# taz.de -- Betreiber von Socialnetworksecurity.org: "Es fehlt eine Sicherheitskultur"
       
       > Die Plattform Socialnetworksecurity.org deckt gezielt Lücken in sozialen
       > Netzwerken auf. Im Interview sagen die Macher, worum es ihnen geht - und
       > was Nutzern drohen kann.
       
 (IMG) Bild: Startseite des Netzwerks "Friendster".
       
       taz.de: Sie als Betreiber der Online-Plattform Socialnetworksecurity.org
       wollen anonym bleiben. Gibt es dafür einen speziellen Grund? 
       
       Socialnetworksecurity.org-Team: Unsere Erfahrung in den vergangenen sechs
       bis acht Monaten hat gezeigt, dass einige Betreiber sehr allergisch
       reagieren, wenn man ihre Plattform gezielt nach Schwachstellen durchforstet
       und diese dann im Anschluss mit der Bitte, das Problem möglichst schnell zu
       beheben, an sie meldet.
       
       Viele empfinden das als "Finger Pointing" und reagieren teilweise sehr
       unprofessionell mit direkter Sperrung bestehender Accounts. Zum Teil wurde
       auch uns auch schon mit juristischen Konsequenzen gedroht - und das, obwohl
       wir vor einer möglichen Veröffentlichung verantwortungsbewusst die Lücken
       an die Betreiber gemeldet hatten. Um all diesen Stress nicht mehr zu haben
       und erst gar nicht wieder aufkommen zu lassen, haben wir uns entschieden,
       lieber anonym zu bleiben und auf dem Globus verteilt zu arbeiten. Die
       Mitglieder unseres Teams stammen aus unterschiedlichen Ländern.
       
       Was ist Ihrer Erfahrung nach derzeit das Hauptproblem bei Social Networks? 
       
       Wir sehen allen voran das Problem, dass die meisten bekannten
       Social-Networking-Plattformen keine volle Web-Verschlüsselung für ihre
       Seiten anbieten, weil ihre Werbeeinblendungen dann nicht mehr funktionieren
       würden. Das Problem liegt also nicht nur bei den Betreibern, sondern auch
       bei den Reklamedienstleistern.
       
       Würden die Social Networks volle SSL-Unterstützung anbieten und ihre
       Cookies nach dem [1][aktuellen Sicherheitsstandards] absichern, wären
       deutlich weniger User-bezogene Daten von Sicherheitslücken betroffen, da
       diese dann nicht mehr mittels einfacher [2][Man-in-the-middle-] oder
       [3][Cross-Site-Scripting]-Schwachstellen abgreifbar wären.
       
       Wie schnell reagieren Social Networks auf bekanntgewordene Lücken? 
       
       Die meisten Plattformen reagieren eher mit organisatorischen Rückfragen -
       etwa, warum wir uns mit dem Problem melden. Ein Danke kommt eher selten.
       Das Ausrollen eines Fixes, also eine Schwachstelle zu beseitigen, könnte
       ebenfalls schneller gehen.
       
       Welche Szenarien sind neben den aktuell üblichen - also Spam, Phishing,
       Account-Hacking - in den nächsten Jahren noch zu erwarten, wenn man
       bedenkt, dass immer mehr sensible Daten in den Social Networks lagern? 
       
       Wir sind der Meinung, dass neben Spam und Phishing vor allem das direkte
       Kopieren von Profilen, also mit gleichem Namen und gleichem Bild, bei
       Kriminellen zunehmen wird (als Form von Identitätsdiebstahl, Anm. d. Red.).
       Darüber hinaus ist damit zu rechnen, dass ausgeklügelte Würmer innerhalb
       der Social Networks platziert werden, die unbemerkt im Hintergrund
       Benutzerdaten abgrasen oder den Computer der Benutzer befallen.
       
       Wie erleben Sie die Sicherheitskultur bei Social Networks? 
       
       Eine Sicherheitskultur seitens der Betreiber ist aus unserer Sicht meistens
       nur nach Außen, zur Presse hin, vorhanden. Intern fehlt den meisten
       Betreibern von Social Networks einfach fundiertes Know How zum Thema
       Websecurity. Auch fehlt eine grundsätzliche Security Awareness, also eine
       Integration des Sicherheitsgedankens in das tägliche Handeln.
       
       Wie kommt die Plattform bislang an? 
       
       Bislang kommt unsere Website sehr gut an. Wir haben auch schon viele
       Anregungen bekommen, was wir noch tun sollten, vom RSS-Feed für Lücken bis
       hin zu weiteren Sprachversionen.
       
       Darüber hinaus haben wir bereits jede Menge Submissions bekommen, das heißt
       Sicherheitslücken auf unterschiedlichen nationalen und internationalen
       Plattformen. Die prüfen wir derzeit, um sicherzugehen, dass wir keine
       Falschmeldungen auf unserer Plattform platzieren.
       
       Manche Sicherheitsexperten sprechen sich für Full-Disclosure-Verfahren aus,
       also die direkte Veröffentlichung von Lücken. 
       
       Wir machen kein direktes Full Disclosure. Das muss an dieser Stelle
       klargestellt werden. Wir melden von uns selbst entdeckte Sicherheitslücken
       an die Betreiber, sofern sie eine für Security- und Privacy-Fragen
       eingerichtete E-Mail-Adresse oder ein speziell für sicherheitsrelevante
       Themen eingerichtetes Web-Formular haben. Wir geben ihnen damit die
       Möglichkeit, das jeweilige Problem abzustellen, bevor wir auf unserer
       Webseite darüber berichten.
       
       Reagiert ein Betreiber auch nach unserem zweiten Anschreiben nicht, so
       müssen wir davon ausgehen, dass die Sicherheit der eigenen Plattform nicht
       mit der notwendigen Aufmerksamkeit behandelt wird. Nur in solchen Fällen
       greifen wir zum Full Disclosure. Wir bilden dadurch eine Art Zwischenkanal
       - auf der einen Seite die Finder der Lücken, auf der anderen die Betreiber.
       Für uns hat sich bereits gezeigt, dass durch das Auftauchen unseres
       Projektes bestimmte Betreiber sicherheitsbewusster geworden sind. Da haben
       Plattformen mittlerweile "security@"-Adressen eingerichtet, die vorher
       keine hatten. Das zeigt erste konkrete Ergebnisse.
       
       Sind deutsche Angebote schlechter als us-amerikanische, wenn es um
       Sicherheit geht? Gibt es einen unterschiedlichen Professionalisierungsgrad? 
       
       Deutsche Portale sind im allgemeinen sicherer, was aus unserer Sicht daran
       liegt, dass es in Deutschland härtere Bestimmungen im
       Bundesdatenschutzgesetz gibt.
       
       Auf der anderen Seite muss man aber erwähnen, dass vor allem deutsche
       Social Networks beim Melden von Sicherheitslücken oft mit der Anmerkung
       reagieren, dass man von ihnen nicht beauftragt worden sei und wieso man
       überhaupt auf deren Plattform nach Sicherheitslücken sucht. Hier sind
       einige Anbieter aus anderen Ländern lockerer drauf.
       
       28 Feb 2011
       
       ## LINKS
       
 (DIR) [1] /1/netz/netzgeraete/artikel/1/wie-firesheep-facebook-kapert/
 (DIR) [2] http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff
 (DIR) [3] http://de.wikipedia.org/wiki/Cross_Site_Scripting
       
       ## AUTOREN
       
 (DIR) Ben Schwan
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Online-Werbung: Der Track-App-Nepp
       
       Mit sogenannten Supercookies ist es möglich, auch jene PC-Nutzer durchs Web
       zu verfolgen, die sich verstecken wollen. Auf Smartphones ist die Gefahr
       noch größer.
       
 (DIR) Facebook steigert Selbstwertgefühl: Ich? Gefällt mir!
       
       Facebook wird eine Menge zugetraut - nun auch noch das: Laut einer Studie
       dient das weltgrößte soziale Netzwerk als Ego-Pusher. Doch nicht alle sind
       dieser Meinung.
       
 (DIR) Neue Datenbank "Socialnetworksecurity": Wo Lücken in sozialen Netzen klaffen
       
       Eine neue Online-Plattform erfasst Probleme der Datensicherheit bei
       Facebook, Xing und Co. Die Netzwerke gingen viel zu nachlässig vor, sagen
       die Macher.