Neue Datenbank "Socialnetworksecurity": Wo Lücken in sozialen Netzen klaffen

Immer mehr Nutzer stellen immer mehr sensible Daten in Social Networks ein - seien es private Fotos, die eigenen Vorlieben, Kontaktlisten oder Berufliches. Die Probleme mit dem Schutz der Privatsphäre, die beispielsweise den Marktführer Facebook mit großer Regelmäßigkeit plagen, stören die meisten User nur am Rande. Viele glauben, mit den richtigen Einstellungen davor gefeit zu sein oder kommen schlicht, auch weil sie einen gruppendynamischen Zwang zum Mitmachen empfinden, nicht mehr ohne die vielen Web-2.0-Dienste aus.

Die Datenschutzfrage ist nur ein kritischer Aspekt, den die Plattformen selbst bestimmen können. Ein zweiter Punkt dürfte in den kommenden Wochen und Monaten wichtiger werden: die Datensicherheit der Angebote. Hier wird noch zu wenig getan. Spam-Kampagnen auf Twitter und Facebook oder über Web 2.0-Plattformen verbreitete Viren und Würmer sind nur die Spitze des Eisberges, sagen Experten. Die Möglichkeit für Angreifer, die populären Plattformen für böswillige Aktionen zu missbrauchen, sei groß.

Mehrere IT-Sicherheitsspezialisten haben sich nun aus diesem Grund zusammengetan, um auf einer eigenen Plattform über aktuelle Probleme aufzuklären. Das Angebot hört auf den schlichten Namen Socialnetworksecurity.org und ist deutschsprachig. Die Idee ist simpel: "Diese Webseite wurde gegründet, um Sicherheitslücken auf Social-Networking-Plattformen aufzuzeigen." Grund für den Start der Plattform sei die zunehmende Frustration darüber gewesen, wie die Netzwerkbetreiber auf entdeckte Lücken reagierten. In vielen Fällen erfolgte nur eine sehr späte und eher unprofessionelle Reaktion.

Momentan finden sich mehr als ein Dutzend "Disclosures" auf der Seite, also betroffene Netzwerke. Darunter sind weniger bekannte Angebote, aber auch große Namen wie Facebook oder Lokalisten. Es handelt sich um unterschiedliche Probleme. Oft geht es um sogenannte Cross-Site-Scripting-Fehler, mit denen es möglich ist, leicht an Benutzerdaten zu gelangen. Manchmal bieten die Bugs auch die Möglichkeit, per Phishing Passwörter abzugreifen. In vielen Fällen haben die Website-Programmierer nicht aufgepasst und "böse Codes" lassen sich über Formulare und andere Wege einschmuggeln. Socialnetworksecurity.org veröffentlicht sowohl selbstentdeckte Lücken wie auch solche, die Leser melden. Das kann auf Wunsch auch anonym geschehen.

Wer genau die Sicherheitsexperten sind, die hinter der Plattform stecken, ist unklar. Die Macher geben an, anonym bleiben zu wollen, weil das Projekt im Vordergrund stehe. Sie seien hauptberufliche IT-Sicherheitsspezialisten. Eine Anfrage von taz.de zu weiteren Hintergründen blieb zunächst unbeantwortet. Doch die Idee der Seite kommt an: Bereits nach kurzer Zeit war das Angebot so gut besucht, dass der Server stundenlang streikte, inzwischen ist der Service wieder verfügbar.

Auch die Arbeit von Socialnetworksecurity.org wirkt: FriendScout24, Wer-kennt-wen, Jappy, Kwick, XING, Wiealt und Ednetz haben auf publizierte Lücken um Wochenbeginn prompt reagiert und sie gestopft. FriendScout24 sah sich sogar genötigt, eine eigene Pressemitteilung zum Thema veröffentlichen: Man habe "unmittelbar auf die von Socialnetworksecurity.org gemeldeten Cross-Site-Scripting-Probleme" reagiert. Sicherheit habe "allerhöchste Priorität", so die Freundesbörse.

Nun soll es bei Socialnetworksecurity.org weitergehen mit der Fehlersuche in sozialen Netzwerken. Die Lektüre der Seite lohnt sich indes nicht nur für Spezialisten. Da stets angegeben wird, wie eine Lücke funktioniert, kann man sich als Nutzer besser schützen. Außerdem gibt es einige lesenswerte Sicherheitstipps.