Datenschutz-GAU

Sicherheitslücke enttarnt Millionen von Internetnutzern

(Bild: © 2010 Photos.com, a division of Getty Images)

Wer bislang glaubte, unerkannt durchs Web surfen zu können, wird jäh eines Besseren belehrt: Wissenschaftlern des internationalen Isec-Forschungslabors für IT-Sicherheit ist es nach "Spiegel Online" vorliegenden Informationen gelungen, vermeintlich anonyme Internetnutzer mit einem simplen Trick namentlich zu identifizieren. Von der Sicherheitslücke betroffen sind Millionen Mitglieder sozialer Netzwerke.

Die Experten des Isec-Forschungslabors, einer Kooperation der Technischen Universität Wien mit dem französischen Institute Eurécom und der University of California, machen sich dem Bericht zufolge eine Sicherheitslücke zunutze, die bereits seit zehn Jahren bekannt ist. Betroffen sind alle Mitglieder sozialer Netzwerke wie Facebook oder Xing, die sich sogenannten Netzwerk-Gruppen angeschlossen haben.

Denn die Gruppenzugehörigkeit, so die Forscher, ergebe ein einzigartiges Profil, das sich wie ein Fingerabdruck aus dem Browser ablesen lässt. "In einem sozialen Netzwerk gibt es eben nur sehr wenige Menschen, die in denselben Gruppen eingetragen sind", zitiert "Spiegel Online" die Studienautoren Thorsten Holz und Gilbert Wondracek. Letztlich bleibe typischerweise nur eine Person übrig, auf die alle Merkmale passen.

Eindeutiger Fingerabdruck
Über eine präparierte Website könne dieser "eindeutige Fingerabdruck" mit Hilfe des sogenannten History-Stealing (Verlauf-Diebstahl) abgegriffen werden. Dabei wird die Tatsache ausgenutzt, dass der Browser Links zu einer bereits besuchten Seite (oder eben Netzwerk-Gruppe) andersfarbig darstellt als unbesuchte. So gelingt der Studie zufolge nicht nur die namentliche Identifizierung des Internet-Nutzers, auch dessen Surf-Verhalten wird erfasst.

Was bei Scherzseiten wie "Didyouwatchporn?" (siehe Infobox) dazu dient, Freunde spaßeshalber bloßzustellen, könnte es Kriminellen nun ermöglichen, Internet-Nutzer direkt zu kontaktieren oder gar zu erpressen, warnen die IT-Experten vom Isec. "Prinzipiell sind alle Internet-Angebote betroffen, in denen sich Menschen unter ihrem Klarnamen anmelden und in Gruppen organisieren", sagte Holz. Die Angriffsmethode sei so simpel, "dass auch technisch nicht sehr versierte Hacker" sie umsetzen könnten. Anhand einer eigens eingerichteten Website (siehe Infobox), können Xing-Nutzer selbst erproben, ob sie zu identifizieren sind.

So kannst du dich schützen
Immerhin: Wer regelmäßig seinen Surfverlauf löscht und das Speichern von Cookies untersagt, ist vor History-Stealing gefeit. Holz glaubt jedoch nicht, dass viele Nutzer solche Sicherheitsmaßnahmen freiwillig ergreifen werden, wie er gegenüber "Spiegel Online" erklärt - schließlich würden Nutzer dadurch eine Menge an Surf-Komfort einbüßen.