Es ist doch nur ein Telefonbuch: Diesen Kommentar konnte man einige Male zum jüngsten Facebook-Datenleak lesen. Es waren verharmlosende Reaktionen darauf, dass seit vergangener Woche eine halbe Milliarde Handynummern, Vor- und Nachnamen und weitere persönliche Angaben wie Wohnort, Mailadresse oder Geburtsdatum im Internet kursieren.
Der Vergleich drängt sich nicht zu Unrecht auf: Vor Jahren gab es tatsächlich dicke Telefonbücher, wo Anschrift, Adresse und teilweise der Beruf von Millionen Personen in der Schweiz stand. Frei zugänglich in den Telefonkabinen, günstig bestellbar in gedruckter Form.
Der Vergleich hinkt jedoch aus mehreren Gründen. Diese Auffassung bestätigen mehrere angefragte Informatiker:innen. So sagt eine Person, die namentlich nicht im Artikel erwähnt werden möchte: «Wer die Handynummer einer Person hat, kann damit sehr viel anrichten, wenn man weiss, was möglich ist.» Zusammen mit weiteren Angaben wie dem Namen, dem Wohnort, dem Link zum Facebook-Profil, hätten Betrüger:innen ein «Riesengeschenk» bekommen, und zwar kostenlos.
Doch was ist konkret möglich?
Eine Möglichkeit sind Betrügereien über Social Engineering. Sie ist auch die mächtigste Möglichkeit, weil sie konkret auf einzelne Personen abzielt: Betrüger:innen sammeln dafür möglichst viele Daten über eine konkrete Person, deren Verhalten beeinflusst werden soll.
Über die Facebook-ID kann etwa herausgefunden werden, an welchen Veranstaltungen eine Zielperson zuletzt war. Anhand dieser Information können dann Mails verschickt werden, in denen etwa vorgegaukelt wird, man kenne sich von diesem Event oder hätte Bilder geschossen. So können ganz einfach Viren eingeschleust werden – oder schlicht Vertrauen aufgebaut werden, um die Funktion einer Zielperson zu missbrauchen.
Treffen kann das alle, im Visier dürften aber hochrangige Personen stehen, die an Machtschnittstellen stehen. Der Facebook-Datensatz liefert Betrüger:innen dafür eine wertvolle Information: Den Arbeitsort. Ein Schweizer Informatiker konnte innert weniger Stunden rund 1600 Personen herausfinden, die beim Bund, bundesnahen Stellen oder in der Medienwelt arbeiten. Darunter hunderte beim staatlichen Rüstungskonzern Ruag und über ein Duzend Personen, die im Finanz-, Innen- oder Aussendepartement arbeiten. Auch Gerichtspersonen, Regierungsrät:innen und Angestellte des Nachrichtendienstes sind darunter.
Sie könnten im schlimmsten Fall durch künstliche Stresssituationen unter Druck gesetzt werden – etwa durch erfundene Kindsentführungen oder Erpressungsversuche. «In solchen Situationen reagieren Menschen irrational und beugen sich schnell mal den Forderungen. Insbesondere dann, wenn sie auf dem privaten Handy angerufen werden», sagt ein Informatiker.
Eine weitere Möglichkeit wurde im Zusammenhang mit einem angeblichen «Hack» im deutschen Bundestag publik: das Doxing. Darunter versteht man das (internetbasierte) Zusammentragen von Personendaten, um sie zu veröffentlichen oder für andere Betrügereien zu verwenden.
Das riesige Datenleck von Facebook lieferte solchen Aktivist:innen mit über 500'000'000 Personendaten einen riesigen Satz an Informationen, die sie mit anderen Angaben einer Person verknüpfen können. Werden diese veröffentlicht, könnte wie beim «Bundestags-Hack» der Eindruck entstehen, irgendwo sei etwas gehackt worden.
Solche vernetzte Datenbanken werden aber auch von professionelleren Organisationen verwendet, um Spam-SMS, Krankenkassen-Angebote oder andere personalisierte Werbung zu verschicken. «Diese Datenbanken werden jetzt durch Millionen von Handynummern ergänzt: Dadurch wächst das Missbrauchspotential massiv», sagt Netzaktivist und Privacy-Experte Hernâni Marques zu watson.
Besonders heikel ist auch die dritte Möglichkeit: Das Handy könnte zu etwas wie einem «GPS-Tracker» werden. Diese Gefahr baut auf der Tatsache auf, dass ein Handy mit der Rufnummer mit Antennen kommuniziert und am Körper einer Zielperson getragen wird.
Die Technik dahinter versteckt sich hinter dem Begriff «Signalling System 7», kurz SS7. Diese Technologie hat bekannte Sicherheitslücken und kann in Ländern, wo diese nicht gestopft wurden, für Spionage ausgenutzt werden. Betrüger:innen können sich dabei zwischen Handy und Funkmast als «Man-in-the-Middle» positionieren und Angriffe durchführen, Gespräche abhören und die Position einer Person funkmastgenau bestimmen.
Klingt absurd? Ist es nicht. Recherchen der «Süddeutsche Zeitung» und des «WDR» zufolge konnte die NSA mittels SS7-Schwachstelle das Handy der deutschen Bundeskanzlerin Angela Merkel abhören. Auch Personen der Schweizer Aussenpolitik könnten Opfer solcher Angriffe werden: Dutzende EDA-Angestellte und sogar eine ältere Handynummer von Bundesrat Ignazio Cassis waren im Facebook-Leak zu finden. Der Aussenminister reiste dieses Jahr bereits durch mehrere Länder, wo andere Standards bezüglich Mobilfunksicherheit gelten.
«Die SS7-Angriffe sind technisch gesehen immer noch möglich und zeigen auf, welche Bedeutung eine Handynummer hat. Sie kann nicht einfach mit der Telefonnummer verglichen werden – das Handy begleitet uns durch den Alltag», sagt der Netzaktivist Marques. Er fordert deshalb griffigere Datenschutzgesetze: «Die Möglichkeiten der Behörden sind nach solchen Leaks gering und führen meist zu nichts. Teilweise auch politisch gewollt, um attraktiv für Internet-Konzerne zu bleiben.»
Die Absurdität dazu zeigt sich in einem aktuellen Artikel von «heise», wo die Frage thematisiert wird, wann genau der jüngste Datenleak bei Facebook geschah. Der Zeitpunkt könnte darüber entscheiden, welche Konsequenzen dem Konzern drohen. Facebook scheint laut dem Artikel vorgesorgt zu haben: Im Sommer 2019 blechte der Konzern in den USA eine Strafe von fünf Milliarden Dollar für alle Datenschutzvergehen vor dem 12. Juni 2019.
Und hier in Europa? Die zuständige irische Datenschutzbehörde hat eine Untersuchung angekündigt.
Sehr konsequent :D