530 Millionen Betroffene: Facebook versucht, ein riesiges Datenleak kleinzureden

Die Daten einer halben Milliarde Facebook-Nutzer werden veröffentlicht – und das Unternehmen wirft Nebelkerzen statt aufzuklären.

»Nicht gehackt«: Facebook-Logo

Foto: Dado Ruvic / REUTERS

Man sollte meinen, Facebook hätte mittlerweile genug Übung in Krisen-PR. Aber als am vergangenen Wochenende bekannt wurde, dass jemand in einem Hackerforum einen Datensatz zu mehr als 530 Millionen Facebook-Nutzerinnen und -Nutzern veröffentlicht hat, fiel die erste Reaktion des Unternehmens geradezu aufreizend schmallippig aus.

Es ging um die Handynummern von nicht weniger als einer halben Milliarde Menschen, um Millionen von E-Mail-Adressen, um Facebook-IDs, vollständige Namen, Wohnorte und Geburtsdaten. Aber die Facebook-Sprecherin Liz Bourgeois schrieb nur: »Das sind alte Daten, über die 2019 berichtet wurde. Wir haben das Problem im August 2019 gefunden und repariert« – und das auch nur auf Twitter . Bis Dienstagabend kam nichts weiter vom Unternehmen, trotz mehrerer Medienanfragen.

Der dann veröffentlichte Blogpost  beantwortet noch immer nicht alle Fragen. Stattdessen versucht Facebook darin erkennbar, den Vorfall kleinzureden und die Verantwortung dafür abzuwälzen.

Die Argumente des Konzerns lauten:

• Es sei »wichtig zu verstehen«, dass Facebook nicht gehackt worden sei, sondern dass jemand die Daten per Scraping von der Plattform kopiert hat, also durch automatisiertes, massenhaftes Abrufen prinzipiell öffentlich einsehbarer Daten.

• Darüber habe es auch schon im Jahr 2019 Medienberichte gegeben.

• Die Nutzerdaten beinhalteten »keine Finanzinformationen, Gesundheitsinformationen oder Passwörter«.

• Auch wenn Facebook das im Jahr 2019 identifizierte Problem angesprochen habe, sei es »immer gut für jeden« sicherzustellen, dass die eigenen Facebook-Profileinstellungen mit dem übereinstimmten, was man öffentlich teilen wolle.

Als ob es für die Betroffenen einen Unterschied macht, ob ihre Daten mit einem illegalen oder einem legalen Verfahren gegen ihren Willen eingesammelt wurden. Als ob sich das Problem mit Medienberichten vor zwei Jahren erledigt hätte und als ob niemand mehr die gleiche Handynummer hätte wie 2019. Als ob es eine Leistung von Facebook wäre, nicht auch noch die Kontrolle über etwaige Finanzdaten, Gesundheitsdaten und Passwörter verloren zu haben, von denen hier aber niemand gesprochen hatte. Und als ob die ganze Angelegenheit jetzt ein Problem der Betroffenen, aber keines von Facebook wäre.

Von welchem Vorfall spricht Facebook?

Zudem hat es das Unternehmen bisher nicht geschafft zu erklären, wann genau die Daten wirklich von der Plattform kopiert wurden. Im Gegenteil stiftet Facebook noch mehr Verwirrung: »Wir glauben, dass die fraglichen Daten vor September 2019 von bösartigen Akteuren per Scraping aus Facebookprofilen herausgezogen wurden«, heißt es im Blogpost. Gleichzeitig verlinkt Facebook auf einen »CNET«-Artikel von 2019, in dem ein Datenleck beschrieben wird, von dem Facebook damals schätzte, dass es 220 Millionen Menschen betraf. Aufgedeckt hatte das aber nicht »CNET«, sondern »TechCrunch«, und dessen Autor hatte Facebook damals gesagt, der Fall betreffe »alte Daten«, sie müssten demnach von 2018 oder davor stammen.

Facebook-Datenleck

Unbekannte haben in einem Hackerforum eine große Menge an Facebook-Nutzerdaten aus einem früheren Datenleck veröffentlicht. Es umfasst unter anderem rund 533 Millionen Mobilfunknummern und 2,5 Millionen E-Mail-Adressen. Wann und wie die Daten in die Hände der Täter gelangten, konnte Facebook bisher nicht genau erklären. Daher ist auch unklar, in welchem Umfang Handynummern in dem Datensatz enthalten sind, die von den Betroffenen nie auf Facebook veröffentlicht worden sind.

Die Daten von 32 Millionen Amerikanern, elf Millionen Briten und sechs Millionen Nutzerinnen und Nutzern aus Indien sind in dem Datensatz enthalten. Wie viele Deutsche unter den Betroffenen sind, untersucht Facebook nach eigenen Angaben noch. Der IT-Sicherheitsfirma Avast zufolge sind es ebenfalls sechs Millionen. Auf haveibeenpwned.com  kann man seine Handynummer eingeben und sehen, ob sie im geleakten Datensatz enthalten ist. Die Entwickler des Passwort-Managers Dashlane bieten unter diesem Link ein Breach-Center  an, in dem sich prüfen lässt, ob die eigene E-Mail-Adresse bei dem Facebook-Leak oder einem anderen Datenleck kompromittiert wurde.

Wer seine Handynummer nach 2018 oder 2019 nicht geändert hat, könnte jetzt vermehrt betrügerische oder Spam-SMS erhalten, oder eben entsprechende E-Mails. Wichtig ist, nicht auf darin enthaltene Links zu klicken und nicht auf darin gestellte Fragen nach weiteren Daten zu antworten. Banken und andere Unternehmen würden nie einfach so und per SMS oder E-Mail nach Zugangs- oder anderen Daten fragen.

Hier passt etwas nicht zusammen. Handelt es sich bei den nun veröffentlichten Datenmassen um die Beute aus einem Vorfall von 2019 oder 2018? Einen, der deutlich größer war, als Facebok damals einräumen mochte, oder einen, den Facebook nie zuvor eingestanden hatte?

Wirklich klar ist das bisher nicht, auch nicht der für europäische Nutzerinnen und Nutzer zuständigen irischen Datenschutzbehörde DPC. Die versucht, wie »Politico« berichtet , nach eigenen Angaben auch noch, den Fall zu verstehen und habe bis gestern »keine proaktive Kommunikation von Facebook erhalten«. Für die DPC sind die Details aber wichtig, denn falls die Nutzerdaten abgegriffen wurden, als die Datenschutz-Grundverordnung (DSGVO) schon galt, also nach dem 25. Mai 2018, hätte Facebook eine Meldepflicht gehabt.

Das Unternehmen hat auch nicht vor, die Betroffenen einzeln zu kontaktieren. Man könne »nicht mit vollständiger Sicherheit erkennen, wer informiert werden müsste«, heißt es zur Begründung. In Facebooks ganz eigener Logik folgt daraus offenbar, dass es in so einem Fall besser ist, Nebelkerzen zu werfen. Man sollte meinen, Facebook wüsste mittlerweile, dass es damit nicht durchkommt.