„Sie machen mir jetzt Angst.“ „Das ist völlig inakzeptabel.“ „Ein Schlag ins Gesicht.“ So reagieren Bundestags-Abgeordnete, deren Handynummer gegen ihren Willen durch ein Datenleck bei Facebook öffentlich wurde.
Facebook sammelt gerne Telefonnummern. Apps laden vollständige Adressbücher an die Server des Datenkonzerns. Manche Leute wollen ihren Account mittels Zwei-Faktor-Authentisierung absichern und geben dafür eine Handynummer an. Stets versichert Facebook, diese Handynummern nicht zu veröffentlichen. Passiert ist es trotzdem.
Schon 2018 hat jemand 30 Millionen Facebook-Profile inklusive Handynummern abgegriffen. 2019 wurde eine Liste von 419 Millionen Facebook-Accounts veröffentlicht, wieder mit Telefonnummern. Seit einer Woche ist ein Datensatz mit 533 Millionen Einträgen öffentlich – Handynummern inklusive. Das hat Facebook eingeräumt. Erst gestern wurde schon wieder ein neuer Datensatz berichtet.
Netzpolitik.org wurde auf einen öffentlich zugänglichen Datensatz mit 495 Millionen Facebook-Profilen aufmerksam gemacht. Aus Persönlichkeitsgründen verlinken wir nicht direkt darauf, auch wenn sie öffentlich sind. Eine Kopie des Datensatzes liegt uns vor. Zu jedem Facebook-Profil gibt es über zehn Datenfelder, darunter Name, Handynummer, Facebook-ID und Wohnort, manchmal auch Geburtsdatum und -ort. Betroffen sind Menschen aus mindestens 105 Staaten.
„Netzpolitik.org hat mich informiert.“
In diesem Datensatz sind über sechs Millionen Facebook-Accounts aus Deutschland, inklusive Handynummer. Das ist etwa jede:r sechste Facebook-Nutzer:in oder jede:r dreizehnte Einwohner:in Deutschlands. Wir haben nach Bundestags-Mitgliedern gesucht und auf Anhieb 54 Abgeordnete aus allen Fraktionen gefunden. Die demokratischen Abgeordneten haben wir einfach mal angerufen. Wir wollten wissen, was sie davon halten, dass ihre Handynummer öffentlich ist, wie sie damit umgehen und welche Konsequenzen sie fordern.
Mehr als 30 Bundestags-Abgeordnete haben unseren Anruf auf ihrem Handy angenommen und wir konnten mit ihnen sprechen. Zwei sind sogar Parlamentarische Staatssekretäre bei Bundesministerien. Bei fünf haben wir nur die Mailbox erreicht. Vier haben wir ausgelassen, wir diskutieren nicht mit Anhängern gruppenbezogener Menschenfeindlichkeit. Zwei Nummern waren nicht mehr vergeben.
Die meisten Parlamentarier:innen wussten nichts davon, dass sie in einem Datenleck von Facebook sind und ihre Handynummer nun öffentlich ist. Niemand hat ihnen Bescheid gesagt – weder Facebook, noch der Bundestag, auch nicht Behörden wie das BSI. Ein Großteil erfuhr erst durch unseren Anruf davon. Eine Handvoll Abgeordneter hatte bereits aus Medienberichten oder auf Twitter davon erfahren. Zwei haben auf haveibeenpwned.com selbst überprüft, ob ihre Daten Teil des Lecks sind.
„Sie machen mir jetzt Angst.“
Die Abgeordneten aller demokratischen Fraktionen äußern sich übereinstimmend negativ über das Datenleck: „Das geht gar nicht“, „völlig inakzeptabel“, „verdammt ärgerlich“, „besorgniserregend“, „bin schockiert,“, „verurteile ich auf das Schärfste“, „nicht hinnehmbar“, „sehr bedenklich“, „bin sauer“, „darf nicht passieren“ und gleich mehrmals „Das ist eine Frechheit.“
Fast alle Parlamentarier:innen erwarten, dass Facebook sämtliche Betroffenen darüber informiert, und zwar „zeitnah“, „unverzüglich“, „schnellstmöglich“ oder sogar „sofort“. Am Mittwoch hat Facebook angekündigt, die 500 Millionen Betroffenen nicht benachrichtigen zu wollen. Das wollen die Abgeordneten nicht gelten lassen, sie bezeichnen diese Position von Facebook als „Frechheit“, „nicht hinnehmbar“ und „absoluten Vertrauensverlust“. Mehrere verweisen auf die Benachrichtigungs-Pflicht der Datenschutz-Grundverordnung.
Die meisten Bundestags-Mitglieder nutzen nur eine Handynummer für private und dienstliche Anliegen. Einige halten ihre Handynummer nicht besonders geheim. Ungefähr ein Dutzend veröffentlicht ihre Nummer sogar auf ihrer Webseite oder Wahlplakaten. Alle betonen, dass das für den Rest der Bevölkerung nicht gilt, die allermeisten wollen ihre Handynummer nicht veröffentlichen. Sechs Millionen Betroffene in Deutschland sind im Durchschnitt über 20.000 in jedem Wahlkreis.
„Ich wollte Facebook nie.“
Viele Abgeordnete wollen ihre Handynummer nicht öffentlich machen und selbst darüber entscheiden. Besonders Frauen und Personen mit Migrationshintergrund berichten von Droh-Anrufen, einige haben „Sorgen“ und „Angst“. Die grüne Canan Bayram und die linke Gökay Akbulut haben ihre Handynummer bereits gewechselt. Eine Parlamentarierin der SPD kündigt an, ihre Nummer jetzt zu ändern. Je eine Abgeordnete von CDU und CSU prüfen einen Wechsel ihrer Nummer.
Eine kleine Auswirkung haben die meisten Abgeordneten bereits gespürt. Fast alle haben in den letzten Tagen Fake-SMS mit Links auf Schadsoftware erhalten. Das betrifft nicht nur Nummern, die im Facebook-Datenleck sind, die aber vermehrt.
Einige äußern neben Verärgerung und Enttäuschung auch eine Art Abgebrühtheit gegenüber Facebook. Sie sind zwar überrascht, dass die Daten gegen ihren Willen öffentlich geworden sind. Aber sie sind nicht überrascht, dass es passieren könnte. Mehrere Abgeordnete kritisieren, dass Facebook Datenschutz und Datensicherheit nicht ernst nimmt.
Manche sind ohnehin nicht ganz freiwillig bei Facebook: „Ich wollte Facebook nie.“ Aber im Bundestag braucht man das, um Bürger:innen zu erreichen und sichtbar zu sein, vor allem im Wahlkampf. Ein ehemaliger Abgeordneter, der jetzt Bürgermeister ist, fühlt sich durch diesen Vorfall bestätigt, seinen Account abzuschalten. Eine Parlamentarierin, die bei der nächsten Bundestagswahl nicht mehr antritt, sagt: „Wenn ich den Bundestag verlasse, ist Facebook das erste, wo ich rausgehe.“
Die Handynummer dürfte trotzdem öffentlich im Internet zugänglich bleiben. Wie die anderen 500 Millionen.
Hier ein Auszug der 54 Bundestags-Abgeordneten aus den 495 Millionen öffentlich gewordenen Facebook-Daten. Aus Darstellungsgründen ist die Auswahl auf vier der zwölf Datenfelder begrenzt. Aus Persönlichkeitsgründen haben wir die Telefonnummer teilweise geschwärzt.
| Vorname | Nachname | Telefonnummer | Facebook-ID |
|---|---|---|---|
| Gökay | Akbulut | +491799310███ | 632111033 |
| Philipp | Amthor | +491731521███ | 100000825649057 |
| Niels | Annen | +491605838███ | 1347595337 |
| Matthias | Bartke | +491796743███ | 100003503353746 |
| Canan | Bayram | +491635518███ | 100001188936747 |
| Bernhard | Daldrup | +491709343███ | 1668638784 |
| Michael | Donth | +491725779███ | 100000978739238 |
| Ingo | Gädechens | +491739996███ | 100000872166212 |
| Metin | Hakverdi | +491786628███ | 1788371126 |
| Matthias | Hauer | +491722373███ | 1766974875 |
| Marcus | Held | +491716820███ | 100001829041286 |
| Christian | Hirte | +491795317███ | 100004531561624 |
| Erich | Irlstorfer | +491796736███ | 100003057575819 |
| Ingmar | Jung | +491732172███ | 549326359 |
| Oliver | Kaczmarek | +491707657███ | 1000776277 |
| Johannes | Kahrs | +491772505███ | 1238307399 |
| Kerstin | Kassner | +491737110███ | 100005691577799 |
| Günter | Krings | +491735444███ | 1173918398 |
| Michael | Kuffer | +491757255███ | 100002959149633 |
| Stephan | Kühn | +491711202███ | 1497169888 |
| Ulrich | Lechte | +491739488███ | 1427750014 |
| Jens | Lehmann | +491782185███ | 100013981569996 |
| Hiltrud | Lotze | +491705327███ | 100000980674630 |
| Till | Mansmann | +491796916███ | 1258417110 |
| Andreas | Mattfeldt | +491729082███ | 1533503396 |
| Karsten | Möring | +491627225███ | 1849539253 |
| Elisabeth | Motschmann | +491724202███ | 100002440661573 |
| Andreas | Mrosek | +491636868███ | 100006341674797 |
| Carsten | Müller | +491703433███ | 100005495169208 |
| Thomas | Nord | +491774311███ | 100005480262101 |
| Gerold | Otten | +491626900███ | 100001873515767 |
| Joachim | Pfeiffer | +491729797███ | 1722824263 |
| Eckhard | Pols | +491704522███ | 100000036508888 |
| Martin | Reichardt | +491717748███ | 100012307539722 |
| Ingrid | Remmers | +491716288███ | 100000318779294 |
| Martina | Renner | +491715410███ | 100001139365159 |
| Manuel | Sarrazin | +491743055███ | 1246819480 |
| Anita | Schäfer | +491712096███ | 100006011653466 |
| Udo | Schiefner | +491722993███ | 100001676105790 |
| Patrick | Schnieder | +491782842███ | 100001362943154 |
| Frank | Sitta | +491723439███ | 1452077189 |
| Helin Evrim | Sommer | +491723925███ | 100009722868582 |
| Martina | Stamm-Fibich | +491705808███ | 100009235252264 |
| Mathias | Stein | +491737017███ | 1794107303 |
| Sebastian | Steineke | +491605535███ | 100000947548530 |
| Michael | Thews | +491705417███ | 1765406006 |
| Alexander | Throm | +491791283███ | 100001572532755 |
| Carsten | Träger | +491796937███ | 100001266741136 |
| Markus | Uhl | +491777361███ | 1187889895 |
| Alexander | Ulrich | +491733025███ | 100000599376971 |
| Anja | Weisgerber | +491714406███ | 1305940842 |
| Nicole | Westig | +491708180███ | 100000872925578 |
| Uwe | Witt | +491626990███ | 100004405539462 |
| Jens | Zimmermann | +491736534███ | 507936872 |
> Manche Leute wollen ihren Account mittels Zwei-Faktor-Authentisierung absichern und geben dafür eine Handynummer an.
So simpel ist es leider nicht. Im beruflichen Kontext zwingt mich Facebook zur 2-Faktor-Auth, damit weiterhin über den sog. Business Manager Funktionen wie Werbeanzeigenmanagement ausgeführt werden können.
Gerade deshalb sollte man es sich nicht gefallen lassen wenn der Chef/die Chefin meint „da nehmen sie am besten ihre private Handynummer, das macht doch sicher nichts“.
Wie schätzt ihr hier die Wahrscheinlichkeit für ein Bussgeld ein? (Und in welcher Höhe?)
Es wurden ja ganz eindeutig auch nicht-zu-wenig Daten von Nicht-Nutzern durch Facebook gesammelt.
Ich dachte nach DSGVO seien die verpflichtet alle zu informieren. Sollte das Leak allerdings „alt genug“ sein, fiele es nicht unter die DSGVO, und von Seiten Facebooks war ja schon zu vernehmen, das Leak sei ja alt.
Ob das zutrifft und ob es zieht, ist eine Frage, die ich auch nicht beantworten kann. Es ist z.B. ohne weiteres möglich, dass der Datensatz „alt“ unter Zuhilfenahme anderer Quellen angereichert und ergänzt ist. Ob das für einen „Freispruch reicht… naja. Zumindest bietet „alte Daten“ eine basale Verteidigung, so dass User vielleicht nicht in Schnappatmung verfallen, obwohl ihre Daten sich seit alter Zeit nicht geändert haben.
Je früher man solche Moloche zerschnetzelt desto besser.
Woran machst Du das in diesem Fall fest, dass Daten von Nicht-Nutzern gesammelt wurden?
Ich bin leider auch betroffen – bekomme seit Tagen diese Spam-SMS, die gerade in der aktuellen Lage, wo man wirklich ab und an Pakete erwartet einfach nerven.
Dabei hatte Facebook meine Handynummer wirklich nur für die 2FA Anmeldung – die war und ist auf „nur ich“ sichtbar gestellt. Das ist kein Scalping, sondern definitiv ein Datenleck, wenn auf privat gestellte Informationen da über eine API abgegriffen werden konnten.
Was die Sichtbarkeit „Nur ich“ angeht glaube ich da soll man sich besser nicht drauf verlassen wenn es einen Hackerangriff gab oder daten millionenfach abhanden kamen. Stell dir Facebook als eine Riesige Hohlkugel vor und die Userdaten als Ausstülpungen nach innen. Von außen nicht zu sehen, oder. Und je privater umso tiefer drinnen (nur fürs Bild). Aber dann kommt der Ab-/An-greifer, und sitzt ggf. genau dort DRINNEN (im Innern der Kugel) und pflückt die Ausstülpungen wie andere Früchte vom Baum – nur einfacher und schneller. Die Hindernisse wirken alle nach Außen und die hat er ja schon überwunden.
Darum sind Daten die gar nicht erst erhoben und gespeichert wurden die sichersten denn sie finden sich nur im Umkreis um eine Konkrete Person.. Und das ist die Maximale Unbequemlichkeit für alle Datengetriebenen Konzerne diese Informationen ggf. persönlich bei JEDEM einzelnen Datensparer ab holen, prüfen und dann erst kombinieren zu müssen/können. Datensparsamkeit ist Digitale Selbstverteidigung! [Mit VdS winkend] :-)
Erschreckend fände ich eine Argumentation gegen maximalesd Bußgeld, die inetwa so verläuft, als dass ja noch viel schlimmere Daten hätten abhanden kommen können. Alleine die Ankündigung, die Benutzer nicht zu informieren, sollte Facebook mindestens einen Kopf kosten.
Erhalte ebenfalls seit Tagen diese Phishing-SMS.
Die SMS enthalten teilweise sogar meinen Vor- und Zuname.
Habe allerdings noch nie ein Facebook-Konto gehabt!
Meine Mobilnummer ist lt. haveibeenpwned.com nicht im Datensatz enthalten.
Ich glaube, dass es da eventuell noch ein ganz anderes, größeres Datenleck gibt.
Das geht mir genau so und ich bekomme solche Fake-SMS sogar an eine Betriebs-Handy Nr. die meines Wissens erst seit ca. 5 Monaten überhaupt existiert. Da denke ich das Telefon-spammer einfach einen gewissen Rufnummern-bereich mit ihrem Müll fluten. Dann muß es nicht mal ein Datenleck sein. Wenn dem so wäre: Wie bezahlen die diese Menge an SMS-Gebühren? Wie hoch muß da der „Return of Investment“ sein?
@KM: “ Wie bezahlen die diese Menge an SMS-Gebühren?“
gar nicht:
https://www.presseportal.de/blaulicht/pm/44149/4871224
https://www.polizei-praevention.de/aktuelles/sms-mit-paketbenachrichtigungslink-verursacht-massenhafte-sms.html
Wenn mein Fahrzeughersteller mich nicht informiert, dass der Tank ein Loch hat, wenn der der Möbelverkauf mir nicht erklärt, dass ich B-Ware mit Mängeln kaufe, wenn nur irgendwo jemand versucht mich zu linken, dann nehme ich doch sofort Abstand von diesem Unternehmen. Wer immer noch auf Facebook angemeldet ist, dem fehlen stabile Prinzipien.
Facebook mal wieder.
Was mich besonders ärgert, ist, dass man sich vor dem Laden nicht effektiv schützen kann. Reicht ja, wenn jemand, der mich in seinem Telefonbuch hat, einer Facebook-App Zugiff auf die Kontakte gibt. Das war hier möglicherweise nicht der Fall, aber ich sehe nicht, warum solche Daten nicht auch mal an die Öffentlichkeit gelangen sollten.
Ich würde auch gerne mal meinen Facebook-Account löschen, aber meine alten Nachrichten sind dann immer noch für die jeweiligen Kontakte zugänglich, sprich, auf Facebook-Servern gespeichert. Aus iiiirgendeinem Grund vertraue ich nicht, dass sie dort sicher sind.
Statt den account einfach nur zu löschen oder gar nur zu deaktivieren lieber einen Löschantrag stellen hier zu einem Generator: https://www.datenanfragen.de/generator
Selbst wenn es die Damen und Herren Fakebook für den Wahlkampf benötigen, müssen oder besser sollten sie es nicht mit ihren regulären Mobiltelefonen/Mobilnummer tun. Jede:r sollte inzwischen wissen, was solche Datenkraken alles mitschreiben. Von wegen Alternativlos…
Da sieht man einmal wieder, wie übermäßig intelligent unsere Politiker sind. :) Schon mancher Skandal wurde konstruiert, indem man auf Telefonnummern zurückgegriffen hat, die vertraulich sein sollten. :)