Themenüberblick

Im Reich der falschen Freunde

Im November 1988 startete der US-Student Robert Morris den ersten Internetwurm der Welt. Damals schätzte man, dass das Programm, das nichts weiter tat, als sich selbst im Netz fortzupflanzen, rund 6.000 Rechner infizieren könnte - rund zehn Prozent der damaligen Rechner im Internet. Mit einer Attacke auf Facebook erreicht ein Angreifer heutzutage 600.000 Opfer - und das innerhalb weniger Stunden.

Seit Morris’ historischem Versuch gilt: wo ein Netzwerk, da auch ein Wurm, der es zur eigenen Verbreitung nutzt. Das trifft auch auf Social Networks zu, speziell auf Facebook, das nach eigenen Angaben rund 600 Millionen Nutzer zählt.

Superwurm Facebook

Schon Facebook selbst pflanzte sich im Netz wie ein klassischer Wurm fort: Über die umstrittene Funktion „Friend Finder“ wertete das System hochgeladene Adresslisten seiner Mitglieder aus und nutzte diese zum Versand von Einladungsmails, um die eigene Mitgliederzahl zu steigern. Man könnte Facebook scherzhaft auch als bisher erfolgreichsten Internetwurm bezeichnen, und zwar als einen, der nicht nur auf Computerhardware läuft, sondern auch auf der Großhirnrinde seiner Benutzer.

So ist es kein Wunder, dass auch Malware-Autoren und Cyber-Spaßvögel in der Mauser derselben Logik folgen und Facebook zur Verbreitung ihrer Betrugsversuche (Scams) und Würmer nutzen. Der vom Sicherheitsunternehmen Sophos betriebene Blog „Naked Security“ verzeichnete allein für den 16. Mai drei Facebook-Scams, die sich über die üblichen Mechanismen und Freundesnetzwerke hinweg ausgebreitet haben - von der angeblichen Einführung eines „Dislike Button“ bis hin zu Links, auf denen die arglosen User dazu aufgefordert werden, schädlichen JavaScript-Code in die Adresszeile ihres Browsers zu kopieren, um damit ihren Namen aus den Tags eines YouTube-Videos zu löschen.

„Zahl der Scams steigt permanent“

„Die Zahl der Scams auf Facebook steigt permanent“, so Josef Pichlmayr vom heimischen IT-Sicherheitsunternehmen Ikarus gegenüber ORF.at, „Facebook ist dafür die ideale Plattform, weil dort niemand hinterfragt, welche Auswirkungen es haben kann, wenn man einen Link anklickt. Viele Leute vertrauen dort auch Unbekannten sehr schnell, sobald sie meinen, dass dieser gemeinsame Ziele oder Hobbys verfolgt. Das Problem ist, dass es keine Zahlen darüber gibt, was dort tatsächlich abläuft - diese Zahlen hat nur Facebook selbst.“

Laut Pichlmayr kommt eine „gute Attacke“ auf Facebook auf bis zu 600.000 Kontakte. „Und das innerhalb weniger Stunden“, so der Sicherheitsexperte, „das ist ein irres Potenzial.“ Vor allem eigne sich das Soziale Netzwerk dazu, einzelne User über Betrugsversuche zu „knacken“ und Informationen aus ihnen herauszulocken, die beim Eindringen in Firmennetze behilflich sein könnten.

Wachstum vs. Sicherheit

Gewissermaßen ist Facebook Opfer des eigenen Erfolgs. „Facebook ist rapide gewachsen und die ‚Bösen‘ gehen dorthin, wo die Opfer sind“, sagt Otmar Lendl von der heimischen IT-Sicherheitsagentur CERT.at, „der ‚Gesamtmarkt‘ von Scams & Co. wächst - und damit bekommt auch Facebook mehr ab.“

Facebook verdient sein Geld mit Werbung. Zudem bereitet das Unternehmen derzeit intensiv seinen Börsengang vor, der laut Informationen des „Wall Street Journal“ Anfang 2012 erfolgen soll. „Facebook macht seinen Umsatz nicht damit, seine Nutzer zu schützen“, warnt Sophos-Mitarbeiter Paul Ducklin in einem Beitrag zu den jüngsten Änderungen des Portals an seinen Sicherheitsmaßnahmen, „der Umsatz kommt von dem Datenverkehr, den die Nutzer generieren, während sie die Site benutzen.“ Sprich: Sicherheitsmaßnahmen, die User dazu bringen könnten, zu denken, bevor sie klicken, sind in diesem Umfeld eher kontraproduktiv.

Zuckerbergs Gegenmaßnahmen

Nach seiner stürmischen Wachstumsphase erkannte aber auch Facebook, dass mangelnde Sicherheit in Zukunft seine Geschäftsgrundlage gefährden könnte. Am 12. Mai gab das Social Network bekannt, den Sicherheitsmechanismus des Unternehmens Web of Trust einzusetzen, um Nutzer vor potenziell schädlichen Websites zu warnen. Auch der Schutz gegen das Clickjacking, bei dem die Nutzer von Kriminellen dazu gebracht werden, Links zu Schadsoftware zu folgen, sei verbessert worden.

Auch von Scammern über Facebook verbreiteter Schadcode, den sich die Nutzer in die Adresszeile des Browsers kopieren sollen, wird besser erkannt und ausgefiltert. Loggt sich jemand mit dem Passwort eines Users von einem bisher nicht mit dem Account verwendeten Gerät aus ein, wird dem Nutzer eine Warnung angezeigt und er muss einen Sicherheitscode eingeben, den Facebook ihm auf seine Mobilfunknummer schickt.

Verschlüsselte Verbindungen gefordert

Den Sicherheitsexperten von Sophos reicht das aber noch nicht aus. Sie forderten in einem offenen Brief, dass Facebook Daten nur noch mit dem ausdrücklichen Einverständnis seiner Nutzer weitergeben solle. Außerdem sollte Facebook die Entwickler von Apps für seine Plattform besser untersuchen, bevor diese zugelassen werden, aufgrund des mangelnden Prüfprozesses gebe es zu viele schwarze Schafe unter den Entwicklern. Außerdem sollte die Kommunikation mit den Usern ausschließlich über verschlüsselte Verbindungen (https) laufen. Facebook bietet diese Möglichkeit zwar, sie ist aber „ab Werk“ deaktiviert - zum Nachteil der Nutzer.

Während traditionelle Abzockversuche, in denen etwa der Schwager von Oberst Gaddafis Hausmeister über den Account eines indonesischen Freemailers dem Opfer im Austausch gegen dessen echte Kontodaten einen sauberen Schnitt an nicht existierenden Ölmillionen anbietet, heute auch bei unerfahrenen Usern den Finger automatisch zur „Entfernen“-Taste zucken lässt, verbreiten sich Facebook-Betrugsversuche über Freundeskontakte, denen man vertraut.

Falsche Freunde

„Die Nachricht von deinem ‚Freund‘ muss nicht notwendigerweise von diesem selbst stammen“, warnt Otmar Lendl, „sein Account könnte von Betrügern übernommen worden sein.“ Der Schutz vor Angriffen auf Facebook ist daher schwierig. Lendl: „Da gibt es kein simples ’mach X, dann ist alles okay. Dazu unterscheiden sich die Betrugsversuche viel zu stark voneinander.“ Besonders fahrlässig sei es, von Betrügern angebotenen JavaScript-Code in seine Browserzeile zu kopieren. Damit könnten die Angreifer auch die Kontrolle über den Account des Nutzers erlangen.

Einer der mächtigsten Impulse im menschlichen Sozialleben ist wohl der zur Nachahmung. Genau diesen gilt es aber auf Facebook zu unterdrücken, so Lendl. Die wichtigste Regel laute: „Denken vor klicken. Gesunden Menschenverstand einschalten. Nicht alles glauben und ohne Nachdenken alles nachmachen, was Freunde gemacht haben.“

Günter Hack, ORF.at

Links: