Datenklau leicht gemacht

Mit fremder Mailadresse leichter Zugang

Stand: 18.10.2010, 16:34 Uhr

Viele Internetnutzer, die ihre Daten lieber für sich behalten wollen, meiden Facebook. Aber auch Nichtmitglieder müssen sich um ihre Privatsphäre Sorgen machen, zeigt ein Versuch von WDR.de.

Von Christian Schmitt

Selbst wer keinen Account bei Facebook hat, ist nicht automatisch vor der Datensammelwut des Netzwerks geschützt. Bei über 500 Millionen Nutzern weltweit ist die Wahrscheinlichkeit groß, dass man jemanden kennt, der dort angemeldet ist. Dieser "Jemand" ist die ganz persönliche Sicherheitslücke. Facebook scannt die E-Mail-Adressbücher ihrer Mitglieder, und wer da drin steht, wird auch von Facebook erfasst. Das Sammeln und das Verknüpfen von Kontakten ist für den Dienst wichtig, um Verbindungen unter den Nutzern herzustellen.

Zwei Klicks bis zum Blick in ein fremdes Adressbuch

Datenjäger sind experimentierfreudig

Dieser Umstand lässt sich allerdings auch missbrauchen - und wegen laxer Vorkehrungen von Facebook erstaunlich einfach. Journalisten der Frankfurter Allgemeinen Sonntagszeitung haben ausprobiert, wie bei einer vermeintlichen Neuanmeldung getrickst werden kann. Wir haben den Versuch für WDR.de ausgeweitet: Wer bei der Registrierung nicht seine eigene E-Mail-Adresse sondern eine fremde eingibt, kann schon nach zwei weiteren Klicks ohne weitere Passwörter ins Adressbuch der fremden Person sehen. Sie erscheinen in Schritt 1 der Anmeldung als mögliche Freunde. Noch heikler wird es allerdings, wenn man, so wie in einem weiteren Experiment, bei der Registrierung eine fremde geschäftliche E-Mail-Adresse angibt.

Wer ist Mitglied bei der Suchttherapie? Wer hat im Sexshop eingekauft?

Über die Recherchen der Frankfurter Allgemeinen Sonntagszeitung hinausgehend ist es uns gelungen, ohne großen Aufwand zum Beispiel Kunden der Barclaycard oder des Onlineversandhauses Pearl.de mit vollem Namen und teilweise auch mit Bildern als Liste auf dem Bildschirm angezeigt zu bekommen. Allein zwanzig auf einer Seite. Klickt man im Browser auf "aktualisieren", kommen die nächsten zwanzig. Der Vorgang ließ sich beliebig oft wiederholen. Die Unternehmen können nichts dafür, sie wissen noch nicht einmal von dieser Sicherheitslücke. All dies ist nur möglich, weil Facebook die Adressbücher seiner Mitglieder daraufhin durchsucht, wer mit der angegebenen Mailadresse Kontakt hatte. Ob die Person vor dem Bildschirm auch tatsächlich der Inhaber dieser Mailadresse ist, wird nicht überprüft.

Facebook wiegelt ab

Eine Facebook-Sprecherin sagte: "Es handelt sich nicht um eine Datenschutzlücke. Wenn man so etwas macht - also sich für jemanden anderen ausgibt - dann geht das zwar, aber man hat sehr limitierte Features", sagt Tina Kulow zu WDR.de am Montag (18.10.2010). Die Mitgliedschaft gilt erst als vollständig, wenn man sich als wirklicher Inhaber der E-Mail-Adresse authentifiziert hat. Die "limitierten Features" reichen aber aus, um sich Kunden von Versandhäusern, Banken, Sexshops oder Selbsthilfegruppen auf den Bildschirm liefern zu lassen. Paradisische Zustände für professionelle Adress- und Namensammler.

Verbraucher und Datenschützer reagieren

Bundes-Verbraucherschutzministerin Ilse Aigner (CSU) ist besorgt und sagte gegenüber WDR.de: "Hier ist wieder ein weiteres Beispiel dafür, dass die Datenschutzstandards, die in Deutschland gelten, offensichtlich nicht berücksichtigt werden." Aigner rät den Internetnutzern, sparsam mit ihren Daten umzugehen. Das hilft allerdings nur so lange, bis sich ein Bekannter bei Facebook anmeldet, dem man schon einmal eine E-Mail geschrieben hat.

Das zweifelhafte Vorgehen von Facebook soll aufgeklärt werden, verlangte Ilse Aigner. Der Bundesdatenschutzbeauftragte Peter Schaar wurde eingeschaltet. Schaar sieht nach den bekannt gewordenen Datenschutzlücken internationales Recht verletzt. Nach Agenturangaben soll er die amerikanische Verbraucherschutzbehörde aufgefordert haben, die Praxis von Facebook abzustellen.