Bitte warten...
FTD.de » HNS - Vernetzung » Aufpasser im Datenstrom

Merken   Drucken   30.03.2007, 12:30 Schriftgröße: AAA

Social Networks: Aufpasser im Datenstrom

Das Web 2.0 boomt. Millionen Menschen vertrauen ihre persönlichen Profile Social Networks wie der Plattform Xing an. Aber wie sicher sind die Daten bei dem Anbieter? von Tim Cappelmann und Daniel Kastner

45 Minuten dauerte der Angriff. Eine gebündelte Aktion, zielgerichtet und aus mehreren Richtungen gleichzeitig. Eine Gruppe von Hackern hatte versucht, in die Xing-Plattform einzudringen. Einen halben Tag, nachdem die Seite der Online-Community StudiVZ lahmgelegt wurde. Xing gelang es, die Attacke im vergangenen Jahr abzuwehren. "Aber da hat jeder alles liegen gelassen und nach möglichen Manipulationen von außen gesucht", erzählt Andreas Gehret, Technikchef des Hamburger Unternehmens.
Die börsennotierte Kontakt-Plattform Xing ist Marktführer unter den Social Networks im deutschsprachigen Raum. Fast zwei Millionen Mitglieder sind weltweit registriert. Für die Nutzer sind das zwei Millionen potenzielle Arbeitgeber, Mitarbeiter und Geschäftspartner. Mit jedem bestätigten Kontakt wächst die Chance, Aufträge zu bekommen, an Informationen zu gelangen oder über sechs Ecken alte Bekannte wiederzutreffen. Für Hacker und Datenjäger dagegen liegen auf den Servern der Firma zwei Millionen Identitäten und persönliche Daten, Telefonnummern, E-Mailadressen und Geburtstage - ein begehrtes Ziel.
Lars Hinrichs, der Xing-Gründer   Lars Hinrichs, der Xing-Gründer
Schlechtes Karma für James Bond
"Kein Anbieter kann von sich behaupten, zu 100 Prozent sicher zu sein, das wäre fahrlässig", sagt Gehret. Aber natürlich fühle sich "jeder in der Firma täglich mitverantwortlich für die Sicherheit der Plattform". Auch unter den Nutzern gebe es "richtige Jäger", die falsche Profile melden. Die User überwachen sich gegenseitig und die Macher der Plattform stehen in "ständigem Dialog mit der Community", erklärt Gehret einen Kontrollmechanismus. "Die Nutzer haben selbst ein Interesse daran, Mitglied auf einer qualitativ hochwertigen Plattform zu sein."
Aber Vertrauen allein genügt nicht. Kontrolle ist besser und die Technik hilft mit. Ein "Fake Assassin" prüft jede Neuanmeldung und vergibt so genannte Karma-Punkte für Auffälligkeiten. Meldet sich jemand als James Bond an, gibt es Punkte. "Es kommt vor, dass jemand James Bond heißt. Das allein ist also kein Grund für eine Sperre", sagt Gehret. Professor James Bond, geboren am 1.1.1970 in einem Ort mit der Postleitzahl 12345 lässt hingegen die Karma-Punkte nur so prasseln - und veranlasst Xing, ein Profil genauer zu überprüfen und das Mitglied zu kontaktieren.
Gegen Angriffe von außen schützt sich das Unternehmen auf mehreren Ebenen. Die Server, auf denen die Daten liegen, stehen an einem geheimen Ort in Deutschland und getrennt vom Firmensitz; auch die Mitarbeiter wissen nicht wo. Lediglich drei Administratoren haben Zugang zu den Rechnern. Das Gebäude ist videoüberwacht, mit Eingangscodes geschützt, und sogar die Schränke, in denen die Maschinen stehen, sind gesichert. "Die einzige Einstiegsmöglichkeit in das System bleibt über http, also den SSL-Port", sagt Gehret - die Schleuse zum Internet.
Drei Vokabeln für Sicherheit
SSL-Port? Drei Vokabeln muss man beherrschen, um die Datensicherung bei Xing zu verstehen: SSL, Lastverteiler und Intrusion Detection. Die SSL-Verschlüsselung benutzen auch Banken für die Kontodaten ihrer Kunden beim Online-Banking. SSL steht für "Secure Socket Layer", also in etwa "Sichere Anschlussebene". Wäre Xing ein Mietshaus, erhielte der Kunde als Mieter einen privaten Schlüssel - sein Passwort - und ein SSL-Generalschlüssel für den Port ginge an Hausmeister Xing.
Vorarbeit beim Verschlüsseln kann der Kunde aber auch selbst schon leisten, indem er sich ein kompliziertes Passwort ausdenkt: 26 mögliche Buchstaben im Alphabet, mal groß, mal klein geschrieben, dazu zehn Ziffern und noch ein paar Satzzeichen, zufällig angeordnet - eine solche Kombination ist jedenfalls schwerer zu knacken als einfach nur das Geburtsdatum, der eigene Vorname oder ein schlichtes "Hallo".
Der Hausmeister im Mietshaus würde nun die Schlüssel in einem Safe ablegen. Hausmeister Xing macht es Datendieben etwas schwerer: Die Kundendaten landen nicht auf einem einzigen Server, sondern werden auf mehrere verteilt. Ein Netzwerk wie Xing braucht ohnehin mehrere Server, weil einer allein den Datenverkehr gar nicht bewältigen könnte. Deshalb heißen die Maschinen, die die Verteilung übernehmen, Lastverteiler. Alles was bei Xing rein- und rausgeht, ist per SSL verschlüsselt, "nichts geht im Klartext über das Internet", sagt Gehret.
Ein typisches Xing-Profil. Dieser Nutzer ist kein Premium-Mitglied   Ein typisches Xing-Profil. Dieser Nutzer ist kein Premium-Mitglied
"Analytisch veranlagte Mitarbeiter"
Um aber überhaupt an den SSL-Port zu gelangen, muss der erste Türsteher überwunden werden, die Intrusion Detection - eine lernfähige Maschine, die mit einem Programm nach Eindringlingen sucht und den Netzwerkverkehr nach Auffälligkeiten filtert. Im Idealfall merkt das Programm, wenn jemand versucht, den Datenstrom mitzulesen oder einen Server auszuspionieren. Auch die Applikationsserver, auf denen Anwendungen wie beispielsweise die Suchfunktion laufen, sind von der Datenbank getrennt. "Selbst wenn man es geschafft haben sollte, auf einen der Applikationsserver zu kommen, ist man noch lange nicht auf der Datenbank", sagt Gehret.
Weil Xing sich aber nicht nur auf die Technik und seine Nutzer verlässt, überwachen zusätzlich noch echte Menschen den Datenverkehr. Diese "analytisch veranlagten Mitarbeiter" schauen sich die Nutzerprotokolle an und greifen ganz klassisch zum Telefon, wenn sich ein Mitglied daneben benimmt. Die Erfahrungen mit der manuellen Überwachung seien "extrem gut", sagt Gehret. In der Regel zeigten sich die Ertappten einsichtig und seien sogar positiv überrascht, persönlich kontaktiert zu werden. Das führe dann häufig sogar zu Tipps und Verbesserungsvorschlägen - und die Strafanzeige bleibt aus. Dass diese menschlichen Wächter effektiv arbeiten, bestätigt auch der "Chaos Computer Club" (CCC), der von "fähigen Leuten" spricht.
In 90 Prozent der Fälle sind aber ohnehin diejenigen, die sich über Unregelmäßigkeiten beschweren, selbst Urheber des Problems: Weil sie Einstellungen vorgenommen und anschließend vergessen haben - oder weil sie sich in einem Internet-Cafe nicht richtig ausgeloggt haben. Gegen Vergesslichkeit schützt auch keine Intrusion Detection.
Trojaner und Tricks
Insgesamt haben es Angreifer also schwer bei Xing. Datenströme und Datenspeicher werden bewacht, und selbst wenn jemand in einen der Server vordränge, hätte er nur wertlose Datenschnipsel in der Hand. Große Sicherheitslücken sind auch in der Hackerszene derzeit nicht bekannt, allenfalls kleine Tricks kursieren im Netz - zum Beispiel, wie man ein paar Elemente der Premium-Mitgliedschaft nutzt, ohne die 5,95 Euro monatlich dafür zu bezahlen.
Will ein Laie unbedingt das Xing-System missbrauchen, kann er allenfalls ein falsches Profil anlegen, das nicht Micky Maus oder Professor James Bond heißt. Es gäbe zwar ein paar Karma-Punkte, aber die Intrusion Detection würde das nicht bemerken; sie sieht nur einen legitimen Vorgang, keinen Angriff. Doch ein Betrug wäre trotzdem kaum möglich, weil andere Nutzer auf der Suche nach Geschäftspartnern wohl kaum ausschließlich über Xing kommunizieren wollen. Irgendwann ist auch ein Telefonat oder eine persönliche Begegnung fällig, und spätestens dann fliegt der Schwindel auf. Um sich vor Adresshändlern zu schützen, sollte man aber dennoch genau abwägen, wem man welche Daten zeigt.
Professionellen Angreifern bleiben noch Trojaner und Phishing. Beide Methoden kennt man eher vom Online-Banking; Experten halten zumindest für möglich, dass auch Xing-Nutzern solche Fallen gestellt werden. Ein Trojaner ist ein Programm, das sich heimlich auf dem Privatrechner eines Nutzers einnistet und dort sozusagen alles mitschreibt, was der Nutzer eintippt - auch Passwörter. Wenn der Trojaner diese Daten seinem Urheber schickt, kann dieser zum Beispiel mit dem Xing-Profil seines Opfers online gehen. Trojaner kann man sich häufig einfangen, wenn man unbekannte E-Mail-Anhänge öffnet - oder wenn man sich auf die falschen Websites locken lässt, die den Trojaner sofort installieren, wenn man sie aufruft.
Aufwändiges Phishing
Beim Phishing müsste der Angreifer die Xing-Website nachbauen - mit einer ähnlichen Webadresse wie das Original. Gibt der Nutzer auf dieser Attrappe seinen Benutzernamen und sein Passwort ein, landen seine Daten nicht auf den Xing-Servern, sondern beim Angreifer - und der kann sie dann verwenden. Kaum ein Übeltäter wird aber einen solchen Aufwand treiben, nur um an Zugangsdaten für ein Online-Netzwerk zu kommen.
Eine Gefahr für die Daten des Nutzers geht, zumindest theoretisch, eher vom Betreiber eines Netzwerkes selbst aus: Dann nämlich, wenn das Unternehmen verkauft würde - so wie kürzlich die Studentenplattform StudiVZ, die für etwa 85 Mio. Euro an den Holtzbrinck-Konzern ging. Was dann mit den Daten geschieht, wer sie lesen und womöglich weiter verkaufen kann, darüber hat dann meist niemand mehr den Überblick.
Auch wenn ein internationaler Wettbewerber an den deutschen Markt geht, sollte man sich genau überlegen, wohin die Daten bei einer Anmeldung kommen. Profile, die auf Servern in Deutschland liegen, haben einen juristischen Standortvorteil. Bei Betreibern in den USA beispielsweise gelten andere Datenschutzgesetze. Dort fahndet das FBI bereits im Web 2.0.
  • FTD.de, 30.03.2007
    © 2007 Financial Times Deutschland,
Jetzt bewerten
Bookmarken   Drucken   Senden   Leserbrief schreiben   Fehler melden  
  DAX 6264,38  [-16.42 -0,26%
  Euro Stoxx 50 2118,94  [2.76 +0,13%
  Dow Jones 12393,45  [-26.41 -0,21%
  Euro 1,23428 USD  [-0.00159 -0,13%
  Brent-Öl 101,94 USD  [-1.37 -1,33%
Digital-Abo Digital-Abo ab 16,90 Euro im Monat
Online Services
  • Zugriff auf alle aktuellen Premium-Artikel
  • Verschiedene digitale Produkte, wie z.B. die FTD als Online-Ausgabe (PDF)
Mobile Services
  • Alle Ausgaben der FTD als App auf Ihrem Tablet
  • Alle Funktionen in der iPhone-App, wie z.B. die Vorlesefunktion von Artikeln
Digital-Abo bestellen Zur Abo-Ãœbersicht
für Abonnenten
  12.09.2011 Wissenstest Kennen Sie sich aus mit Mietangelegenheiten?

Darf der Kanarienvogel eigentlich mit einziehen, auch wenn Tiere laut Mietvertrag verboten sind? Und was, wenn dann der Vermieter plötzlich in der Wohnung steht? Testen Sie Ihr Wissen in Sachen Mieten und Vermieten.

In der Wohnung habe ich keinen Platz für meine riesige Schuhsammlung. Ich darf sie doch bestimmt in den Hausflur stellen, oder?

Wissenstest: Kennen Sie sich aus mit Mietangelegenheiten?

Alle Tests

  Entscheiderpanel Versicherungen Das eDossier der Financial Times Deutschland
Entscheiderpanel Versicherungen: Das eDossier der Financial Times ...

Die Manager der Assekuranz stehen vor großen Herausforderungen, 2011 wird ein Jahr der Weichenstellungen. Im FTD-Entscheiderpanel Versicherungen sagen die führenden Köpfe der Branche, wie sie die aktuelle Lage einschätzen und wie sie ihr Unternehmen in turbulenten Zeiten wetterfest machen. mehr

Immobilien-Kompass
Partnerangebot Immobilien suchen in ...
  31.05. Vermischtes Gelähmte Ratten lernen wieder laufen
Vermischtes: Gelähmte Ratten lernen wieder laufen (00:02:06)

Ein Forscherteam im schweizerischen Lausanne hat durchtrennte Nerven im Rückenmark der Nager elektrochemisch wieder zum "Leben erweckt". Die Wissenschaftler hoffen, das Verfahren in den nächsten Jahren auch an Menschen testen zu können. mehr

 

UNTERNEHMEN
  •   Eklat auf Hauptversammlung Neuer EADS-Verwaltungsratschef schwänzt Aktionärstreffen
    Eklat auf Hauptversammlung: Neuer EADS-Verwaltungsratschef ...

    Skandalöser Auftakt für den Umbau des EADS-Managements: Bei der Hauptversammlung fehlt der neue Verwaltungsratsvorsitzende Arnaud Lagardère. Auch andere Board-Mitglieder bitten, "sie zu entschuldigen". mehr

  •   Tarifvertrag VW-Belegschaft bekommt 4,3 Prozent mehr

    IG Metall und der Wolfsburger Konzern sind sich einig über die Vier vor dem Komma. Der Tarifabschluss bei VW folgt einem Vorbild - der Vereinbarung der Metall- und Elektroindustrie im Pilotbezirk Baden-Württemberg. mehr

  •   Verdeckt bei GLS Wallraff - Sklave undercover

    Es ist eine denkwürdige Medienkombi aus RTL und "Zeit", mit der Günter Wallraff mal wieder schwere Missstände aufdeckt. Der fast 70-Jährige muss beim Paketdienst GLS schuften bis zum Umfallen - zu lächerlichen Konditionen. mehr

  •   Tourismus Thomas Cooks Zahlen stürzen ab
  •   Solarbranche Kommentar Das Ende der Subventionszombies
    Solarbranche: Das Ende der Subventionszombies

    Die Konsolidierung in der Solarbranche hat schon einige deutsche Firmen in die Insolvenz getrieben. Es wird Zeit, die Förderung der erneuerbaren Energien anders zu gestalten. mehr

mehr Unternehmen

FINANZEN

mehr Finanzen

POLITIK

mehr Politik

IT+MEDIEN

mehr IT+Medien

FTD-SPEZIAL: FINANZKOMMUNIKATION

mehr FTD-Spezial: Finanzkommunikation

WISSEN

mehr Wissen

MANAGEMENT+KARRIERE

mehr Management+Karriere

SPORT
  •   Deutschland-Israel Nationalelf mit glanzloser EM-Generalprobe
    Deutschland-Israel: Nationalelf mit glanzloser EM-Generalprobe

    Es waren kein Spiel für Fußballästheten, aber das Minimalziel ist immerhin erreicht: Bei strömendem Regen besiegte die deutsche Nationalmannschaft Israel im Testspiel. mehr

  •   Sportbotschafter Der Kaiser für Russland

    Neu im Team von Gazprom: Franz Beckenbauer wirbt ab sofort für Sportereignisse in Russland. Auch, wenns nicht um Fußball geht. mehr

  •   Stehplätze in Fußballstadien Friedrich will Gelbe Wand schließen

    Bundesinnenminister Friedrich schaltet sich in die Diskussion um Krawalle in deutschen Stadien ein: In anderen Ländern gäbe es längst keine Stehplätze mehr. Werden die Fans nicht vernünftig, müsse auch in Deutschland ein Sitzzwang her. mehr

  •   Portugal bei der EM 2012 Stoppt das Kneipensterben!
  •   EM 2012 Neue Chance für Chancentod Torres
    EM 2012: Neue Chance für Chancentod Torres

    Fernando Torres wird von der britischen Presse für seine Tordürre verspottet. Wegen akuter Personalnot in der spanischen Nationalmannschaft soll es der Stürmerstar trotz schwerer Krise bei der EM richten. mehr

mehr Sport

AUTO

mehr Auto

LIFESTYLE
  •   Casual Friday Das Haus mit dem Plopp
    Casual Friday: Das Haus mit dem Plopp

    Spätnachts lässt unser Bürogebäude Dampf ab. Mit einem lauten "Plopp-pfffffffffffffff-zschschschsch" kommt aus der Lüftung in meinem Zimmer der ganze Druck des Tages. So laut, dass ich die ersten Male sehr erschrak, als es plötzlich ploppte und pfffffffffffffte und zschschschte. mehr

  •   Millionen Klicks im Netz Heiratsantrag wird Internet-Hit

    Isaac Lamb hat seiner Freundin Amy wahrscheinlich den tollsten Heiratsantrag der Welt gemacht. Knapp acht Millionen haben das Video dieser ungewöhnlichen Aktion bereits bei Youtube angeklickt. mehr

  •   Rauchstraße Lunge, komm bald wieder

    Rauchen kann krank machen. Ach so, das wissen Sie schon und rauchen dennoch weiter? Eine Glosse mehr

  •   Onlinespiel Sind Sie ein flinker Markensammler?
  •   Onlinespiel Solitär der Mächtigen
    Onlinespiel: Solitär der Mächtigen

    Das Kartenspiel Solitär sorgt oft für die kleine Entspannung zwischendurch. Anlass für uns, eine FTD.de-Version an den Start zu schicken - mit Banker-Buben, reizenden Politiker-Damen und einflussreichen Königs-Ökonomen. mehr

mehr Lifestyle

WISSENSTESTS

mehr Wissenstests

mehr Bilderserien

Mein FTD.de
Abo
Tools
Produkte
Kontakt nach oben
 
© 1999 - 2012 Financial Times Deutschland
Aktuelle Nachrichten über Wirtschaft, Politik, Finanzen und Börsen

Börsen- und Finanzmarktdaten:
Bereitstellung der Kurs- und Marktinformationen erfolgt durch die Interactive Data Managed Solutions AG. Es wird keine Haftung für die Richtigkeit der Angaben übernommen!

Ãœber FTD.de | Impressum | Datenschutz | Disclaimer | Mediadaten | E-Mail an FTD | Sitemap | Hilfe | Archiv
Mit ICRA gekennzeichnet

VW | Siemens | Apple | Gold | MBA | Business English | IQ-Test | Gehaltsrechner | Festgeld-Vergleich | Erbschaftssteuer
G+J Glossar
Partner-Angebote