DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Die Telefonbuecher haben in den oeffentlichen Telefonkabinen der Schweiz bald ausgedient (Aufnahme vom 16. April 1998). Ab Juli 1998 werden alle rund 13 000 Telefonkabinen der Swisscom mit dem elektronischen Telefonbuch der Schweiz (Teleguide) ausgeruestet. Die Umruestung wird etwa im Maerz 1999 abgeschlossen sein, wie Swisscom am Donnerstag, 16. April 1998, mitteilte. Die Vorteile von Teleguide liegen laut Swisscom auf der Hand: Die muehsame und oft aussichtslose Suche in einem zerrissenen oder veralteten Telefonbuch entfaellt, stattdessen liefert Teleguide die Nummer nach Eingabe von Name und Wohnort der gesuchten Person. Auf Wunsch wird der Kunde zudem per Knopfdruck mit der emittelten Nummer verbunden (vergleiche auch SDA bsd161). (KEYSTONE/MICHELE LIMINA)

Der Facebook-Leak ist kein Telefonbuch. Bild: KEYSTONE

3 Gründe, warum wir den Facebook-Leak nicht auf die leichte Schulter nehmen sollten

Betrüger:innen haben durch den jüngsten Facebook-Leak ein riesiges Geschenk erhalten. Wir sagen, wie einfache Informationen wie die Handynummer missbraucht werden können.

Cet article est également disponible en français. Lisez-le maintenant!


Es ist doch nur ein Telefonbuch: Diesen Kommentar konnte man einige Male zum jüngsten Facebook-Datenleak lesen. Es waren verharmlosende Reaktionen darauf, dass seit vergangener Woche eine halbe Milliarde Handynummern, Vor- und Nachnamen und weitere persönliche Angaben wie Wohnort, Mailadresse oder Geburtsdatum im Internet kursieren.

Der Vergleich drängt sich nicht zu Unrecht auf: Vor Jahren gab es tatsächlich dicke Telefonbücher, wo Anschrift, Adresse und teilweise der Beruf von Millionen Personen in der Schweiz stand. Frei zugänglich in den Telefonkabinen, günstig bestellbar in gedruckter Form.

Der Vergleich hinkt jedoch aus mehreren Gründen. Diese Auffassung bestätigen mehrere angefragte Informatiker:innen. So sagt eine Person, die namentlich nicht im Artikel erwähnt werden möchte: «Wer die Handynummer einer Person hat, kann damit sehr viel anrichten, wenn man weiss, was möglich ist.» Zusammen mit weiteren Angaben wie dem Namen, dem Wohnort, dem Link zum Facebook-Profil, hätten Betrüger:innen ein «Riesengeschenk» bekommen, und zwar kostenlos.

Doch was ist konkret möglich?

Social Engineering

Eine Möglichkeit sind Betrügereien über Social Engineering. Sie ist auch die mächtigste Möglichkeit, weil sie konkret auf einzelne Personen abzielt: Betrüger:innen sammeln dafür möglichst viele Daten über eine konkrete Person, deren Verhalten beeinflusst werden soll.

Über die Facebook-ID kann etwa herausgefunden werden, an welchen Veranstaltungen eine Zielperson zuletzt war. Anhand dieser Information können dann Mails verschickt werden, in denen etwa vorgegaukelt wird, man kenne sich von diesem Event oder hätte Bilder geschossen. So können ganz einfach Viren eingeschleust werden – oder schlicht Vertrauen aufgebaut werden, um die Funktion einer Zielperson zu missbrauchen.

Treffen kann das alle, im Visier dürften aber hochrangige Personen stehen, die an Machtschnittstellen stehen. Der Facebook-Datensatz liefert Betrüger:innen dafür eine wertvolle Information: Den Arbeitsort. Ein Schweizer Informatiker konnte innert weniger Stunden rund 1600 Personen herausfinden, die beim Bund, bundesnahen Stellen oder in der Medienwelt arbeiten. Darunter hunderte beim staatlichen Rüstungskonzern Ruag und über ein Duzend Personen, die im Finanz-, Innen- oder Aussendepartement arbeiten. Auch Gerichtspersonen, Regierungsrät:innen und Angestellte des Nachrichtendienstes sind darunter.

Sie könnten im schlimmsten Fall durch künstliche Stresssituationen unter Druck gesetzt werden – etwa durch erfundene Kindsentführungen oder Erpressungsversuche. «In solchen Situationen reagieren Menschen irrational und beugen sich schnell mal den Forderungen. Insbesondere dann, wenn sie auf dem privaten Handy angerufen werden», sagt ein Informatiker.

Aufbau von Datenbanken und «Doxing»

Eine weitere Möglichkeit wurde im Zusammenhang mit einem angeblichen «Hack» im deutschen Bundestag publik: das Doxing. Darunter versteht man das (internetbasierte) Zusammentragen von Personendaten, um sie zu veröffentlichen oder für andere Betrügereien zu verwenden.

Das riesige Datenleck von Facebook lieferte solchen Aktivist:innen mit über 500'000'000 Personendaten einen riesigen Satz an Informationen, die sie mit anderen Angaben einer Person verknüpfen können. Werden diese veröffentlicht, könnte wie beim «Bundestags-Hack» der Eindruck entstehen, irgendwo sei etwas gehackt worden.

Solche vernetzte Datenbanken werden aber auch von professionelleren Organisationen verwendet, um Spam-SMS, Krankenkassen-Angebote oder andere personalisierte Werbung zu verschicken. «Diese Datenbanken werden jetzt durch Millionen von Handynummern ergänzt: Dadurch wächst das Missbrauchspotential massiv», sagt Netzaktivist und Privacy-Experte Hernâni Marques zu watson.

Lokalisierung durch das Handy

Besonders heikel ist auch die dritte Möglichkeit: Das Handy könnte zu etwas wie einem «GPS-Tracker» werden. Diese Gefahr baut auf der Tatsache auf, dass ein Handy mit der Rufnummer mit Antennen kommuniziert und am Körper einer Zielperson getragen wird.

5G-Ausbau treibt Netzwerkausrüster Ericsson an. (Archiv)

Good News: Schweizer Provider schützen ihre Kund:innen vor SS7-Angriffen. Bild: sda/symbolbild

Die Technik dahinter versteckt sich hinter dem Begriff «Signalling System 7», kurz SS7. Diese Technologie hat bekannte Sicherheitslücken und kann in Ländern, wo diese nicht gestopft wurden, für Spionage ausgenutzt werden. Betrüger:innen können sich dabei zwischen Handy und Funkmast als «Man-in-the-Middle» positionieren und Angriffe durchführen, Gespräche abhören und die Position einer Person funkmastgenau bestimmen.

Klingt absurd? Ist es nicht. Recherchen der «Süddeutsche Zeitung» und des «WDR» zufolge konnte die NSA mittels SS7-Schwachstelle das Handy der deutschen Bundeskanzlerin Angela Merkel abhören. Auch Personen der Schweizer Aussenpolitik könnten Opfer solcher Angriffe werden: Dutzende EDA-Angestellte und sogar eine ältere Handynummer von Bundesrat Ignazio Cassis waren im Facebook-Leak zu finden. Der Aussenminister reiste dieses Jahr bereits durch mehrere Länder, wo andere Standards bezüglich Mobilfunksicherheit gelten.

«Die SS7-Angriffe sind technisch gesehen immer noch möglich und zeigen auf, welche Bedeutung eine Handynummer hat. Sie kann nicht einfach mit der Telefonnummer verglichen werden – das Handy begleitet uns durch den Alltag», sagt der Netzaktivist Marques. Er fordert deshalb griffigere Datenschutzgesetze: «Die Möglichkeiten der Behörden sind nach solchen Leaks gering und führen meist zu nichts. Teilweise auch politisch gewollt, um attraktiv für Internet-Konzerne zu bleiben.»

Die Absurdität dazu zeigt sich in einem aktuellen Artikel von «heise», wo die Frage thematisiert wird, wann genau der jüngste Datenleak bei Facebook geschah. Der Zeitpunkt könnte darüber entscheiden, welche Konsequenzen dem Konzern drohen. Facebook scheint laut dem Artikel vorgesorgt zu haben: Im Sommer 2019 blechte der Konzern in den USA eine Strafe von fünf Milliarden Dollar für alle Datenschutzvergehen vor dem 12. Juni 2019.

Und hier in Europa? Die zuständige irische Datenschutzbehörde hat eine Untersuchung angekündigt.

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Sieben eindrückliche Hacker-Attacken

Das Ende des Telefonbuchs

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel