Es gibt vergleichsweise sichere Wege, im Internet Daten auszutauschen. Banken beispielsweise nutzen sie, um die Konten ihrer Kunden zu sichern, auch der Überweisungsdienst PayPal und der Buchversender Amazon: Das Protokoll heißt HTTPS , und die Daten, die damit übertragen werden, sind verschlüsselt und nicht ohne Weiteres zu belauschen.

Viele andere, inzwischen aber durchaus ähnlich riskante Dienste, wie beispielsweise Facebook und Twitter nutzen die verschlüsselte Datenübertragung nicht, wenn Kunden sich einloggen. Ein Problem, das der amerikanische Programmierer Eric Butler für einerseits gefährlich, andererseits aber für leicht behebbar hält.

Um das Problem zu demonstrieren, stellte er gerade ein Werkzeug ins Netz , dass es auch Laien ermöglicht, anderer Leute Passworte abzuhören und deren Accounts zu übernehmen. Firesheep, wie er das Programm nennt, ist ein sogenanntes Add-on zum populären Browser Firefox, ein kleines Erweiterungsprogramm also, leicht zu installieren und zu benutzen.

Derzeit funktioniert es nur mit bestimmten Versionen des Browsers, dann aber sehr gut, wie beispielsweise dieses Video zeigt. Am rechten Rand erscheint eine neue Spalte, in der alle Accounts, die das Programm beispielsweise in einem offenen WLAN-Netz abhören kann, mit einem Symbol angezeigt werden. Doppelklick genügt und der fremde Account öffnet sich auf dem eigenen Rechner.


Firesheep nutzt eine Lücke in der Datenübertragung. Wenn man sich bei einem Dienst wie Twitter einloggt, wird an den Computer ein sogenannter Session-Cookie geschickt. Das ist nötig, damit Twitter beim nächsten Klick des Nutzers weiß, dass er derselbe ist, der sich eben einloggte und nun etwas anders innerhalb seines Accounts tut.

Das Problem: Der Erstkontakt ist bei den meisten Seiten durch Verschlüsselung geschützt, nicht aber die weitere Datenübertragung bei der Überprüfung, ob der Nutzer immer noch der korrekte ist. Auch bei Facebook kann man sich via HTTPS einloggen, um sein Passwort verschlüsselt zu übertragen. Aber schon beim nächsten Klick in seinem Account wird man in das normale Protokoll HTTP zurückgeschubst. Dabei ist schon einige Monate lang bekannt , dass dadurch an anderen Stellen eben jene Passworte unverschlüsselt übertragen werden und nicht nur Session Cookies .

Firesheep nun sucht nach unverschlüsselt übertragenen Session-Cookies und schickt eine eigene Anfrage an die betreffende Seite samt einer Kopie dieses Cookies – gaukelt also vor, der echte Nutzer zu sein.