HOME

Sicherheitslücken: Phischer in sozialen Netzen

Nutzer von Facebook & Co. geraten immer mehr ins Visier krimineller Banden. Die Attacken reichen von heimlich installierter Spam-Software bis zum Identitätsklau. stern.de sagt, wie Sie sich schützen.

Von Karsten Lemm, San Francisco

An Freunden herrscht im Internet kein Mangel: Wer sich bei Facebook, SchülerVZ oder Xing tummelt, trifft reichlich andere, die sich darum reißen, neue Freunde zu finden - und Kontakte zu knüpfen, Kontakte zu pflegen ist ja auch der Sinn von sozialen Netzwerken. Doch immer öfter, warnen Experten, verbergen sich hinter scheinbar freundlichen Anfragen von Fremden böswillige Attacken krimineller Banden, denen es darum geht, Nutzer auszuspionieren und persönliche Daten zu missbrauchen - etwa, um unter falschem Namen Spam-Mail zu verschicken.

"Viele Menschen verhalten sich in sozialen Netzwerken recht arglos, Sicherheit ist selten oberste Priorität", sagt Siobhan MacDermott, Öffentlichkeitschefin bei AVG, einem Anbieter von Anti-Virus-Software. Das mache sie zum perfekten Ziel von Cyberkriminellen: "Übeltäter gehen den Weg des geringsten Widerstands, und in sozialen Netzwerken herrscht häufig ein trügerisches Gefühl, dass einem nicht viel passieren kann, weil man es ja mit Freunden und Freunden von Freunden zu tun hat."

Riskante Nachlässigkeit

Das verführt zu einer riskanten Nachlässigkeit, wie eine neue Studie von AVG und dem CMO Council, einem Branchenverband, ergeben hat: Jeder fünfte Nutzer von Facebook & Co. akzeptiert demnach "Lass uns Freunde sein"-Anfragen von Wildfremden, zwei Drittel klicken auf Links, die von anderen Mitgliedern verschickt werden, und mehr als die Hälfte der Befragten erlaubt es Mitbewohnern und Bekannten, sich vom eigenen PC in soziale Netzwerke einzuloggen. Riskant ist das vor allem deshalb, weil sich hinter Links, die wild verschickt werden - "Schau dir mal das hier an!" - zunehmend Spam und Schlimmeres verbirgt, etwa Trojaner-Software, die sich heimlich installiert und anschließend jeden Tastendruck registriert, um Passwörter, Bankkonten und andere persönliche Informationen zu sammeln. Auch wer sich selbst vorsieht, riskiert, dass der eigene PC infiziert wird, wenn Freunde achtlos surfen dürfen.

"Wir sehen definitiv eine Zunahme solcher Angriffe in sozialen Netzwerken", sagt Ulf Lindvist, Leiter des Zentrums für Internetsicherheit bei SRI International, einem unabhängigen kalifornischen Forschungsinstitut. In Kombination mit Trojanern und anderer "Malware", bösartiger Software, nutzen Internetganoven gern auch sogenannte "Phishing"-Attacken, um Nutzer auszuspionieren: Facebook, mit über 200 Millionen Mitgliedern das weltweit populärste soziale Netzwerk, ist ein besonders beliebtes Ziel solcher Angriffe. Schon mehrfach versuchten Betrüger, Facebook-Nutzer auf andere Seiten umzuleiten, die täuschend echt aussehen und den Nutzern vorgaukeln, sie seien bei Facebook selbst, müssten sich aber neu anmelden. Wer das tut, gibt seinen Namen und das Kennwort preis - und überreicht den Gaunern damit den Schlüssel zu allen privaten Informationen, die im Profil gespeichert sind.

Spam unter flaschen Namen

Mehr noch: Die Kriminellen können anschließend unter falschem Namen Spam-Mail verschicken, ohne dass die Betroffenen und ihre Freunde etwas Böses ahnen. In Kombination mit Phishing-Attacken böten soziale Netzwerke damit geradezu paradiesische Umstände, um Malware zu verbreiten, erklärt Ulf Lindqvist: "Die Übeltäter können herausfinden, wer Ihre Freunde sind, und anschließend den Eindruck erwecken, dass die Spam-Mail von Ihnen kommt - einem Bekannten. Das erhöht die Chance auf Klicks ganz enorm." Für die anderen Mitglieder des sozialen Netzwerks gebe es kaum Wege, den Betrug rechtzeitig zu erkennen, sagt der Sicherheitsexperte: "Im Internet sehen praktisch alle gleich aus - es ist so gut wie unmöglich, mit Gewissheit zu sagen, ob der PC eines Ihrer Freunde mit Malware infiziert ist und wer tatsächlich am anderen Ende der Leitung sitzt."

Doppelt hinsehen

Damit wird Vorsicht immer wichtiger. Auch wenn es in sozialen Netzen gern locker-ungezwungen zugeht, bleiben die digitalen Tummelplätze Spiegelbilder des wirklichen Lebens - in denen Ähnliches gilt wie in der Offline-Welt: "Genauso, wie Sie nicht einfach etwas essen würden, was Sie auf der Straße finden, sollten Sie auch im Internet nicht blind zugreifen", warnt Lindqvist. Also bei Links lieber doppelt hinsehen und im Zweifel ignorieren. Obendrein rät der SRI-Forscher zur Zurückhaltung beim Teilen von persönlichen Informationen mit den tausend engsten Freunden: "Je mehr Privates in sozialen Netzen erwähnt wird, um so einfacher fällt anderen der Identitätsklau."

Die Gefahr ist offenbar vielen Nutzern durchaus bewusst - denn zahlreiche von ihnen haben schon schlechte Erfahrungen gemacht: In der Studie von AVG und CMO berichtete jeder Fünfte der gut 250 Befragten, schon ein Opfer von Identitätsklau in sozialen Netzwerken geworden zu sein. Fast die Hälfte - 47 Prozent - haben sich bereits Trojaner oder andere Malware eingefangen, und 55 Prozent erklärten, es habe Phishing-Versuche gegeben. Dennoch lasse der Großteil der Online-Gemeinde oftmals noch immer alle Vorsicht sausen, klagt AVG-Managerin MacDermott: "Man denkt nicht unbedingt an die Risiken - es geht ja ums Spaßhaben."

In Deutschland, so hat der hiesige AVG-Geschäftsführer Gerald Hahn beobachtet, teile sich das Verhalten in zwei Extreme: "Die einen vermuten überall Big Brother, die anderen öffnen ihr Profil für alle." Gerade Jüngere handelten oft so unvorsichtig, dass sie Hackern den Missbrauch ihrer Daten sehr leicht machen, sagt Hahn: "Nutzer unter 25 Jahren gehen oft sehr unbedarft mit den Risiken um, so nach dem Motto: 'Ich habe nichts Geheimes, da kann jeder draufschauen.' Viele denken dabei nur an Geld, aber die Gefahr ist viel subtiler" - wie sich an Trojaner-Software und anderen Ausspähversuchen zeige.

Grundregeln für mehr Spaß

Doch wer einige Grundregeln beachtet, kann das Risiko, bei Facebook & Co. zum Opfer von Betrügern zu werden, zumindest deutlich reduzieren - und trotzdem weiter Spaß haben. Ganz oben auf der Liste der Experten-Tipps steht der Rat, die Anmeldedaten nie an andere weiterzugeben (auch nicht an Freunde) und Passwörter sorgfältig zu wählen. Also nie "1234" oder der Name des Haustiers, der Freundin, der Lieblingsband - Informationen, die womöglich ganz offen auf den Profilseiten auftauchen. Besser sind Passwörter, die Zahlen enthalten und für andere unmöglich zu erraten sind. Idealerweise sollte das Passwort sogar einmal im Monat geändert werden, raten AVG und CMO.

Nutzen Sie soziale Netzwerke?

Unvorsichtig handelt auch, wer sich auf einem fremden PC - etwa in einem Internetcafé - bei einem sozialen Netzwerk einloggt und am Ende einfach nur das Browserfenster schließt. "Man sollte sich immer ganz bewusst abmelden", sagt Siobhan MacDermott und obendrein darauf achten, dass Passwörter nicht auf dem PC gespeichert werden. "Sonst kann es genügen, einfach zur vorherigen Seite zurückzugehen." Schon ist der nächste Nutzer automatisch wieder angemeldet und hat Zugriff auf private Daten. Die Liste der besuchten Webseiten sollte ebenfalls einmal pro Woche aus dem Browser-Speicher gelöscht werden.

Auch beim Profil ist Vorsicht geboten: Wer es Betrügern schwer machen will, sollte bewusst Lücken lassen. "Wenn Sie Ihren Geburtstag im Profil angeben möchten, lassen Sie zumindest das Geburtsjahr weg", rät MacDermott. Bankverbindungen, Ärztediagnosen und ähnlich private Informationen hätten ohnehin in sozialen Netzwerken nichts verloren.

Verschleierte Internetadressen

Bei unbekannten, womöglich bösartigen Links können Browser-Erweiterungen helfen: AVG bietet Windows-Nutzern den kostenlosen "Link Scanner", der verspricht, bei Gefahr schon vor dem Klicken Alarm zu schlagen. Firefox-Nutzern bietet das Plug-in "LongURL" die Möglichkeit, bei kurzen Internetadressen sofort zu sehen, wohin der Mausklick wirklich führt. Das ist wichtig, weil Adressen nach dem Schema "http://tinyurl.com/cuzvb" nicht nur bei Twitter-Nutzern sehr beliebt sind, sondern zunehmend auch bei Betrügern - da sie helfen, Phishing- und Malware-Webseiten zu verschleiern.

Doch der vielleicht wichtigste Rat, den Siobhan MacDermott für soziale Netzwerker übrig hat, könnte auch von Mama und Papa kommen: "Wenn Fremde Ihnen die Freundschaft anbieten, seien Sie vorsichtig. Klicken Sie nicht einfach auf 'ja'. Es ist genau das Gleiche, als ob Ihnen ein Fremder auf der Straße begegnet." Und wie oft hat man das schon, außerhalb des Computers, dass Fremde gleich beste Freunde werden wollen?

Themen in diesem Artikel
Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.