Wenn Daten gegen Dich verwendet werden: Warum Milliarden frei zugänglicher Profile jedes Unternehmen gefährden

Es begann mit dem größten Datenleck der Internetgeschichte, der Mother of All Breaches (MOAB), veröffentlicht im Januar 2024.
Rund 26 Milliarden Datensätze – Telefonnummern, Profilbilder, Rollenangaben, Nutzerverhalten — alles in einer gigantischen Sammlung zusammengeführt.
Und nun der nächste Schock:
Forscher aus Wien haben ein komplettes WhatsApp-Verzeichnis mit 3,5 Milliarden Profilen indexiert und öffentlich sichtbar gemacht.
Beide Vorfälle zeigen mit voller Klarheit:

  • Daten müssen heute nicht mehr „gestohlen“ werden – sie sind bereits öffentlich.
  • Angriffe müssen nicht mehr technisch sein – sie sind menschlich.
  • Und Unternehmen jeder Größe sind betroffen – sofort und direkt.

Hintergründe | MOAB: Das größte Datenleck der Geschichte (Januar 2024)

Die MOAB-Sammlung vereinte Daten aus über 1.000 Quellen, darunter frühere Hacks, unsichere APIs und automatisiertes Scraping.
Die Daten zeigen nicht, wo sie ursprünglich herkamen, aber sie zeigen etwas viel Entscheidenderes:
welche Informationen über Menschen im Netz verfügbar sind.
Enthalten waren u. a.:

  • Telefonnummern
  • E-Mail-Adressen
  • Profilbilder
  • verknüpfte Konten
  • berufliche Rollen
  • Standort- und Nutzungsmetadaten

Eine perfekte Grundlage für Social Engineering.

Aktueller Vorfall: 3,5 Milliarden WhatsApp-Profile frei abrufbar (2025)

Laut einer aktuellen Untersuchung der SBA Research und der Universität Wien wurde ein riesiger Bestand an WhatsApp-Profildaten automatisiert abgerufen und analysiert.
Öffentlich sichtbar waren:

  • Telefonnummern
  • Anzeigenamen
  • Profilbilder
  • Profiltexte
  • letzter Online-Zeitpunkt
  • Gruppen- und Länderzugehörigkeiten

Mit diesen Informationen kann jede Nachricht wirken, als käme sie von einem echten Kollegen, einem Kunden oder sogar der Geschäftsführung.

Das macht den Vorfall so gefährlich.

Juristische Einordnung

Die DSGVO schützt personenbezogene Daten – unabhängig davon, woher sie stammen oder wer sie veröffentlicht hat.
Relevant sind insbesondere:

  • Art. 5 DSGVO – Grundprinzipien wie Integrität, Vertraulichkeit und Datenminimierung
  • Art. 32 DSGVO – Unternehmen müssen technische UND organisatorische Maßnahmen treffen, um Daten zu schützen
  • Art. 6 DSGVO – jede Verarbeitung braucht eine Rechtsgrundlage
  • § 4 BDSG – besondere Anforderungen bei personenbezogener Überwachung und Kommunikationsdaten

Wichtig:
Auch wenn das Leak nicht im eigenen Unternehmen passiert, besteht eine Pflicht zum Risikomanagement, wenn diese Daten zur Grundlage von Angriffen werden könnten.

Warum betrifft das KMU unmittelbar?

Viele Unternehmen glauben:
„Wir sind zu klein, uns passiert so etwas nicht.“

Das Gegenteil ist der Fall. Angreifer suchen nicht Unternehmen –
sie suchen Angriffsflächen.
Und die entstehen dort, wo:

  • Mitarbeitende dienstliche Nummern auch privat nutzen
  • Kommunikationswege unklar definiert sind
  • Profilbilder und Rollen öffentlich sichtbar sind
  • Messenger ohne Richtlinien genutzt werden
  • niemand weiß, wie man personalisierte Angriffe erkennt

Mit anderen Worten:
Je weniger Struktur ein Unternehmen hat, desto leichter lassen sich Menschen täuschen.

Warum Datensicherheit heute ein Führungsthema ist:

Ein zentraler Punkt, den Sicherheitsforscher immer wieder betonen:
Datensicherheit ist längst kein IT-Thema mehr.
Es ist ein strategisches Führungsthema.
Warum?

  1. Telefonnummern sind die neue Identität
    Sie sind mit Profilbildern, Messenger-Konten und beruflichen Rollen verknüpft.
  2. Personalisierung macht Angriffe nahezu perfekt
    Eine Nachricht mit echtem Foto wirkt authentisch — selbst wenn sie gefälscht ist.
  3. Klassische Awareness-Trainings greifen nicht mehr
    Phishing erkennt man.
    Personalisiertes Social Engineering dagegen kaum.
  4. Führung definiert Kommunikationsregeln – oder niemand tut es
    Ohne klare Vorgaben entsteht Chaos. Im Chaos passieren Fehler.

Handlungsmöglichkeiten: Die 7 Schritte, die Du jetzt umsetzen solltest

  1. Klare Regeln für dienstliche Messenger & Telefonnummern
    Definiere verbindlich, welche Apps geschäftlich genutzt werden dürfen – und wofür.
  2. Dienstliche und private Kommunikation trennen
    Privathandy ≠ Geschäftsgerät.
    Privater Messenger ≠ geschäftlicher Kanal.
  3. Profil-Hygiene einführen
    Weniger Sichtbarkeit bedeutet weniger Angriffsfläche:
    • neutrales Profilbild
    • reduzierter Profiltext
    • eingeschränkte Sichtbarkeit
  4. Mitarbeitende zu personalisierten Angriffen schulen
    Nicht: „Klick nicht auf Links.“
    Sondern: „So erkennst Du täuschend echte Anfragen.“
  5. Sensible Kommunikation auf sichere Kanäle verlagern
    Bankdaten, Verträge, interne Freigaben:
    Nicht über WhatsApp. Nicht über SMS. Nicht über private Messenger.
  6. Rückrufprinzip fest verankern
    Ungewöhnliche Anfrage?
    Immer über die offizielle Firmenrufnummer zurückrufen.
  7. Notfallplan definieren
    Wenn etwas passiert:
    • Wer wird informiert?
    • Welche Systeme werden geprüft?
    • Wie werden Betroffene geschützt?

FAQ: Häufige Fragen aus der Praxis

Sind wir betroffen, obwohl das Leak nicht bei uns passiert ist?
Ja.
Daten, die öffentlich sichtbar sind, können für Angriffe auf Dein Unternehmen genutzt werden.

Ist es erlaubt, solche Daten zu sammeln?
In der Regel nein.
Viele dieser Datensammlungen stammen aus Scraping oder früheren Leaks.

Müssen wir unsere Mitarbeitenden informieren?
Es ist sinnvoll — besonders, wenn dienstliche Nummern oder Messenger betroffen sein könnten.

Brauchen wir jetzt einen Datenschutzbeauftragten?
Nur, wenn ihr gesetzlich dazu verpflichtet seid.
Aber wichtig:
Auch ohne Benennungspflicht müsst ihr die DSGVO vollständig einhalten. Das heißt: Prozesse, Richtlinien, Dokumentation, Verantwortlichkeiten.

Brauchen wir jetzt einen Datenschutzbeauftragten?
Leak-Checker helfen, aber decken nie alles ab.Grundsätzlich gilt:
Im Zweifel davon ausgehen, dass Daten sichtbar sind.

Kann ich das Löschen meiner WhatsApp-Daten verlangen?
Theoretisch ja – praktisch kaum wirksam, weil Kopien in Indexdatenbanken bleiben.

Was ist gefährlicher: WhatsApp oder die Telefonnummer?
Die Telefonnummer. Sie ist der „Anker“, der viele Identitäten miteinander verbindet.

Wie gefährlich ist ein Profilbild wirklich?
Sehr. Ein echtes Bild erhöht die Glaubwürdigkeit von Fake-Anfragen enorm.

Sollten wir Profilbilder verbieten?
Nein. Aber bewusst entscheiden, welches Bild und wo es sichtbar ist.

Welche Rollen sind besonders gefährdet?

  • Geschäftsführung
  • Finanzabteilung
  • Einkauf
  • HR
  • Assistenz
  • neue Mitarbeitende

Sind kleine Unternehmen stärker gefährdet?
Ja. Weil sie oft weniger Regeln haben und persönliche Kommunikation direkter läuft.

Muss ich jetzt die Tools wechseln?
Nein.Entscheidend sind Regeln, Strukturen, Schulung und Verantwortlichkeiten.

Was ist wichtiger: Technik oder Verhalten?

Beides — aber in diesem Szenario gewinnt das Verhalten.

Fazit

MOAB und das frei indexierte WhatsApp-Verzeichnis zeigen:
Angriffe müssen heute nicht mehr technisch sein.
Sie sind persönlich.

  • Menschen werden getäuscht, nicht Firewalls.
  • Telefonnummern und Profilbilder sind ausreichend, um Vertrauen zu simulieren.
  • Datensicherheit beginnt deshalb nicht in der IT, sondern im Management.
    Wer jetzt klare Strukturen schafft, schützt sein Unternehmen – und seine Mitarbeitenden.

Über uns

Wir sind Experten für Datenschutz mit juristischem Hintergrundwissen. Unser Team vereint IT- und Rechtsexpertise und unterstützt Unternehmen dabei, praxisnahe und rechtssichere Lösungen umzusetzen – von Datenschutz-Folgenabschätzungen über Dokumentation bis hin zur Schulung von Mitarbeitern.umzusetzen.