„Ach du Scheiße“So reagieren Europaabgeordnete darauf, dass ihre Handynummer wegen des Facebook-Lecks im Netz steht

Vor knapp zwei Wochen sind bei einem Datenleck über 500 Millionen Handynummern ins Internet gestellt worden – mit zugehörigem Facebook-Profil. Der Datenkonzern will die Betroffenen nicht informieren. Deshalb haben wir betroffene Mitglieder des Europaparlaments angerufen und ihnen Bescheid gesagt – die meisten sind empört und genervt von Facebook.

Beim größten Facebook-Datenleck wurden die Handynummern von 533 Millionen Menschen öffentlich. (Symbolbild) Eric Prouzet

„Ich hab jetzt auch einfach ein bisschen Schiss“ – so und anders reagieren Abgeordnete des Europaparlamentes darauf, dass ihre Handynummer offen im Netz steht. Vor fast zwei Wochen wurde ein Datensatz mit 533 Millionen Einträgen von Facebook-Profilen öffentlich.

Schon vor einer Woche haben wir bei den betroffenen Bundestagsabgeordneten angerufen. Erst jetzt beginnt der Bundestag die Abgeordneten seinerseits zu warnen. Im Europaparlament wurde bisher nur allgemein gewarnt, dass es ein Datenleck bei Facebook gegeben habe.

netzpolitik.org wurde auf einen öffentlich zugänglichen Datensatz mit 495 Millionen Facebook-Profilen aufmerksam gemacht, eine Kopie liegt der Redaktion vor. Wir werden auch in diesem Artikel aus Sicherheits- und Datenschutzgründen nicht darauf verlinken, selbst wenn er öffentlich einsehbar ist. Aus Deutschland sind 15 Mitglieder des Europäischen Parlaments aus allen Fraktionen betroffen, aus Österreich sechs. Dies haben wir mit Hilfe des IT-Sicherheitsexperten Moritz Gruber der AWARE7 recherchiert.

Wir haben den Großteil von ihnen über ihre jetzt öffentlichen Handynummern angerufen und informiert, dass ihre Nummer offen im Netz steht. Ihre Reaktionen haben wir anonym protokolliert: „Ja, von dem Datenleck habe ich gehört, daher haben sie jetzt meine Nummer? – Na klasse.“

„Meine Handynummer hatte ich eigentlich nicht öffentlich angegeben“

Neben dem vollen Namen, Beziehungsstatus, Wohnort, eventuell dem Geburtsdatum und E-Mail-Adressen enthält der geleakte Datensatz auch die Telefonnummern der Betroffenen. Sie werden für die Zwei-Faktor-Authentifizierung verwendet, um das eigene Konto zu schützen. Facebook versicherte immer wieder, dass sie nicht – wie jetzt geschehen – öffentlich werden.

2018 und 2019 wurden bereits Handynummern und Profildaten von Facebook-Nutzenden erbeutet. Das neue Datenleck ist das größte bisher. Allein in Deutschland sind sechs Millionen Menschen betroffen. Am meisten Daten wurden von Nutzer*innen, die eine Handynummer mit ägyptischer Vorwahl angaben, abgegriffen: Dort sind es fast 45 Millionen Datensätze.

„Oh, das war mir unbekannt“

Die Reaktionen der EU-Abgeordneten reichten von „Ach, du Scheiße“ bis zum Dank für die Information. Einige wenige hatten bereits über die Website haveibeenpwned.com selbst überprüft, ob ihre Daten betroffen sind, oder waren von Kollegen informiert worden. Die, die ihre Daten selbst überprüft haben, hatten vorher vermehrt Spam-SMS mit Paket-Meldungen erhalten.

Alle anderen haben erst von uns davon erfahren, keine offizielle Behörde hat ihnen bisher Bescheid gesagt. Viele reagierten entsprechend schockiert: „Da muss ich jetzt erstmal gucken, wie ich damit umgehe“, andere wollten die Sache erst einmal „überprüfen lassen“ oder sich dazu nicht äußern. Die Reaktionen sind heftig, doch Facebook bleibt bisher dabei, die Betroffenen nicht benachrichtigen zu wollen.

Die Situation ist für einige auch beängstigend: „Das ist keine ungefährliche Sache“, sagte eine Person. „Als öffentliche Repräsentant*innen stellen sich da jetzt weitere Sicherheitsfragen“, große Konzerne hätten da auch eine zusätzliche Verantwortung, findet eine andere.

„Ein absoluter Skandal“

Die meisten Abgeordneten waren verärgert und entsetzt: „In Ordnung ist das ja wohl nicht“, war dabei noch eine eher moderate Reaktion. Andere finden es „richtig, richtig Scheiße“ und halten das Leck für „ein Unding“. Auch der richtige Umgang mit dem Leck ist für die Betroffenen bislang unklar: „Für mich ist die Situation jetzt überfordernd“, sagt eine Person, eine andere erwidert: „Ich weiß nicht, was ich tun soll“.

Als 2019 bereits Handynummern von Facebook öffentlich wurden, sagte die Hamburger Datenschutzbehörde, dass Handynummern für Betroffene einen ähnlichen Stellenwert wie Adressen hätten. Sie seien ähnlich lange gültig und könnten nicht ohne erheblichen Aufwand geändert werden. Das zeigt sich auch dieses Mal: „Ich hab die Nummer seit ich klein bin, ich will sie ungern wechseln“. Eine andere Person sagt: „Ich würde eigentlich gerne wechseln, aber das ist im Betrieb schwierig, eine Einschränkung meiner Tätigkeit.“

Klar ist für alle Europaabgeordneten, dass Facebook die Konsequenzen spüren sollte. Einige halten den Umgang von Facebook mit dem Leck für einen Skandal, alle hoffen, dass die Sache Konsequenzen für Facebook hat. „Wir müssen auf EU-Ebene die Daumenschrauben anziehen. Wir werden prüfen, was auf EU-Ebene passieren kann“, sagt eine Person. Eine andere will mit dem Datenschutzbeauftragten sprechen und „gucken, was getan werden kann“.

Eine Person zeigt sich eher resigniert, die irische Datenschutzbehörde habe zwar bereits Untersuchungen angekündigt, aber „Sie kennen ja die Datenschutzbehörde, da gibt es ein Problem mit der Durchsetzung.“

„Und was soll ich jetzt machen?“

„Was würden Sie mir jetzt empfehlen?“ – Die EU-Datenschutzgrundverordnung (DSGVO) regelt eigentlich, dass Unternehmen wie Facebook in so einem Fall die Betroffenen informieren müssen. Die Daten hätten außerdem ausreichend geschützt sein müssen. Digital Rights Ireland (DRI) hat jetzt eine Kampagne gegen das Datenleck gestartet. Die Behörde ruft alle betroffenen EU-Bürger*innen dazu auf, sich auf einer Seite zu melden, um sich einer Sammelklage anzuschließen.

Die Organisation hat eine Beschwerde bei der irischen Datenschutzbehörde eingereicht und bereite sich jetzt darauf vor, die Interessen der Betroffenen vor Gericht zu verteidigen. Sie hoffen auf eine Geldstrafe für Facebook. Laut Antoin O Lachtnain, dem Vorsitzenden des DRI, sei Schadensersatz der effektivste Weg, um das Verhalten solcher Unternehmen zu verändern. O Lachtnain teilte in einer Pressemitteilung mit, die Betroffenen hätten es verdient, dass gehandelt werde. Es werde die erste Massenklage dieser Art sein, aber nicht die letzte. Der Schutz persönlicher Daten müsse auch von Tech-Giganten ernst genommen werden. In Irland, wo die Klage eingereicht werden soll, sind ebenfalls vier Europaparlaments-Abgeordnete betroffen. Der eine, den wir erreicht haben, war bisher noch nicht informiert: „Thank you very much, I’m gonna check that.“

Hier ein Auszug der 21 Europaparlaments-Abgeordneten aus den 495 Millionen öffentlich gewordenen Facebook-Daten. Aus Darstellungsgründen ist die Auswahl auf drei der zwölf Datenfelder begrenzt.

Vorname Nachname Facebook-ID
Rasmus Andresen 527663564
Nicola Beer 100007881284126
Markus Buchheit 100006694718581
Reinhard Bütikofer 100008630252868
Anna Cavazzini 100000262987579
Claudia Gamon 100010436447588
Evelyne Gebhardt 100016268624250
Jens Geier 1363156736
Roman Haider 100000413182051
Ska Keller 523468833
Moritz Körner 1352313174
Constanze Krehl 1158709068
Katrin Langensiepen 100005787309009
Colm Markey 100000022088951
Lukas Mandl 729863682
Martina Michels 100006943489312
Guido Reil 100000208531822
Günther Sidl 100000037125333
Martin Sonneborn 1546310408
Harald Vilimsky 1751634286
Marion Walsmann 100007809971233

#1MillionForDigitalRights

Wir brauchen eine Million Euro für ein Jahr netzpolitik.org. Eine Million für ein ganzes Jahr kritischen und unabhängigen Journalismus: Denkanstöße, Berichte aus Brüssel, Analysen, Meldungen, Kommentare, Aufklärung, investigative Recherchen und Leaks. Wir machen Druck für Grund- und Freiheitsrechte in der digitalen Welt. Bis wir unser Spendenziel erreichen, fehlt noch sehr viel Geld. Deswegen:

Hier klicken und sofort spenden!

Hier klicken und sofort spenden!

4 Ergänzungen

  1. https://www.rnd.de/politik/experte-hackerangriff-war-eindeutig-fleissarbeit-ZZ3E2NIJZL2WLROU6OASJVNSLQ.html

    https://www.tagesschau.de/inland/facebook-politik-101.html

    Zweierlei Maß.

    Werden Daten von Politikern veröffentlicht, kommt so etwas dabei herum und das Geschrei ist groß. Man spricht sogar von Feinden der Demokratie und Anschlägen auf die Demokratie. Sei es diese langjährige Pharce mit Facebook oder durch andere Quellen.

    Werden allerdings Daten von Bürgern missbraucht, unverhältnismäßig erfasst, manipuliert und abgeschnorchelt kräht kein Hahn danach.

    1. Im Zweifel wird halt angenommen, dass die Bürger zu doof waren, ihre Daten zu schützen.
      Außerdem existieren ja stets Stellungnahmen der Unternehmen, dass das „böse Hackerangriffe“ waren. Damit verlagert sich die Verantwortlichkeit weg von Facebook und Co., die Daten schockierend schlecht sichern.

      Damit erzeugt man mMn zwei Effekte:
      1. Man zeigt einen einfachen Ausweg, über den man nichts tun muss, ohne Verantwortung dafür übernehmen zu müssen.
      2. Politiker sind durch den aufgezeigten komfortablen Weg (vielleicht unterbewusst) eher geneigt, dem zu glauben. Dazu kommt, dass solche Vorfälle noch immer mit alten (anlogen) Rechtsvorstellungen wie dem Einbruch bei offenstehender Tür bewertet werden. „Hacken“ ist kriminell, also trifft Facebook keine Schuld, wenn sie die Daten nicht gut geschützt haben und „hacken“ ist in deren Welt auch schon der Zugriff auf Daten, die zwar ungeschützt, aber für den unbedarften Internetnutzer nicht sichtbar sind.

  2. Die Reaktionen sind wieder auffällig deckungsgleich mit denen, die seit zwei Dekaden nahezu täglich in diversen Leserkommentarbereichen in der gnadenlosen Tiefe des WWW versenkt werden. Einige punktgenaue Wortfindungen würde man sogar mit Zensur und Knebel entlohnt bekommen, obwohl einem doch gerade dieser so wichtige Kommentar sehr stark am Herzen lag.

    „Für mich ist die Situation jetzt überfordernd“, „Ich weiß nicht, was ich tun soll“ – sympathisch, ehrlich, zeitgemäß (:

  3. Ich habe meine Email-Adresse und Handynummer bei hibpwnd gecheckt, da ich nach einer auffälligen DHL SMS den Verdacht hatte, auch betroffen zu sein. Dem war aber nicht so, ich hatte zuvor aber Nestellungen bei Amazon aufgegeben. Nachdem mein Nachbar ebenfalls davon berichtete, haben wir seine Handynummer und Email-Adresse auch gecheckt. Auch negativ. Kann es sein das es hierbei um zwei unterschiedliche Themen geht?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.