IT-Sicherheitsanalysen

Der Facebook-Leak – wie kann ich mich schützen?

Verfasst von: Arne Wolff
Berater für Datenschutz und IT-Sicherheit

Vor einigen Tagen ist bekannt geworden, dass schon Ende 2018 bei Facebook personenbezogene Daten von ca. 533 Millionen Nutzern aus aller Welt erbeutet wurden – und jetzt in einem Forum für Cyberkriminelle aufgetaucht sind. Damit sind sie praktisch frei verfügbar.

Werden die Daten missbraucht werden?

Es ist so gut wie sicher, dass die Daten für kriminelle Aktivitäten eingesetzt werden – und zwar vermutlich vor allem für Phishing-Attacken. Je mehr persönliche Daten ein Angreifer kennt, desto besser – sprich glaubwürdiger – kann er E-Mails und nachgeschaltet Webseiten gestalten, die kein Misstrauen beim Empfänger wecken und ihn dazu verleiten, zum Beispiel Kreditkartendaten oder Zugangspasswörter einzugeben.

Sind meine eigenen Daten betroffen?

Es sind allein 6 Millionen Datensätze aus Deutschland offengelegt worden – bei hierzulande rund 32 Millionen Facebook-Nutzern also eine recht hohe Wahrscheinlichkeit, dazuzugehören.

Etwas mehr Gewissheit kann man zum Beispiel erlangen, indem man auf der vom Sicherheitsforscher Troy Hunt initiierten Website https://haveibeenpwned.com seine E-Mail-Adresse eingibt. Es werden dann verschiedene Quellen kompromittierter E-Mail-Adressen durchforstet – also nicht nur die von Facebook.

Speziell für diesen Leak hat der Freiburger Webentwickler und Social-Media-Berater Freddy Greve, der für das Start-up „Neonlab“ tätig ist und durch den Blog „Kein Mensch ist illegal“ Bekanntheit erlangt hat, ein eigenes Tool online gestellt. Unter https://fbleak.freddygreve.com/ kann man sehr datensparsam durch Eingabe seiner Facebook-ID herausfinden, ob man zu den Betroffenen gehört.

Facebook selbst hat übrigens bisher noch keinerlei Schritte unternommen, seine konkret betroffenen Nutzer zu warnen. Offenbar wurde der Vorfall noch nicht einmal der zuständigen Datenschutzaufsichtsbehörde in Irland gemeldet…

Welche Angriffe sind zu erwarten?

Besonders in drei Bereichen wurde schon ein deutlicher Anstieg digitaler Angriffe verzeichnet:

Aufwendig gefälschte E-Mails mit Links auf Fake-Webseiten oder Schadsoftware, die in den Anhängen versteckt ist

Wie oben schon angesprochen können Angreifer Phishing-Mails mit persönlichen Details des Empfängers so „verbessern“, dass bei ihm kein Misstrauen geweckt wird – aus Phishing wird SpearFishing. Wenn sie geschickt sind, können die Kriminellen so eine Erfolgsquote von bis zu 80 % erreichen.

SMS mit Links auf Fake-Webseiten

Kennt der Angreifer die Mobilnummer und weiß vielleicht noch, bei welchen Onlineshops Sie gerne einkaufen, ist es ein Leichtes, eine passende Versandbenachrichtigung zu fälschen. Einen Klick auf den Link zur Sendungsverfolgung später befinden Sie sich auf einer täuschend echt aussehenden, aber ebenso gefälschten Website des bevorzugten Logistikunternehmens, auf der hinter jedem Link Schadsoftware lauert.

Telefonanrufe mit versteckter Kostenfalle

Sie erhalten einen Anruf auf Ihr Handy, aber bevor Sie abheben können, hat der Anrufer schon aufgelegt. Wenn Sie jetzt zurückrufen, kann es für Sie teuer werden, denn der Rückruf führt zu einer gebührenpflichtigen Servicenummer. Mit der nächsten Mobilfunkrechnung werden dann 10 oder 20 Euro abgerechnet.

Wie schütze ich mich?

Es gibt kaum technische Möglichkeiten, Angriffen auf der menschlichen Ebene zu begegnen – es bleibt nur wachsam zu sein:

  • Bewahren Sie sich ein grundsätzliches Misstrauen, auch bei vermeintlichen Standardsituationen in der Kommunikation.
  • Öffnen Sie keine ungeprüften E-Mail-Anhänge!
  • Klicken Sie nicht auf Links, ohne vorher das Linkziel auf Plausibilität zu überprüfen: Führt der Link zu einer unbekannten Domain, womöglich mit „exotischem“ Länderkürzel? Vorsicht! Fragen Sie besser beim angegebenen Absender nach, ob die E-Mail tatsächlich von ihm stammt.
  • Rufen Sie keine unbekannten Telefonnummern zurück! Und falls Sie doch einmal in die Servicenummer-Kostenfalle getappt sind: Scheuen Sie sich nicht, die Kosten bei Ihrem Mobilfunkanbieter zu reklamieren!

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.