# taz.de -- Betreiber von Socialnetworksecurity.org: "Es fehlt eine Sicherheits… | |
> Die Plattform Socialnetworksecurity.org deckt gezielt Lücken in sozialen | |
> Netzwerken auf. Im Interview sagen die Macher, worum es ihnen geht - und | |
> was Nutzern drohen kann. | |
Bild: Startseite des Netzwerks "Friendster". | |
taz.de: Sie als Betreiber der Online-Plattform Socialnetworksecurity.org | |
wollen anonym bleiben. Gibt es dafür einen speziellen Grund? | |
Socialnetworksecurity.org-Team: Unsere Erfahrung in den vergangenen sechs | |
bis acht Monaten hat gezeigt, dass einige Betreiber sehr allergisch | |
reagieren, wenn man ihre Plattform gezielt nach Schwachstellen durchforstet | |
und diese dann im Anschluss mit der Bitte, das Problem möglichst schnell zu | |
beheben, an sie meldet. | |
Viele empfinden das als "Finger Pointing" und reagieren teilweise sehr | |
unprofessionell mit direkter Sperrung bestehender Accounts. Zum Teil wurde | |
auch uns auch schon mit juristischen Konsequenzen gedroht - und das, obwohl | |
wir vor einer möglichen Veröffentlichung verantwortungsbewusst die Lücken | |
an die Betreiber gemeldet hatten. Um all diesen Stress nicht mehr zu haben | |
und erst gar nicht wieder aufkommen zu lassen, haben wir uns entschieden, | |
lieber anonym zu bleiben und auf dem Globus verteilt zu arbeiten. Die | |
Mitglieder unseres Teams stammen aus unterschiedlichen Ländern. | |
Was ist Ihrer Erfahrung nach derzeit das Hauptproblem bei Social Networks? | |
Wir sehen allen voran das Problem, dass die meisten bekannten | |
Social-Networking-Plattformen keine volle Web-Verschlüsselung für ihre | |
Seiten anbieten, weil ihre Werbeeinblendungen dann nicht mehr funktionieren | |
würden. Das Problem liegt also nicht nur bei den Betreibern, sondern auch | |
bei den Reklamedienstleistern. | |
Würden die Social Networks volle SSL-Unterstützung anbieten und ihre | |
Cookies nach dem [1][aktuellen Sicherheitsstandards] absichern, wären | |
deutlich weniger User-bezogene Daten von Sicherheitslücken betroffen, da | |
diese dann nicht mehr mittels einfacher [2][Man-in-the-middle-] oder | |
[3][Cross-Site-Scripting]-Schwachstellen abgreifbar wären. | |
Wie schnell reagieren Social Networks auf bekanntgewordene Lücken? | |
Die meisten Plattformen reagieren eher mit organisatorischen Rückfragen - | |
etwa, warum wir uns mit dem Problem melden. Ein Danke kommt eher selten. | |
Das Ausrollen eines Fixes, also eine Schwachstelle zu beseitigen, könnte | |
ebenfalls schneller gehen. | |
Welche Szenarien sind neben den aktuell üblichen - also Spam, Phishing, | |
Account-Hacking - in den nächsten Jahren noch zu erwarten, wenn man | |
bedenkt, dass immer mehr sensible Daten in den Social Networks lagern? | |
Wir sind der Meinung, dass neben Spam und Phishing vor allem das direkte | |
Kopieren von Profilen, also mit gleichem Namen und gleichem Bild, bei | |
Kriminellen zunehmen wird (als Form von Identitätsdiebstahl, Anm. d. Red.). | |
Darüber hinaus ist damit zu rechnen, dass ausgeklügelte Würmer innerhalb | |
der Social Networks platziert werden, die unbemerkt im Hintergrund | |
Benutzerdaten abgrasen oder den Computer der Benutzer befallen. | |
Wie erleben Sie die Sicherheitskultur bei Social Networks? | |
Eine Sicherheitskultur seitens der Betreiber ist aus unserer Sicht meistens | |
nur nach Außen, zur Presse hin, vorhanden. Intern fehlt den meisten | |
Betreibern von Social Networks einfach fundiertes Know How zum Thema | |
Websecurity. Auch fehlt eine grundsätzliche Security Awareness, also eine | |
Integration des Sicherheitsgedankens in das tägliche Handeln. | |
Wie kommt die Plattform bislang an? | |
Bislang kommt unsere Website sehr gut an. Wir haben auch schon viele | |
Anregungen bekommen, was wir noch tun sollten, vom RSS-Feed für Lücken bis | |
hin zu weiteren Sprachversionen. | |
Darüber hinaus haben wir bereits jede Menge Submissions bekommen, das heißt | |
Sicherheitslücken auf unterschiedlichen nationalen und internationalen | |
Plattformen. Die prüfen wir derzeit, um sicherzugehen, dass wir keine | |
Falschmeldungen auf unserer Plattform platzieren. | |
Manche Sicherheitsexperten sprechen sich für Full-Disclosure-Verfahren aus, | |
also die direkte Veröffentlichung von Lücken. | |
Wir machen kein direktes Full Disclosure. Das muss an dieser Stelle | |
klargestellt werden. Wir melden von uns selbst entdeckte Sicherheitslücken | |
an die Betreiber, sofern sie eine für Security- und Privacy-Fragen | |
eingerichtete E-Mail-Adresse oder ein speziell für sicherheitsrelevante | |
Themen eingerichtetes Web-Formular haben. Wir geben ihnen damit die | |
Möglichkeit, das jeweilige Problem abzustellen, bevor wir auf unserer | |
Webseite darüber berichten. | |
Reagiert ein Betreiber auch nach unserem zweiten Anschreiben nicht, so | |
müssen wir davon ausgehen, dass die Sicherheit der eigenen Plattform nicht | |
mit der notwendigen Aufmerksamkeit behandelt wird. Nur in solchen Fällen | |
greifen wir zum Full Disclosure. Wir bilden dadurch eine Art Zwischenkanal | |
- auf der einen Seite die Finder der Lücken, auf der anderen die Betreiber. | |
Für uns hat sich bereits gezeigt, dass durch das Auftauchen unseres | |
Projektes bestimmte Betreiber sicherheitsbewusster geworden sind. Da haben | |
Plattformen mittlerweile "security@"-Adressen eingerichtet, die vorher | |
keine hatten. Das zeigt erste konkrete Ergebnisse. | |
Sind deutsche Angebote schlechter als us-amerikanische, wenn es um | |
Sicherheit geht? Gibt es einen unterschiedlichen Professionalisierungsgrad? | |
Deutsche Portale sind im allgemeinen sicherer, was aus unserer Sicht daran | |
liegt, dass es in Deutschland härtere Bestimmungen im | |
Bundesdatenschutzgesetz gibt. | |
Auf der anderen Seite muss man aber erwähnen, dass vor allem deutsche | |
Social Networks beim Melden von Sicherheitslücken oft mit der Anmerkung | |
reagieren, dass man von ihnen nicht beauftragt worden sei und wieso man | |
überhaupt auf deren Plattform nach Sicherheitslücken sucht. Hier sind | |
einige Anbieter aus anderen Ländern lockerer drauf. | |
28 Feb 2011 | |
## LINKS | |
[1] /1/netz/netzgeraete/artikel/1/wie-firesheep-facebook-kapert/ | |
[2] http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff | |
[3] http://de.wikipedia.org/wiki/Cross_Site_Scripting | |
## AUTOREN | |
Ben Schwan | |
## ARTIKEL ZUM THEMA | |
Online-Werbung: Der Track-App-Nepp | |
Mit sogenannten Supercookies ist es möglich, auch jene PC-Nutzer durchs Web | |
zu verfolgen, die sich verstecken wollen. Auf Smartphones ist die Gefahr | |
noch größer. | |
Facebook steigert Selbstwertgefühl: Ich? Gefällt mir! | |
Facebook wird eine Menge zugetraut - nun auch noch das: Laut einer Studie | |
dient das weltgrößte soziale Netzwerk als Ego-Pusher. Doch nicht alle sind | |
dieser Meinung. | |
Neue Datenbank "Socialnetworksecurity": Wo Lücken in sozialen Netzen klaffen | |
Eine neue Online-Plattform erfasst Probleme der Datensicherheit bei | |
Facebook, Xing und Co. Die Netzwerke gingen viel zu nachlässig vor, sagen | |
die Macher. |