Introduction
Introduction Statistics Contact Development Disclaimer Help
# taz.de -- Betreiber von Socialnetworksecurity.org: "Es fehlt eine Sicherheits…
> Die Plattform Socialnetworksecurity.org deckt gezielt Lücken in sozialen
> Netzwerken auf. Im Interview sagen die Macher, worum es ihnen geht - und
> was Nutzern drohen kann.
Bild: Startseite des Netzwerks "Friendster".
taz.de: Sie als Betreiber der Online-Plattform Socialnetworksecurity.org
wollen anonym bleiben. Gibt es dafür einen speziellen Grund?
Socialnetworksecurity.org-Team: Unsere Erfahrung in den vergangenen sechs
bis acht Monaten hat gezeigt, dass einige Betreiber sehr allergisch
reagieren, wenn man ihre Plattform gezielt nach Schwachstellen durchforstet
und diese dann im Anschluss mit der Bitte, das Problem möglichst schnell zu
beheben, an sie meldet.
Viele empfinden das als "Finger Pointing" und reagieren teilweise sehr
unprofessionell mit direkter Sperrung bestehender Accounts. Zum Teil wurde
auch uns auch schon mit juristischen Konsequenzen gedroht - und das, obwohl
wir vor einer möglichen Veröffentlichung verantwortungsbewusst die Lücken
an die Betreiber gemeldet hatten. Um all diesen Stress nicht mehr zu haben
und erst gar nicht wieder aufkommen zu lassen, haben wir uns entschieden,
lieber anonym zu bleiben und auf dem Globus verteilt zu arbeiten. Die
Mitglieder unseres Teams stammen aus unterschiedlichen Ländern.
Was ist Ihrer Erfahrung nach derzeit das Hauptproblem bei Social Networks?
Wir sehen allen voran das Problem, dass die meisten bekannten
Social-Networking-Plattformen keine volle Web-Verschlüsselung für ihre
Seiten anbieten, weil ihre Werbeeinblendungen dann nicht mehr funktionieren
würden. Das Problem liegt also nicht nur bei den Betreibern, sondern auch
bei den Reklamedienstleistern.
Würden die Social Networks volle SSL-Unterstützung anbieten und ihre
Cookies nach dem [1][aktuellen Sicherheitsstandards] absichern, wären
deutlich weniger User-bezogene Daten von Sicherheitslücken betroffen, da
diese dann nicht mehr mittels einfacher [2][Man-in-the-middle-] oder
[3][Cross-Site-Scripting]-Schwachstellen abgreifbar wären.
Wie schnell reagieren Social Networks auf bekanntgewordene Lücken?
Die meisten Plattformen reagieren eher mit organisatorischen Rückfragen -
etwa, warum wir uns mit dem Problem melden. Ein Danke kommt eher selten.
Das Ausrollen eines Fixes, also eine Schwachstelle zu beseitigen, könnte
ebenfalls schneller gehen.
Welche Szenarien sind neben den aktuell üblichen - also Spam, Phishing,
Account-Hacking - in den nächsten Jahren noch zu erwarten, wenn man
bedenkt, dass immer mehr sensible Daten in den Social Networks lagern?
Wir sind der Meinung, dass neben Spam und Phishing vor allem das direkte
Kopieren von Profilen, also mit gleichem Namen und gleichem Bild, bei
Kriminellen zunehmen wird (als Form von Identitätsdiebstahl, Anm. d. Red.).
Darüber hinaus ist damit zu rechnen, dass ausgeklügelte Würmer innerhalb
der Social Networks platziert werden, die unbemerkt im Hintergrund
Benutzerdaten abgrasen oder den Computer der Benutzer befallen.
Wie erleben Sie die Sicherheitskultur bei Social Networks?
Eine Sicherheitskultur seitens der Betreiber ist aus unserer Sicht meistens
nur nach Außen, zur Presse hin, vorhanden. Intern fehlt den meisten
Betreibern von Social Networks einfach fundiertes Know How zum Thema
Websecurity. Auch fehlt eine grundsätzliche Security Awareness, also eine
Integration des Sicherheitsgedankens in das tägliche Handeln.
Wie kommt die Plattform bislang an?
Bislang kommt unsere Website sehr gut an. Wir haben auch schon viele
Anregungen bekommen, was wir noch tun sollten, vom RSS-Feed für Lücken bis
hin zu weiteren Sprachversionen.
Darüber hinaus haben wir bereits jede Menge Submissions bekommen, das heißt
Sicherheitslücken auf unterschiedlichen nationalen und internationalen
Plattformen. Die prüfen wir derzeit, um sicherzugehen, dass wir keine
Falschmeldungen auf unserer Plattform platzieren.
Manche Sicherheitsexperten sprechen sich für Full-Disclosure-Verfahren aus,
also die direkte Veröffentlichung von Lücken.
Wir machen kein direktes Full Disclosure. Das muss an dieser Stelle
klargestellt werden. Wir melden von uns selbst entdeckte Sicherheitslücken
an die Betreiber, sofern sie eine für Security- und Privacy-Fragen
eingerichtete E-Mail-Adresse oder ein speziell für sicherheitsrelevante
Themen eingerichtetes Web-Formular haben. Wir geben ihnen damit die
Möglichkeit, das jeweilige Problem abzustellen, bevor wir auf unserer
Webseite darüber berichten.
Reagiert ein Betreiber auch nach unserem zweiten Anschreiben nicht, so
müssen wir davon ausgehen, dass die Sicherheit der eigenen Plattform nicht
mit der notwendigen Aufmerksamkeit behandelt wird. Nur in solchen Fällen
greifen wir zum Full Disclosure. Wir bilden dadurch eine Art Zwischenkanal
- auf der einen Seite die Finder der Lücken, auf der anderen die Betreiber.
Für uns hat sich bereits gezeigt, dass durch das Auftauchen unseres
Projektes bestimmte Betreiber sicherheitsbewusster geworden sind. Da haben
Plattformen mittlerweile "security@"-Adressen eingerichtet, die vorher
keine hatten. Das zeigt erste konkrete Ergebnisse.
Sind deutsche Angebote schlechter als us-amerikanische, wenn es um
Sicherheit geht? Gibt es einen unterschiedlichen Professionalisierungsgrad?
Deutsche Portale sind im allgemeinen sicherer, was aus unserer Sicht daran
liegt, dass es in Deutschland härtere Bestimmungen im
Bundesdatenschutzgesetz gibt.
Auf der anderen Seite muss man aber erwähnen, dass vor allem deutsche
Social Networks beim Melden von Sicherheitslücken oft mit der Anmerkung
reagieren, dass man von ihnen nicht beauftragt worden sei und wieso man
überhaupt auf deren Plattform nach Sicherheitslücken sucht. Hier sind
einige Anbieter aus anderen Ländern lockerer drauf.
28 Feb 2011
## LINKS
[1] /1/netz/netzgeraete/artikel/1/wie-firesheep-facebook-kapert/
[2] http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff
[3] http://de.wikipedia.org/wiki/Cross_Site_Scripting
## AUTOREN
Ben Schwan
## ARTIKEL ZUM THEMA
Online-Werbung: Der Track-App-Nepp
Mit sogenannten Supercookies ist es möglich, auch jene PC-Nutzer durchs Web
zu verfolgen, die sich verstecken wollen. Auf Smartphones ist die Gefahr
noch größer.
Facebook steigert Selbstwertgefühl: Ich? Gefällt mir!
Facebook wird eine Menge zugetraut - nun auch noch das: Laut einer Studie
dient das weltgrößte soziale Netzwerk als Ego-Pusher. Doch nicht alle sind
dieser Meinung.
Neue Datenbank "Socialnetworksecurity": Wo Lücken in sozialen Netzen klaffen
Eine neue Online-Plattform erfasst Probleme der Datensicherheit bei
Facebook, Xing und Co. Die Netzwerke gingen viel zu nachlässig vor, sagen
die Macher.
You are viewing proxied material from taz.de. The copyright of proxied material belongs to its original authors. Any comments or complaints in relation to proxied material should be directed to the original authors of the content concerned. Please see the disclaimer for more details.