HOME

Onlinekriminalität: Auf Datenfang in sozialen Netzen

Sicherheitsexperten haben ein neues Ziel von Online-Kriminellen ausgemacht: soziale Netzwerke wie Myspace oder StudiVZ. Was Datenschützer besonders beschäftigt: Nutzer dieser Angebote sind so freigiebig mit persönlichen Informationen, dass mit wenig Mühe jeder zum Spion werden kann. Die Konsequenzen dieser Offenheit sind vielfältig - und kaum zu überblicken.

Von Ralf Sander

Viele legen vor den Augen der Weböffentlichkeit ihre Identität bloß

Viele legen vor den Augen der Weböffentlichkeit ihre Identität bloß

Was Cyberkriminelle tun, scheint eigentlich klar: Hacker dringen in Computersysteme ein. Virenautoren basteln Würmer, Trojaner und andere Schadprogramme. Und Phisher locken ahnungslose Netznutzer auf gefälschte Webangebote von Banken und Sparkassen, um sie dort zum Eingeben von Log-in-Daten und Kontoinformationen zu bewegen. Nun finden Identitätsdiebe ein weiteres Betätigungsfeld: soziale Netzwerke.

In seinem aktuellen Sicherheitsreport stellt Symantec, Hersteller von Sicherheitssoftware, fest, dass die großen Communitys und sozialen Netzwerke - wie Myspace, Facebook und StudiVZ - zunehmend ins Visier von Gaunern geraten, die dort Identitätsklau zu betreiben. Der Diebstahl persönlicher Daten werde zunehmend ins Web verlagert. "Der neue Trend aus den USA zielt im Besonderen auf Social-Networking-Seiten ab, wo der unbedarfte Umgang mit persönlichen Informationen am stärksten ausgeprägt ist und die Sicherheitsmaßnahmen gleichzeitig recht niedrig sind", heißt es in Symantecs Bericht, der den Zeitraum von Juli bis Dezember 2007 analysiert. "Social-Networking-Seiten sind für Kriminelle relativ leicht zu kopieren, zudem sind die Anwender bei solchen Seiten weniger misstrauisch", schreibt das US-Unternehmen weiter.

Die Motivation hinter Phishing-Attacken mit gefälschten Bank-Webangeboten ist offensichtlich: Mit den abgefangenen Daten lassen sich die Konten der Opfer leer räumen, oder die Finanzinformationen werden wie Kreditkartendaten im Untergrund weiterverkauft. Aber warum ist zum Beispiel ein StudiVZ-Profil mit allerhand Persönlichem, Fotos von Haustieren und Geschichten über den letzten Ausflug für Betrüger interessant? Und was können die Phisher, die im Januar 2007 57.000 Log-in-Daten von Myspace-Nutzern abgefischt hatten, damit anfangen?

Allerhand. Vielleicht nicht sofort, aber später.

Wer die Website eines sozialen Netzwerks fälscht und Log-in-Daten abfängt, erhält jede Menge Passwörter, wodurch der Phisher sofort Zugriff auf die Nutzerprofile in der entsprechenden Community hat. Dort kann er zum einen Informationen abgreifen, aber diese auch verändern und das Profil übernehmen und für seine Zwecke missbrauchen. Gefälschte Profile seien auch ohne Phishingattacken ein großes Problem in sozialen Netzwerken, berichtet Marit Hansen, die stellvertretende Landesbeauftragte für den Datenschutz in Schleswig-Holstein: "Fakeprofile, Mobbing und Reputationseinbußen durch üble Nachrede betreffen die Leute in diesen Communitys ganz direkt."

Gefährliche Einfallslosigkeit

Die geklauten Passwörter bieten mit relativ hoher Wahrscheinlichkeit auch noch Zugang zu anderen Profilen derselben Person. Zum einen, weil bei der Wahl des Schlüsselbegriffs immer noch erschreckende Einfallslosigkeit herrscht: Als die 57.000 abgefangenen Myspace-Nuzerdaten im Netz auftauchten, machte sich Brian Krebs von der "Washington Post" daran, die häufigsten Passwörter zu ermitteln - und fand die üblichen Verdächtigen: "password", "abc123", "123456", "iloveyou". Zum anderen ist bekannt, dass der Mensch ein Gewohnheitstier ist und Log-in-Daten mehrfach verwendet. Man muss also nur herausfinden, wer sich hinter einem Profil verbirgt und wie er an anderer Stelle im Web in Erscheinung tritt, um dessen Amazon-, Ebay- oder Paypal-Konto einsehen zu können. Mit einem geklauten Passwort lässt sich dort Unfug treiben, der nicht nur in der virtuellen, sondern auch der realen Welt Auswirkungen hat - auf dem Bankkonto.

Festzustellen, wo sich eine Person im Netz herumtreibt, ist häufig ganz einfach, weil viele Menschen überall mit demselben Pseudonym hantieren. Doch auch bei verschiedenen Nicknamen sei die "Verkettung digitaler Identitäten", wie Datenschützerin Hansen es nennt, mit überraschend geringem Aufwand möglich: "Wir hinterlassen überall Mosaiksteinchen an Daten, die ein großes Ganzes ergeben, das unbefugt genutzt werden kann. Niemand kann vorhersehen, was diese Daten ergeben können, wenn man sie zusammenführt." In ihrer Auskunftsfreudigkeit liefern viele Nutzer von sozialen Netzwerken die Mosaiksteinchen praktisch frei Haus, die man ganz ohne Phishing einsammeln kann. "Auch wenn man ein Pseudonym benutzt, lässt sich über die vielfältigen Informationen, die man sonst noch hinterlässt, mit etwas Recherche oft der Klarname zuordnen", sagt Jan Schallaböck, Jurist beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD).

Nenn mir dein Tier, ich sag dir, wer du bist

Sogar auf den ersten Blick unverfängliche Informationen wie beispielsweise Angaben über das Haustier können laut den Datenschützern problematisch werden: "Wenn Sie den Namen des Haustieres sehen, dann kann das auf bestimmte Psychoprofile schließen lassen. Es mag auch beim Social Engineering helfen, so etwas zu wissen", so Hansen. Social Engineering wird eine alte und bewährte Technik des Spionierens genannt: das Ausfragen. Schallaböck fügt hinzu: "Man kann sich besser vorbereiten, weiß besser, worauf eine Person - zum Beispiel eine Tierliebhaberin - anspricht." Nun tummeln sich auf den Straßen und auch im Web natürlich nicht nur Spione, Stalker und Scheckbetrüger. Doch auch "ganz normale" Leute greifen auf ähnliche Techniken zurück, um im zwischenmenschlichen Bereich weiterzukommen. Beispiel: Einer Studie der Uni Münster zufolge nutzen 80 Prozent der Mitglieder der riesigen Community StudiVZ das Netzwerk, um sich heimlich einen genaueren Eindruck von neuen Bekannten zu machen. 34 Prozent der Befragten gaben außerdem an, auch später nicht zuzugeben, sich das Profil des Gegenübers angeschaut zu haben.

"Welche Informationen preisgegeben werden, ist eine Bewusstseinsfrage der Nutzer. Da wird teilweise noch sehr unbedarft vorgegangen", beschreibt Schallaböck die aktuelle Lage. Auch vorsichtige Menschen hätten es nicht immer leicht. "Es gibt natürlich Nutzer, die sich der Problematik bewusst sind und die bereitstehenden Schutzmechanismen sehr differenziert nutzen. Gleichzeitig befinden sie sich in einem kulturellen Zwiespalt: Auf der einen Seite gibt es den Gruppendruck, an diesen Netzwerken intensiv teilzunehmen, auf der anderen Seite bleibt das Unwohlsein, zu viel von sich zu offenbaren", so der ULD-Jurist.

Schallaböcks Empfehlungen für den Umgang mit sozialen Netzwerken:

  • Jeder muss sich klar darüber werden, welche Daten er preisgibt. Das gilt besonders für Hinweise auf den Klarnamen. Verschiedene Pseudonyme für verschiedene Webangebote bieten zumindest etwas Schutz. Aber jeder sollte sich bewusst sein, dass ein Nickname der realen Identität umso leichter zugeordnet werden kann, je mehr Informationen man über sich veröffentlicht.
  • Man sollte sich genau anschauen, was mit den Daten passiert, wie sie vom Betreiber des Angebots genutzt werden können.
  • Man muss sich auch bewusst sein, wie man mit den Informationen anderer Leute umgeht. Ein Beispiel: In vielen Communitys gibt es die Möglichkeit, Bilder von anderen mit Begriffen zu versehen, zu "taggen". Dadurch werden diese Bilder plötzlich aussagefähiger. Man trifft Aussagen über andere Personen. Hier gilt es, Respekt zu zeigen. Nur weil jemand ein Bild veröffentlicht hat, heißt das nicht, dass er im Zusammenhang mit bestimmten Begriffen in einer Suchmaschine auftauchen möchte.

Die Datenschützer sehen auch die Betreiber der Angebote in der Pflicht. Schallaböck wünscht sich eine "feinere Justierung der Rechtevergabe". Die Nutzer sollen viel genauer als bisher festlegen können, wer auf welche Informationen zugreifen und was er damit anfangen darf. Die Standardeinstellungen sollten sehr restriktiv sein, fordert der Jurist. Ein weiterer wichtiger Punkt: "Jeder sollte wissen, wer auf die eigenen Daten zugegriffen hat", sagt Schallaböck. Bei der Business-Community Xing zum Beispiel ist diese Information nur zahlenden Nutzern zugänglich. Wer das Portal kostenlos nutzt, bekommt lediglich das Foto des Besuchers angezeigt - wenn der überhaupt eines veröffentlicht hat. Und laut der Münsteraner StudiVZ-Umfrage haben zwei Drittel der Nutzer ihr Profil so eingestellt, dass es beim Lesen anderer Profile keine Spuren hinterlässt. Schallaböck: "Die Information, wer auf meine Daten zugegriffen hat, ist eine personenbezogene Information. Nach meinem Verständnis habe ich ein Recht darauf, diese einsehen zu können."

Neue Herausforderungen

Die Eigenschaft sozialer Netzwerke, dass es die User selbst sind, die auf die Daten von anderen Internetnutzern zugreifen, stellt für den Datenschutz - und die Datenschützer - ein Problem dar, dessen Tragweite noch nicht abzuschätzen ist. "Zwischen Nutzer und Betreiber eines Onlineangebots ist klar, dass er Datenschutzrechte geltend machen kann", sagt die Datenschutzbeauftragte Hansen: "Anders sieht es bei der Kommunikation zwischen den einzelnen Usern aus, da sind wir rechtlich noch gar nicht angekommen." Wer weiß schon, was andere über einen selbst gespeichert haben, und sei es nur zufällig in einem Adressbuch? Hansen: "Dass ich selbst eine hohe Datensicherheit bei mir erreiche, nützt mir gar nichts, wenn mein Vertrauenskreis viele Daten über mich speichert und diese schlecht schützt." Deswegen arbeiteten die Datenschützer auf europäischer Ebene an "Standards für Identitätsmanagement". "PrimeLife" heißt dieses EU-Projekt, das Internetnutzern mehr Kontrolle über ihre virtuellen Identitäten verschaffen soll. "Transparenz, was wo gespeichert wird, ist wichtig. Sonst kann man keine vernünftigen Entscheidungen fällen", sagt Hansen. Bei solchen Entscheidungen sei jeder zunächst einmal selbst gefragt, fordert die Informatikerin aus Kiel: "Bei diesem 'Selbstdatenschutz' muss man aber die Nutzer unterstützen, die sich sonst vielleicht überfordert fühlen. Dabei können andere Nutzer ebenso helfen wie Datenschützer, Verbraucherschützer oder die Anbieter selbst."