Handelsblatt

MenüZurück
Wird geladen.

23.05.2011

14:47 Uhr

Soziales Netzwerk

Sicherheitslücke bei Business-Netzwerk LinkedIn

Die Serie an Sicherheitslücken im Internet reißt nicht ab: Nach Sony und Facebook bietet einem Experten zufolge auch das Internet-Portal LinkedIn ein Einfallstor für Datenmissbrauch.

Bei der gerade an die Börse gegangenen Karriere-Webseite könnten Hacker recht einfach ohne Passwort in Nutzer-Profile eindringen. Quelle: Reuters

Bei der gerade an die Börse gegangenen Karriere-Webseite könnten Hacker recht einfach ohne Passwort in Nutzer-Profile eindringen.

BostonBei der gerade an die Börse gegangenen Karriere-Webseite könnten Hacker recht einfach ohne Passwort in Nutzer-Profile eindringen, sagte der indische Sicherheitsexperte Rishi Narang der Nachrichtenagentur Reuters am Sonntag. Möglich werde dies durch eine Datei (Cookie), die als Zugangsschlüssel funktioniere.

Erst im April hatte es bei dem japanischen Elektronik-Konzern Sony eines der weltgrößten Datenlecks gegeben, bei dem sich Hacker Zugriff auf Daten von mehr als 100 Millionen Nutzern eines Sony-Onlinedienstes verschafft hatten. Kurz danach geriet das soziale Netzwerk Facebook in den Verdacht, dass seit Jahren Chatverläufe unbefugten Dritten offen gestanden hätten.

Die Techniken der Datendiebe

Trojanische Pferde

Eine der gebräuchlichsten Methoden, Daten abzufangen, ist die Einschleusung sogenannter Trojanischer Pferde, meist schlicht Trojaner genannt. Dabei wird eine schädliche Software meist per E-Mail oder über infizierte Webseiten auf dem Computer installiert, die dort Daten – etwa die Kontonummer – meist ohne Wissen des Benutzers abruft und weiterschickt. Trojaner können sich auch in Fotos, Dokumenten oder auf Speichermedien verbergen.

Phishing

Beim sogenannten Phishing versuchen Datendiebe, sich über gefälschte Webseiten Konten- oder Kreditkartennummern, TANs, PINs oder Passwörter der Opfer zu angeln. Häufig bauen sie dafür bis ins Detail den Internetauftritt von Banken, Versicherungen oder anderen Institutionen nach. Danach verschicken sie E-Mails, um Kunden per Klick auf einen enthaltenen Link auf die getürkte Seite zu führen. Dabei wird das Opfer aufgefordert, sensible Daten einzugeben, die dann zusammen mit der Identität der Opfer missbraucht werden.

Keylogger

Diese Art von Schadsoftware wandert über ähnliche Wege wie Trojaner in den Computer ein und zeichnet die Tastenanschläge des Benutzers auf, um sie an Datendiebe weiterzuleiten. Diese Tasten-Speichersysteme machen für die Täter Passwörter ersichtlich, selbst wenn die Übermittlung an die passwortgeschützte Webseite verschlüsselt erfolgt.  An öffentlich zugänglichen Computern können Datengangster auch kleine Geräte zwischen Tastatur und Rechner schalten, die dann die Eingaben des Benutzers zeigen und so Daten und Zugänge erschließen lassen.

Klassisches Hacking

Dabei versuchen die Hacker über Programmierattacken in Zentralrechner oder Netzwerke einzudringen. In offenen Netzwerken wie unverschlüsselten WLANs ist dies sehr einfach, in geschützten Bereichen gestaltet sich das schwieriger. Immer wieder hatten solche Angriffe auf Behörden wie die NASA oder das US-Verteidigungsministerium für Schlagzeilen gesorgt. Selbst Industrieanlagen können damit theoretisch lahmgelegt werden, wie die Attacke des Stuxnet-Wurms auf Urananreicherungsanlagen im Iran zeigt.

Zufall und Schlamperei

Zwischenfälle mit sensiblen Daten sind allerdings nicht nur auf professionelle Hacker-Software zurückzuführen, sondern mitunter auch den blanken Zufall oder Unaufmerksamkeit. Dazu zählen auf EC-Karten notierte Geheimzahlen, Haftnotizen mit Passwörtern am Computerbildschirm oder fehlgeleitete Informationen. Ein Beispiel: Vor einigen Jahren erregte eine Panne der Landesbank Berlin Aufsehen. Zwei Kurierfahrer hatten sich über einen von der LBB verschickten Christstollen hergemacht und dann Etiketten von Päckchen vertauscht, um ihren Mundraub zu vertuschen. Prompt landeten tausende Kreditkartendaten in der Redaktion der „Frankfurter Rundschau“, für die eigentlich die Weihnachtsleckerei gedacht war.

Cookies werden von vielen Webseiten verwendet. Während diese in der Regel aber nach 24 Stunden oder noch schneller ihre Gültigkeit verlieren, ist dies Narang zufolge bei LinkedIn erst nach einem Jahr der Fall. Greift nun jemand - legal oder Illegal - auf den Computer des Nutzers zu und nutzt die Datei, hat er bis zu ein Jahr auf dessen LinkedIn-Profil Zugriff. LinkedIn erklärte, das Unternehmen arbeite an einer Verschlüsselung für Cookies. Damit sei in den kommenden Monaten zu rechnen. LinkedIn ist eine Webseite, auf der zum Beispiel Berufstätige Kontakte zu anderen Mitgliedern knüpfen können. Dies ähnelt dem Karrierenetz Xing, das in Deutschland beheimatet ist.

LinkedIn-Aktien hatten in der vergangenen Woche ein fulminantes Debüt an der New Yorker Börse hingelegt. Die Aktie stieg am ersten Handelstag zeitweise um 171 Prozent und weckte bei Börsianern Erinnerungen an die DotCom-Blase zum Jahrtausendwechsel.

Von

rtr

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×