Sicherheit bei Facebook Die vier Opfertypen

Attacken in sozialen Netzwerken nehmen zu. Dabei beobachten Kriminelle gezielt die Nutzer und wählen bewusst, wen sie angreifen. Sind Sie ein typisches Opfer?

Insgesamt ist die Zahl der Attacken mit Spam und schädlichen Programmen, die sich über Facebook, LinkedIn oder MySpace ausbreiten, 2009 sprunghaft angestiegen: um 70 Prozent, vergleicht man sie mit dem Vorjahr. Und so wie Handtaschenräuber sich überlegen, bei wem sie zugreifen – bei der zarten Dame oder dem breitschultrigen Bodybuilder –, gucken sich auch Kriminelle im Internet genau an, wer sich für sie am besten als Opfer eignet. Soziale Netzwerke bieten ihnen ideale Möglichkeiten dazu.

In der Studie "2010 Security Threat Report" beschreibt das Sicherheitsunternehmen Sophos vier typische Opfer solcher Angriffe. Daraus lässt sich umgekehrt schließen, welche Freundschafts-Sünden man in Sozialen Netzwerken besser nicht begehen sollte.

1. Prestigesucht

Opfer Nummer eins ist eine Person, die vor allem in Kontakt steht mit prominenten Firmenbossen oder Strategen. Das macht sie deutlich reizvoller für die Angreifer als ein digitales Kaffeekränzchen unter Jugendlichen. Wer also ständig darauf bedacht ist, sich mit seinen Chefs und mit Promis anzufreunden, könnte dafür mit einer höheren Angriffswahrscheinlichkeit bezahlen.

Dabei sind große Namen unbesehen attraktiv. Wie leicht es umgekehrt sein kann, mit einem davon Kontakte zu sammeln, bewiesen Nathan Hamiel und Shawn Moyer im vergangenen Jahr auf ihrem Vortrag bei einer renommierten Sicherheitskonferenz in Washington D.C. ("Fail 2.0: Further Musings on Attacking Social Networks"). Die Forscher schufen ein falsches Profil eines bekannten Sicherheitschefs und sammelten in weniger als 24 Stunden über 50 Kontakte ein, darunter auch die von hochrangigen IT-Experten und Vorstandsmitgliedern.

2. Wahllosigkeit

Opfer Nummer zwei hat schlicht zu viele Freunde. Viele Menschen sind bemüht, sich mit möglichst vielen anderen Facebookern zu befreunden. Doch das macht bei der Auswahl gelegentlich etwas wahllos. Und es einem Kriminellen im Umkehrschluss einfacher, sich als "alter Bekannter" in eine Freundes-Liste einzuschleichen. Kann man mit 1000 Menschen gleichzeitig befreundet sein? Vermutlich sind schon die 130 Freunde eines durchschnittlichen Facebook-Nutzers alles andere als handverlesen.

Sophos hat zu Testzwecken ein künstliches Profil namens "Freddi Staur" angelegt, mit dem Bild eines kleinen, grünen Plastikfroschs. Von 200 angesprochenen Facebook-Mitgliedern waren 82 bereit, sich mit dem Frosch zu befreunden. Und gaben damit im Zweifel persönliche Informationen, die Mail-Adresse, Geburtsdatum und Telefonnummern einem völlig Unbekannten preis.

Wer übrigens aus Angst, unhöflich zu erscheinen, ein Freundschaftsangebot nicht ablehnen mag, hat im Nachhinein die Möglichkeit, denjenigen umgehend wieder aus seiner Freundes-Liste zu entfernen. Der andere merkt das nur, wenn er gezielt nach dem Kontakt sucht und ihn nicht mehr in seiner Liste entdecken kann. Er erhält jedoch keine explizite Benachrichtigung über den Rausschmiss.

3. Sorglosigkeit

Opfer Nummer drei ist einfach nur gedankenlos und kümmert sich nicht ausreichend um seine Privatsphäre. Gerade nach den Änderungen im Dezember haben viele Facebooker es versäumt, ihre Sicherheitseinstellungen neu zu justieren (nur ein Drittel hat das getan). Wer es versäumte, ist jetzt auch über Suchmaschinen mit Kontakten, Lieblingsseiten und Lieblingsorten auffindbar.

Soweit die Hintergründe der Angriffe auf Google in China bekannt sind, haben auch dort die Angreifer einige Angestellte gezielt herausgepickt und geschaut, mit wem sie auf Facebook befreundet waren. Dann verschafften sie sich Zugang zu den Konten dieser Freunde und verschickten von da aus Links, die mit ihren Spionage-Programmen verseucht waren. In dem Glauben, einem Link von einem Freund vertrauen zu können, infizierten sich so die eigentlichen Zielpersonen.

4. Indiskretion

Opfer Nummer vier macht es den Angreifern einfach, weil es zu viele Informationen über sich preisgibt. Man kann sich auch auf Facebook auf das Nötigste beschränken, man kann LinkedIn benutzen, um berufliche Informationen über sich ins Netz zu stellen – aber es zwingt einen niemand, auch die Adresse und Telefonnummern mit anzugeben. Das macht es Kriminellen im Zweifel leicht, die komplette Identität zu übernehmen, um Straftaten unter einem anderen Namen zu begehen. Auch Verbindungen zu Arbeitgebern oder anderen Mitgliedschaften sollte man übrigens lieber für sich behalten. Denn dadurch steigt nur das Risiko, dass einen jemand als Brücke für einen gezielten Angriff ausnutzen will, etwa, weil man einen Zugang zu einem Unternehmensnetzwerk oder einer Universität bietet.

Wer Mitglied bei Xing ist und überprüfen möchte, ob seine Informationen für Außenstehende leicht einzusehen sind, kann das dank eines Experiments der Wiener Universität auf folgender Webseite leicht selbst tun. Wer wissen will, was Facebook über ihn ausspuckt, muss nur seinen Namen bei Google eintippen und prüfen, was die Suchmaschine an Facebook-Informationen so findet.