensten, die mit dieser E-Mail-Adresse verbunden sind.

⛔ Überprüfe die Privatsphäre-Einstellungen deines Accounts. Klicke dazu oben rechts bei Facebook auf das Dreieck und gehe zu "Einstellungen und Privatsphäre" sowie zu "Privatsphäre-Check". Achte darauf, dass möglichst wenig öffentlich sichtbar ist.

Achtung, nicht auf vermeintliche Paket-SMS hereinfallen

• In den letzten Tagen haben viele Menschen SMS erhalten, die angeblich von DHL, der Deutschen Post, UPS oder anderen Diensten stammen. Die Empfänger sollen auf einen Link klicken, um ein Paket zu verfolgen.
• Aber die SMS sind gefälscht. Kriminelle könnten dann versuchen, Schad-Software auf dem Smartphone zu installieren, warnt die Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK).
• Du solltest keinesfalls erlauben, dass sich automatisch eine neue App installiert. Möglicherweise schließt du damit ungewollt ein teures Abo ab.
• Die Betrugsmasche könnte mit dem Facebook-Datenleck zusammenhängen: Schließlich sind Millionen Telefonnummern offen im Internet verfügbar.
• Falls du schon auf den Link geklickt hast, schalte dein Handy in den Flugmodus. Frage bei deinem Mobilfunkanbieter nach, ob schon Kosten entstanden sind. Sichere dann alle Daten, so wie Fotos und Videos, und setze das Telefon auf die Werkseinstellungen zurück. Ändere alle Passwörter von Diensten, die du auf dem Telefon genutzt hast.
• Generell kannst du dich vor ungewollten Abos mit einer sogenannten Drittanbieter-Sperre schützen. Die richtet dein Mobilfunk-Provider ein.

So schützt du deine Privatsphäre im Internet

🙅 Sei geizig mit deinen Daten: Ein Web-Dienst fragt bei der Anmeldung nach Adresse und Geburtsdatum? Gib nur an, was unbedingt sein muss.

🚧 Nutze sichere Passwörter: Verwende für jeden Dienst ein anderes, sicheres Passwort und speichere es in einem Passwort-Manager wie Keesafe. Es sollte lang und komplex sein sowie aus Buchstaben, Ziffern und Sonderzeichen bestehen.

⛑ Nutze 2-Faktor-Authentifizierung: Melde dich bei Diensten wie Facebook nicht nur mit Nutzername und Passwort an, sondern über 2-Faktor-Authentifizierung mit zusätzlichem Code, den du aufs Handy bekommst.

🤐 Teile nicht alles bei sozialen Netzwerken: Setze deine Social-Media-Portale auf privat, sodass andere nicht auf Posts und Informationen zugreifen können. Sei generell zurückhaltend mit dem, was du teilst.

🔎 Überprüfe deine E-Mail-Adresse regelmäßig: Gib all deine Adressen bei Have I been pwnd und dem Identity Leak Checker ein und ändere die Passwörter, wenn du von einem Sicherheitsleck betroffen bist.

🤔 Falle nicht auf Phishing herein: Klicke nicht auf Links in E-Mails und gib keine persönlichen Daten auf Webseiten ein, wenn du nicht ganz sicher bist, dass sie echt sind.

Sicherheitslücken & Datenklau gibt's nicht nur bei Facebook

• Facebook hatte schon mit einigen Daten-Skandalen zu kämpfen: Die dubiose Analyse-Firma Cambridge Analytica gelangte 2018 an die persönlichen Daten von bis zu 87 Millionen Mitgliedern.
• 2019 waren Telefonnummern von 420 Millionen Nutzer:innen im Internet aufgetaucht.
• 2018 musste Facebook zugeben, dass vermutlich alle öffentlich zugänglichen Daten der damals 2 Milliarden Mitglieder systematisch abgegriffen worden waren.
• Aber Facebook ist nicht das einzige Unternehmen, das von Sicherheitslücken und Datenklau betroffen ist. Unter anderem wurden 2013 die Daten von 3 Milliarden Yahoo-Kund:innen erbeutet.
• 2019 waren 137 Millionen Nutzer:innen des Grafikdesign-Dienstes Canva betroffen, 2018 außerdem 22 Millionen Anwender:innen des Online-Videobearbeitungs-Tools Animoto.