Facebooks fragwürdige Handynummer-Nutzung
5. März 2019
Datenschutz hatte bei Facebook offenbar lange keine hohe Priorität. Den eher lässigen Umgang mit Daten bezahlte das Unternehmen mit vielen Negativ-Schlagzeilen: Sei es der Skandal um die Datenanalysefirma Cambridge Analytica, die millionenfach unrechtmäßig Facebook-Daten auswerten konnte, die Sicherheitslücke, von der 50 Millionen Nutzer betroffen waren oder die Zusammenführung von Facebook-Daten mit denen anderer Dienste wie Whatsapp und Instagram, die das Bundeskartellamt untersagte - Facebooks Ruf in Sachen Datenschutz ist ramponiert. Auch die EU kämpft regelmäßig mit dem Tech-Riesen um die Einhaltung von Datenschutz-Regeln.
Wie die Zwei-Faktor-Authentifizierung funktioniert
Nun gibt es einen weiteren Fall, der das Vertrauen der Nutzer in das soziale Netzwerk nicht gerade stärken dürfte. Dabei geht es ausgerechnet um ein Verfahren, das eigentlich für mehr Sicherheit sorgen soll: die sogenannte Zwei-Faktor-Authentifizierung. Damit soll das eigene Facebook-Konto besser vor Zugriffen von außen geschützt werden. Was kompliziert klingt, ist eigentlich ganz einfach: Nutzer können ihr Konto nicht nur mit einem Passwort schützen, sondern müssen bei der Zwei-Faktor-Authentifizierung bei jedem Login über einen weiteren Weg bestätigen, dass sie wirklich die Nutzer des Accounts sind. Bei Facebook sieht eine Möglichkeit dafür so aus: Sobald man sich mit seinem Passwort in sein Konto einloggen möchte, schickt das soziale Netzwerk eine SMS an das Mobiltelefon des Nutzers, in der ein weiterer, temporärer Zugangscode steht. Erst wenn auch dieser eingegeben wurde, wird man eingeloggt.
Entscheidet sich ein Nutzer für diese Art der Zwei-Faktor-Authentifizierung, hinterlegt er also bei Facebook seine Telefonnummer. Wer nun aber glaubt, das Unternehmen würde die Nummer nur für diesen Zweck nutzen, liegt falsch. Schon im vergangenen Jahr zeigte eine US-amerikanische Studie, dass Facebook die Nummern auch zu Werbezwecken einsetzt.
Funktion lässt sich nicht abstellen
Und nun gibt es offenbar eine weitere Nutzungsmöglichkeit für die Handynummer, die Nutzern bei der Einrichtung des Verfahrens nicht explizit mitgeteilt wird: Sobald sie ihre Nummer angeben - auch wenn sie damit nur ihr Konto schützen wollen - sind sie ab jetzt über diese Nummer in dem sozialen Netzwerk auffindbar. Wer also die Telefonnummer kennt, kann sie bei Facebook in die Suche eingeben und bekommt das dazugehörige Profil angezeigt.
Doch die Verwendung der Nummer für die Suchfunktion lässt sich nicht ausstellen. Voreingestellt ist, dass die Suche via Telefonnummer für alle Facebook-Nutzer möglich ist. Kontoinhaber können lediglich eingrenzen, dass sie nur für Freunde oder Freunde von Freunden auffindbar sein möchten.
Kritik von Hamburgs Datenschutzbeauftragtem
"Hier wird die Datensicherheit gegen den Schutz der Privatsphäre der Nutzerinnen und Nutzer von Facebook ausgespielt", sagte der Hamburger Datenschutzbeauftragte Johannes Caspar der DW. "Personen, die sich für eine Zwei-Faktor-Authentifizierung entscheiden, haben einen klaren Zweck für die Verwendung ihrer Mobilfunknummer festgelegt. Diese wird nun durch den eigenmächtigen Schritt von Facebook in den Bereich der zu wirtschaftlichen Zwecken einsetzbaren Daten der Nutzer 'eingemeindet', ohne dass hierfür eine Einwilligung der Nutzer vorab abgefragt wird." Mit Blick auf die Einhaltung der Bestimmungen der Datenschutzgrundverordnung bestünden "erhebliche Bedenken" gegenüber dem Verfahren, meint Caspar.
Nach Angaben von Facebook ist all das nicht neu. US-amerikanische Medien zitieren aus einer Stellungnahme des Unternehmens: Das Vorgehen solle es leichter machen, Nutzer zu finden, die man schon kennt, mit denen man aber noch nicht auf Facebook befreundet ist. Wer das nicht wolle, könne die Telefonnummer ja wieder löschen. In der Tat gibt es mittlerweile auch noch ein zweites Authentifizierungsverfahren mithilfe von weiteren, nicht von Facebook entwickelten Authentifizierungs-Apps. Facebook hat seine Nutzer allerdings immer dazu aufgerufen, die Authentifizierung via SMS vorzunehmen.
Datenschützer raten von Authentifizierung per SMS ab
Grundsätzlich empfehlen Datenschützer eine Zwei-Faktor-Authentifizierung. Sie wird nicht nur von sozialen Netzwerken angeboten, sondern auch von zahlreichen anderen Online-Diensten wie etwa Banken. Doch die Authentifizierung via SMS gilt schon seit Längerem als nicht sicher - unabhängig davon, was das jeweilige Unternehmen damit anstellt. SMS werden oft auf dem Sperrbildschirm eines Smartphones angezeigt und sind somit für andere sichtbar. Mehr noch: SMS sind nicht verschlüsselt. Sie können von Hackern auch aus der Ferne abgefangen werden. Datenschützer plädieren deswegen ganz für die Abschaffung der Authentifizierung per SMS und empfehlen die Authentifizierungs-Apps, die in jedem App-Store erhältlich sind.
Die Handynummer bei Online-Diensten anzugeben, gilt unter Datenschützern generell als Risiko - nicht nur für die Zwei-Faktor-Authentifizierung. So ist es etwa bei der Telekom nicht möglich, eine E-Mail-Adresse anzulegen, ohne eine Handynummer anzugeben. Auch die Mail-Anbieter GMX oder Web.de sowie Google drängen ihre Nutzer geradewegs dazu, eine Telefonnummer zu hinterlegen, auch für die Möglichkeit, das Passwort zurückzusetzen.
"Die Handynummer ist der universal identifier", sagte Markus Reuter von der Online-Plattform netzpolitik.org der DW. Die Telefonnummer wechsele man nicht so oft - sie sei eine langfristige Information über den Nutzer, die über alle Geräte und Dienste hinweg genutzt werde. Und vor allem "deanonymisiere" sie die Nutzer. "Deswegen sind die Unternehmen - gerade jene wie Facebook, die auf Daten angewiesen sind - so heiß darauf."
Facebook derzeit ohne Sicherheitschef
Das betonte auch der Tech-Unternehmer Jeremy Burge, der sich auf Twitter lautstark über das Verfahren empörte - woraufhin ein Sturm der Entrüstung losbrach. Mit dem Verfahren werde aus einem angeblichen Feature für mehr Sicherheit eine Bedrohung des eigenen Datenschutzes.
Auch Facebooks Ex-Sicherheitschef Alex Stamos kritisierte seinen ehemaligen Arbeitgeber. Facebook mache sich unglaubwürdig, wenn es die Authentifizierung nicht von der Suche und von Werbung trenne.
Die türkische Techno-Soziologin und Schriftstellerin Zeynep Tufekci, die in den USA lehrt, ging noch einen Schritt weiter: Sie beklagte Risiken für Dissidenten, die so identifiziert werden könnten.
Facebooks Ruf in Sachen Datenschutz hat also den nächsten Kratzer bekommen. Der Hamburger Datenschutzbeauftragte Caspar fürchtet einen "Abstumpfungseffekt" der Nutzer: Durch immer neue Skandale sei zu befürchten, dass Facebook darin bestärkt werde, auch künftig an seinem "gegen den Datenschutz ausgerichteten Geschäftsmodell" festzuhalten.
Alex Stamos war übrigens nicht der einzige Top-Manager, der Facebook im vergangenen Jahr den Rücken kehrte. Auch Elliot Schrage, ehemaliger Kommunikationschef, sowie Jan Koum, der dem Tech-Unternehmen Whatsapp verkauft hatte, verließen Facebook wegen unterschiedlicher Vorstellungen beim Umgang mit Nutzer-Daten, berichtete die New York Times. Stamos' Posten als Sicherheitschef wurde bisher nicht neu besetzt. Prioritäten eben.