Social Engineering mittels sozialer Netzwerke

Aus Winfwiki

1 Einleitung

1.1 Motivation

Im Rahmen des Web 2.0 nimmt die Interaktion einzelner Benutzer im Internet rapide zu. Ausgehend von der Nutzung von Kommunikationssoftware auf Textbasis und der darauf aufbauenden Kommunikationsmöglichkeiten über Voice-over-IP ist ebenfalls ein Trend zur Bereitstellung einer eigenen Identität im Internet zu erkennen.

Ein derzeit sehr diskutierter Webservice ist die Bereitstellung von sozialen Netzwerken. Diese sozialen Netzwerke ermöglichen eine Interaktion zwischen Benutzern auf Basis eines im Internet erstellten Profils, wobei die Kommunikation zwischen den Benutzern über zum sozialen Netzwerk gehörige Webdienste erfolgt.

Die Nutzung von sozialen Netzwerken als Webdienst hat im Hinblick auf Zusammenarbeit, Kontaktmanagement und Meinungsaustausch Vorteile, wobei die vom sozialen Netzwerk individuell angebotenen Services natürlich Grundlage für die Nutzungsmöglichkeiten der Teilnehmer sind.

Aus den Vorteilen der sozialen Netzwerke ergeben sich aber auch viele problematische und risikoreiche Faktoren, die derzeit sehr intensiv öffentlich diskutiert werden. Um diese Risiken einzuschränken versuchen die jeweiligen Betreiber der Netzwerke technische Sicherungsmaßnahmen einzuführen. In der Literatur finden sich des Weiteren Sicherheitskonzepte, die technische Maßnahmen empfehlen, aber verstärkt auch auf präventive Maßnahmen im persönlichen Bereich hinweisen.

Der Sicherungsmaßnahmen zum Trotz ist die Angabe umfangreicher persönlicher Informationen in sozialen Netzwerken natürlich vom jeweiligen Betreiber erwünscht und in manchen Fällen sogar Voraussetzung, um eine Identität in einem sozialen Netzwerk zu erstellen.

1.2 Zielsetzung

Das Ziel dieser Fallstudie ist die Analyse der in sozialen Netzwerken bereitgestellten Informationen zum Zwecke des Social Engineering. Des Weiteren sollen in dieser Fallstudie Angriffsszenarien dargestellt und auf Ihr Gefährdungspotential hin bewertet werden. Auf Basis dieser Diskussion erfolgt abschließend eine Darstellung der technischen und persönlichen Sicherheitsmaßnahmen zum Schutz vor Social Engineering-Angriffen mittels sozialer Netzwerke.

Aufgrund der schnellen Weiterentwicklung, der Komplexität der sozialen Netzwerke sowie immer neuen Angriffsmöglichlichkeiten über Social Engineering erhebt diese Fallstudie keinen Anspruch auf Vollständigkeit der dargestellten Risiko- und Sicherungsfaktoren.

Anhand dieser Fallstudie soll eine grundsätzliche Sensibilisierung hinsichtlich der in sozialen Netzwerken dargestellten Informationen und deren Potential für soziale Angriffe auf die jeweiligen Nutzer erreicht werden. Die hierfür gewählten Angriffs- und Sicherungsvarianten sind daher nur als Beispiele zur Verdeutlichung des Sachverhaltes zu bewerten.

1.3 Aufbau der Fallstudie

Innerhalb der Fallstudie sollen zunächst die in einem sozialen Netzwerk bereitgestellten Informationen hinsichtlich Ihres Nutzen für Social Engineering im privaten und beruflichen Bereich analysiert werden. Hierbei soll kein Vergleich einzelner sozialer Netzwerke erfolgen, sondern eine möglichst allgemeine Bewertung für die derzeitige Umsetzung verschiedenster sozialer Netzwerke dargestellt werden.

Darauf aufbauend werden konkrete Angriffsszenarien dargestellt, die ein hohes Gefährdungspotential besitzen. Hierbei soll nicht nur auf die klassische Variante des Social Engineerings mit persönlichen Kontakt zum Opfer ein Augenmerk gelegt werden, sondern zusätzlich sollen auch die Möglichkeiten einer automatischen Auswertung der Informationen aus sozialen Netzwerken sowie die Nutzung der vom sozialen Netzwerk bereitgestellten Kontaktmöglichkeiten dargestellt werden.

Zuletzt soll eine Beschreibung der für soziale Netzwerke verfügbaren Sicherungsmaßnahmen erfolgen. Hierbei stehen nicht ausschließlich die technischen Sicherungsmaßnahmen im Vordergrund. Zusätzlich sollen auch Sicherungsmaßnahmen außerhalb der technischen Umsetzung, daher auf persönlicher Ebene, beleuchtet werden.

Die Ausführungen dieser Fallstudie erfolgen mit dem Ziel, möglichst allgemein die Risiken sozialer Netzwerke im Hinblick auf Social Engineering zu erfassen. Die genaue Umsetzung der Sicherheitsmechanismen und somit auch eine mögliche Einschränkung der für einen Social Engineering-Angriff zur Verfügung stehenden Informationen und Dienste ist vom jeweiligen Webdienst abhängig. Auch kann eine Analyse der sozialen Netzwerke vor dem Hintergrund des Social Engineerings nur auf den aktuellen Zeitpunkt bezogen erfolgen.

2 Grundlagen

2.1 Begriffsdefinitionen

2.1.1 Soziales Netzwerk

Der Begriff "soziales Netzwerk" beschreibt einen Webdienst, der die Erstellung eines eigenen Nutzerprofils ermöglicht. Dieses Nutzerprofil dient als Abbild eines virtuellen Ego und kann mit anderen Nutzerprofilen in Interaktion treten. Hierbei stehen in der Regel verschiedene Medien bereit. So kann eine Interaktion durch Kontaktlisten erfolgen, aber auch über Nachrichtenaustausch, Forumsdiskussionen oder anderen Webdiensten innerhalb des Webdienstes des "sozialen Netzwerkes".

Eine umfassende Erklärung erfolgt ebenfalls im Rahmen des "Klicksafe"-Projektes durch die Landeszentrale für Medien und Kommunikation (LMK) Rheinland-Pfalz. Diese Definition lautet wie folgt: "Der Begriff (social networks) bedeutet schlicht übersetzt „soziale Netzwerke“. Auf einer Plattform im Internet erstellen Nutzer ein eigenes Profil mit möglichst vielen persönlichen Angaben, wie Hobbys, Interessen, derzeitige Lebenssituation, Familien- bzw. Partnerschaftssituation usw. Die Nutzer tauschen sich primär mit anderen aus, die die gleichen Interessen wie sie haben oder suchen nach neuen Kontakte im sozialen Umfeld. Soziale Netzwerke funktionieren ergo über die Selbstdarstellung ihrer Nutzer."^[1]

2.1.2 Social Engineering

Social Engineering beschreibt eine Art der unberechtigten Informationsbeschaffung auf Basis zwischenmenschlicher Beziehungen. Durch Vortäuschung falscher Tatsachen wird das Vertrauen einer Person benutzt, um unberechtigt sensible Informationen zu bekommen. Hierzu wird im Vorfeld das private und/oder berufliche Umfeld des Opfer ausspioniert, um Vertrauen im direkten Kontakt aufbauen zu können.

Eine Definition des Bundesamtes für Sicherheit in der Informationstechnik lautet wie folgt: "Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch "Aushorchen" zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln. (...) Eine weitere Strategie beim systematischen Social Engineering ist der Aufbau einer längeren Beziehung zum Opfer. Durch viele unwichtige Telefonate im Vorfeld kann der Angreifer Wissen sammeln und Vertrauen aufbauen, das er später ausnutzen kann.

Solche Angriffe können auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden Stufen erworben wurden."^[2]

Folgendes Grundmuster ist als typischer Ablauf für Social Engineering-Angriffe zu sehen^[3]:

2.2 Psychologischer Hintergrund

Die rasant steigende Mitgliederzahl sozialer Netzwerke lässt sich sowohl durch praktische Nutzenvorteile erklären, aber auch durch psychologische Faktoren. Gruppenzwang, auch Konformitätsdruck genannt, hat starken Einfluss auf der Teilnahme an sozialen Netzwerken.

Es werden zwei Einflussfaktoren auf den Konformitätsdrucks unterschieden. Der informative Einfluss beruht auf dem Informationswert der in den Meinungen anderer Personen enthalten ist. Ein Beispiel des informativen Einflusses ist der Druck zu Konformität, wenn andere Gruppenmitglieder Experten sind.

Der normative Einfluss beruht auf dem Bedürfnis von anderen Menschen akzeptiert und bestätigt zu werden. Ein Beispiel des normativen Einflusses ist der Druck zur Konformität ab einer Gruppengröße von drei Personen. Die mögliche Gruppengröße bzw. Freundeskreisgröße wird in sozialen Netzwerken oft weit übertroffen.^[4]

Das grundsätzliche, oder auch anfängliche, Vertrauen in Andere ist individuell und abhängig von der Orientierung und Vorstellung. Die bisherigen persönlichen Erfahrungen mit Vertrauenspersonen oder sozialen Netzwerken beeinflussen das Vertrauen. Von uns akzeptierte Personen können als Vertrauensüberträger dienen. Diese Erkenntnis wird in den meisten sozialen Netzwerken genutzt. Zum einen werden uns potenziell bekannte Personen angezeigt, aber auch welche von uns schon akzeptierte Person die uns fremde Person schon akzeptiert hat.

Weitere vertrauensfördernde Faktoren sind gleiche soziale Schichten sowie Altersgruppen. Die Vertrauenswürdigkeit kann durch Offenlegung persönlicher Daten gestärkt werden. Der offene Umgang mit persönlichen Daten schafft Vertrauen. Alle diese Faktoren kann ein potentieller Angreifer nutzen, um Vertrauen zu suggerieren.

3 Gefahrenpotential

Das Gefahrenpotential des Social Engineering ist in den letzten Jahren vor allen Dingen im unternehmerischen Bereich in den Vordergrund gerückt. Dies zeigt eine steigende Anzahl an Seminar- und Literaturangeboten. Die Gefahren, die von Social Engineering speziell im Bereich der sozialen Netzwerke ausgehen, sollen im Folgenden diskutiert werden.

3.1 Privates Umfeld

Im privaten Umfeld ist das Thema des Social Engineerings mittels sozialer Netzwerke vielen Anwendern noch nicht bewußt. Viele Profile in sozialen Netzwerken erlauben den Einblick in umfassende Daten zu einer Person.

In den meisten sozialen Netzwerken werden so genannte "privatsphärerelevante" Daten als Standardangabe für neue Benutzer angesehen. Diese Daten sind in §3 Absatz 9 des Bundesdatenschutzgesetzes wie folgt definiert: "Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben." ^[5]

Mit dem Wissen dieser Informationen kann manipulativ auf andere Personenen eingewirkt werden oder ihr Verhalten lässt sich voraussagen. ^[6] Eben diese Daten bilden also das Fundament, dass für Social Engineering benötigt wird. Durch Nutzung dieser Informationen für eine Kontaktaufnahme können Vertrauensbasen geschaffen werden, die eine Informationsermittlung durch einen Angreifer ermöglichen.

Ziele der Angriffe sind im privaten Umfeld oftmals Kreditkarten- und/oder Adressinformationen, die für sehr hohe Summen weiterverkauft werden können, wie einige Datenschutzskandale der letzten Zeit belegten.

3.2 Berufliches Umfeld

Im beruflichen Umfeld ist zunächst natürlich die reine Informationsermittlung ein nicht zu unterschätzendes Risiko. Mit den gewonnen Informationen über ein Profil oder durch tatsächliches Social Engineering auf Grundlage der aus den sozialen Netzwerken ermittelten Informationen können Kundendaten, sicherheitsrelevante Daten eines Unternehmens aber auch Informationen für Sicherheitsangriffe auf ein Unternehmensnetzwerk in Erfahrung gebracht werden.

Durch die Veröffentlichung von sicherheitsrelevanten Daten können einem Unternehmen neben Rufschädigung auch kommerzielle Verluste entstehen, wenn die entsprechenden Informationen etwa Daten über zukünftige Produkte oder Marktstrategien enthalten oder zugängig machen.

4 Informationsquellen in sozialen Netzwerken

In vielen Fällen sind die Informationen, die in sozialen Netzwerken angegeben werden, annähernd gleich. Trotzdem gibt es verschiedene Gefahrenquellen, die sich nicht nur aus den offensichtlichen Informationen eines Profils ergeben. Auf die verschiedenen Gefahrenquellen der Netzwerke soll im Folgenden eingegangen werden.

4.1 Benutzerprofile

In allen untersuchten sozialen Netzwerken wurden personenrelevante Daten bei einer Neuanmeldung zumindest optional als Angabe vorgeschlagen. Neben personenbezogenen Daten wie dem Geburtsdatum wurde auch die Angabe von Kontaktinformationen, wie etwa der Telefonnummer, Adresse oder zumindest Ort oder der E-Mail Adresse ermöglicht. Nicht zuletzt können auch weitere Informationen, wie etwa Angaben zum Beziehungsstatus, Hobbies oder politischer Gesinnung hinterlegt werden.

Hinsichtlich einer Basis für Social Engineering im beruflichen Umfeld können weitergehend Informationen über den Arbeitgeber einer Person sowie vergangener Arbeitgeber in sozialen Netzwerken veröffentlicht werden.

Eine Angabe aller Informationen, die durch die Betreiber der sozialen Netzwerke gefordert werden, führt zu einer sehr umfangreichen Basis für Social Engineering-Angriffe. Diese Informationen können allein schon genügen, um sicherheitsrelevante Informationen wie Passwörter oder PIN-Nummern zu erraten.

Generell kann bereits ein sehr umfangreich ausgefüllte Profile einen Social Engineering Angriff mit hohen Erfolgschancen ermöglichen. Die Informationsermittlung über mehrere Plattformen jedoch stellt ebenfalls eine Möglichkeit dar, vor einem Social Engineering Angriff umfassende Informationen über eine Person zu ermitteln.

Der Sicherheitsspezialist Sophos untersuchte in einem Test das Gefahrenpotenzial dieser Informationsfreigabe: "Unter dem Pseudonym 'Natalie' wurde ein Profil im deutschsprachigen Online-Netzwerk Wer-kennt-wen erstellt, inklusive dem Foto einer leicht bekleideten jungen Frau sowie einigen Angaben zu persönlichen Interessen und Vorlieben. Beschrieben wurde 'Natalie' unter anderem als 'suchend' und 'für alles aufgeschlossen'." ^[7]. Nach der Erstellung dieses Profils wurde innerhalb eines definierten Zeitraumes auf Reaktionen der Nutzer gewartet. Nach fünf Minuten wurde das Profil entfernt. "Die fingierte Single-Frau erhielt 19 sofort bestätigte Kontakte, 27 E-Mails mit Kontaktanfragen sowie 48 Nachrichten und damit freien Zugang zu den persönlichen Daten der anderen Mitglieder, wie zum Beispiel Adresse, Alter, Instant-Messenger-Namen und persönliche Interessen." ^[8]

In einem weiteren Test wurde ein Benutzerprofil im sozialen Netzwerk "Facebook" angelegt. In diesem Profil wurden unter dem Namen "Freddy Staur" einige persönliche Informationen angegeben und als Benutzerbild das Bild eines Plastikfrosches hinterlegt. Abschließend wurde eine Kontaktanfrage an 200 zufällig ausgewählte Facebook-Nutzer gesendet.

Folgende Reaktionen wurden auf das erfundene Benutzerprofil erfasst^[9]:

Neben direkten Angriffen auf den Besitzer eines Profils wird natürlich auch die Nutzung eines Profils mit dem Ziel eines Identitätsdiebstahls ermöglicht und mit zunehmendem Informationsgehalt eines Benutzerprofils potentiell erfolgreicher.

4.2 Gruppen

Die Zugehörigkeit zu Benutzergruppen kann, zusätzlich zu den Bereits im Profil angegebenen Daten, weitergehende Informationen für einen Social Engineering-Angriff direkt oder indirekt bereitstellen. Beispiele für weitergehende Informationen wären etwa die Zugehörigkeit zu Hochschulen oder Firmen, auch wenn diese nicht im Profil des Benutzer angegeben wurden.

Auch Hobbies und Charaktereigenschaften lassen sich aus Gruppennamen herauslesen. Diese Informationen bieten natürlich auch Kommunikationsmöglichkeiten mit einem Nutzer und können somit den Aufbau einer Vertrauensbasis zu einer zunächst fremden Person ermöglichen.

Oftmals bietet die Gruppenzugehörigkeit die Möglichkeit, innerhalb dieser Gruppe Foreneinträge zu erstellen. Diese Foreneinträge sind direkt der Einzelperson zuzuordnen und stellen daher ein größeres Sicherheitsrisiko dar, als dies bei Foren ohne dahinterliegendem sozialen Netzwerk der Fall ist. Meinungsäußerungen sind innerhalb sozialer Netzwerke nicht pseudonymisiert und somit direkt einer real existierenden Person zuzuordnen.

Neben Gruppen, die ausschließlich Informationen über eine Person angeben, werden in sozialen Netzwerken Gruppen auch vielfach zur Organisation von Treffen in der Realität genutzt. Somit sind neben der reinen Beschreibung der Einzelperson auch Rückschlüsse darauf möglich, dass sich eine betroffene Person zu einer bestimmten Zeit bei einem der angesprochenen Treffen aufhält oder daran teilgenommen hat.

4.3 Kontaktlisten

Die Kontaktlisten einer Person stellen viele Informationen bereit, die im Rahmen des Social Engineering von Interesse sein können. Die Vernetzung mit anderen Nutzern der sozialen Plattform führt zu einer "[s]tarke[n] Verknüpfung von Daten entlang der in den Plattformen abgebildeten Beziehungen zwischen den Nutzern. Diese Verknüpfungen ermöglichen das Extrahieren neuer Informationen über den Informationsgehalt einzelner Datenobjekte hinaus".^[10]

So könnten sich zum Beispiel durch Kontaktlisten, vorrangig aus sozialen Netzwerken mit dem Ziel beruflicher Nutzung, Rückschlüsse auf Geschäftsprozesse oder -verträge mit Fremdfirmen ziehen lassen.

Im Rahmen der übergreifenden Angriffsmöglichkeiten für den privaten und beruflichen Bereich lassen sich direkt Informationen über nahestehende Personen abbilden, die beispielhaft als Grundlage zum Informationsaustausch mit einem vermeintlich "Bekannten eines Bekannten" führen könnten.

Durch die Plege einer Kontaktliste werden daher im Zuge eines Social Engineering-Angriffes Informationen zum Beziehungsaufbau zwischen Opfer und Social Engineer bereitgestellt, deren Gewinnung ohne soziale Netzwerke nicht so leicht möglich wäre.

4.4 Suchfunktionen

Die Suchfunktion in sozialen Netzwerken ermöglicht, sofern Sie die Suche nach bestimmten Kriterien zulässt, eine "Depseudonymisierung". Benutzer, die ihre pseudonymisierte Daten für anderen Informationsaustausch beispielsweise in Foren verwenden, können somit eindeutig einem Benutzerprofil in einem sozialen Netzwerk zugewiesen werden: "Verwendet man z. B. in einem politischen Forum ein Pseudonym Hase123 mit der E-Mail-Adresse hase123@emailprovider.de, dann sollte man diese Adresse nicht bei facebook oder myspace angeben. Andernfalls kann ein Angreifer mit der jeweiligen Plattformsuche leicht herausfinden, welche Person sich hinter der E-Mail-Adresse hase123@emailprovider.de verbirgt." ^[11]

4.5 Weitere Dienste

Je nach Plattform stehen weitere Dienste bereit, die Informationen über einen Nutzer bereitstellen können. Ergebnisse von Minispielen, wie Sie beispielsweise im sozialen Netzwerk "Facebook" eingesetzt werden können, werden an alle Nutzer der Kontaktliste einer Person über eine Nachricht zur Verfügung gestellt.

Diese Informationen bieten weiteres Potential, um einen Social Engineering-Angriff zu ermöglichen, da sowohl die Art des Minispiels als auch Ergebnisse von Fragespielen auf ein bestimmtes Nutzerprofil zurückzuführen sind und weitere Informationen über die entsprechende Person enthalten können.

5 Angriffsszenarien

Social Engineering ist ein Überbegriff, der viele Arten von sozialen Angriffen auf Personen beschreibt. Drei konkrete Beispiele sollen hier dargestellt werden. Da diese Darstellung keinen Anspruch auf Vollständigkeit erhebt, sollte über die dargestellten Szenarien hinaus ebenfalls erhöhte Wachsamkeit zum Schutz gegen Social Engineering im privaten sowie beruflichen Umfeld gelten.

5.1 Identitätsdiebstahl

Durch die Bereitstellung von persönlichen Informationen in sozialen Netzwerken, die zusätzlich noch mit Profilfotos und gegebenfalls weiteren Bildern des Nutzer versehen werden, ergibt sich die Möglichkeit eines Identitätsdiebstahls.

Die Anmeldung an sozialen Netzwerken erfordert derzeit keine Legitimation der eingegebenen Daten. Somit muss ein Benutzerprofil nicht zwingend durch die entsprechende Person erstellt werden, die innerhalb des Benutzerprofils virtuell abgebildet wird, sondern kann auch von Fremden Personen angelegt werden.

Grundlage hierfür könnte die Informationsgewinnung aus anderen sozialen Netzwerken sein. Da die Echtheit eines Profils nicht durch andere Nutzer der sozialen Plattform verifziert werden kann, kann dieser Weg die Möglicheit bieten, sich das Vertrauen Dritter zu erschleichen und somit schutzbedürftige Informationen zu erhalten.

Prominentes Beispiel für den satirischen Aufbau eines Benutzerprofils auf Basis einer real existierenden Person ist beispielsweise die vermeintliche Twitter-Seite des SPD Spitzenkandidaten Thorsten Schäfer-Gümbel, der auf das Satiremagazin "Titanic" zurückzuführen ist.^[12]

Abb.1 - oben: Twitter Mikroblog des SPD Landtags- und Fraktionsvorsitzenden des Landes Hessen, Thorsten Schäfer-Gümbel, erstellt vom Satiremagazin "Titanic", http://twitter.com/tsghessenspd

unten: Twitter Mikroblog des SPD Landtags- und Fraktionsvorsitzenden des Landes Hessen, Thorsten Schäfer-Gümbel, http://twitter.com/tsghessen

Nahezu identisch zum Mikroblog der realen Person Thorsten Schäfer-Gümbel^[13] liegt eine Verwechslungsgefahr der beiden Profile nahe.

Die European Network and Information Security Agency (Enisa) erstellte ein Arbeitspapier, in dem der Identitätsdiebstahl ebenfalls als realistisches Angriffsszenario dargestellt wird: "Such [theft] profiles can be used to lure unsuspecting users into divulging information which can be used for phishingattacks. For example, by masquerading as a person’s offline friend (which is not difficult to do), it is possible to trick them into giving out location data". Des Weiteren: "False profiles are used to advertise products while pretending to be a ‘friend’ of the target."^[14]

5.2 Vorgabe falscher Kontaktgründe

Die Vorgabe falscher Kontaktgründe basiert auf dem Identitätsdiebstahl. Hierbei kann allein durch die Aufbereitung eines Profils der Anschein erweckt werden, dass ein berechtigtes Interesse an einer Kontaktaufnahme besteht.

Ein sehr bekanntes Beispiel sind Anfragen von vermeintlichen Vereinsmitgliedern, Firmenangehörigen oder Geschäftspartnern in sozialen Netzwerken. Hierbei wird das Vertrauen des Nutzers durch die Bereitstellung von passenden Informationen im Profil des Angreifers erreicht.

Sollte nun eine Kontaktaufnahme zu einem Nutzer auf Basis der in einem Benutzerprofil hinterlegten Informationen erfolgreich sein, können im Verlaufe weiterer Gespräche schützenswerte Daten durch den Angreifer ermittelt werden.

Die fehlende Sensibilisierung für solche Kontaktanfragen und somit die potentielle Gefahr dieses Szenarios lässt sich auf Basis des bereits genannten Tests der Firma Sophos belegen und die Vorgabe falscher Informationen zur Kontaktaufnahme stellt somit eine reale Gefahr im persönlichen und beruflichen Bereich dar.

5.3 Automatisierte Angriffe

Automatisierte Angriffe in sozialen Netzwerken sind durch den Computerwurm "Koobface" bekannt geworden. Ein Computerwurm ist ein "Computervirus, der sich als Anhang von E-Mails über Netzwerke selbstständig verbreitet."^[15]

Koobface versendet sich eigenständig als Nachricht über soziale Netzwerke. Zwar sind derzeit vorrangig soziale Netzwerke betroffen, die in den USA einen hohen Bekanntheitsgrad besitzen, jedoch trifft die Gefahr durch multilinguale soziale Netzwerke auch auf andere Länder zu. Neben multilingualen sozialen Netzwerken ist eine Anpassung an ein andersprachiges soziales Netzwerk eine ebenso reale Gefahr.

Generell stellt natürlich die zunehmende Globalisierung auch hinsichtlich sozialer Netzwerke länderübergreifende Plattformen bereit, womit sich die Ausbreitungsgefahr des Wurms nochmals erhöht. Problematisch für automatische Angriffe ist an diesem Punkt die verschiedensprachige Nutzung der jeweiligen sozialen Plattform. Entsprechende Interpretationsmöglichkeiten des Wurms zur Erkennung und Nutzung verschiedener Sprachen könnten dieses Problem jedoch größtenteils umgehen.

Abb.2 - Verteilung des Wurms Koobface^[16]

Die aktuellsten Versionen des Wurms "Koobface" täuschen Nutzern des sozialen Netzwerkes vor, das sie eine Nachricht von einem Bekannten erhalten haben. Diese Nachricht enthält einen Link zu einer bösartigen Website, die den Benutzer auffordert, ein Plug-in zu installieren oder eine Datei herunterzuladen. Dieses vermeintlich ungefährliche Plug-in oder die ungefährliche Datei enthalten einen Trojaner, der die Verbreitung des Wurms auf Basis des sozialen Netzwerkes sicherstellt. Durch eben diese Nutzung der Dienste sozialer Netzwerke, wie etwa einer Kommentar- oder Nachrichtenfunktionen, täuscht der Wurm eine reelle Person vor, um eine sichere Quelle der Nachricht zu suggerieren.^[17]

Eine Überraschung war die Entwicklung eines Wurms in sozialen Netzwerken indes nicht. Seit längerer Zeit wird die Nutzung von Würmern in sozialen Netzwerken von Virusexperten als zunehmende Gefahr eingeschätzt. Kaspersky Labs schreibt hierzu in einem Bericht über die Entwicklung von Schadsoftware im Jahre 2007 im Vergleich zu 2006, ein Kriterium der "Malware 2.0" wäre "skilled use of social engineering tactics;". Des Weiteren wird eine Zunahme der Nutzung von Schadsoftware in sozialen Netzwerken für 2008 vorhergesagt: "In 2008, phishing is expected to undergo major changes and to increasingly target social networks. Subscriber account data for services such as Facebook, MySpace, LiveJournal, Blogger, and other similar services, will become more frequently targeted by malicious users. This will become an important alternative method to infecting hacked sites with malware. In 2008, a number of Trojan programs will spread via the blogs and profiles of social network user accounts."^[18]

Abb.3 - Top 8 Erkennungen je Schadsoftware-Familie^[19]

Neben der Nutzung von sozialen Netzwerken mit Fokus auf Kontaktmanagement (bsp. XING, StudiVZ, LinkedIn, etc.) sind auch Gefahrenpotentiale in Mikroblogging-Netzwerken ein wichtiges Thema. So können vermeintlich interessante Links, die in einem Mikroblog einer dem Nutzer bekannten Person oder einer Person mit vielen Abonnenten des Mikroblogs zu bösartigen Webseiten führen. Beide Varianten, sowohl das Einstellen eines Links durch eine dem Nutzer bekannte Person oder einer Person mit vielen Abonnenten des Mikroblogs, vermitteln auch hierbei wieder ein Sicherheitsgefühl.

Um die schädliche URL nicht direkt sichtbar werden zu lassen und somit allzu offensichtlich zu handeln, werden in diesem Zusammenhang oftmals Services genutzt, die echte Adresse einer Website verschleiern. Da der eigentliche Sinn dieser Dienste darin besteht, sehr lange Webadressen zu kürzen, werden diese Links als legitim anerkannt. Der somit hinsichtlich des Social Engineerings genutzte Nebeneffekt ist die Verschlüsselung der eigentlichen Adresse. ^[20]

6 Sicherheitsaspekte

6.1 Technische Sicherungsmechanismen

Jedem Profil wird vom Webservicebetreiber eine eindeutige Identifikationsnummer zugeordnet. Somit wird sichergestellt, dass bei gleichem Namen eine Unterscheidung der Profile gewährleistet ist.

Betreiber von sozialen Netzwerken bieten in der Regel eine Vielzahl von Optionen an um die Informationen des eigenen Profils gegen unbefugten Zugriff zu schützen. Die Informationen des Profil sind per Default für alle zugänglich. Es bedarf der Mitwirkung des Benutzers diesen Zugriff einzuschränken. Die Informationen können durch Einstellung der Optionen nur bestimmten Gruppen des sozialen Netzwerks zugänglich gemacht werden. Die Optionen können für Kontaktdaten, Gruppenzugehörigkeit und Fotos meist getrennt gesetzt werden. Die Freigabe der Daten für Suchmaschinen kann auch unterbunden werden. Somit werden keine im Profil vorhandenen Daten in ein Suchmaschinenergebnis einfließen. Verlinkungen des eigenen Profils auf Fotos oder Videos die von anderen Mitgliedern angelegt wurden, können gelöscht werden. Noch sicherer aber ist die Möglichkeit bei jeder Verlinkung des eigenen Profils dies durch eine Bestätigung abzusichern.

Was für die Informationen gilt, kann auch auf die Kommunikation übertragen werden. Hier können Optionen gesetzt werden die die Kommunikation zum Beispiel nur für bestätigte Freunde zu erlauben. Sollte eine Kontaktaufnahme ungewünscht sein, so gibt es zusätzlich die Möglichkeit, einzelne Benutzer auf eine Blacklist zu setzen. Sollte ein Benutzer weiterhin Nachrichten schreiben, so werden diese vom System verworfen.^[21]

Es sollten Blacklists für URL Adressen, auf denen Phishing betrieben wird, erstellt werden können. Diese URL Adressen können somit nicht mehr in Nachrichten verwendet werden.

Erhält man dennoch eine Nachricht mit einer URL und folgt dieser URL auf die entsprechende Homepage so besteht die Gefahr Opfer von Phishing zu werden. Um Phishing zu vermeiden sind in aktuellen Browserversionen Phishing Filter eingebaut. Der Browser lädt sich die aktuelle Liste der Phishing Seiten herunter und legt die Datei lokal auf dem Rechner ab. Wird nun eine in der Liste enthaltene Phishingseite aufgerufen warnt der Browser und zeigt nicht die Homepage sondern eine Warnmeldung an.^[22]

Abb. 4 - Warnung vor einer Betrugsseite

6.2 Persönliche Sicherungsmaßnahmen

Die wichtigste persönliche Sicherungsmaßnahme ist der bewusste Umgang mit Daten. Es sollte immer geprüft werden, wer auf persönliche Daten zugreifen kann, wenn man diese in einem sozialen Netzwerk freigibt.

Bekommt man eine Kontaktanfrage sollte diese nicht ungeprüft bestätigt werden. Es ist durchaus möglich, dass eine Person sich mit einer fremden Identität ausgibt um so mein Vertrauen zu erwecken. Die Identität der Kontaktanfrage könnte durch ein Telefonat oder durch E-Mail Kommunikation verifiziert werden.

Ein weiterer sehr wichtiger Punkt sind sichere Passwörter. Das Passwort sollte zum einen einprägsam sein, aber auch sicher. Was nützt ein komplexes Passwort, wenn man es dann doch wieder in irgendeiner Form notieren muss. Somit empfiehlt sich ein Passwort, welches aus mindestens acht Zeichen besteht und sowohl Groß- und Kleinschreibung als auch Zahlen sowie Sonderzeichen enthält. Dies vermindet vor allem die Wahrscheinlichkeit, ein Passwort auf Basis der mit Social Enginnering über das soziale Netzwerk ermittelten Daten zu erraten.

Die Plattform des sozialen Netzwerks sollte nur eine begrenzte Anzahl an Anmeldeversuchen zulassen, um Angiffe mit automatisierten Systemen zu unterbinden. Es empfiehlt sich die genutzte Software (Betriebssystem, Browser, Virenscanner etc. ) in regelmäßigen Abständen zu aktualisieren. Bekannte Sicherheitslücken werden dadurch geschlossen.

7 Schlussbetrachtung

Social Engineering mittels sozialer Netzwerke wird nicht als potentielle Gefahrenquelle erkannt. Das allgemeine Vertrauen von Personen kann ausgenutzt werden, um Informationen zu sammeln. Die ermittelten Daten können weitere Informationen enthalten, die den Aufbau einer Vertrauensbasis und somit auch mehrstufige Social Engineering-Angriffe ermöglichen.

Social Engineering mittels sozialer Netzwerke kann im privaten und im geschäftlichen Bereich zu Rufschädigung sowie im geschäftlichen Bereich zu Umsatzverlust führen. Bedenkt man die Möglichkeit von Social Hacking, also einen Angriff auf IT-Systeme auf Basis der Informationen die durch Social Engineering gewonnen wurden, so können auch weitere Schäden entstehen.

Die von den sozialen Netzwerken angebotenen Optionen zur Datenrestriktion sind nicht einheitlich. Dies erschwert dem Benutzer den Umgang mit den Plattformen und birgt die Gefahr, dass schützenswerte Informationen unbeabsichtigt frei zugänglich sind.

Die Entwicklung neuer Dienste innerhalb einer Plattform bietet neue Angriffspunkte für Social Engineering. Möchte man einen neuen Dienst nutzen, so werden persönliche Daten für den Dienst freigegeben. Dies ist deshalb problematisch, da die Dienste nicht unbedingt vom Plattformbetreiber sondern auch von Dritten stammen können.

Es besteht die Gefahr von automatisierten Angriffen, wie das Beispiel Koobface beweist. Eine Erkennung falscher Nachrichten wird mit fortschreitender Technik der Angreifer immer schwieriger.

Die Möglichkeiten persönliche Daten zu schützen sind grundsätzlich gegeben. Es fällt allerdings auf, dass die Datenrestriktionen per Default oftmals in sozialen Netzwerken deaktiviert sind. Somit muss ein Benutzer entsprechende Einstellungen selbstständig vornehmen, um sich und seine Daten zu schützen. Dies ist vor allem für unerfahrene Nutzer aufgrund fehlender Erfahrungswerte im Umgang mit dem Internet und sozialen Plattformen schwierig.

Betreiber und Benutzer haben unterschiedliche Interessen. Die Betreiber sozialer Netzwerke möchten so viele Informationen wie möglich, um beispielsweise zielgruppenspezifische Werbung schalten zu können. Benutzer möchten in der Regel nur die Dienstleistungen des sozialen Netzwerkes, wie etwa die Kommunikationmittel und die Möglichkeit einer Selbstdarstellung über ein virtuelles Profil, nutzen. Es wird somit ein Grenzweg der Informationsverfügbarkeit beschritten, der sehr schwer definiert werden kann, da individuelle Gesichtspunkte einfließen.

8 Anhang

8.1 Literatur- und Quellenangaben

1. ↑ Landeszentrale für Medien und Kommunikation (LMK) Rheinland-Pfalz: studivz & Co - Was sind Social Networks?, https://www.klicksafe.de/themen/kommunizieren/web-2.0/communities---social-networks/was-sind-social-networks.html
2. ↑ vgl. Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzkataloge, Gefährdungskataloge, G 5 Vorsätzliche Handlungen, G 5.42 Social Engineering, http://www.bsi.bund.de/gshb/deutsch/g/g05042.htm
3. ↑ vgl. Mitnick, Kevin; Simon, William: Die Kunst der Täuschung - Risikofaktor Mensch, S.375 f., Verlag mitp, keine Ortsangabe, keine Jahresangabe
4. ↑ vgl. Priv. Doz. Dr. Sabine Krolak-Schwerdt: Vorlesung Sozialspsychologie, Universität Saarland, 2005, http://www.uni-saarland.de/fak5/wintermantel/media/SS2005/SPI/folien4.pdf
5. ↑ vgl. Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 15 Abs. 53 des Gesetzes vom 5. Februar 2009 (BGBl. I S. 160) geändert worden ist, BDSG §3 (9), http://www.gesetze-im-internet.de/bdsg_1990/__3.html
6. ↑ vgl. Biermann, Kai: Vernetzen kann verletzen, Zeit Online, 2008, http://www.zeit.de/online/2008/43/datenschutz-social-networks
7. ↑ vgl. Sophos: Der Fall 'Natalie'. Online Communities zunehmend IT-Sicherheits-Risiko, 2008, http://www.sophos.de/pressoffice/news/articles/2008/01/online-communities.html
8. ↑ vgl. Sophos: Der Fall 'Natalie'. Online Communities zunehmend IT-Sicherheits-Risiko, 2008, http://www.sophos.de/pressoffice/news/articles/2008/01/online-communities.html
9. ↑ alle Angaben basierend auf: Sophos: Sophos Facebook ID probe shows 41% of users happy to reveal all to potential identity thieves, 2007, http://www.sophos.com/pressoffice/news/articles/2007/08/facebook.html
10. ↑ vgl. Poller, A.: Privatsphärenschutz in Soziale-Netzwerke-Plattformen, Darmstadt: Fraunhofer SIT, 2008, S.10, zu beziehen auf http://publica.fraunhofer.de unter dem Stichwort "soziales Netzwerk"
11. ↑ vgl. Poller, A.: Privatsphärenschutz in Soziale-Netzwerke-Plattformen, Darmstadt: Fraunhofer SIT, 2008, S.110, zu beziehen auf http://publica.fraunhofer.de unter dem Stichwort "soziales Netzwerk"
12. ↑ vgl. Twitter Mikroblog: tsghessenspd, http://twitter.com/tsghessenspd
13. ↑ vgl. Twitter Mikroblog: tsghessen, http://twitter.com/tsghessen
14. ↑ vgl. Hogben, Giles: ENISA Position Paper No.1, Security Issues and Recommendations for Online Social Networks, keine Ortsangabe, 2007, S.16, http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_social_networks.pdf
15. ↑ vgl. Duden - Deutsches Universalwörterbuch, 6. überarbeitete Auflage, Dudenverlag, 2007, Mannheim/Leipzig/Wien/Zürich, einzusehen unter http://www.duden.de unter dem Stichwort "Computervirus"
16. ↑ Datenquelle: Microsoft Malware Protection: Win32/Koobface, MSRT and Industry Cooperation, Microsoft Corporation, 2009, http://blogs.technet.com/mmpc/archive/2009/04/02/win32-koobface-msrt-and-industry-cooperation.aspx
17. ↑ vgl. Kaspersky Lab: New worms target both MySpace and Facebook users, 2008, http://www.kaspersky.com/news?id=207575670
18. ↑ vgl. Gostev, Alexander: Kaspersky Security Bulletin 2007: Malware evolution in 2007, Kaspersky Lab, 2008, http://www.viruslist.com/en/analysis?pubid=204791987
19. ↑ Datenquelle: Microsoft Malware Protection: Win32/Koobface, MSRT and Industry Cooperation, Microsoft Corporation, 2009, http://blogs.technet.com/mmpc/archive/2009/04/02/win32-koobface-msrt-and-industry-cooperation.aspx
20. ↑ vgl. Augsten, Stephan: Social Engineering über Fake-Accounts und manipulierte Web-Adressen, Vogel IT-Medien GmbH, 2009, http://www.searchsecurity.de/themenbereiche/bedrohungen/phishing-und-spam/articles/177304/
21. ↑ vgl. Freiwillige Selbstkontrolle Multimedia-Diensteanbieter e.V. (FSM), 2009, http://www.fsm.de/inhalt.doc/VK_Social_Networks.pdf
22. ↑ vgl. Mozilla Foundation, http://www.mozilla.com/en-US/firefox/features/#security

8.2 Abbildungsverzeichnis

8.3 Tabellenverzeichnis