Sorgenfalten auf der Stirn sind für Datenschützer nichts Ungewöhnliches – doch diesmal haben sie wirklich allen Grund dazu. IT-Experten vom Isec Forschungslabor haben ein Sicherheitsproblem entdeckt, das wirklich bedenklich ist. In einem 15-seitigen Aufsatz (PDF) beschreiben die Experten ausführlich und verständlich, wie sich mit vergleichsweise geringem Aufwand (und das macht es so erschreckend) jeder Benutzer von Social Networks im Web „entanonymisieren“ lässt.
Entanonymisieren – klingt nicht gut, und ist auch nicht gut. In der Praxis bedeutet das nämlich, dass jede Webseite, die entsprechend präpariert wurde und die in der Studie erwähnten Tricks anwendet, die Identität jedes Datensurfers ermitteln kann, der vorbeikommt. Da könnte man auch mit dem Personalausweis vor der Webcam rumwedeln… Der Trick erlaubt, ganz konkret herauszufinden, dass Person xyz mit dem Profil auf Xing, Facebook oder Co. vorbei schaut.
Potenziell betroffen und damit gefährdet sind alle, die sich in sozialen Netzwerken tummeln und dort sozialen Gruppen angeschlossen haben. Es gibt Tausende solcher Gruppen, zu jedem nur denkbaren Thema. Hier treffen sich Leute, um sich auszutauschen oder zu informieren.
Durch das Surfverhalten in den sozialen Netzwerken und den Besuch von Gruppen entsteht eine Art Fingerabdruck. Dieser Fingerabdruck ist normalerweise unsichtbar, kann aber durch einen Trick sichtbar gemacht und dann analysiert werden – bis zur Enttarnung, bis zur Feststellung der konkreten Identität ist es dann nur noch ein erstaunlich kleiner Schritt.
Das klingt komplizierter, als es ist – leider. Es braucht nur relativ simple Programme, um den Fingerabdruck zu lesen und auszuwerten. Möglich wird das alles deswegen, weil zum einen die sozialen Netzwerke verraten, wer in einer Gruppe Mitglied ist – und zum anderen alle Browser einer Webseite auf Nachfrage mitteilen, welche Webseiten in der Vergangenheit angesteuert wurden. Wer diese Erkenntnisse geschickt miteinander kombiniert, hat schnell herausgefunden, wer auf einer Webseite vorbeisurft.
Die Folge: Im günstigsten Fall erscheint perfekt auf einen zugeschnittene Werbung. Im ungünstigsten Fall jubeln einen Betrüger konkrete Software unter, um einen weiter auszuspionieren, auch Phishing-Angriffe lassen sich auf diese Weise perfektionieren. Man kann sich leicht ausmalen, wie die zumeist kreativen Online-Betrüger die neuen Erkenntnisse für sich zu nutzen wissen.
Es wird jetzt zu diskutieren sein, wie konkret die Bedrohung ist, wie sich die Sicherheitslücke schließen lässt (in den sozialen Netzwerken, aber auch in den Browsern) und wie man sich als Internetbenutzer am besten verhält.
Folgender Trick würde das Problem auf jeden Fall reduzieren: Für soziale Netzwerke wie Xing, Facebook, SchuelerVZ und Co. verwendet man einen anderen Browser als für den Rest. Auf diese Weise ist sichergestellt, dass kein Fingerabdruck weitergegeben werden kann. Wer keine sozialen Netzwerke nutzt und hier auch keine Gruppen ansteuert, muss sich derzeit ebenfalls keine Sorgen machen.