Betreiber von Socialnetworksecurity.org: "Es fehlt eine Sicherheitskultur"

taz.de: Sie als Betreiber der Online-Plattform Socialnetworksecurity.org wollen anonym bleiben. Gibt es dafür einen speziellen Grund?

Socialnetworksecurity.org-Team: Unsere Erfahrung in den vergangenen sechs bis acht Monaten hat gezeigt, dass einige Betreiber sehr allergisch reagieren, wenn man ihre Plattform gezielt nach Schwachstellen durchforstet und diese dann im Anschluss mit der Bitte, das Problem möglichst schnell zu beheben, an sie meldet.

Viele empfinden das als "Finger Pointing" und reagieren teilweise sehr unprofessionell mit direkter Sperrung bestehender Accounts. Zum Teil wurde auch uns auch schon mit juristischen Konsequenzen gedroht - und das, obwohl wir vor einer möglichen Veröffentlichung verantwortungsbewusst die Lücken an die Betreiber gemeldet hatten. Um all diesen Stress nicht mehr zu haben und erst gar nicht wieder aufkommen zu lassen, haben wir uns entschieden, lieber anonym zu bleiben und auf dem Globus verteilt zu arbeiten. Die Mitglieder unseres Teams stammen aus unterschiedlichen Ländern.

Was ist Ihrer Erfahrung nach derzeit das Hauptproblem bei Social Networks?

Wir sehen allen voran das Problem, dass die meisten bekannten Social-Networking-Plattformen keine volle Web-Verschlüsselung für ihre Seiten anbieten, weil ihre Werbeeinblendungen dann nicht mehr funktionieren würden. Das Problem liegt also nicht nur bei den Betreibern, sondern auch bei den Reklamedienstleistern.

Würden die Social Networks volle SSL-Unterstützung anbieten und ihre Cookies nach dem aktuellen Sicherheitsstandards absichern, wären deutlich weniger User-bezogene Daten von Sicherheitslücken betroffen, da diese dann nicht mehr mittels einfacher Man-in-the-middle- oder Cross-Site-Scripting-Schwachstellen abgreifbar wären.

Wie schnell reagieren Social Networks auf bekanntgewordene Lücken?

Die meisten Plattformen reagieren eher mit organisatorischen Rückfragen - etwa, warum wir uns mit dem Problem melden. Ein Danke kommt eher selten. Das Ausrollen eines Fixes, also eine Schwachstelle zu beseitigen, könnte ebenfalls schneller gehen.

Welche Szenarien sind neben den aktuell üblichen - also Spam, Phishing, Account-Hacking - in den nächsten Jahren noch zu erwarten, wenn man bedenkt, dass immer mehr sensible Daten in den Social Networks lagern?

Wir sind der Meinung, dass neben Spam und Phishing vor allem das direkte Kopieren von Profilen, also mit gleichem Namen und gleichem Bild, bei Kriminellen zunehmen wird (als Form von Identitätsdiebstahl, Anm. d. Red.). Darüber hinaus ist damit zu rechnen, dass ausgeklügelte Würmer innerhalb der Social Networks platziert werden, die unbemerkt im Hintergrund Benutzerdaten abgrasen oder den Computer der Benutzer befallen.

Wie erleben Sie die Sicherheitskultur bei Social Networks?

Eine Sicherheitskultur seitens der Betreiber ist aus unserer Sicht meistens nur nach Außen, zur Presse hin, vorhanden. Intern fehlt den meisten Betreibern von Social Networks einfach fundiertes Know How zum Thema Websecurity. Auch fehlt eine grundsätzliche Security Awareness, also eine Integration des Sicherheitsgedankens in das tägliche Handeln.

Wie kommt die Plattform bislang an?

Bislang kommt unsere Website sehr gut an. Wir haben auch schon viele Anregungen bekommen, was wir noch tun sollten, vom RSS-Feed für Lücken bis hin zu weiteren Sprachversionen.

Darüber hinaus haben wir bereits jede Menge Submissions bekommen, das heißt Sicherheitslücken auf unterschiedlichen nationalen und internationalen Plattformen. Die prüfen wir derzeit, um sicherzugehen, dass wir keine Falschmeldungen auf unserer Plattform platzieren.

Manche Sicherheitsexperten sprechen sich für Full-Disclosure-Verfahren aus, also die direkte Veröffentlichung von Lücken.

Wir machen kein direktes Full Disclosure. Das muss an dieser Stelle klargestellt werden. Wir melden von uns selbst entdeckte Sicherheitslücken an die Betreiber, sofern sie eine für Security- und Privacy-Fragen eingerichtete E-Mail-Adresse oder ein speziell für sicherheitsrelevante Themen eingerichtetes Web-Formular haben. Wir geben ihnen damit die Möglichkeit, das jeweilige Problem abzustellen, bevor wir auf unserer Webseite darüber berichten.

Reagiert ein Betreiber auch nach unserem zweiten Anschreiben nicht, so müssen wir davon ausgehen, dass die Sicherheit der eigenen Plattform nicht mit der notwendigen Aufmerksamkeit behandelt wird. Nur in solchen Fällen greifen wir zum Full Disclosure. Wir bilden dadurch eine Art Zwischenkanal - auf der einen Seite die Finder der Lücken, auf der anderen die Betreiber. Für uns hat sich bereits gezeigt, dass durch das Auftauchen unseres Projektes bestimmte Betreiber sicherheitsbewusster geworden sind. Da haben Plattformen mittlerweile "security@"-Adressen eingerichtet, die vorher keine hatten. Das zeigt erste konkrete Ergebnisse.

Sind deutsche Angebote schlechter als us-amerikanische, wenn es um Sicherheit geht? Gibt es einen unterschiedlichen Professionalisierungsgrad?

Deutsche Portale sind im allgemeinen sicherer, was aus unserer Sicht daran liegt, dass es in Deutschland härtere Bestimmungen im Bundesdatenschutzgesetz gibt.

Auf der anderen Seite muss man aber erwähnen, dass vor allem deutsche Social Networks beim Melden von Sicherheitslücken oft mit der Anmerkung reagieren, dass man von ihnen nicht beauftragt worden sei und wieso man überhaupt auf deren Plattform nach Sicherheitslücken sucht. Hier sind einige Anbieter aus anderen Ländern lockerer drauf.