Facebook hat versehentlich die Telefonnummern von rund sechs Millionen Mitgliedern weitergegeben. Nicht an Freunde, sondern mitunter an Fremde. Und obwohl das Datenleck in einer recht versteckten, selten benutzten Funktion verborgen war, sind eben trotzdem sechs Millionen Facebook-User betroffen.
Facebook hat mittlerweile weltweit 1,1 Milliarden Mitglieder, es hat also nur verhältnismäßig wenige Menschen erwischt. Ein unwohles Gefühl bleibt trotzdem zurück. Man muss sich halt immer fragen, wo Daten landen – und selbst wenn man einem Onlinedienst vertraut, schützt einen das, wie man sieht, nicht vor Pannen, Sicherheitsheitslecks oder Hackattacken. Vor Schnüffeleien durch Geheimdienste schon mal gar nicht.
Aber was ist bei Facebook schiefgelaufen? Normalerweise kann man selbst bestimmen, wer welche Informationen zu sehen bekommt. Selbst wenn man seine Telefonnummer bei Facebook hinterlegt: Ob sie jeder sehen darf oder nur Freunde oder nur bestimmte Personen – lässt sich alles in den berühmten Privatsphäreeinstellungen festlegen. Normalerweise hält sich Facebook auch daran. Doch wer seinen Kontaktordner, etwa auf dem Smartphone, mit Facebook synchronisiert, liefert auch die Daten anderer User an, etwa Rufnummern. Die speichert Facebook.
Stellt Facebook nun fest, dass sich zwei Personen kennen (im Hintergrund laufen stets komplexe Algorithmen ab, die versuchen, das soziale Geflecht zwischen Personen zu ermitteln, etwa wer alles am selben Arbeitsplatz arbeitet oder an derselben Uni studiert), liefert Facebook trotzdem normalerweise nur die Daten, die für diese Verbindung freigegeben sind. Durch eine Datenpanne bei der Freundschaftsempfehlung wurden aber teilweise nun auch Rufnummern und weitere E-Mail-Adressen weitergegeben, selbst von Leuten, die man gar nicht kennt. Ein Unding.
Wo bleibt der Datenschutz?
Es sind keine guten Tage für amerikanische Onlinedienste und soziale Netzwerke. Das Vertrauen der User schwindet: Die meisten wissen, dass große Datenmengen angehäuft werden – und vertrauen den Diensten trotzdem erstaunlich viel an. Nun kommen noch die Abhöraktionen in bislang unbekanntem Ausmaß von NSA, FBI und britischem Geheimdienst dazu. Wenn dann auch noch Daten verschlampt werden und diese Daten Dritten in die Hände fallen, wird der Begriff „Datenschutz“ irgendwann zur Farce.
Natürlich: Pannen können jederzeit passieren. Facebook hat seinen Fehler immerhin eingestanden und sich entschuldigt, auch die Behörden wurden informiert. Das ist schon mal vorbildlich. Doch zu versprechen, dass so etwas nicht mehr passiert, ist unrealistisch. Es wird die nächste Datenpanne kommen – ganz bestimmt. Und irgendwie wird es uns alle nicht mehr wundern.
Wikileaks musste diese Woche eine ungeheure Datenpanne zugeben: Ausnahmslos alle Depeschen des US-Außenministeriums kursieren mittlerweile im Internet. Unverschlüsselt. Weil ein britischer Journalist das Passwort veröffentlich hat, das zum Öffnen der Depeschen nötig ist.
Ein Datendebakel: Wikileaks-Gründer Julian Assange hätte besser auf die Datensätze mit hochbrisanten Inhalten aufpassen müssen. Ein Passwort zu einer solchen Datenbasis, das zeitlich unbefristet funktioniert – unverzeihlich. Dass ein Journalist das Passwort auch noch publiziert – unfassbar dumm. Dass Mitarbeiter die Wikileaks-Datenbank einfach kopieren und mitnehmen können – unglaublich. Dass diese Datenbasis dann einfach so im Internet vervielfältigt wird – unentschultbar.
Hier haben gleich mehrere Personen einen riesen Fehler gemacht. Die Summe dieser Fehler ist fatal, vor allem für die Informanten der US-Behörden in aller Welt, die nun in Klarnamen im Internet nachlesbar sind.
Dieses Datendebakel wird dem Ansehen von Wikileaks nachhaltig schaden, davon bin ich überzeugt. Eine Whistleblower-Plattform, die nicht in der Lage ist, die sensiblen Dokumente und Daten und die Informanten zu schützen, der bringt man nicht viel Vertrauen entgegen.
Peinlich, peinlich: Da gibt es seit 2007 eine Datenlücke in Facebook – und keiner merkt es. Vier Jahre lang hätten Werbepartner ungehindert auf die Profile der Facebook-User zugreifen können, auf Fotos, Daten, sogar Chats – fast alles, was wichtig und eigentlich privat ist, ohne dass die Betroffenen davon etwas mitbekommen.
Zum Glück hat wohl niemand das Sicherheitsleck ausgenutzt. Entwarnung bedeutet das aber nicht. Denn dass es überhaupt möglich war, im großen Stil Userdaten abzugreifen, ist schlimm genug. Bedenklich ist aber erst recht, dass Facebook die peinliche Lücke kleinzureden versucht und nicht mal zugibt, da was verbockt zu haben.
Als wäre das noch nicht genug, kommt diese Woche auch noch raus: Facebook hat in den USA eine PR-Agentur damit beauftragt, negative Berichte über Konkurrent Google zu lancieren. Dabei ging es ausgerechnet darum, dass der Suchmaschinenriese angeblich die Privatsphäre der User verletze. Die unsägliche Schmierenkampagne ist aufgeflogen. Zum Glück.
Bleibt nur die Frage: Was soll das alles? Sind alle, die klar denken können, bei Facebook in Urlaub?
Schon wieder also eine Datenpanne, diesmal bei SchülerVZ. Es waren keine Hackerkünste nötig, um rund eine Million Datensätze aus dem sozialen Netzwerk zu kopieren, sondern nur eine gute Idee und ein paar flink geschriebene Programmzeilen. So einfach kann das gehen.
Da kommt es schon etwas merkwürdig rüber, wenn SchülerVZ behauptet, es habe kein Datenleck gegeben und es wären nur Daten kopiert worden, die ohnehin öffentlich zugänglich sind.
Zugegeben, es waren keine urpersönlichen Daten, die da geklaut und öffentlich angeboten wurden. Aber Name, Vorname, Geschlecht, Alter, besuchte Schule und Profilbilder sind schon persönlich genug. Einfach so auf Knopfdruck alle Schülerinnen im Alter von 16 aus Bielefeld auskundschaften zu können oder alle männlichen Schüler mit türkischem Nachnamen in Duisburg, das würde ich schon als ernsthaftes Datenleck bezeichnen.
Zwar handelt es sich um kein Sicherheitsleck im technischen Sinne, also kein Programmierfehler und auch keine ungestopfte Sicherheitslücke. Wohl aber um einen systemischen Fehler. Denn wenn als einzige Hürde zum massenweisen Auslesen von Schülerprofilen ein sogenannter Captcha-Code genutzt wird, der offensichtlich ohne weiteres von einem OCR-Programm (Texterkennung( gelesen werden kann, ist das sehr wohl eine Datenleck.
Das bestreiten zu wollen, ist ein klassischer Fall von Runterspielkampagne. Eigentlich sollten Web-2.0-Unternehmen wie die VZ-Gruppe besser als alle andere wissen: Das funktioniert heute nicht (mehr). Es ist klüger, den Fehler zuzugeben und das Problem schnellmöglich zu beseitigen. Darauf hinzuweisen, dass der Datenklau gegen die AGB verstößt, ist regelrecht lächerlich.
Anbieter sozialer Netzwerke müssen sich ständig ihrer Verantwortung bewusst sein und diese ernst nehmen. Wenn mal was schief läuft, was in einer sich derart rasant verändernden Welt schnell passieren kann, sollte man umgehend handeln und nachbessern. Beschwichtigen ist jedenfalls nicht die richtige Reaktion.
