Urlaub 2.0 - Einbruchsgefahr durch Ferien-Abmeldung in Social Networks

Vor allem der vor kurzem gestartet Lokalisierungsdienst «Facebook Orte» birgt Sicherheitsrisiken. Internet-Nutzer hinterlassen dort ihren aktuellen Standort durch Handys, damit Online-Bekanntschaften immer auf dem Laufenden sind. «Zur Urlaubszeit lassen sich viele davon mitreissen, von bevorstehenden Reisen zu twittern oder Updates in Blogs oder auf Facebook zu schreiben. Wer seinen Urlaubsort zum Beispiel via 'Facebook Orte' preisgibt, erhöht damit parallel auch das Risiko eines Einbruchs im eigenen Heim», erklärt René Pfeiffer, Organisator der internationalen Sicherheitskonferenz DeepSec, die vom 23. bis 26. November 2010 in Wien stattfindet. «Das es auf Facebook nicht nur Freunde gibt, sondern auch Betrüger und Diebe in der sozialen Web-Welt auf der Lauer liegen, ist den meisten Menschen oft gar nicht bewusst», warnt Pfeiffer.

Wenn im Urlaub die Wohnung ausgeräumt wird

Passend zu den beginnenden Herbstferien laden viele Deutsche Textnachrichten von der Reise oder sogar Urlaubsfotos ins soziale Netz. Dabei sind den meisten Nutzern beispielsweise die Privatspäre-Einstellungen von Facebook unbekannt. Also kündigen Erwachsene wie Jugendliche regelmässig die Abwesenheit vom trauten Heim an - und öffnen damit zielstrebigen Einbrechern Tür und Tor. Im US-amerikanischen Bundesstaat New Hampshire wurden erst kürzlich drei solcher Diebe durch Zufall gefasst. Sie konnten in 18 Häuser einbrechen und stahlen dort Gegenstände im Wert von über 100.000 US-Dollar, als die Opfer nach Ankündigung auf Facebook nicht zuhause waren. Das Landeskriminalamt Hessen klärt bereits vor den Gefahren angekündigter Urlaube in sozialen Netzwerken auf.

Wie Facebook zur Gefahr für Privatpersonen und Firmen wird

Auf der DeepSec betreibt der Sicherheitsexperte Ron Bowes Aufklärung zu den Sicherheitsgefahren durch soziale Netzwerke. Bowes errang im Juli 2010 bereits weltweit Aufmerksamkeit, als er über 170 Millionen Facebook-Nutzernamen sammelte und sie als Warnung vor eklatanten Sicherheitsrisiken veröffentlichte.




Auf der DeepSec-Konferenz erklärt er unter anderem, welche Gefahren durch Facebook entstehen, die weit über die Grenzen des sozialen Netzwerks reichen: «Facebook gibt die Namen der meisten Mitglieder öffentlich preis, wenn man weiss, wie man danach fragt», erklärt Bowes. «Das ist auf den ersten Blick harmlos, doch in den falschen Händen lassen sich mit diesen Daten schockierende Statistiken aufstellen. Facebook sieht das nicht als Sicherheitsrisiko - und das wäre es wohl auch nicht, würde man lediglich einige hundert oder tausend Namen sammeln. Aus einer Liste mit 170 Millionen Namen lassen sich aber ganz andere Dinge ableiten», erklärt Bowes. «Zum Beispiel, welche Namen besonders häufig auftreten - und welche damit auch in grossen Firmennetzwerken stark vertreten sind. Wer sich dort Zugriff verschaffen will, dem nützt so eine relativ vollständige Liste enorm.»

Grafikkarten als Hacker-Hilfe

Liegt eine derart umfangreiche Namensliste vor, fehlt oft nur das entsprechende Nutzerpasswort, um beispielsweise Email-Zugänge zu hacken oder sich Zugriff zu abgesperrten Firmennetzwerkbereichen zu verschaffen. Um solche Passworte zu knacken, setzen Angreifer oft die so genannte «Brute Force»-Methode ein, bei der alle möglichen Kombinationen ausprobiert werden. Das benötigt Rechenpower, die vor allem in den Hochleistungsprozessoren moderner Grafikkarten zu finden ist. «Die Anzahl verfügbarer Prozessoren pro Person steigt so schnell, dass mittlerweile Grafikchips durch bestehende Programmierumgebungen für solche Hacking-Rechenaufgaben eingespannt werden», sagt Michael Kafka, Organisator der DeepSec-Konferenz. Im Konferenz-Blog legt er dar, welche Gefahren von dieser technologischen Entwicklung ausgehen: «Aktuelle Grafikkarten reichen in ihrer Rechenleistung fast an ehemalige Grossrechner heran, mit der sie 3D-Spiele flüssig darstellen - oder unsere Sicherheits-Algorithmen durchbrechen können. Mit einer so kompakten und weit verbreiteten Hardware überspringen wir quasi ein paar Jahre der üblichen PC-Entwicklung, wodurch unsere aktuellen technischen Kontrollen allerdings so überholt und primitiv wirken, wie eine römische Balliste auf einem modernen Schlachtfeld.»

DeepSec fördert Aufklärungsarbeit und den Gedankenaustausch von Experten

Die DeepSec bringt als neutrale Plattform die Sicherheitsexperten aus allen Bereichen zum Gedanken- und Erfahrungsaustausch zusammen. Dort erhalten IT- und Security-Unternehmen, Anwender, Behördenvertreter, Forscher und die Hacker-Community in 33 Vorträgen und acht Workshops erneut die Chance, sich über die brennenden Sicherheitsthemen auszutauschen. Die Konferenz will aber auch dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind. «Ganz im Gegenteil. Vielen sogenannten Hackern geht es eher darum, Sicherheitslücken aufzuzeigen und bekannt zu machen. Man kann nur Gefahren beseitigen, die man kennt und die erforscht sind, ganz so wie in anderen Bereichen», so Pfeiffer.