Social Networks: Ein gefährlicher Trend

Social Networks sprechen unser menschliches Verlangen nach Beziehungen, Kontakten und Gesprächen an. Die neue Welt dient aber längst auch als Spielwiese für Kriminelle.

Artikel erschienen in Swiss IT Magazine 2008/06

     

Das Web 2.0 bringt nicht nur viele tolle neue Funktionen, sondern auch einige Sicherheitsprobleme mit sich. So warnen neben dem Georgia Tech Security Center auch viele bekannte Security-Software- oder Hardwarehersteller wie Symantec, G Data, Unisys oder Sophos davor, dass Social Network­ing Sites (SNS) und andere vir­tuel­le Welten zu den grössten IT-Sicherheitsrisiken 2008 zählen. Laut einer McAfee-Umfrage unter rund 1000 europäischen IT-Verantwortlichen wird fast die Hälfte der sozialen Netzwerke als gefährlich eingestuft.
Bereits im letzten Jahr wurden einige Vorfälle registriert: In MySpace tauchte im Herbst ein Trojaner auf, der sich über Anzeigen verbreitete, und im August haben Hacker aus der Online-Jobbörse Monster.com Tausende von Datensätzen gestohlen.


Aber wieso sind Facebook, LinkedIn, Xing, StudiVZ, oder wie die SNS alle heissen, so gefährlich? Sie erfreuen sich einer immer grösser werdenden Beliebtheit und verzeichnen starke Wachstumsraten. Die Mitgliederzahlen von Facebook verdreifachen sich beispielsweise pro Jahr. Inzwischen zählt man in dieser Community weit über 50 Millionen User. In MySpace sind es sogar deutlich über 100 Millionen Mitglieder. Dadurch ist natürlich auch die Anzahl der Aufrufe dieser Websites immens. Das lockt Hacker, Malware-Hersteller, Phisher und Spammer an: Denn wo sich so viele Leute tummeln, da existiert auch ein riesiger Markt, um sein Unwesen zu treiben.



Besonders brisant wird das Thema zusätzlich, weil davon neben privaten Usern auch Networking-Portale wie Xing, die für geschäftliche Zwecke benutzt werden, betroffen sind. Es ist also auch auf Unternehmensebene Vorsicht geboten.
Die Gefahren, die von den SNS ausgehen, sind recht vielfältig. Die European Network and Information Security Agency (ENISA), zu der unter anderem Experten von PGP, SAP, Cisco und HP gehören, hat letzten November einen Bericht veröffentlicht, der total 15 Schwachstellen der SNS aufzeigt. Zum einen stecken die Anbieter selbst dahinter, denn sie stehen in einem grossen Wettbewerb und sind selbst nicht immer über jeden Zweifel erhaben. Was stellen sie mit den User-Daten an? Zum anderen ist aber in der Regel der Anwender selbst Schuld, weil er sich der Privacy- und Security-Risiken zu wenig bewusst ist.


Ein digitales Dossier

Mit den vielen persönlichen Daten, die man auf den SNS findet, lässt sich von den «Bösen» einiges anstellen: So könnten sie, ohne mein Wissen, ein digitales Dossier über mich anlegen. Laut einer Umfrage von Symantec gibt sich nämlich die Hälfte der Nutzer von Social-Networking-Plattformen eher sorglos und stellt das Profil für jeden frei zugänglich ins Internet – so findet man also komplette Adressen, Geburtstage, Telefonnummern, Hobbys und persönliche Ansichten. Dazu gehören auch Bilder.


Es muss aber nicht immer Absicht sein, wieso man alle seine Daten freigibt: Die ENISA bemängelt nämlich, dass nicht jede SNS als Startkonfiguration den maximalen Schutz bietet, das heisst, einen möglichst restriktiven Umgang mit Daten vorgibt. Gewünscht wird deshalb, dass in einem neu angelegten Profil direkt per Standard alle Angaben für Fremde nicht sichtbar sind.



Aber auch wer seine Daten nicht allen freigibt, geht oft gefährlich damit um. Wie eine Studie von Sophos zeigt, brauchen die Hacker dazu oft nur einen eigenen Account. Schnell werden sie als «Freunde» aufgenommen und erhalten so Zugriff auf die begehrten Informationen. In einem Test gaben sich die Sophos-Verantwortlichen als junge Frau aus und hatten innerhalb von nur gerade fünf Minuten unzählige «Freunde» und Daten gewonnen.


Zu viele Daten ermöglichen einen Identitätsdiebstahl

Die wie oben beschrieben erhaltenen Daten dienen Cyber-Kriminellen für gezielte Angriffe oder gar einen Identitätsdiebstahl. Ein Beispiel dafür wären personalisierte Phishing- oder Spam-Mails: Hacker schreiben einen ahnungslosen User mit Vor- und Nachnamen sowie weiteren persönlichen Details an und bieten ihm genau das, wonach er in den Communities sucht. Oder ein Hacker eröffnet auf einer anderen SNS mit meinen Angaben und Fotos ein von ihm geführtes Portrait und treibt damit sein Unwesen.


Es wäre aber auch möglich, die Daten aus dem virtuellen ins reale Leben zu transferieren. Die Kombination aus Fakten wie Namen und Geburtsdatum ermöglicht nämlich die Zuordnung der Person zu vielen anderen öffentlichen und behördlichen Datenbanken. Und auch Einbrüche liessen sich theoretisch mit einem Identitäts-Klau planen: Man hat die komplette Adresse, jetzt gilt es nur noch zu warten, bis der User auf der SNS vom nächsten, geplanten Urlaub schreibt und es wird zugeschlagen.



Natürlich gibt es für diese Privacy-Probleme bereits Lösungsansätze. Die Rede ist dabei vom «Social Network 3.0». Diese Netzwerke lassen User unter einem Zugang mehrere Accounts erstellen, zum Beispiel einen privaten, einen geschäftlichen und einen öffentlichen. Zudem ist es möglich, geschlossene Nutzergruppen zu erstellen. Und um den Datenschutz zu gewährleisten, speichert das Unternehmen Profile und persönliche Informationen extra in verschiedenen Datenbanken.


Widgets sind praktisch, bergen aber Gefahren

Kommen wir nach diesen Problemen, die mehr den Umgang mit den Social Networks betreffen, nun zu deren technischen Problemen. Eine weitere Gefahr besteht nämlich in der Manipulation der Seite selbst. Gelingt es einem Hacker, eine Social Networking Seite mit schadhaftem Code zu verseuchen, ist jeder Besucher potentiell gefährdet. Social Networks sind anfällig für solche Cross-Site-Scripting-Angriffe. Auf SNS wie Facebook oder MySpace lassen sich nämlich viele Anwendungen und Banner von Drittanbietern einbinden. Ebenfalls kann man als User Links zu anderen Seiten erstellen, Bilder hochladen, Videos und, in einigen Fällen, Codes in die Profilseite einbauen.


All diese Möglichkeiten stehen natürlich auch Hackern zur Verfügung. Es kann deshalb, wie beispielsweise eingangs erwähnt bei MySpace, durch «Widgets» auch Schadsoftware an den User gebracht werden. Durch einen Klick auf einen falschen Link fängt man sich die schnell ein. Malware kann aber nicht nur für mich zum Problem werden: Dank der engen Vernetzung verteilen sich Trojaner oder Viren nämlich rasant auf der SNS und kann diese sogar zum Absturz bringen, also einen Denial of Service veranlassen.



Eine weitere technische Schwäche der SNS liegt beim Löschen der eigenen Daten. Seine Spuren im Netzwerk komplett verschwinden zu lassen, weil einem die ganze Sache doch zu unsicher geworden ist, ist nämlich nahezu unmöglich. Man kann zwar den eigenen Account löschen, nicht aber die Kommentare und Einträge auf fremden. Auch editieren kann man solche Beiträge nachträglich in der Regel nicht.


Social-Networks im Unternehmen sperren?

In den letzten Jahren ist, wie erwähnt, auch die Nutzung Business-orientierter Netzwerke markant angestiegen. Xing ist ein gutes Beispiel dafür. Welche Gefahren bringen SNS für Unternehmen mit sich? Sie werden heute allgemein als eine bequeme Methode zur Wirtschaftsspionage angesehen. Um an Informationen über eine Firma zu gelangen, ist es theoretisch ausreichend, einen Mitarbeiter über eine SNS zu kontaktieren und mit ihm «Freundschaft» zu schliessen.


Hinter dem Unbekannten, der ein interessanter möglicher neuer Geschäftspartner sein könnte, vermutet man selten einen Hacker. Deshalb wird heute in einigen Unternehmen der Zugang zu beliebten Social-Networking-Seiten von vornherein gesperrt. Das geschieht zwar nicht immer nur aus Sicherheitsgründen, sondern oft auch, um eine sinkende Produktivität der Angestellten zu verhindern. Allerdings zeigt eine McAfee-Umfrage: Ein Drittel der CIOs in Europa erlaubt die Nutzung von SNS explizit, denn sie haben ja auch ihr Gutes. Ein Fünftel der Unternehmen sperrt den Zugriff seiner Mitarbeiter. Das Fazit: Rund die Hälfte der Unternehmen lässt also seine Angestellten mehr oder weniger frei gewähren.



Da also die meisten Unternehmen die Nutzung von SNS erlauben, was gibt es zu beachten? Wie im Privaten gilt natürlich auch im Geschäftlichen, und hier noch etwas mehr, sorgfältig zu schauen, welche Informationen man preisgibt und welche Kontakte man bestätigt. Zudem könnte die Einführung von klaren Richtlinien zur beruflichen Nutzung von Online-Netzwerken helfen.


Weitere Gefahren auf SNS

Dank dem Aufkommen der SNS sind auch verschiedene aus dem realen Leben bekannte Gefahren ins Web gelangt. So tauchten in den letzten Monaten vermehrt die Begriffe des Cyber-Mobbing und Cyber-Stalking auf. Diffamierungen werden heute vermehrt auch online platziert, die psychischen Schäden bei den Betroffenen sind aber dieselben wie «offline». Im Gegensatz zu Attacken auf herkömmliche Art und Weise stellen die Angriffe im Web aber ein schlimmeres Problem dar, denn die Täter bleiben meist unerkannt.



Noch grösser sind die Gefahren in virtuellen Welten, die quasi 3D-SNS sind, wie Second Life oder Online-Games. Sie sind komplexer und bieten mehr Angriffsstellen für Hacker. Ein anderes Problem ist dort der virtuelle Handel.
Auch wenn es in unserer Natur liegt, uns gerne mit anderen auszutauschen, sollten wir uns, insbesondere im Web 2.0, sehr vorsichtig bewegen.

(mv)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER