Die Nutzer von Plattformen wie Facebook oder Myspace präsentieren ihr Leben wie ein offenes Buch. Sie riskieren, Opfer von Identitätsdiebstahl oder Wirtschaftsspionage zu werden. ZDNet erläutert Gefahren und Gegenmaßnahmen.
Bei der Schlacht um die Wahl des künftigen US-Präsidenten im nächsten Jahr mischt auch das Web 2.0 kräftig mit. Bereits im Juli dieses Jahres präsentierten sich die Kandidaten auf der Plattform Youtube[1]. Auf dem Business-Kontaktnetzwerk Linkedin mit über 15 Millionen Mitgliedern geht es noch deutlich professioneller zu.
Bildergalerie
Datenjagd in sozialen Netzwerken[2]
» zur Bildergalerie ...[2]Die drei aussichtsreichsten US-Präsidentschaftskandidaten - Rudy Giuliani[3], Hillary Clinton[4] und Barack Obama[5] - haben bei Linkedin ihre Profile veröffentlicht. Die Anwärter stellen ihre politische Laufbahn dar und suchen den weltweiten Kontakt zu Entscheidungsträgern aus allen Bereichen der Wirtschaft.
Derartige Kampagnen verdeutlichen, dass Social Networking[6] neben privaten Zielgruppen auch die Ebene der Politik und Wirtschaft erreicht hat. Man darf gespannt sein, wie das deutsche Pendant zu Linkedin, Xing.com[7], auf diesen Trend reagiert, das öffentliche Leben immer mehr in die Aktivitäten der Plattform einzubinden.
Das Engagement, oder besser, die Blauäugigkeit der Nutzer wirkt sich aber auch auf die Sicherheit ihrer Daten aus. Laut den Sicherheitsspezialisten von Sophos[8] geben erstaunlich viele der bei Facebook[9] registrierten Anwender anderen Mitgliedern der Community bereitwillig jede erdenkliche Information preis, etwa E-Mail-Adresse, Geburtsdatum oder Telefonnummer.
Der virtuelle Testlauf mit Hilfe eines von Sophos erfundenen Nutzers namens "Freddie" ergab, dass fast die Hälfte der bei Facebook registrierten Nutzer auf Anfrage persönliche Informationen mitteilten. Drei Viertel aller untersuchten Accounts gab mindestens die E-Mail Adresse an. Bei 84 Prozent aller untersuchten Accounts ließ sich das Geburtsdatum ablesen. 78 Prozent gaben ihre derzeitige Anschrift oder den Wohnort preis. 87 Prozent beschrieben "Freddie" sogar ausführlich ihre schulische Ausbildung und Informationen zum Arbeitsplatz. Jeder vierte Nutzer listete dort sein aktuelles Instant-Messaging-Profil[10] auf.Infolge dieser Freizügigkeit sind viele Social-Networking-Sites ein Eldorado[11] für kriminelle Akteure aller Art. Da täglich bis zu 100.000 neue User bei Facebook einen Zugang beantragen, lässt sich das Missbrauchspotenzial nur allzu leicht ermessen, wenn Cyberkriminelle an persönliche Informationen gelangen, die sie für Phishing-Attacken[12] oder die betriebliche Datenspionage benutzen.
Die Experten von Sophos wissen allerdings auch keinen besseren Rat, als den Usern von Social-Networking-Portalen zu empfehlen, die Sichtbarkeit von persönlichen Informationen erheblich einzuschränken. Gefordert wären auch die Seitenbetreiber, indem sie mit Hilfe von Richtlinien und Warnhinweisen die Nutzer aktiv auf Risiken und Nebenwirkungen sozialer Netzwerke[13] aufmerksam machten.
Zumindest würde dies für ein größeres Problembewusstsein sorgen. Denn kriminelle Akteure heuern über soziale Netzwerke immer wieder Mitwisser an, die sie dann beim Phishing als "Strohmänner" für Geldwäsche[14] missbrauchen.
"Mit etwas Phantasie[15] und einer Prise sozialem Engagement wird Diebstahlerkennung zum Kinderspiel", kommentiert Gunter Ollmann, Direktor für Sicherheitsstrategie bei IBM Internet Security Systems, dieses seltsame Gebaren. Der Sicherheitsexperte bezeichnet das Informationssammeln als "shucking[16]" ("sich schälen"), also eine Art "soziale Enthülsung".Der IBM-Experte Ollmann hat in diversen Testläufen untersucht, wie gefährdet beim Hacking von Social-Networking-Seiten nicht nur der Endverbraucher ist, sondern etwa auch ein mittelgroßes börsennotiertes Unternehmen. Die einfachste Variante sei es, in Google nach dem Domainnamen des Unternehmens zu suchen und die E-Mail-Adressen des Unternehmens auszufiltern, um an die wirklichen Namen der Mitarbeiter im Zielunternehmen zu gelangen.
Über Linkedin sei es noch einfacher. "Neben den genauen Adressdaten des von mir ausgewählten Unternehmens kann ich auch noch auf über 50 interessante Profile der Mitarbeiter zugreifen", sagt Ollmann.
Viele Fragen lassen sich spielerisch leicht beantworten: Welche Position haben die Mitarbeiter gerade inne, was ist ihr Aufgabengebiet, was waren ihre letzten Jobs, auf welche Schulen sind sie gegangen, welche Ausbildungen haben sie gemacht, und wie lange hat dies gedauert. Oftmals helfen auch Links auf die persönlichen Webseiten weiter.
"Einige der Benutzerprofile enthielten sogar Details von Produkten, an denen die Mitarbeiter gearbeitet hatten, und die Schlüsselqualifikationen der einzelnen Mitarbeiter", kritisiert Ollmann. Zudem hätten die meisten Mitarbeiter ihre Businessverbindungen gleich mit aufgelistet, so dass sich darüber Aufschlüsse über Geschäftspartner und Kunden auslesen ließen.
Nach nur knapp 20 Minuten hatte sich Ollmann ein klares Bild der hierarchischen Struktur eines Unternehmens verschafft. Jetzt kombinierte er diese mit Namen aus dem Handelsregister-Auszug, den öffentlichen Bilanzen des Unternehmens und den Angaben zu Investoren.Die zweite Phase sah anschließend die Recherche nach Hobbys, persönlichen Vorlieben, Ängsten und Wünschen vor: "kleine, persönliche Details, die alle sehr nützlich sein können", nennt es Ollmann. Als Infoquellen dienten Myspace[17], Facebook[9], Bebo[18], Blackplanet[19] und Xanga[20].
"Facebook erwies sich dabei als ungeeignet und reine Zeitverschwendung", so der Sicherheitsexperte. Es gebe zu viele Einschränkungen bezüglich der Sichtbarkeit der Profile der Nutzer, und die integrierte Suchmaschine liefere kaum brauchbare Ergebnisse.
Außerdem müssen die Nutzer auf Facebook ihre eigene Kontaktliste durch einen Opt-In-Prozeß erstellen. Daher könne man nicht so einfach durch deren Profil-Listen-Blättern. Auch nicht ganz so bekannte Portale wie Blackplanet.com lieferten kaum brauchbares Material.
Die Recherche auf Myspace, Bebo und Xanga hingegen ergab wertvolle Zusatzinformationen, etwa Instant-Messenger-Kontaktdaten bis hin zu persönlichen Blogs und besuchten Hotels. "Das sind genau die Informationen, die benötigt werden, um die digitale Identität dieser Personen zu übernehmen und beispielsweise ein Bankkonto unter falschem Namen zu eröffnen", sagt Ollmann.Jetzt startet der gezielte Angriff. Um den Rechner zu kompromittieren, reichen oftmals schon E-Mails, die scheinbar von einem Freund geschickt werden, mit ein paar netten Fotos der letzten Party am See im Anhang, die schädlichen Code enthalten. Denkbar seien auch Varianten der Erpressung und persönlichen Einflussnahme, die sich aus den öffentlichen Profilen ableiten lassen, so der IBM-Experte.
Viele Daten lassen sich zudem weiter verkaufen, etwa die von Bewerbern an Personalrekrutierungsfirmen. Pro Adresseintrag verlangen die Akteure bis zu 50 Dollar. "Wie viel Geld dürfte es wohl wert sein, wenn jemand die Adresse, den Familienstand und den nächsten längeren Urlaubstermin einer Person erfährt und damit auch weiß, wann das Haus garantiert nicht bewohnt ist?", fragt Ollmann.
Kombiniertes Risiko mit klassischen Suchtechniken
Nehmen die Angreifer nun noch Suchmaschinen wie Google und Yahoo hinzu, ergibt sich ein noch kompletteres Bild, das sich durchaus auch für Zwecke der Wirtschafts- und Industriespionage nutzen lässt. So bringt schon die Eingabe @firmenname.de | @firmenname.com | @firmenname.net diverse E-Mail-Adressen hervor.
Bei Google-Groups lassen sich zudem Diskussionsbeiträge von Mitarbeiter finden, die dort häufig unter ihren beruflichen Kennungen agieren. Die oftmals technisch orientierten Expertenbeiträge und Anfragen sind ein offenes Buch, um die IT-Infrastruktur eines Unternehmens auszuloten. Auch der Trend zu personalisierten Suchmaschinen wie Wink.com[21] oder Spock.com[22] erhöht das Risiko. Schließlich sind dort bereits Angaben von mehr als 100 Millionen Menschen indiziert.
Oftmals braucht es aber gar nicht den großen Lauschangriff mit Hilfe von Social Engineering[23]. Ollmann fand sogar heraus, wie ein Mitarbeiter XY in einem öffentlichen Blog-Eintrag den Code diskutierte, den er ein Jahr zuvor für sein Unternehmen geschrieben hatte. Er erläuterte außerdem in dem Tagebuch, dass der Code wahrscheinlich das Patent eines Mitbewerbers verletze.
Eine weitere Variante, um Benutzerdaten, die Personenhistorie oder unternehmensrelevante Informationen auszuforschen, sind technische Werkzeuge. Die nötige Spionagesoftware liefert etwa das Startup Rapleaf[24] gleich mit. Das von dem amerikanischen Unternehmen entwickelte System liest per Webcrawler die Nutzerprofile von Social-Networking-Seiten aus.
Offiziell stellt das Unternehmen dies als ethische Suchvariante dar. So lässt sich auf Rapleaf.com die "Online Reputation" eines Social-Community-Mitglieds mit Hilfe der Eingabe einer E-Mail-Adresse erkunden. Ob der Betreiber damit aber ausreichend Geld verdienen kann, ist eine andere Frage. Schließlich ließen sich derartige Datensätze auch an Vermarktungsfirmen weiter veräußern.Die Verbraucherschützer vom Center for Digital Democracy[25] fordern jedenfalls von der amerikanischen Regierung jetzt Gegenmaßnahmen. Ansonsten bestehe das Risiko, das soziale Kapital und die gute Absicht der hilfsbereiten Wissensarbeiter im Netz in ihr Gegenteil zu verkehren sowie das Vertrauen der Nutzer langfristig zu zerstören.
So nützlich sich also das Internet als Instrument der sozialen Kontaktpflege erwiesen hat, so vorsichtig sollten die Nutzer ihre eigenen Profile darstellen. Die drei amerikanischen Präsidentschaftskandidaten sind weniger gefährdet als Durchschnittsnutzer oder Unternehmen. Für den Konsumenten beginnt der Schutz bei einem umsichtigen Umgang mit den eigenen Nutzerdaten.
Pseudonyme etwa lassen keine Rückschlüsse auf die Herkunft oder den Namen zu. Sophos rät bei Kontaktanfragen von Unbekannten dazu, erst einmal rückzufragen, wer an der virtuellen Eingangstür klopft. Schließlich öffnet man auch nicht jedem Fremden gleich die Türe.
Den Unternehmen empfehlen die Security-Experten, geeignete Richtlinien zur beruflichen Nutzung von sozialen Netzwerken zu definieren. Einbeziehen sollten die Verantwortlichen auch die private Nutzung, wenn sie die Arbeitswelt tangiert. Ganz abgesehen davon gehören Sicherheitslösungen zum Schutz vor Spam- und Hacker-Angriffen im Unternehmensnetzwerk zum Standard.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/
[19] = http:/
[20] = http:/
[21] = http:/
[22] = http:/
[23] = http:/
[24] = http:/
[25] = http:/