Identitätsdiebstahl ist ganz einfach zu beschreiben:
"Der Angreifer missbraucht die Vertrauensbeziehung zwischen Menschen."
Angreifer schlüpfen in die Haut eines anderen, eignen sich die digitale Identität dieses Opfers an und versuchen damit anderen Schaden zuzufügen, meist durch Geldbetrug. Dominik Birk vom Horst-Görtz-Institut für IT-Sicherheit seziert diese Angriffsmasche und zerlegt sie in mehrere Einzelschritte. Alle mit dem Ziel...
"...sie einfach dazu zu verleiten, auf diverse Links zu klicken, Anhänge zu öffnen oder Dinge zu tun, die sie eigentlich normalerweise nicht tun würden, wenn sie eine Nachricht von irgendeinem Fremden bekommen würden."
Man bekommt eine Nachricht, die vermeintlich von einem Bekannten stammt und am Ende hat man Schadsoftware auf seinem Computer installiert oder ein Produkt gekauft, weil man dem Absender der Nachricht vertraut hat. Um einen solchen Datenmissbrauch zu ermöglichen, muss der Angreifer noch nicht einmal die Benutzernamen und Passwörter seiner Opfer kennen.
"Das ist ja das Gefährliche: Die Informationen liegen frei auf der Straße, ich muss lediglich zugreifen. Der Zugriff sollte am besten automatisch geschehen, weil sie sonst eine Weile beschäftigt sind, aber letztendlich ist kein tieferes Fachwissen dazu nötig."
So einfach der Indentitätsklau aus Sicht eines Angreifers ist, so sehr sollten die Nutzer wachsam sein und sich genau überlegen, welche Daten sie in ihre Profile einstellen. Allerdings seien sich Nutzer oft nicht bewusst, welche Daten sie besser für sich behalten sollten. Dass ein Geburtsdatum ausreichen kann, um einen Handyvertrag zu ändern, mag kaum jemandem beim Ausfüllen seines Profils bewusst sein. Das Wissenschaftlerteam in Bochum arbeitet deshalb an einer Art Warnanzeige, die helfen soll, kritische Informationen zu identifizieren.
"Der Nutzer sagt, ich habe in folgendem sozialen Netzwerk folgende Daten freigegeben. Und unser Barometer hinterfragt kritisch: Ist das denn wirklich notwendig, warum wollen sie das tun? Und folgende Gefahren bestehen."
Ob ein solcher Service genutzt werden würde, ist schwer zu beurteilen. Und: Selbst wenn ein Mitglied mehrerer sozialer Netzwerke, etwa Flickr, Last.fm und Schüler VZ, vorsichtig mit seinen persönlichen Daten umgeht, gibt es Möglichkeiten für böswillige Angriffe. Viele Nutzer sind in mehreren Netzwerken angemeldet. Die Daten einer Person lassen sich aus verschiedenen Plattformen zusammenführen. Anhand ähnlicher Benutzernamen, identischer Geburtsdaten oder gleicher Freunde und Kontakte können Angreifer erkennen, welche virtuellen Identitäten zu einer real existierenden Person gehören.
Selbst ohne offensichtlich übereinstimmende Daten gelingt ein solcher Abgleich. Forscher der University of Texas in Austin haben Untersuchungen mit den Plattformen Twitter und Flickr gemacht. Sie konnten allein anhand der Struktur der Daten erkennen, welche Profile zu derselben Person gehören. Trotz völliger Anonymisierung ergab sich eine hohe Trefferquote. Die Wissenschaftler stützten sich lediglich darauf, wer mit wem in Kontakt stand und glichen die Daten ab.
Aus den zusammengeführten Profilen können Kriminelle ein umfassendes Bild einer Person gewinnen. Inklusive des zu dieser Person gehörigen Freundes-Netzwerks.
"Weil: Es ist ja so, dass man zu diesem Opfer auch immer die Relationen dazu zählen muss, die man im Angriff auch benutzen möchte. Das heißt, ich versuche einen Opferkreis zu ermitteln, wo eben maximaler Informationsgehalt besteht und dieser Kreis eben am besten noch möglichst gut miteinander vernetzt ist, und dann treffe ich eben so meine Wahl."
Denn je stärker die Vernetzung untereinander, desto enger die Beziehung unter den Opfern und desto eher werden die Opfer auf eine gefälschte Nachricht hereinfallen.
Der Wurm liegt im System der sozialen Netzwerke. Sie funktionieren nur, wenn die Nutzer eine gewisse Offenheit an den Tag legen. Dennoch könnten die Betreiber vermutlich mehr Mühe darauf verwenden, das automatisierte Abgreifen von Daten in großem Stil zu erschweren.
"Der Angreifer missbraucht die Vertrauensbeziehung zwischen Menschen."
Angreifer schlüpfen in die Haut eines anderen, eignen sich die digitale Identität dieses Opfers an und versuchen damit anderen Schaden zuzufügen, meist durch Geldbetrug. Dominik Birk vom Horst-Görtz-Institut für IT-Sicherheit seziert diese Angriffsmasche und zerlegt sie in mehrere Einzelschritte. Alle mit dem Ziel...
"...sie einfach dazu zu verleiten, auf diverse Links zu klicken, Anhänge zu öffnen oder Dinge zu tun, die sie eigentlich normalerweise nicht tun würden, wenn sie eine Nachricht von irgendeinem Fremden bekommen würden."
Man bekommt eine Nachricht, die vermeintlich von einem Bekannten stammt und am Ende hat man Schadsoftware auf seinem Computer installiert oder ein Produkt gekauft, weil man dem Absender der Nachricht vertraut hat. Um einen solchen Datenmissbrauch zu ermöglichen, muss der Angreifer noch nicht einmal die Benutzernamen und Passwörter seiner Opfer kennen.
"Das ist ja das Gefährliche: Die Informationen liegen frei auf der Straße, ich muss lediglich zugreifen. Der Zugriff sollte am besten automatisch geschehen, weil sie sonst eine Weile beschäftigt sind, aber letztendlich ist kein tieferes Fachwissen dazu nötig."
So einfach der Indentitätsklau aus Sicht eines Angreifers ist, so sehr sollten die Nutzer wachsam sein und sich genau überlegen, welche Daten sie in ihre Profile einstellen. Allerdings seien sich Nutzer oft nicht bewusst, welche Daten sie besser für sich behalten sollten. Dass ein Geburtsdatum ausreichen kann, um einen Handyvertrag zu ändern, mag kaum jemandem beim Ausfüllen seines Profils bewusst sein. Das Wissenschaftlerteam in Bochum arbeitet deshalb an einer Art Warnanzeige, die helfen soll, kritische Informationen zu identifizieren.
"Der Nutzer sagt, ich habe in folgendem sozialen Netzwerk folgende Daten freigegeben. Und unser Barometer hinterfragt kritisch: Ist das denn wirklich notwendig, warum wollen sie das tun? Und folgende Gefahren bestehen."
Ob ein solcher Service genutzt werden würde, ist schwer zu beurteilen. Und: Selbst wenn ein Mitglied mehrerer sozialer Netzwerke, etwa Flickr, Last.fm und Schüler VZ, vorsichtig mit seinen persönlichen Daten umgeht, gibt es Möglichkeiten für böswillige Angriffe. Viele Nutzer sind in mehreren Netzwerken angemeldet. Die Daten einer Person lassen sich aus verschiedenen Plattformen zusammenführen. Anhand ähnlicher Benutzernamen, identischer Geburtsdaten oder gleicher Freunde und Kontakte können Angreifer erkennen, welche virtuellen Identitäten zu einer real existierenden Person gehören.
Selbst ohne offensichtlich übereinstimmende Daten gelingt ein solcher Abgleich. Forscher der University of Texas in Austin haben Untersuchungen mit den Plattformen Twitter und Flickr gemacht. Sie konnten allein anhand der Struktur der Daten erkennen, welche Profile zu derselben Person gehören. Trotz völliger Anonymisierung ergab sich eine hohe Trefferquote. Die Wissenschaftler stützten sich lediglich darauf, wer mit wem in Kontakt stand und glichen die Daten ab.
Aus den zusammengeführten Profilen können Kriminelle ein umfassendes Bild einer Person gewinnen. Inklusive des zu dieser Person gehörigen Freundes-Netzwerks.
"Weil: Es ist ja so, dass man zu diesem Opfer auch immer die Relationen dazu zählen muss, die man im Angriff auch benutzen möchte. Das heißt, ich versuche einen Opferkreis zu ermitteln, wo eben maximaler Informationsgehalt besteht und dieser Kreis eben am besten noch möglichst gut miteinander vernetzt ist, und dann treffe ich eben so meine Wahl."
Denn je stärker die Vernetzung untereinander, desto enger die Beziehung unter den Opfern und desto eher werden die Opfer auf eine gefälschte Nachricht hereinfallen.
Der Wurm liegt im System der sozialen Netzwerke. Sie funktionieren nur, wenn die Nutzer eine gewisse Offenheit an den Tag legen. Dennoch könnten die Betreiber vermutlich mehr Mühe darauf verwenden, das automatisierte Abgreifen von Daten in großem Stil zu erschweren.