Social Networks: Ein gefährlicher Trend
Artikel erschienen in Swiss IT Magazine 2008/06
Das Web 2.0 bringt nicht nur viele tolle neue Funktionen, sondern auch einige Sicherheitsprobleme mit sich. So warnen neben dem Georgia Tech Security Center auch viele bekannte Security-Software- oder Hardwarehersteller wie Symantec, G Data, Unisys oder Sophos davor, dass Social Networking Sites (SNS) und andere virtuelle Welten zu den grössten IT-Sicherheitsrisiken 2008 zählen. Laut einer McAfee-Umfrage unter rund 1000 europäischen IT-Verantwortlichen wird fast die Hälfte der sozialen Netzwerke als gefährlich eingestuft.
Bereits im letzten Jahr wurden einige Vorfälle registriert: In MySpace tauchte im Herbst ein Trojaner auf, der sich über Anzeigen verbreitete, und im August haben Hacker aus der Online-Jobbörse Monster.com Tausende von Datensätzen gestohlen.
Aber wieso sind Facebook, LinkedIn, Xing, StudiVZ, oder wie die SNS alle heissen, so gefährlich? Sie erfreuen sich einer immer grösser werdenden Beliebtheit und verzeichnen starke Wachstumsraten. Die Mitgliederzahlen von Facebook verdreifachen sich beispielsweise pro Jahr. Inzwischen zählt man in dieser Community weit über 50 Millionen User. In MySpace sind es sogar deutlich über 100 Millionen Mitglieder. Dadurch ist natürlich auch die Anzahl der Aufrufe dieser Websites immens. Das lockt Hacker, Malware-Hersteller, Phisher und Spammer an: Denn wo sich so viele Leute tummeln, da existiert auch ein riesiger Markt, um sein Unwesen zu treiben.
Mit den vielen persönlichen Daten, die man auf den SNS findet, lässt sich von den «Bösen» einiges anstellen: So könnten sie, ohne mein Wissen, ein digitales Dossier über mich anlegen. Laut einer Umfrage von Symantec gibt sich nämlich die Hälfte der Nutzer von Social-Networking-Plattformen eher sorglos und stellt das Profil für jeden frei zugänglich ins Internet – so findet man also komplette Adressen, Geburtstage, Telefonnummern, Hobbys und persönliche Ansichten. Dazu gehören auch Bilder.
Es muss aber nicht immer Absicht sein, wieso man alle seine Daten freigibt: Die ENISA bemängelt nämlich, dass nicht jede SNS als Startkonfiguration den maximalen Schutz bietet, das heisst, einen möglichst restriktiven Umgang mit Daten vorgibt. Gewünscht wird deshalb, dass in einem neu angelegten Profil direkt per Standard alle Angaben für Fremde nicht sichtbar sind.
Die wie oben beschrieben erhaltenen Daten dienen Cyber-Kriminellen für gezielte Angriffe oder gar einen Identitätsdiebstahl. Ein Beispiel dafür wären personalisierte Phishing- oder Spam-Mails: Hacker schreiben einen ahnungslosen User mit Vor- und Nachnamen sowie weiteren persönlichen Details an und bieten ihm genau das, wonach er in den Communities sucht. Oder ein Hacker eröffnet auf einer anderen SNS mit meinen Angaben und Fotos ein von ihm geführtes Portrait und treibt damit sein Unwesen.
Es wäre aber auch möglich, die Daten aus dem virtuellen ins reale Leben zu transferieren. Die Kombination aus Fakten wie Namen und Geburtsdatum ermöglicht nämlich die Zuordnung der Person zu vielen anderen öffentlichen und behördlichen Datenbanken. Und auch Einbrüche liessen sich theoretisch mit einem Identitäts-Klau planen: Man hat die komplette Adresse, jetzt gilt es nur noch zu warten, bis der User auf der SNS vom nächsten, geplanten Urlaub schreibt und es wird zugeschlagen.
Kommen wir nach diesen Problemen, die mehr den Umgang mit den Social Networks betreffen, nun zu deren technischen Problemen. Eine weitere Gefahr besteht nämlich in der Manipulation der Seite selbst. Gelingt es einem Hacker, eine Social Networking Seite mit schadhaftem Code zu verseuchen, ist jeder Besucher potentiell gefährdet. Social Networks sind anfällig für solche Cross-Site-Scripting-Angriffe. Auf SNS wie Facebook oder MySpace lassen sich nämlich viele Anwendungen und Banner von Drittanbietern einbinden. Ebenfalls kann man als User Links zu anderen Seiten erstellen, Bilder hochladen, Videos und, in einigen Fällen, Codes in die Profilseite einbauen.
All diese Möglichkeiten stehen natürlich auch Hackern zur Verfügung. Es kann deshalb, wie beispielsweise eingangs erwähnt bei MySpace, durch «Widgets» auch Schadsoftware an den User gebracht werden. Durch einen Klick auf einen falschen Link fängt man sich die schnell ein. Malware kann aber nicht nur für mich zum Problem werden: Dank der engen Vernetzung verteilen sich Trojaner oder Viren nämlich rasant auf der SNS und kann diese sogar zum Absturz bringen, also einen Denial of Service veranlassen.
In den letzten Jahren ist, wie erwähnt, auch die Nutzung Business-orientierter Netzwerke markant angestiegen. Xing ist ein gutes Beispiel dafür. Welche Gefahren bringen SNS für Unternehmen mit sich? Sie werden heute allgemein als eine bequeme Methode zur Wirtschaftsspionage angesehen. Um an Informationen über eine Firma zu gelangen, ist es theoretisch ausreichend, einen Mitarbeiter über eine SNS zu kontaktieren und mit ihm «Freundschaft» zu schliessen.
Hinter dem Unbekannten, der ein interessanter möglicher neuer Geschäftspartner sein könnte, vermutet man selten einen Hacker. Deshalb wird heute in einigen Unternehmen der Zugang zu beliebten Social-Networking-Seiten von vornherein gesperrt. Das geschieht zwar nicht immer nur aus Sicherheitsgründen, sondern oft auch, um eine sinkende Produktivität der Angestellten zu verhindern. Allerdings zeigt eine McAfee-Umfrage: Ein Drittel der CIOs in Europa erlaubt die Nutzung von SNS explizit, denn sie haben ja auch ihr Gutes. Ein Fünftel der Unternehmen sperrt den Zugriff seiner Mitarbeiter. Das Fazit: Rund die Hälfte der Unternehmen lässt also seine Angestellten mehr oder weniger frei gewähren.
Da also die meisten Unternehmen die Nutzung von SNS erlauben, was gibt es zu beachten? Wie im Privaten gilt natürlich auch im Geschäftlichen, und hier noch etwas mehr, sorgfältig zu schauen, welche Informationen man preisgibt und welche Kontakte man bestätigt. Zudem könnte die Einführung von klaren Richtlinien zur beruflichen Nutzung von Online-Netzwerken helfen.
Dank dem Aufkommen der SNS sind auch verschiedene aus dem realen Leben bekannte Gefahren ins Web gelangt. So tauchten in den letzten Monaten vermehrt die Begriffe des Cyber-Mobbing und Cyber-Stalking auf. Diffamierungen werden heute vermehrt auch online platziert, die psychischen Schäden bei den Betroffenen sind aber dieselben wie «offline». Im Gegensatz zu Attacken auf herkömmliche Art und Weise stellen die Angriffe im Web aber ein schlimmeres Problem dar, denn die Täter bleiben meist unerkannt.
Noch grösser sind die Gefahren in virtuellen Welten, die quasi 3D-SNS sind, wie Second Life oder Online-Games. Sie sind komplexer und bieten mehr Angriffsstellen für Hacker. Ein anderes Problem ist dort der virtuelle Handel.
Auch wenn es in unserer Natur liegt, uns gerne mit anderen auszutauschen, sollten wir uns, insbesondere im Web 2.0, sehr vorsichtig bewegen.