Datenschutz: Nummer weg, Geld weg

Im Netz ist ein großer Datensatz mit Handynummern von Facebook-Nutzern aufgetaucht. Kriminelle können damit einiges anstellen. Doch es gibt ein paar Tricks, die gegen Angriffe helfen.

Der Datensatz hätte auf einen gewöhnlichen USB-Stick gepasst, für Kriminelle könnte er ein Jackpot sein: 419 Millionen Telefonnummern von Facebook-Nutzern lagen ungesichert auf einem Internet-Server. Das berichtet Sicherheitsforscher Sanyam Jain, der sie gefunden hat. Der Server ist mittlerweile offline. Falls Kriminelle die Daten vorher gefunden haben, müssen Millionen Menschen künftig sehr gut auf ihre Online-Konten aufpassen. Die meisten Opfer sollen aus Großbritannien, den USA und Vietnam stammen. Derzeit sieht es aus, als seien deutsche Nummern zumindest nicht in großem Stil betroffen. Facebook sagt, der Datensatz enthalte viele Duplikate, insgesamt gehe es eher um 200 Millionen als um mehr als 400 Millionen Nummern. Wer die Daten bei Facebook abgegriffen hat, ist unklar. Die Angreifer nutzten dabei mutmaßlich einen Zugang aus, den Facebook bis April 2018 offen hielt.

Die meisten Menschen denken beim Schutz vor Hackern wohl an sichere Passwörter. Tatsächlich kann es aber schon gefährlich werden, wenn jemand eine Telefonnummer und den Namen ihres Besitzers kennt. Im aktuellen Fall ließen sich die Namen zu den Nummern über die Facebook-ID ermitteln, die der Datensatz zusätzlich enthielt. Von dieser öffentlichen, von Facebook vergebenen Nummer lässt sich mit wenigen Klicks auf das dahinterstehende Facebook-Profil schließen. Kriminelle könnten mit diesen Informationen verschiedene Arten digitaler Angriffe starten, zum Beispiel, um Bankkonten leer zu räumen, Lösegeld zu erpressen oder private Accounts ihrer Opfer zu hacken.

Die Attacken beginnen meist mit sogenanntem Sim-Swapping. Dabei lassen Angreifer die Handynummer des Opfers auf eine Sim-Karte übertragen, die ihnen gehört. Dazu braucht es in manchen Fällen nicht viel mehr als einige Klicks im Online-Portal der Mobilfunkanbieter. Dann bekommen sie alle SMS und Anrufe auf ihr Telefon weitergeleitet. Erst diese Woche wurde bekannt, dass Kriminelle in Deutschland per Sim-Swapping hunderttausend Euro erbeutet haben sollen.

Angreifer können auch Sicherheits-Codes für Banküberweisungen abfangen

Die Opfer bemerken den Angriff vielleicht, weil sie keinen Empfang mehr haben und nicht telefonieren können. Womöglich sind da längst die Konten leer geräumt: Da die Angreifer die Handynummer kontrollieren, können sie den SMS-Code abfangen, der beim Online-Banking mit dem sogenannten mTAN-Verfahren vor jeder Überweisung eingegeben werden muss. Das Verfahren soll Bankkonten schützen, ist bei Sim-Swapping-Angriffen aber wirkungslos.

Viele Online-Dienste fragen auch nach Telefonnummern, um das Konto zu sichern: Nutzer können ihr Smartphone zusätzlich zum Passwort als zweiten Sicherheitsfaktor bei der Anmeldung verwenden und sich Einmal-Codes per SMS zuschicken lassen. Wenn Kriminelle aber die Handynummer per Sim-Swapping übernommen haben, ist diese Form dieser Zwei-Faktor-Authentisierung (2FA) wertlos.

Hacker können solche Sicherheits-Codes auch anders abgreifen, weil SMS unverschlüsselt sind. Die Angreifer schalten sich dann zwischen Absender und Empfänger und lesen die Nachricht mit. Auch deshalb sollte man bei 2FA statt auf SMS eher auf Apps wie den Google Authenticator oder Authy setzen. Dann kommt der Code nicht per SMS, sondern wird mit der App erzeugt. Diese Methode bieten auch viele Banken an.

Kriminelle könnten eine Handynummer auch missbrauchen, um das Passwort des Opfers zurückzusetzen. Bei Facebook reicht ein Klick auf "Konto vergessen?". Google und E-Mail-Anbieter wie Web.de bieten ähnliche Optionen an. Die Kontowiederherstellung bietet auch noch weitere Schwachstellen: Teils werden E-Mail-Adressen angezeigt, die mit Sternchen unkenntlich gemacht sind. Wer den Namen des Nutzers kennt, kann oft auch die ganze Adresse erraten. In anderen Fällen verschicken die Anbieter Einmal-Passwörter per SMS, die Hacker mitlesen oder abfangen können. Bei manchen Diensten ist es sogar möglich, den Account ausschließlich per SMS zu übernehmen. Instagram ermöglicht es etwa, die Handynummer einzugeben, um das Passwort zurückzusetzen.

Der aktuelle Fall ist nicht das erste Mal, dass Facebooks laxer Umgang mit Handynummern auffällt. Im März deaktivierte das Unternehmen eine Option, mit der Nutzer verhindern konnten, dass Fremde ihr Konto über die Telefonnummer finden. Nach heftiger Kritik revidierte Facebook seine Entscheidung. Nutzer können sich wieder vor anderen "verstecken", die ihre Telefonnummer kennen.

Die Handynummer ist für den Konzern wertvoll, weil sie Facebook noch mehr Möglichkeiten gibt, Nutzer zu tracken und Datenbestände miteinander zu kombinieren. Und Facebook setzt die Mobilfunknummer als zentrales Identifikationsmerkmal über alle Plattformen hinweg ein: Das Unternehmen verknüpft Kontaktinformationen von Instagram, Whatsapp, dem Messenger und Facebook. Das verbindende Element ist dabei oft die Handynummer.

Es gibt wirksame Vorkehrungen, um die eigenen Accounts gegen Angriffe über die Telefonnummer abzusichern. Nutzer sollten für alle Online-Konten komplexe und ausreichend lange Passwörter benutzen, am besten schützen zufällig generierte. Falls es der Anbieter erlaubt, das Konto mit einem zweiten Faktor zu versehen, sollten sie die 2FA aktivieren. Idealerweise nicht die per SMS, sondern per Authentisierungs-App.

Zu den Grundregeln der IT-Sicherheit gehört auch, dasselbe Passwort niemals für mehrere Accounts zu verwenden. So lässt sich verhindern, dass Hacker mehrere Konten knacken, wenn sie Log-in-Daten im Darknet kaufen. Passwörter müssen nicht regelmäßig geändert werden - es sei denn, eine Sicherheitslücke oder ein Datenleck werden bekannt. Zusätzlich können Nutzer sich gegen Sim-Swapping schützen, indem sie ein sicheres Kundenkennwort bei ihrem Mobilfunkanbieter festlegen. Dann kann niemand in ihrem Namen bei der Kunden-Hotline des Providers beantragen, die Rufnummer zu übertragen.