Robert Norheim ist ein hilfsbereiter und argloser Mensch. Dies wurde dem Geografen von der Universität Seattle kürzlich fast zum Verhängnis. Denn Kriminelle hatten sich diese Eigenschaften zunutze gemacht – mit einer neuen und besonders raffinierten Methode. Eine Freundin von ihm, mit der er sich auf der Internetplattform Facebook vernetzt hatte, rief auf ihrem Profil ihre Freunde und Bekannte dazu auf, ihr finanziell schnell aus der Patsche zu helfen. Sie sei in ihrem Urlaub in London ausgeraubt worden und benötige nun dringend 600 Dollar für den Rückflug. Norheim nahm über das Netzwerk Kontakt zu ihr auf. "Die Geschichte klang plausibel. Ich stellte nicht viele Fragen. Sogar die richtigen Vornamen ihrer vier Kinder wurden mir in dem kurzen Mailaustausch genannt", erzählt er. Die sind allerdings auf ihrem Facebook-Profil veröffentlicht, was Norheim damals nicht auffiel.

Schnurstracks sandte er die 600 Dollar per Kreditkarte online an die von ihr angegebene Adresse einer Zahlstelle des Geldtransferdiensts Western Union in London. Als er einige Minuten später seiner Frau die Geschichte erzählte, riet sie ihm, doch die Kinder seiner Bekannten in Texas telefonisch zu informieren. Groß war seine Überraschung, als statt der Kinder deren Mutter den Anruf entgegennahm. Die wusste weder von ihrer vermeintlichen Londonreise noch von ihrem Hilferuf auf Facebook. Norheim fand schließlich heraus, dass die Geschichte eine beliebte Internet-Betrugsmasche ist. Er rief ein Büro von Western Union in den USA an und konnte die Zahlung stoppen, da noch keine Stunde seit seinem Auftrag vergangen war. Rückblickend nennt er die Erfahrung "eine gute Lektion".

Unisono warnen inzwischen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die diversen Virenschutzanbieter vor solchen Angriffen auf Soziale Netzwerke wie Facebook, Twitter und MySpace. Sie sprechen von einem gefährlichen Trend. Nach einer Studie der IT-Sicherheitsfirma Websense gehört die Mehrheit der 50 aktivsten Websites, die Schadsoftware verteilen, zu Plattformen des Web 2.0. Mithilfe von gekaperten Benutzerkonten und der Ausnutzung von Schwachstellen in Webanwendungen dieser Netze versenden die Kriminellen gefälschte Nachrichten auf den virtuellen Plattformen.

Das funktioniert ähnlich wie der klassische Spam-Versand per E-Mail. Doch während nur noch wenige auf diese alte Masche hereinfallen, nutzen die neuen Attacken geschickt das Vertrauen aus, das die Nutzer dieser Netzwerke ihren Kontakten und Freunden entgegenbringen. "Diese Methoden sind besonders gefährlich, da sie den Nutzern noch nicht bekannt sind. Deren Risikobewusstsein ist daher gering", erklärt Virenanalyst Christian Funk vom Sicherheitsanbieter Kaspersky. Mit den eingesetzten Techniken greifen die Täter auf die bekannte Palette in der Cyberkriminalität zurück: Viren, Trojaner, Würmer, Phishing und der von den Nutzern unbemerkte Missbrauch ihrer Computer in sogenannten Botnetzen, also dem Zusammenschluss von PCs, für kriminelle Zwecke.

Weniger glimpflich als Norheim kam in einem ähnlichen Fall Beny Rubinstein davon. Kriminelle hatten den Facebook-Account seines Bekannten Bryan Rutberg, der wie Rubinstein bei Microsoft beschäftigt ist, gehackt. "Wahrscheinlich bin ich zuvor auf eine Phishing-Mail hereingefallen", vermutet Rutberg. Die Angreifer posteten an Dutzende seiner Freunde im Netzwerk seinen vermeintlichen Hilferuf, er sei auf einer Reise durch England ausgeraubt worden und benötige für die Rückreise in die USA dringend Geld. Rubinstein fiel darauf herein und schickte 1200 Dollar an eine Western-Union-Filiale in London. Andere Bekannte waren weniger gutgläubig und stellten im Onlinedialog den Hackern spezielle Fragen zum Beispiel nach gemeinsamen Freunden aus Collegezeiten. Da die Antworten darauf nicht aus Rutbergs Facebook-Profil ersichtlich waren, flog die falsche Identität der Hacker auf.

Dem gleichen Strickmuster fiel im Juli der Aachener Online-Berater Franz Patzig auf Facebook zum Opfer. Als Blogger und Pionier in der Organisation von Barcamps, einer Art offener Thementreffen für Web-Freaks, ist er eigentlich Internet-affin genug, um gegen Betrügereien im Netz gewappnet zu sein. In seinem Blog franztoo beschreibt er detailliert, wie er den Kriminellen auf den Leim ging. Ernüchtert zieht er Fazit: "Ich habe mich für absolut kugelsicher gehalten. Gestählt von meiner täglichen Arbeit im Internet, mit feinsten Sensoren und schrillen Alarmglocken, wenn etwas nur im geringsten stinkt. Jetzt bin ich eines Besseren belehrt und werde mich, sofern ich noch mal in so eine Situation komme, besser absichern." Den Glauben an die Menschheit will er sich aber nicht rauben lassen: "Ich werde nicht aufhören, Freunden zu helfen. Aber ich werde vorsichtiger sein. Und jeder, der in einer Notlage ist, wird es verstehen (müssen)."

Viele Opfer kritisieren die oft Tage langen Reaktionszeiten von Facebook, nachdem sie dort Alarm geschlagen haben. So hatte Rutberg zwar frühzeitig von dem Betrug erfahren, konnte aber lange Zeit nicht auf seine Seite zugreifen, weil die Täter flugs seine Login-Daten geändert hatten. Da das Unternehmen für Nutzer telefonisch nicht erreichbar ist, mussten sich er und andere Betroffene gedulden, bis ihre E-Mails beantwortet und entsprechende Abwehrmaßnahmen ergriffen werden. "Facebook kommt seiner Verantwortung nicht nach, die es als Webunternehmen mit vielen Millionen Nutzern weltweit hat", bemängelt Rutberg.

Eine Sprecherin von Facebook wehrt sich gegen den Vorwurf: "Viele Unternehmen in den USA haben keine Hotline. Außerdem müsste Facebook den Telefondienst für seine Nutzer weltweit in sehr vielen Sprachen einrichten." Zudem bevorzugten es viele junge Leute, eine E-Mail zu schreiben, anstatt zum Hörer zu greifen. Als Sparmaßnahme will sie die fehlende Hotline nicht verstanden wissen. Das wäre auch schwer nachvollziehbar. Schließlich schätzte Facebook unlängst seinen Marktwert auf zehn Milliarden US-Dollar. Immerhin: Das Netzwerk richtete für seine über 250 Millionen Mitglieder die Informationsseite www.facebook.com/security ein, die Gefahren schildert und Tipps gibt. Kürzlich weitete das Unternehmen außerdem seine Zusammenarbeit mit dem Sicherheitsanbieter MarkMonitor aus, um die Attacken mit einer "Anti-Betrugs-Software" zu stoppen.

Doch ein hundertprozentiger Schutz ist nicht möglich. Mitte Mai sahen sich Facebook und Twitter einer neuen Phishing-Welle ausgesetzt. Seit Jahresanfang musste sich allein Facebook mit über 240 Phishing-Websites herumschlagen – die Mehrheit davon waren speziell gefälschte Seiten dieser Plattform. Dabei versuchen die Angreifer, über solche Seiten an die Daten von Nutzern zu gelangen. Das können je nach Art der Attacke die Zugangsdaten zur Facebook-Kennung sein, aber auch Passwörter zum Onlinebanking und Kreditkartennummern. In der Regel wird versucht, die Nutzer per Phishing-Mail auf die präparierten Websites zu locken, die ihren Originalen oft täuschend ähnlich sehen. Allein der auf Phishing abzielende Wurm Koobface, eine Verballhornung von Facebook, spukt nach Angaben des Sicherheitsanbieters Kaspersky Lab inzwischen in fast 900 Varianten herum, von denen über 500 im Juni dazukamen. Sie attackieren auch die sozialen Netze MySpace, Friendster, Hi5, Bebo, Tagged, Netlog und Twitter.

Die sich rasant wachsender Beliebtheit erfreuende Kurznachrichten-Plattform Twitter gerät zunehmend ins Visier der Onlinekriminellen. Phisher locken die Anwender mit fadenscheinigen Twitter-Nachrichten auf manipulierte Seiten, um ihre Zugangs- oder Kreditkartendaten auszukundschaften. Hackern gelang es sogar, sich Zugang zu den Accounts einiger Prominenter, darunter US-Präsident Barack Obama und Britney Spears, zu verschaffen. Unter der falschen Identität verschickten sie Nachrichten mit teilweise peinlichen Inhalten.

Trotz der Bedrohungslage lehnt Nathan Hamiel, IT-Sicherheitsberater der Hexagon Security Group, Sicherheitsmaßnahmen wie das Einschränken von Webanwendungen in Sozialen Netzwerken ab. Denn dadurch sinke deren Attraktivität. "Wir befinden uns in einer schwierigen Situation. Das Ziel Sozialer Netzwerke ist schließlich, Kreativität und Kommunikation zu fördern. Wenn man zu restriktiv ist, schränkt man die Kernfunktion eines solchen Angebots ein", sagt Hamiel. Und so müssen nicht nur die Anbieter für Schutz sorgen, sondern jeder Anwender muss für sich abwägen, wie er diese Netze nutzt und welche Risiken er sich damit einhandelt.

Diesen Artikel finden Sie als Audiodatei im Premiumbereich unter www.zeit.de/audio