Social-Network-Seiten wie Facebook, MySpace oder Twitter sind beliebt. Forscher der Technischen Universität Wien haben jedoch etliche Sicherheitsrisiken entdeckt und bekämpft. Sie liefern nun Verhaltenstipps für mehr Web-Sicherheit.
Kontakte über soziale Netzwerke im Internet zu knüpfen ist genauso alltäglich geworden wie E-Mails schreiben. Doch immer wieder werden Sicherheitslücken in diesem Bereich sichtbar. Gilbert Wondracek und Christian Platzer vom Secure Systems Lab an der Technischen Universität (TU) Wien untersuchten diese Schwachstellen genau. Mit einfachen Tricks gelang es ihnen, zu mehr als 1,2 Millionen Social-Network-Profilen die jeweiligen privaten E-Mail-Adressen zuzuordnen.
Wer ein Profil auf einer Social-Network-Seite einrichtet, will sich dort mit möglichst vielen Freunden verknüpfen. Um rasch die richtigen Kontakte zu finden, gibt es bei vielen Plattformen eine simple Möglichkeit: Man lädt das eigene E-Mail-Adressbuch hoch und bekommt eine Liste der Profile, die zu den angegebenen E-Mail-Adressen gehören. „Das ist nicht unproblematisch“, findet Christian Platzer von der TU Wien. „Auch wenn ich meine E-Mail-Adresse geheim halten will, und sie nicht auf meinem Profil sichtbar ist, wird sie von der Seite dazu verwendet, mein Profil zu identifizieren.“ Mit Hilfe einfacher Computerprogramme können in kurzer Zeit Millionen dieser E-Mail-Adressen bei verschiedenen Social-Network-Seiten überprüft werden.
Eine weitere Gefahr stellen die Gruppen dar, denen man in verschiedenen Social-Network-Seiten beitreten kann. Auf diesen Gruppen-Seiten kann man über seine Lieblingsthemen diskutieren und Gleichgesinnte treffen – aber man kann dadurch schlimmstenfalls seine Anonymität im Internet verlieren. Eine harmlos aussehende Webseite kann die Browser-History abfragen und feststellen, welche Gruppen-Seiten kürzlich angesehen wurden. Kennt die attackierende Webseite nun die Liste von Gruppen, in denen das Opfer Mitglied ist, kann oft die Identität des Opfers genau festgestellt werden.
„Wir haben die Daten nur wissenschaftlich ausgewertet“, erklärt Gilbert Wondracek, „aber ein bösartiger Angreifer könnte damit durchaus einiges an Schaden verursachen.“ Im harmlosesten Fall kommt auf das Opfer einfach eine Lawine von Spam zu. Aber auch Betrug ist denkbar: Trickbetrüger könnten sich als Freunde oder Geschäftspartner ausgeben.
Die neu entdeckten Sicherheitslücken wurden von den TU-Forschern bereits an die Social-Network-Seiten weitergeleitet. Zum Teil wurden die Sicherheitsmängel auch schon behoben. Paranoia im Internet ist nicht angebracht – aber trotzdem ist Vorsicht geboten, betonen Christian Platzer und Gilbert Wondracek. Einige Verhaltenstipps sollte man auf jeden Fall befolgen: Nicht das E-Mail-Adressbuch im Internet hochladen, um neue Freunde zu suchen. Bei den meisten Social-Network-Seiten kann man einstellen, welche Daten nur von Freunden gesehen werden dürfen und welche Daten öffentlich zugänglich sind – hier sollte man möglichst restriktiv sein. Vorsicht ist auch beim Taggen von Fotos geboten: Nicht jeder muss die Urlaubsbilder von der Stranddisco zu sehen bekommen – schon gar nicht mit vollem Namen der abgebildeten Personen. Telefonnummern oder Wohnadressen haben auf solchen Seiten grundsätzlich nichts zu suchen – solche Daten gibt man am besten nur persönlich weiter, an die Leute, die sie auch wirklich bekommen sollen.
Teilen:
