Facebook-Leak: Apps als Datenkraken entlarven

Facebook-Leak: So verhalten Sie sich richtig
Bild: dpa Erneut wurden kürz­lich Tele­fon­num­mern und E-Mail-Adressen von hunderten Millionen Face­book-Nutzern in einem Hacker-Forum entdeckt. Nach ersten Aussagen des Unter­neh­mens handelt es sich dabei um alte Daten, die über eine Sicher­heits­lücke erbeutet worden seien, die Face­book bereits im August 2019 geschlossen hatte.

Aber auch ohne Sicher­heits­lücke oder direkten Hacker­angriff sind solche Lecks möglich. "Apps sind eine Möglich­keit, wie solche persön­lichen Daten über­haupt gesam­melt werden können, die nun in dunklen Kanälen auftau­chen", sagt Hauke Mormann von der Verbrau­cher­zen­trale Nord­rhein-West­falen (NRW). Diese Apps sammeln viele persön­liche Daten von Mitglie­dern - nicht nur vom Nutzer selbst, sondern mögli­cher­weise auch von Freunden. Das kann auch geschehen, ohne dass Betrof­fene das mitbe­kommen.

Es geht dabei ausdrück­lich um Fremd-Apps, die Face­book als Platt­form für Programme wie Spiele, Umfragen oder Tests nutzen. Es kann sich aber auch um Firmen handeln, die für ihren Shop einen Login mit Face­book-Daten ermög­lichen. Das erscheint manchem Nutzer bequem, muss er doch kein zusätz­liches Konto dafür einrichten.

Durch unse­riöse Anbieter können solche Daten­sätze zweck­ent­fremdet werden und etwa für Iden­titäts­dieb­stahl miss­braucht werden.

Auf Face­book selbst nach uner­laubten Daten­samm­lern suchen

Facebook-Leak: So verhalten Sie sich richtig
Bild: dpa Face­book selbst hat eine Seite, auf der Nutzer prüfen können, ob sie Apps auf Face­book verwendet haben, die uner­laubt Daten gesam­melt haben. Solche Apps sperrt Face­book laut Eigen­aus­sage, sobald sie dahin­gehend entdeckt werden. Von der Seite gelangt man auch auf einen Bereich, in dem Nutzer Zugriffs­rechte für Apps und Inter­net­seiten steuern können.

Die Verbrau­cher­zen­trale NRW rät dabei, den Apps so wenig Daten­zugriffe wie möglich zu erlauben. Dann könne es aller­dings sein, dass die Anwen­dung nicht mehr so funk­tio­niert wie vorher. Hier gilt es genau abzu­wägen.

Welche Daten sind von mir im Netz?

Um gene­rell fest­zustellen, ob und wo persön­liche Daten wie etwa E-Mail-Adressen, Tele­fon­num­mern und Log-in-Daten für ihre Accounts aus Daten­lecks im Umlauf sind, können Nutzer mehrere Seiten ansteuern. Darunter etwa die "Pwned"-Daten­bank­abfrage des IT-Sicher­heits­for­schers Troy Hunt. Diese Daten­bank wurde nach dem Face­book-Daten­leak auch um eine Abfra­gemög­lich­keit von Tele­fon­num­mern erwei­tert, berichtet "golem.de".

Eine andere Möglich­keit ist der "Iden­tity Leak Checker" des Pots­damer Hasso-Plattner-Insti­tuts (HPI). Wer die zu unter­suchende E-Mail-Adresse eingibt, bekommt geprüft, ob die Mail-Adresse in Verbin­dung mit anderen persön­lichen Daten wie Tele­fon­nummer, Geburts­datum oder Adresse im Internet offen­gelegt wurde und miss­braucht werden könnte.

Gibt es bei einem der Dienste einen Treffer, sollte das dort verwen­dete Pass­wort geän­dert und nicht weiter verwendet werden. Es sei denn, man kennt den Leak schon oder seine Entde­ckung liegt schon sehr lange zurück und man ist sich sicher, das Pass­wort ohnehin längst geän­dert zu haben.

Nicht auf Links unbe­kannter oder Absender klicken

Was aber ist mit Phis­hing- und Spam-Mails oder -SMS? "Solange sie nicht Ihre E-Mail-Adresse oder Tele­fon­nummer ändern, werden sie damit leben müssen", sagt Verbrau­cher­schützer Hauke Mormann. Man sollte aber die Absender sperren und die Mails und die SMS sofort löschen. Und vor allem nie irgend­welche Links ankli­cken.

Davor warnt bei solchen Nach­richten auch die Poli­zei­liche Krimi­nal­prä­ven­tion der Länder und des Bundes (ProPK). Auch sollte man niemals Apps instal­lieren, falls das Handy dann danach fragt. Ansonsten ist die Gefahr groß, sich eine Schad­soft­ware einzu­fangen. Eine Dritt­anbie­ter­sperre ist daher sinn­voll.

Wichtig ist vor allem, sich immer typi­sche Merk­male von Spam-Mails oder -SMS vor Augen zu führen: Etwa Recht­schreib­fehler oder kryp­tische Absender- oder Link­adressen wie etwa "ar127bsi@yz.ru", die aber angeb­lich von renom­mierten Firmen stammen sollen.

Wer will mir wirk­lich eine SMS schi­cken?

"Auch die gene­relle Plau­sibi­lität der Ange­bote und Absender ist zu prüfen", sagt Mormann. "Würde mir der Paket­dienst­leister wirk­lich eine SMS mit selt­samen und zusam­men­hang­losen Links schi­cken?". Nein - wie DHL aktuell auf Twitter warnt: "Wir fordern grund­sätz­lich keine Daten per SMS an & infor­mieren nicht per SMS über den Sendungs­status." Denn zur Zeit machen Betrugs-SMS die Runde, deren Absender sich als DHL oder Deut­sche Post ausgeben. "Die Zahl solcher SMS ist merk­lich gestiegen und ein Zusam­men­hang mit dem Daten­leak von Face­book-Nutzer­infos ist wahr­schein­lich", so Mormann.

Am besten sei es, wenn man für soziale Netz­werke eine andere E-Mail-Adresse nutzt als für Bank- und Versi­che­rungs­geschäfte, sagt Mormann. Aber auch diese Adresse sollten Nutzer regel­mäßig wie oben beschrieben prüfen. Grund­sätz­lich gilt: Seinen echten Namen, das Geburts­datum, E-Mail-Adresse und Tele­fon­nummer stellt man besser so spär­lich wie möglich im Internet öffent­lich zur Verfü­gung - für Krimi­nelle sind das wert­volle Daten.

Wie man mobile Geräte gene­rell sicherer nutzt, hat das Bundesamt für Sicher­heit in der Infor­mati­ons­technik (BSI) auf seinen Seiten erläu­tert und bietet eine Broschüre zum Down­load.

Link doch ange­klickt - was tun?

Wer aus Versehen einen verdäch­tigen Link etwa aus einer SMS ange­klickt hat, sollte umge­hend aktiv werden. Das rät die Poli­zei­liche Krimi­nal­prä­ven­tion der Länder und des Bundes (ProPK):

1. Handy sofort in den Flug­modus schalten. So kann es keine Befehle mehr von außen empfangen oder SMS versenden.
2. Den Mobil­funk-Betreiber per Anruf infor­mieren. Dabei erkun­digen, ob bereits schon Kosten verur­sacht wurden.
3. Eine Dritt­anbie­ter­sperre einrichten.
4. Die Polizei über 110 anrufen oder nächste Dienst­stelle aufsu­chen.
5. Alle Daten und auch Einstel­lungen sichern. Dann das Handy auf Werks­ein­stel­lungen zurück­setzen. So würden alle Apps und Daten gelöscht, die nach dem Kauf aufge­spielt wurden.
6. Alle Pass­wörter ändern und wo möglich eine Zwei-Faktor-Authen­tifi­zie­rung akti­vieren.

Ein sicheres und nicht zu erra­tendes Pass­wort ist heut­zutage uner­läss­lich. Doch wie sicher ist Ihres - und wurde es viel­leicht schon mal irgendwo geklaut, ver­öffentlicht und miss­braucht? Prüfen Sie das auf den oben genannten Portalen.