![[externer Link]](../../images/link.gif)
Sophos die riskante Auskunftsbereitschaft von Nutzern näher untersucht hat. Für Cyberkriminelle ist es ein Leichtes, auf diese Weise potenzielle Opfer auszuspionieren und gezielt zu attackieren. 15. August 2007
Mitglieder von Social Networks geben auf Anfrage häufig unüberlegt persönliche Daten wie E-Mail-Adresse, Geburtstag oder Telefonnummer preis, ohne die Identität des Absenders zu kennen. Das bestätigte jetzt ein Experiment auf dem populären englischsprachigen Online-Netzwerk Facebook, in dem Security-Anbieter Sophos die riskante Auskunftsbereitschaft von Nutzern näher untersucht hat. Für Cyberkriminelle ist es ein Leichtes, auf diese Weise potenzielle Opfer auszuspionieren und gezielt zu attackieren.
Unter dem frei erfundenen Namen Freddi Staur hat Sophos einen Facebook-Account angelegt – im Profil befand sich lediglich das Foto eines kleinen, grünen Frosches sowie einige wenige persönliche Daten. Um zu erfahren, wie viele Mitglieder auf die Anfrage eines unbekannten Absenders antworten, versendete "Freddi" daraufhin Anfragen an 200 willkürlich ausgewählte Facebook-Nutzer. Das Ergebnis: 41 % antworten nicht nur auf die Kontaktaufnahme, sondern gewährten Freddi auch Zugriff auf ihre hinterlegten persönlichen Daten. In vielen Fällen umfassten diese eine oder mehrere E-Mail-Adressen, Geburtsdatum, Adresse und Telefonnummer sowie häufig auch Zugang zu privaten Fotos von Freunden und Angehörigen. Viele der Kontakte nannten darüber hinaus persönliche Vorlieben und Abneigungen, Hobbys oder auch berufliche Details.
Security Consultant Christoph Hardy kommentiert: "Es ist erschreckend zu sehen, wie leicht es ist, im Internet an persönliche Daten zu gelangen. Wäre Freddi ein Cyberganove, hätte er jetzt alle Informationen, um die User gezielt zu attackieren und sie um ihr Geld zu bringen – sei es über individuell gestaltete Phishing- und Spam-Mails oder Malware-Angriffe." Zudem könne man mithilfe persönlicher Daten, wie dem Geburtstag oder dem Namen der Freundin, oft Passwörter herausfinden oder täuschend echte falsche Identitäten anlegen. "Um nicht Opfer gezielter Datenspionage zu werden, sollten Mitglieder sozialer Netzwerke bei Kontaktanfragen von Unbekannten daher besonders wachsam sein und sich erst erkundigen, mit wem sie es zu tun haben", mahnt Hardy. Auch Unternehmen kann der nachlässige Umgang ihrer per Firmenadresse erkennbaren Mitarbeiter schnell zum Verhängnis werden: Sie sollten daher Richtlinien zur beruflichen Nutzung von Online-Netzwerken und der akzeptablen Preisgabe beruflicher Daten definieren.
Einige weitere Ergebnisse des Facebook-Experiments von Sophos: 87 der 200 von "Freddie Staur" kontaktierten Nutzer antworteten auf diese Anfrage. 72 % der Antwortenden gaben mindestens eine E-Mail-Adresse preis. 84 % gaben ihre vollständigen Geburtsdaten an, 78 % Auskunft über ihre aktuelle Adresse oder den derzeitigen Wohnort. Detaillierte Informationen zu ihrer Ausbildung und ihrem Arbeitsplatz lieferten 87 %. Mehr Zurückhaltung war lediglich bei Telefonnummern (23 %) und Instant-Messaging-Daten (26 %) zu beobachten. Einige Empfehlungen zum Umgang mit dem Social Network hält Sophos in seiner Best-Practice-Sammlung bereit.
| 