Der Fall 'Natalie'. Online Communities zunehmend IT-Sicherheits-Risiko

Januar 21, 2008 Sophos Press Release


Fünf Minuten reichten aus: über 50 Ahnungslose User gingen 'Natalie' ins Netz.

Wie einfach es ist, in Online Communities an persönliche Daten von Unbekannten zu kommen, hat Sophos, einer der führenden Anbieter von ITLösungen für 'Security and Control', mit einem einfachen Experiment nachgewiesen: Unter dem Pseudonym 'Natalie' wurde ein Profil im deutschsprachigen OnlineNetzwerk Werkenntwen erstellt, inklusive dem Foto einer leicht bekleideten jungen Frau sowie einigen Angaben zu persönlichen Interessen und Vorlieben. Beschrieben wurde 'Natalie' unter anderem als 'suchend' und 'für alles aufgeschlossen'. Ziel des Versuchs war es herauszufinden, was innerhalb von fünf Minuten ohne eigenes Zutun mit einem solchen Profil passiert.

Das Ergebnis: Die fingierte SingleFrau erhielt 19 sofort bestätigte Kontakte, 27 EMails mit Kontaktanfragen sowie 48 Nachrichten und damit freien Zugang zu den persönlichen Daten der anderen Mitglieder, wie zum Beispiel Adresse, Alter, InstantMessengerNamen und persönliche Interessen. Nach fünf Minuten wurde das Profil wieder aus Werkenntwen entfernt und damit sämtliche verbundene Kontakte gelöscht. Sophos warnt: Auch Cyberkriminelle können auf diese Weise mühelos an Informationen gelangen, die sie für gezielte Attacken gegen die Nutzer verwenden können, beispielsweise für personalisierte Spam und PhishingAttacken. Mitglieder sozialer Netzwerke sollten daher mit ihren persönlichen Daten sorgsam umgehen und sich erst erkundigen, wer sich hinter einem Nutzerprofil von bisher unbekannten Kontakten verbirgt. Für Unternehmen kann der nachlässige Umgang ihrer Mitarbeiter mit Firmenadressen ebenfalls zum Sicherheitsrisiko werden. Sie sollten daher Richtlinien zur beruflichen Nutzung von OnlineNetzwerken definieren und geeignete Sicherheitslösungen zum Schutz vor Spam und HackerAngriffen installieren. Nach Ansicht von Sophos wird die gezielte Datenspionage in Social Networks in Zukunft weiter steigen.

Christoph Hardy, Security Consultant bei Sophos, kommentiert: 'Für Spammer und Phisher stellen Social Networks ein DatenEldorado dar: Mit der Absicht, über Internet neue Kontakte zu knüpfen, geben zahlreiche Mitglieder unüberlegt persönliche Daten preis und OnlineKriminelle bekommen Zugang zu Informationen, mit denen sie die Nutzer systematisch angreifen können. Die von den PortalBetreibern angebotenen Datenschutzfunktionen werden leider oftmals nicht ausreichend genutzt oder gar ignoriert.'

Nicht nur das bereitwillige Offenlegen persönlicher Daten durch die Mitglieder selbst wird zum Risiko. Immer mehr Hacker nutzen die zunehmende Popularität von Social Networks auch dazu, die Rechner der Nutzer mit Schadcode zu infizieren. Mithilfe gefälschter Newsletter bekannter OnlineNetzwerke oder imitierter Kontaktanfragen beispielsweise versuchen sie, die Empfänger auf Websites zu locken, auf denen Viren oder Trojaner hinterlegt sind. Oft handelt es sich bei den InternetSeiten um eigentlich harmlose, jedoch unzureichend geschützte und von Hackern gezielt manipulierte Websites.

Christoph Hardy: 'Die Beliebtheit sozialer Netzwerke im Internet nimmt über alle Nutzer, Alters und Berufsgruppen hinweg zu. Es gibt heute kaum mehr einen InternetAnwender, der nicht in einem der zahlreichen Social Networks registriert ist. Dass sich auch Spammer, Hacker und Phisher in Online Communities aufhalten können, scheinen bislang die wenigsten zu bedenken. Das Risiko, so zum Opfer krimineller Machenschaften zu werden, steigt. Dabei stellt nicht nur der leichtfertige Umgang mit persönlichen Daten, sondern auch die Infektion von Social Network Websites mit Schadcodes sowie der Missbrauch von Profilen eine ernstzunehmende Gefahr dar: Missbrauchen Cyberkriminelle beispielsweise fremde Profile für ihre Zwecke, kann das dem Ruf des betroffenen Nutzers schnell schaden, nicht nur innerhalb der OnlineGemeinschaft, sondern ebenso im Berufsleben.'