Abgesaugt

Datenlecks wie die jüngsten bei Facebook werden zunehmen. Nut­ze­r*in­nen mögen sie im Einzelfall banal vorkommen. Bedrohlich wird die Situation aber durch die schiere Menge

Facebook-Server in Prineville, Oregon Foto: picture alliance

Von Daniél Kretschmar

Die Zahlen sind überwältigend. Ein weltweites Adressbuch mit einer halben Milliarde Einträgen. Das sind mehr Menschen als in der EU leben. Das ist der Umfang des gerade erst öffentlich zugänglich gemachten Datenlecks von Facebook. Damit ist es aber immer noch nicht das Größte je Dagewesene, weder beim Unternehmen selbst noch in der traurigen Hitliste des Sicherheitsversagens internationaler Digitalkonzerne. Mehr als Zehntausend Datenlecks zählen Si­cher­heits­spe­zia­lis­t*in­nen in den vergangenen 15 Jahren mit Betroffenen in den USA.

Je weiter die Digitalisierung von Wirtschaft, Konsum und sozialen Aktivitäten voranschreitet, umso gewaltiger klaffen die Lücken. Die größte bisher bekannte illegale Datensammlung, eine Zusammenstellung aus offenbar verschiedenen Quellen von Dropbox bis Linkedin, betraf mehr als zwei Milliarden Accounts und wurde 2019 öffentlich.

Von 2019 stammt auch der Inhalt des neuesten Facebooklecks. Die davon betroffenen Nut­ze­r*in­nen wurden über die Verletzung ihrer Privatsphäre nie informiert. Das entspricht einer gängigen Praxis: Digitalkonzerne vermeiden regelmäßig nicht nur die individuelle Warnung, sondern oft überhaupt das Eingeständnis eines Bruchs der Sicherheitsvorkehrungen. Yahoo zum Beispiel gingen wiederholt Daten „verloren“, schätzungsweise im Gesamtumfang von anderthalb Milliarden Datensätzen. Es dauerte bisweilen Jahre, bevor diese Skandale öffentlich wurden.

Facebook selbst bietet auf einer speziellen Hilfeseite für angemeldete Nutzer*innen einen Scan an, ob über vermeintlich unschuldige Apps Daten abgezogen wurden.

Wer lieber von unabhängiger Seite überprüft haben will, ob die eigenen Daten im Netz herumschwirren, kann Mailadresse oder Telefonnummer eingeben auf www.haveibeenpwned.com. Die kostenlose Seite führt eine Datenbank über Lecks bei großen Netzunter­nehmen.

Nun sind die meisten Daten zunächst relativ harmlos. Ein paar Phishing-SMS sind leicht erkannt. Und eine minimale digitale Alphabetisierung reicht bei den meisten Menschen aus, um zu wissen, dass man besser nicht auf unverlangt zugesandte Links aus unbekannter Quelle klickt. Bedrohlich wird die Situation aber durch die schiere Menge und Vielfalt der verfügbaren und in schon mittelmäßig fähigen Händen beliebig kombinier- und verknüpfbaren Daten.

Das demonstrierte beispielhaft netzpolitik.org durch Anrufe bei Bundestagsabgeordneten, deren private Telefonnummern in dem Facebookleck mit ihren Klarnamen verbunden sind. Es fällt nicht schwer sich auszumalen, welche Kombinationen mit anderen Datenbanken möglich sind – solchen, die Kreditkartendaten enthalten; oder die Accounts auf Partnersuchportalen ihren pseudonymen Charakter nehmen und dergleichen. Was, wenn die Datensätze privateste Details politischer Ak­ti­vis­t*in­nen enthalten, Antifaschist*innen, Angehörige sexueller Minderheiten oder diskriminierter Ethnien ihren Geg­ne­r*in­nen ausliefern?

Das Problem sind dabei gar nicht kriminelle Hacker*innen, zumindest sind sie nicht das Entscheidende. Zumal solch große Lecks eher selten durch technischen Sachverstand finsterer Mächte entstehen, sondern durch banalste Fehler: offene Server, Nachlässigkeiten, menschliches Versagen. Das Problem ist der ewige Bedarf legaler wie illegaler Ak­teu­r*in­nen an permanent aktuellen Daten. Dass die zentral gesammelt, oft genug nur ungenügend geschützt, gespeichert und verarbeitet werden, ist eine unwiderstehliche Einladung, sie neben der ohnehin schon zwielichtigen Geschäftspraxis der Digitalkonzerne noch anderen Nutzungen zuzuführen.

Nach Jahrzehnten digitaler Entwicklung gibt es noch immer keine wirksame Aufsicht über die geschäftsmäßige Massenverarbeitung von Daten. Völlig intransparent für Öffentlichkeit und dem Zugriff politischer Kontrolle entzogen, dabei aber ganz offensichtlich viel zu leicht zugänglich für eine nicht geringe Anzahl an In­ter­es­sen­t*in­nen liegen die digitalen Echos unserer Existenzen auf Servern rund um die Welt, in der Hand noch in kleinsten technischen Details ihrer Operationen außerordentlich verschlossener Konzerne.

Das Problem sind gar nicht die kriminellen Ha­cke­r*in­nen – zumindest nicht das entscheidende

Deren Macht und Profit hängt unmittelbar von der bewussten Missachtung der heiligen Dreifaltigkeit des Datenschutzes ab: dezentral, verschlüsselt, Open Source.

Statt aus den Fehlern der etablierten Plattformen zu lernen, gilt allein deren Geschäftsmodell, und damit die möglichst umfassende Profilerstellung der Nut­ze­r*in­nen weiterhin vielen Start-ups als Vorbild. Mit den bekannten Folgen. Die gerade noch weltweit gehypte Audiochat-App Clubhouse hatte schon nach wenigen Monaten ihr erstes großes Leck von mehr als einer Millionen Datensätzen. Die sind zwar selbst wiederum relativ harmlos, warten aber nur auf die Kombination mit Informationen aus anderen Datenbanken vom Schwarzmarkt der Persönlichkeitsprofile.