Sicherheitslücke in Online-Netzwerken: Wie Firesheep Facebook & Co. kapert

Das Demovideo ist eindrucksvoll. Ein YouTube-Nutzer zeigt, wie man mit einer in dieser Woche erschienenen neuen Software namens Firesheep Sitzungen bei Twitter und Facebook "entführen" kann. Dazu muss man nur ein Ergänzungsprogramm im Browser Firefox hinzufügen und sich nur im gleichen Netz wie das Opfer befinden - ein Klick genügt, schon hat man Zugriff auf dessen Login-Daten. Firesheep beherrscht diesen Trick auch bei Amazon, Flickr, der Online-Seite der New York Times, Foursquare, einigen Google- und Yahoo-Diensten sowie einer ganzen Reihe weiterer bekannter Web-Angebote.

Wie Firesheep funktioniert, das vom US-Sicherheitsexperten Eric Butler programmiert wurde, ist schnell erklärt. Zwar nutzen viele Webseiten zur Übertragung von Nutzernamen und Passwörtern die in den Browsern eingebaute Verschlüsselungstechnik SSL. Danach schalten sie aber wieder in den unverschlüsselten Modus um, was bedeutet, dass alle Daten potenziell sichtbar werden.

Befindet man sich beispielsweise in einem WLAN-Café, in dem diverse andere Rechner parallel eingeloggt sind, kann jeder mitlesen, was der andere gerade im Netz so treibt - zumindest solange die Daten unverschlüsselt gesendet werden. Firesheep setzt dabei bei den sogenannten "Session Cookies" an. Das sind kleine Datenkrümel, die Internet-Angebote nach dem Login (und häufig auch später) auf die Festplatte des Nutzers schreiben. Die Cookies sind wie ein Ausweis: Wer Zugriff darauf hat, kann sich als Nutzer ausgeben, ohne dessen Passwort zu kennen.

Da es um Sicherheit geht, war Firesheep-Programmierer Butler die Aufmerksamkeit des Netzes sicher. In den ersten 24 Stunden wurde sein kostenloses, quelloffenes Programm über 100.000 Mal heruntergeladen, bei Google USA wurden entsprechende Suchen zum Trendbegriff. Er habe sich lange überlegt, ob er Firesheep veröffentlichen sollte, so der Sicherheitsexperte, und habe sich dafür entschieden. "Kriminelle kennen das ja schon und ich weise den Vorwurf zurück, dass etwas wie Firesheep aus sonst unschuldigen Menschen plötzlich böse Menschen macht." Werkzeuge wie Firesheep seien seit Jahren verfügbar, nun zeige das Programm allen, wie einfach sie zu benutzen seien.

Facebook, Twitter und Co. haben bislang noch nicht auf die Bedrohung reagiert. Peinlich für die großen Webseiten ist vor allem, dass eine Dauerverschlüsselung sensibler Dienste heutzutage kaum mehr Leistung kostet - ein Argument, dass über Jahre stets gebracht wurde. Google hat entsprechende Tests durchgeführt, nachdem das populäre Webmail-Programm Google Mail auf SSL umgestellt wurde. Der Ingenieur Adam Langley schrieb einmal, dieser Schritt sorge für ein Prozent mehr an Serverbelastung. Auch der zusätzliche Speicherbedarf halte sich stark in Grenzen.

Bevor die großen Netzwerke reagieren und häufiger verschlüsseln, können Nutzer gegen Firesheep und ähnliche Hacker-Werkzeuge gleich mehrere Hilfsmaßnahmen ergreifen. Die wohl einfachste ist eine weitere Firefox-Ergänzung und hört auf den Namen HTTPS Everywhere. Das kleine Programm stammt von der US-Netzbürgerrechtsorganisation EFF und sorgt dafür, dass zahlreiche wichtige Seiten automatisch gezwungen werden, eine verschlüsselte Verbindung aufzubauen und zu halten.

Dazu gehören nicht nur Facebook und Twitter, sondern auch Shopping-Angebote wie Amazon, das Online-Lexikon Wikipedia. Das gilt auch für die Suchmaschine Google, die bereits seit einigen Monaten verschlüsselt genutzt werden kann, was sich leider noch nicht rumgesprochen hat. HTTPS Everywhere wird regelmäßig aktualisiert und lässt sich mit etwas Mühe auch an spezielle Fälle anpassen. Zu beachten ist, dass nicht jeder Anbieter alles verschlüsselt. So kommen bei Wikipedia nur die Texte und Suchanfragen per SSL zum Nutzer, Bilder derzeit leider noch nicht.

Alternativ kann man erwägen, bei der Nutzung offener WLAN-Netze mit einem so genannten VPN (Virtual Private Network) zu arbeiten. Dabei wird eine direkte und verschlüsselte Verbindung zu einem vertrauenswürdigen Server im Internet aufgebaut. Andere Nutzer im gleichen Netz sehen nichts mehr, gesurft wird über diesen zusätzlichen "Ausgang", den man abgesichert erreicht. VPN-Zugänge werden häufig von Firmen eingesetzt oder auch von privaten Anbietern für einige Euro im Monat verkauft.