Daten von 530 Millionen Nutzern veröffentlicht Bundestag warnt Abgeordnete wegen Facebook-Leak

Vom großen Datenleck bei Facebook sind auch Politiker und Mitarbeiter von Sicherheitsbehörden betroffen. Doch erst jetzt gab es eine Warnung. Die Opposition kritisiert die langsame Reaktion.
»Weitere Informationen« bei Netzpolitik.org nachlesen: Die IT-Abteilung des Bundestags verweist mit Blick auf das Datenleck auf Selbstinformation

»Weitere Informationen« bei Netzpolitik.org nachlesen: Die IT-Abteilung des Bundestags verweist mit Blick auf das Datenleck auf Selbstinformation

Foto: Christian Spicker / imago images

IT-Experten des Bundestags haben Abgeordnete des Parlaments darüber informiert, dass ihre Daten in einem großen Facebook-Datensatz auftauchen, der kürzlich in einem Hackerforum veröffentlicht wurde. »Der Bundestagsverwaltung liegt die Information vor, dass im Internet private Telefonnummern von circa 50 Abgeordneten veröffentlicht wurden«, heißt es in einer an Abgeordnete verschickten E-Mail.

Die dem SPIEGEL vorliegende Nachricht stammt vom 12. April und verweist für »weitere Informationen« zu dem Datenleck auf einen Artikel des Fachportals »Netzpolitik.org« , welches zuerst darüber berichtete, dass Politiker von dem Datenleck betroffen sind. Der Warnhinweis an die Abgeordneten wurde somit erst acht Tage nachdem das Facebook-Leak bekannt wurde verschickt. Bei dem Leak sind private Daten von insgesamt mehr als einer halben Milliarde Nutzerinnen und Nutzern inklusive private Telefonnummern, Name, die Facebook-ID, der Wohnort und teilweise auch private E-Mail-Adressen abgeflossen.

Die Warnung der Bundestagsverwaltung scheint somit lediglich eine Reaktion auf den Medienbericht von Netzpolitik zu sein und nicht auf einer eigenen Prüfung des Datenleaks durch deutsche Sicherheitsbehörden zu basieren. Eine solche Prüfung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll allerdings aktuell laufen, heißt es in der E-Mail an die Abgeordneten. Neue belastbare Informationen lägen noch nicht vor.

BKA-Mitarbeiter, Soldaten und Opfer von Drohungen betroffen

Nach SPIEGEL-Recherchen finden sich in dem Leak Daten von mindestens 54 Bundestagsabgeordneten. Weitere Personen, die für Abgeordnete im Bundestag arbeiten, befinden sich ebenfalls in dem Datenleck. Auch knapp 15.000 Personen, die auf ihrem Facebook-Profil angeben, für die Bundeswehr tätig zu sein, finden sich in dem Datensatz. Das Bundesverteidigungsministerium hat seine Mitarbeiter über den Vorfall informiert, erklärte ein Ministeriumssprecher.

Zudem sind auch zahlreiche Mitarbeiter deutscher Sicherheitsbehörden wie dem Bundeskriminalamt und diversen Landeskriminalämtern von der Veröffentlichung persönlicher Daten betroffen. Der SPIEGEL hat einige der Daten stichprobenartig überprüft und verifizieren können. In insgesamt rund 2000 Fällen enthält der persönliche Datensatz die Referenz »Polizist« oder »Polizistin«.

Außerdem sind in den Daten auch die persönlichen Rufnummern von Personen, die durch Gruppierungen wie den sogenannten NSU 2.0 oder andere rechtsextremistische Gruppen in der Vergangenheit Drohnachrichten erhalten haben. Zumindest einige dieser Personen wurden nicht durch Sicherheitsbehörden darauf aufmerksam gemacht, dass ihre Daten im Netz gelandet sind. »Davon höre ich zum ersten Mal«, heißt es beispielsweise von einem Betroffenen.

Opposition kritisiert langsame Reaktion der Behörden

Das Leak kursiert in Hacker-Foren, aus denen oft auch Cyberkriminelle Daten beziehen, um ihre Opfer anzugreifen oder ihre Angriffe besser zu tarnen. Auch Hacker im Staatsauftrag könnten die Daten nutzen, um ihre Attacken auf Politiker erfolgreicher zu gestalten. So nutzte beispielsweise die Hacker-Gruppe »Ghostwriter«, hinter der Sicherheitsbehörden den russischen Geheimdienst vermuten, bei ihren kürzlich bekannt gewordenen Angriffen persönliche Mail-Adressen von Abgeordneten, wie sie sich auch in diesem Leak befinden.

Konstantin von Notz, Netzpolitiker der Grünen, kritisiert, dass die von dem Leak betroffenen Abgeordneten nicht schneller durch deutsche Behörden informiert wurden. »Offenkundig sind solche Daten nicht nur für Kriminelle, sondern auch für Nachrichtendienste von großem Interesse. Vor diesem Hintergrund ist die bisherige Lethargie von Bundesregierung und Sicherheitsbehörden in höchstem Maße verwunderlich«, so von Notz.

Die Linkenabgeordnete Martina Renner fordert, dass das Leak »fühlbare Konsequenzen« für Facebook haben müsse. »Die Informationspolitik von Facebook ist eine Katastrophe«, so Renner, deren Daten sich ebenfalls in dem Datensatz befinden. Renner warnt davor, dass die geleakten Daten auch für Drohnachrichten durch rechtsextremistische Gruppen missbraucht werden könnten. Die Veröffentlichung der Daten gebe potenziellen Tätern die Möglichkeit, Betroffene mit Anrufen zu belästigen oder sogar deren Aufenthaltsort auszuspähen, so Renner. »Der verantwortungslose Umgang seitens Facebook oder auch anderer Unternehmen mit solchen Datenleaks macht sie letztlich zu Komplizen der Täter.«

Doxing, SIM-Swapping, Phishing: Angriffsmöglichkeiten für Kriminelle

Trolle und rechtsextreme Netzgruppen haben für Bedrohungen und Angriffe auf ihre Opfer in der Vergangenheit immer wieder auch persönliche, geleakte Daten genutzt. Bei der Belästigung durch das sogenannte Doxing – wie beispielsweise im Falle der Comedy-Autorin Jasmina Kuhnke – sammeln Angreifer gezielt solche Daten.

Das BSI sieht in den Leak unter anderem die Gefahr, dass »Personen, die schon einmal Opfer von Stalking gewesen sind, mit Bekanntwerden ihrer Telefonnummer erneut belästigt werden.« Ein weiteres Risiko seien sogenannte SMS-Phishing-Angriffe, die mit persönlichen Anreden optimiert würden. Ermittlungsbehörden verzeichnen bereits einen ungewöhnlichen Anstieg solcher Angriffe seit Bekanntwerden des Leaks.

Auch sogenannte Sim-Swapping-Angriffe könnten durch das Leak erleichtert werden. Bei solchen Attacken versuchen Angreifer gezielt, die Handynummer ihrer Opfer zu übernehmen, um damit zum Beispiel Geld von ihnen zu stehlen. »Eine Warnung von Facebook an alle Kunden« ist aus Sicht des BSI notwendig, heißt es von der Behörde.

Der CDU-Abgeordnete Ingo Gädechens, dessen Daten sich ebenfalls in dem Leak befinden, bezeichnet das Vorgehen der Social-Media-Plattform im aktuellen Fall als nicht akzeptabel. Er wurde zwar inzwischen von der Bundestagsverwaltung über den Vorfall informiert, nicht jedoch von Facebook. »Dass Facebook nicht direkt die betroffenen Nutzerinnen und Nutzer informiert, kann ich nicht nachvollziehen.«

Facebook selbst hat angekündigt, die Nutzerinnen und Nutzer nicht über den Vorfall zu benachrichtigen. Am Mittwoch hat die für Facebook in Europa zuständige Datenschutzbehörde in Irland allerdings ein Verfahren gegen Facebook wegen des Vorfalls eröffnet . In einem Schreiben von Facebook an das BSI, Deutschlands oberste IT-Sicherheitsbehörde, versucht Facebook den Vorfall mit der Begründung zu erklären, dass es sich nicht um einen Hack handele, sondern um sogenanntes »Scraping«.

Beim Scraping werden mithilfe automatisierter Verfahren im großen Stil Daten abgegriffen. Laut dem Facebook-Schreiben, das auf einem Blogpost des Unternehmens basiert, geht das Leak also auf das »Sammeln von Daten, die öffentlich verfügbar sind«, zurück. Herauszufinden, ob dies tatsächlich so stimmt, wird Teil der Untersuchung der irischen Datenschutzbehörde sein.