Facebook-Leak durch Apps: So können Sie sich vor Identitätsdiebstahl schützen

Erneut wurden kürzlich Telefonnummern und E-Mail-Adressen von Hunderten Millionen Facebook-Nutzern in einem Hacker-Forum entdeckt. Nach ersten Aussagen des Unternehmens handelt es sich dabei um alte Daten, die über eine Sicherheitslücke erbeutet worden seien, die Facebook bereits im August 2019 geschlossen hatte.

Aber auch ohne Sicherheitslücke oder direkten Hackerangriff sind solche Leaks möglich. „Apps sind eine Möglichkeit, wie solche persönlichen Daten überhaupt gesammelt werden können, die nun in dunklen Kanälen auftauchen“, sagt Hauke Mormann von der Verbraucherzentrale Nordrhein-Westfalen (NRW). Diese Apps sammeln viele persönliche Daten von Mitgliedern – nicht nur vom Nutzer selbst, sondern möglicherweise auch von Freunden. Das kann auch geschehen, ohne dass Betroffene das mitbekommen.

Es geht dabei ausdrücklich um Fremd-Apps, die Facebook als Plattform für Programme wie Spiele, Umfragen oder Tests nutzen. Es kann sich aber auch um Firmen handeln, die für ihren Shop einen Log-in mit Facebook-Daten ermöglichen. Das erscheint manchem Nutzer bequem, muss er doch kein zusätzliches Konto dafür einrichten.

Durch unseriöse Anbieter können solche Datensätze zweckentfremdet werden und etwa für Identitätsdiebstahl missbraucht werden.

Lesen Sie auch: Facebook-Konto gehackt! Kölns Polizeipräsident verschickt unwissentlich Virus an Freunde >>

Auf Facebook selbst nach unerlaubten Datensammlern suchen

Facebook selbst hat eine Seite, auf der Nutzer prüfen können, ob sie Apps auf Facebook verwendet haben, die unerlaubt Daten gesammelt haben. Solche Apps sperrt Facebook laut Eigenaussage, sobald sie dahingehend entdeckt werden. Von der Seite gelangt man auch auf einen Bereich, in dem Nutzer Zugriffsrechte für Apps und Internetseiten steuern können.

Die Verbraucherzentrale NRW rät dabei, den Apps so wenig Datenzugriffe wie möglich zu erlauben. Dann könne es allerdings sein, dass die Anwendung nicht mehr so funktioniert wie vorher. Hier gilt es genau abzuwägen.

Lesen Sie auch: Die unsichersten Passwörter: Diese Kennwörter sollten Sie schleunigst austauschen >>

Welche Daten sind von mir im Netz?

Um generell festzustellen, ob und wo persönliche Daten wie etwa E-Mail-Adressen, Telefonnummern und Log-in-Daten für ihre Accounts aus Datenlecks im Umlauf sind, können Nutzer mehrere Seiten ansteuern. Darunter etwa die „Pwned“-Datenbankabfrage des IT-Sicherheitsforschers Troy Hunt. Diese Datenbank wurde nach dem Facebook-Datenleak auch um eine Abfragemöglichkeit von Telefonnummern erweitert, berichtet das IT-Portal golem.de.

Eine andere Möglichkeit ist der „Identity Leak Checker“ des Potsdamer Hasso-Plattner-Instituts (HPI). Wer die zu untersuchende E-Mail-Adresse eingibt, bekommt geprüft, ob die Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse im Internet offengelegt wurde und missbraucht werden könnte.

Gibt es bei einem der Dienste einen Treffer, sollte das dort verwendete Passwort geändert und nicht weiter verwendet werden. Es sei denn, man kennt den Leak schon oder seine Entdeckung liegt schon sehr lange zurück und man ist sich sicher, das Passwort ohnehin längst geändert zu haben.

Nicht auf Links unbekannter Absender klicken

Was aber ist mit Phishing- und Spam-Mails oder -SMS? „Solange sie nicht Ihre E-Mail-Adresse oder Telefonnummer ändern, werden sie damit leben müssen“, sagt Verbraucherschützer Hauke Mormann. Man sollte aber die Absender sperren und die Mails und die SMS sofort löschen. Und vor allem nie irgendwelche Links anklicken.

Davor warnt bei solchen Nachrichten auch die Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK). Auch sollte man niemals Apps installieren, falls das Handy dann danach fragt. Ansonsten ist die Gefahr groß, sich eine Schadsoftware einzufangen. Eine Drittanbietersperre ist daher sinnvoll.

Wichtig ist vor allem, sich immer typische Merkmale von Spam-Mails oder -SMS vor Augen zu führen: Etwa Rechtschreibfehler oder kryptische Absender- oder Linkadressen wie etwa „ar127bsi@yz.ru“, die aber angeblich von renommierten Firmen stammen sollen.

Lesen Sie auch: Facebook muss Zugriff auf das Konto der Verstorbenen ermöglichen >>

Wer will mir wirklich eine SMS schicken?

„Auch die generelle Plausibilität der Angebote und Absender ist zu prüfen“, sagt Mormann. „Würde mir der Paketdienstleister wirklich eine SMS mit seltsamen und zusammenhanglosen Links schicken?“ Nein – wie DHL aktuell auf Twitter warnt: „Wir fordern grundsätzlich keine Daten per SMS an & informieren nicht per SMS über den Sendungsstatus.“ Denn zurzeit machen Betrugs-SMS die Runde, deren Absender sich als DHL oder Deutsche Post ausgeben. „Die Zahl solcher SMS ist merklich gestiegen und ein Zusammenhang mit dem Datenleak von Facebook-Nutzerinfos ist wahrscheinlich“, so Mormann.

Am besten sei es, wenn man für soziale Netzwerke eine andere E-Mail-Adresse nutzt als für Bank- und Versicherungsgeschäfte, sagt Mormann. Aber auch diese Adresse sollten Nutzer regelmäßig wie oben beschrieben prüfen. Grundsätzlich gilt: Seinen echten Namen, das Geburtsdatum, E-Mail-Adresse und Telefonnummer stellt man besser so spärlich wie möglich im Internet öffentlich zur Verfügung – für Kriminelle sind das wertvolle Daten.

Wie man mobile Geräte generell sicherer nutzt, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seinen Seiten erläutert und bietet eine Broschüre zum Download.