In einem internationalen Projekt offenbaren sie Sicherheitslücken im Netz.

* * *

Die Attacke kam ohne Vorwarnung - und Jäger wurden zu Gejagten. Eine tückische Falle, aufgestellt von einem internationalen Expertenteam, schnappte zu und bescherte so einer Gruppe Internet-Gauner eine ungewöhnliche Erfahrung: Man klaute ihnen Daten. Und das alles im Dienste der Wissenschaft.

Was genau war passiert? Im Sommer 2010 führten Forscher des Institut Eurécom im französischen Valbonne, der Technischen Universität Wien und der University of California in Santa Barbara im Rahmen der Forschungskooperation "International Secure System Lab" (Seclab) gemeinsam ein außergewöhnliches Experiment durch. Die Informatiker wollten das Missbrauchspotenzial von sozialen Netzwerken wie Facebook und dergleichen testen. Nicht etwa mittels theoretischer Analysen, sondern in der echten virtuellen Welt. Doch dafür brauchten sie Versuchsmaterial, reale Daten.

Um sich diese zu beschaffen, griffen die Wissenschafter eine Spam-Plattform an, die massenweise nervende Werbe-E-Mails in alle Welt verschickt. "Wenn die bösen Jungs ihren Rechner schlecht absichern, dann kann man darin herumstöbern", erklärt Studienteilnehmer Christian Platzer von der TU Wien. Er und seine Kollegen ließen im Rahmen des Forschungsschwerpunkts "Informations- und Kommunikationstechnologie" einen eigenen Computer absichtlich von einem sogenannten Botnet infizieren. Danach gelang es ihnen, den Zentralrechner der Spammer ausfindig zu machen, in dem die E-Mail-Adressen für Werbeattacken gespeichert waren.

So erbeuteten die Profis mehr als zehn Millionen einzelne Adressen, welche sie nun für ihre Untersuchung verwenden konnten. Selbstverständlich ohne Nachteile für deren Inhaber. Projekte wie dieses sind für die Seclab-Experten quasi Alltag, berichtet Christian Platzer. "Wir beschäftigen uns mit allem, was Internetsicherheit umfasst." Die drei Schwerpunkte seien der Schutz der Privatsphäre der Nutzer, der Virenschutz und "alles strafrechtlich Relevante". Jegliche Form von Internetkriminalität also. Fürwahr ein weites Feld.

Spur zu Nutzer-Profilen

Die besagte Studie zur Sicherheit der sozialen Netzwerke offenbarte einige brisante Details. 1,22 Millionen der eingesetzten Mailadressen führten zu Nutzer-Profilen auf Netzwerkseiten, etwa die Hälfte bei mehr als einer. Mittels eines "Crawler"-Programms durchsuchte das Team diese Plattformen und fügte die gesammelten Daten einzelner Nutzer zusammen. Mit zum Teil sehr sensiblen persönlichen Angaben, berichtet Christian Platzer. "So findet man zum Beispiel den schwulen Direktor, der sich auf einer Dating-Seite outet, aber nicht bei Facebook." Eine potenzielle Möglichkeit zur Erpressung.

In einem zweiten Versuchsschritt testeten die Wissenschafter über Suchanfragen tausende nach dem Zufallsprinzip konstruierte Adressen wie max.mueller@gmail.com. 20.000 davon ergaben Treffer bei mindestens einem sozialen Netzwerk. Im Anschluss konnte der Crawler erneut persönliche Daten sammeln. Die Ergebnisse wurden später natürlich wieder gelöscht.

Das Experiment blieb nicht ohne Folgen. Auf Anregung der Forscher haben die Plattformen Facebook und Xing schnellstens ihr System zur Adressenabfrage geändert. Es können nur noch kleine Mengen abgerufen werden, Massenanforderungen von mehreren tausend Adressen sind jetzt ausgeschlossen.

Das neueste erfolgreiche Projekt der Seclab-Forscher betrifft den Schutz der Privatsphäre bei der Benutzung von Smartphones. Das Team hat ein Programm für das automatisierte Aufspüren von Datenlecks in den Betriebssystemen von iPhone & Co entwickelt - eine Weltneuheit, getauft auf den Namen PiOS. Das datenschutztechnische Hauptproblem sind hier die allseits beliebten Apps. Sie werden in der Regel nicht von den eigentlichen Herstellern wie Apple oder Google entwickelt, sondern von unabhängigen Programmierern. Und darunter tummeln sich leider auch schwarze Schafe.

Präparierte Apps

Präparierte Apps können Informationen über Nutzer oder Gerät unbemerkt über das Internet versenden: Aufenthaltsort, Telefonnummern, aufgerufene Webseiten oder gar ganze Adressbücher. In den meisten Fällen dient solches Datensammeln gezielten Werbekampagnen, aber die Informationen lassen sich natürlich auch auf kriminelle Weise nutzen. Der Einsatz von PiOS hat gezeigt, dass von 1400 getesteten Apps nur 44 Zugriff auf sensible Daten ermöglichen. In 195 Fällen konnten Apps die Gerätenummer weiterleiten, was jedoch keinen direkten Rückschluss auf den Benutzer ermöglicht. PiOS ist noch ein Prototyp und nicht für den Markt vorgesehen, erklärt Christian Platzer. "Aber wir forschen weiter."

Gleichzeitig nimmt man am Seclab schon weitere Themen ins Visier. Eines davon: Wie können die vorgesehenen neuen Stromzähler, Smart Meters, gegen Missbrauch geschützt werden? Über ein Botnet aus Smart Meters ließen sich flächendeckende Stromausfälle auslösen, sagt Platzer.

Gibt es in Zukunft den "gläsernen Bürger", oder wird die totale, unkontrollierte Digitalisierung unserer Privatsphäre doch noch aufzuhalten sein? "Ich glaube schon", meint Platzer. "Das regulierende Element sind die Benutzer, die sich aufregen." Wenn es diese datenschutzempfindlichen Menschen nicht gäbe, wäre schon viel zu viel möglich. Aus jeder Missbrauchsgefahr, jeder Lücke wird schnell ein Skandal, was Hersteller, Behörden und andere Beteiligte unter Druck setzt. "Das stimmt mich optimistisch." (Kurt de Swaaf/DER STANDARD, Printausgabe, 13.07.2011)