Laut Angaben der Sicherheitsspezialisten von Sophos geben fast die Hälfte der bei Facebook registrierten Nutzer anderen Mitgliedern aus der Community bereitwillig jede erdenkliche Information preis, etwa E-Mail-Adresse, Geburtsdatum oder Telefonnummer. Da braucht man sich über Datenklau und Missbrauch nicht zu wundern.
Was lässt sich vorbeugend tun?
Soziale Netzwerke sind immer häufiger das Ziel von Phishingkampagnen. Das Forschungsteam des IT-Sicherheitsanbieters eleven beobachtet immer wiederkehrende Wellen von E-Mails, welche sich ganz gezielt an die Nutzer von Facebook, MySpace, StudiVZ und andere Netzwerke richten. „Weiterhin im Visier der Spammer sind Kreditkartenanbieter wie Visa oder Anbieter von Online-Bezahlsystemen wie PayPal. Phishingversuche alten Stils gibt es dagegen nur noch sehr selten“, bilanziert Unternehmenssprecher Sascha Krieger vom Berliner Securityspezialisten.
Ein blauäugiger Umgang mit sensiblen Daten stellt die größte Herausforderung dar. So ergab ein virtueller Testlauf mit Hilfe eines fiktiven Nutzers „Freddie“ durch den Sicherheitsspezialisten Sophos, dass fast die Hälfte der bei Facebook registrierten Nutzer auf Anfrage persönliche Informationen mitteilten. Drei Viertel aller untersuchten Accounts gab mindestens die E-Mail-Adresse an. Bei 84 Prozent aller untersuchten Accounts ließ sich das Geburtsdatum ablesen. Immerhin noch 78 Prozent gaben ihre derzeitige Anschrift oder den Wohnort preis.
Zu finden sind in den sozialen Netzwerken aber neben der ausführlichen Darstellung von schulischen Ausbildungsgängen auch gezielte Beschreibungen zum Arbeitsplatz. So listet jeder vierte Nutzer dort sein aktuelles Instant-Messaging-Profil. Einige der Benutzerprofile enthalten sogar Details von Produkten, an denen die Mitarbeiter arbeiten, bis hin zu Schlüsselqualifikationen einzelner Mitarbeiter. Zudem legen Angestellte ihre beruflichen Verbindungen detailliert offen, so dass sich darüber Rückschlüsse zu Geschäftspartnern und Kunden ziehen lassen.
Die Folge dieser neuen sozialen Freizügigkeit und „Entblätterung“ ist, dass soziale Netzwerke zum El Dorado für kriminelle Akteure aller Art werden. Da täglich neue User bei Facebook einen Zugang beantragen, lässt sich das Missbrauchspotenzial nur allzu leicht ermessen, wenn Cyberkriminelle an zusätzliche persönliche Informationen gelangen, die sie für Phishingattacken oder die betriebliche Datenspionage benutzen.
Die Experten von Sophos empfehlen den Usern von Social-Networking-Portalen, die Sichtbarkeit von persönlichen Informationen erheblich einzuschränken. Gefordert sind aber auch die Portalbetreiber der Internetseiten, indem sie analog wie beim Onlinebanking mit Hilfe von Richtlinien und Warnhinweisen der Fall die Nutzer aktiv auf Risiken und Nebenwirkungen sozialer Netzwerke aufmerksam machen.
Mehr Transparenz und Warnhinweise sorgen für ein deutlich höheres Problembewusstsein. Denn kriminelle Akteure heuern immer wieder Mitwisser über soziale Netzwerke an, die sie dann beim Phishing als „Strohmänner“ für verdeckte Onlineüberweisungen missbrauchen. Ein anderer Zweck liegt in der Wirtschaftsspionage. Über Google-Groups etwa lassen sich Diskussionsbeiträge von Mitarbeitern rekonstruieren, die dort häufig unter ihren beruflichen Kennungen agieren. Die oftmals technisch orientierten Expertenbeiträge und Anfragen sind ein offenes Buch, um die IT-Infrastruktur eines Unternehmens auszuloten.
Auch der Trend zu personalisierten Suchmaschinen erhöht das Risiko. Schließlich sind dort bereits Angaben von mehren hundert Millionen Menschen indexiert. Oftmals braucht es aber nicht unbedingt den großen Lauschangriff mit Hilfe von Social Engineering. IBM-Experte Gunter Ollmann fand sogar heraus, wie ein Mitarbeiter in einem öffentlichen Blogeintrag den Code diskutierte, den er ein Jahr zuvor für sein Unternehmen geschrieben hatte. In einem öffentlich zugänglichen Tagebuch teilte der Angestellte sogar mit, dass der Code wahrscheinlich das Patent eines Mitbewerbers verletzen würde.
Eine weitere Variante zur Ausforschung von Benutzerdaten, Personenhistorie oder unternehmensrelevanten Informationen, sind technische Werkzeuge. Die passende Spionagesoftware liest per Webcrawler die Nutzerprofile von Social-Networking-Seiten wie Facebook, Myspace und Linkedin aus.
Nur soziale Enthaltsamkeit und Datensparsamkeit hilft weiter
So nützlich sich also das Internet als Instrument der sozialen Kontaktpflege erwiesen hat, so vorsichtig sollten die Nutzer ihre eigenen Profile darstellen. Für jeden privaten Nutzer und Mitarbeiter beginnt der Schutz bei einem umsichtigen Umgang mit den eigenen Nutzerdaten. Pseudonyme etwa lassen keine allzu simplen Rückschlüsse auf die Herkunft oder den Namen zu. Die Sicherheitsexperten von Sophos raten bei Kontaktanfragen von Unbekannten dazu, erst einmal rückzufragen, wer über die „virtuelle Eingangstüre“ an der privaten Wohnung anklopft.
Schließlich öffnet man auch nicht jedem Fremden gleich die Tür. Den Unternehmen empfehlen die Securityexperten, geeignete Richtlinien zur Nutzung von Onlinenetzwerken an der Grenzlinie zwischen privater und geschäftlicher Nutzung zu definieren. Von gänzlichen Verboten raten Sicherheitsexperten jedoch ab. Diese wirken sich unter Umständen kontraproduktiv für die Betriebe aus. Ganz abgesehen davon gehören entsprechende Sicherheitslösungen zum Schutz vor Spam- und Hackerangriffen im Unternehmensnetzwerk zum Standard.
Autor: Lothar Lochmaier