Achtung, Sicherheitslücke: Warum ihr eure alte Handynummer bei Facebook löschen solltet

Ein Facebook-Konto ist für viele Nutzer längst zu einem genauso intimen wie kaum verzichtbaren Teil ihres Lebens geworden. Deshalb sollte auch nie jemand anders als du selbst Zugriff auf dein Facebook-Konto haben. Einer der effizientesten Sicherheitsmechanismen, um dein Konto vor Eindringlingen zu schützen, ist das Hinterlegen deiner Handynummer. Damit lässt sich die sogenannte zweistufige Authentifizierung einrichten, die bei jedem Log-in einen per SMS versendeten Code verlangt, und so Hackern das Leben sehr viel schwerer macht.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Aber Achtung, es gibt einen Fall, in dem genau diese Verknüpfung von Handynummer und Facebook-Konto einer fremden Person überhaupt erst den Zugriff auf dein Konto ermöglicht: wenn du deine Rufnummer wechselst und deine alte Nummer neu vergeben wird.

Entdeckt hat die Sicherheitslücke der Programmierer James Martindale. In einem Blog-Post beschreibt er, wie er sich eine neue SIM-Karte gekauft hatte und kurz nach der Aktivierung eine SMS von Facebook geschickt bekam: "Du hast dich seit einer Weile nicht mehr eingeloggt." Der Haken an dieser Nachricht: Zu diesem Zeitpunkt hatte Martindale seine neue Nummer noch gar nicht auf Facebook hinterlegt.

Martindale ahnte schon, dass Facebook mit der automatisch versendeten SMS wohl eher den Vorbesitzer seiner neuen Handynummer erreichen wollte. Anscheinend hatte dieser aber die Nummer nicht aus seinem Facebook-Konto gelöscht, nachdem er sich eine neue Nummer besorgt hatte. Martindale war neugierig, und versuchte sich mit der Nummer (ja, man kann sich auch per Telefonnummer auf Facebook anmelden) und einem ausgedachten Passwort einzuloggen.

Natürlich zeigte Facebook ihm an, dass das Passwort falsch sei, präsentierte ihm aber auch gleich mehrere Optionen, wie er sein Passwort zurücksetzen könne. Martindale ließ sich daraufhin einfach ein neues Passwort an die hinterlegte Handynummer schicken – und bekam es prompt. "Ich konnte das Passwort ändern, und den Typen aus seinem Account aussperren, nur weil er vergessen hatte, seine alte Nummer zu entfernen", schreibt Martindale.

Man könnte nun denken, ein solcher Fall wie der von Martindale beschriebene kommt höchst selten vor. Doch Martindale änderte kurze Zeit später erneut seine Nummer – und schaffte es auf die gleiche Weise wie zuvor, ein weiteres fremdes Facebook-Konto zu übernehmen. Der Programmierer konfrontierte Facebook daraufhin mit der Sicherheitslücke, bekam aber lediglich eine aus Nutzersicht nicht zufriedenstellende Antwort: "Facebook hat keine Kontrolle über Telekommunikationsanbieter, die Telefonnummern neu vergeben oder über Nutzer, die ihr Konto mit einer Nummer verknüpfen, die nicht mehr auf ihren Namen registriert ist."

Mit anderen Worten: Facebook ist sich des Problems bewusst, setzt aber darauf, dass die Nutzer sich selbst darum kümmern. Dabei wäre es für das soziale Netzwerk ein Leichtes, Nutzer zumindest darauf hinzuweisen, ihre hinterlegten Daten regelmäßig zu aktualisieren. Nutzer, die keine Telefonnummer mit ihrem Konto verknüpft haben, bekommen von Facebook zum Beispiel regelmäßig die Empfehlung angezeigt, dieses doch zu tun.

Falls ihr also eure Handynummer wechselt, solltet ihr sie umgehend aus eurem Facebook-Konto entfernen. Dafür klickt ihr rechts oben neben eurem Namen auf den Pfeil nach unten und wählt "Einstellungen" aus oder klickt direkt auf diesen Link. Anschließend seht ihr links im Menü den Punkt "Handy". Hier könnt ihr die alte Nummer nun mit einem Klick entfernen oder auch eure aktuelle Nummer hinterlegen, falls ihr das noch nicht getan habt. Wie eingangs erwähnt, könnt ihr mit eurer Handynummer die zweistufige Authentifizierung – einzurichten unter "Sicherheit und Login" – nutzen: Bei jedem Facebook-Login wird dann parallel ein Zahlencode an euer Handy geschickt, den ihr zusätzlich zum Passwort eingeben müsst, um euch gegenüber Facebook zu verifizieren. Sollte also jemand euer Passwort herausgefunden haben, hat er trotzdem keinen Zugriff auf euer Konto, so lange er nicht an den Code gelangt, der an euer Handy geschickt wird.

Eine gute Methode, sich zu vergewissern, dass niemand anders auf euer Facebook-Konto zugreift, ist übrigens die Anzeige "Wo du derzeit angemeldet bist" – ihr findet sie ebenfalls unter "Sicherheit und Login". Hier seht ihr eine Auflistung aller Geräte, von denen auf euer Facebook-Konto zugegriffen wurde. Ihr könnt euch auch einen Alarm einrichten, der euch informiert, sobald ein unbekanntes Gerät versucht, auf euer Konto zuzugreifen.

Die Wahrscheinlichkeit, dass eure alte Nummer sofort einem neuen Mobilfunknutzer zugeteilt wird, sind übrigens äußerst gering: Zwar sind Mobilfunkanbieter in Deutschland nicht an gesetzliche Fristen gebunden, wenn sie eine Rufnummer neu vergeben wollen – in der Praxis dauert es aber meist mehrere Monate, bis deine alte Nummer an einen neuen Kunden vergeben wird, nachdem du deinen Vertrag gekündigt hast oder deine Prepaid-SIM-Karte so lange nicht mehr benutzt hast, dass sie vom Anbieter deaktiviert wird. Diese längeren Fristen gibt es allein schon, weil die großen Anbieter Kunden, die ihre Nummer beim Wechsel zu einem neuen Anbieter mitnehmen wollen, aus Kulanz eine sogenannte Portierungszeit von 30 bis 90 Tagen gewähren.

Im Übrigen hat jeder Kunde ein Anrecht darauf, seine alte Nummer zu einem neuen Telefonanbieter mitzunehmen. Dieses Recht ist seit 2012 in Artikel 46 des Telekommunikationsgesetz festgeschrieben. Ihr müsst in dem Fall einen Antrag auf Mitnahme der Rufnummer beim neuen Anbieter stellen, der dann euren alten Anbieter kontaktiert. Die Kosten für eine solche Portierung liegen zwischen 25 und 30 Euro, die Bearbeitungszeit liegt bei ein bis zwei Wochen. Macht ein Kunde nicht von der Portierung Gebrauch, "wandern die Mobilfunknummern zurück in einen Pool und ruhen dort mehrere Monate", wie ein Sprecher der Telekom gegenüber Motherboard erklärt. Auch bei Telefonica – unter anderem verantwortlich für O2, Blau und Fonic – werde eine Sperrfrist von 180 Tagen eingehalten, wie uns eine Sprecherin erklärte. Auf Nummer sicher geht ihr trotzdem, wenn ihr die alte Nummer sofort auf Facebook entfernt, sobald ihr eine neue habt.