Sicherheitsrisiko Webbrowser

Sicher surfen (60px)
Anonymes Surfen im Internet ist für viele eine Selbstverständlichkeit. Dass dies leicht ein Trugschluss sein kann, haben Forscher in einer neuen Studie gezeigt. Die Speicherung des Verlaufs bei Webbrowsern kann in Verbindung mit Informationen aus sozialen Netzwerken sogar den richtigen Namen des Surfers verraten. (*Update 8.2.2010: Was Sie dagegen tun können: Unsere Anleitungen*)

Die Experten des Isec-Forschungslabor für IT-Sicherheit haben in ihrer Studie eine Sicherheitslücke aufgezeigt, die von einigen Zeitungen als möglicher „Datenschutz-GAU" bezeichnet wird. Wie die Forscher zeigen, findet man in vielen Fällen die Identität des Nutzers eines sozialen Netzwerkes heraus, wenn Daten aus dem gespeicherten Verlauf von Webbrowsern mit Informationen des sozialen Netzwerks kombiniert und ausgewertet werden.

Die meisten Nutzer sozialer Netzwerke nehmen an verschiedenen Gruppen teil, in denen Sie sich mit Gleichgesinnten vernetzen und austauschen. Die Forscher fanden nun heraus, das viele Mitglieder sich durch die Wahl der Gruppen identifizieren lassen. Es ist wie ein digitaler Fingerabdruck: Bei der großen Anzahl von Gruppen gibt es jeweils nur einen oder wenige Nutzer, die in der gleichen Kombination von Gruppen Mitglied sind.

Wenn man über einen anonymen Surfer erfährt, welche Gruppen sie oder er in letzter Zeit besucht hat, kann man damit seine Identität im sozialen Netzwerk herausfinden. Mithilfe des Nutzerprofils erhält man dann weitere Daten der Person, etwa den richtigen Namen, das Geburtsdatum oder eine E-Mail-Adresse.

Wie funktioniert das?

Nehmen wir an, Frau Erika Mustermann ist Nutzerin eines sozialen Netzwerks, vielleicht sogar mit dem Nutzernamen "Erika Mustermann". Sie ist in verschiedenen Gruppen aktiv, dies läßt sich aber nicht direkt im sozialen Netzwerk beobachten.

Wie erfährt nun ein Angreifer, in welchen Gruppen Frau Mustermann aktiv ist? Hier kommt der Webbrowser ins Spiel. Die gängigen Browser speichern die Internetadressen besuchter Seiten in einer internen Liste, dem Browser-Verlauf oder Browser-History, ab.

Es kommt hinzu, dass die Internetadressen sozialer Netzwerke eine Kennung enthalten, die eine Gruppe identifiziert. Sobald Frau Mustermann eine ihrer Gruppen besucht hat, befindet sich anschließend im Browser-Verlauf eine Internetadresse mit dieser Gruppenkennung, etwa der Art: "https://www.Ein.Netz/net/[Gruppenkennung]".

Besucht Frau Mustermann nun später eine speziell präparierte Internetseite des Angreifers, so vergleicht die Seite automatisch den Browser-Verlauf mit einer Liste von bekannten Adressen mit Gruppenkennungen. Der Angreifer erhält damit eine Liste aller Gruppen, die Frau Mustermann besucht hat.

Unabhängig davon erzeugt der Angreifer für das soziale Netzwerk eine Liste von Mitgliedern für jede Gruppe. Dies, so die Forscher, ist offenbar verhältnismäßig einfach zu bewerkstelligen.

Zuletzt kombiniert der Angreifer die beiden Listen und vergleicht das Ergebnis: Wie viele sind Mitglied in allen Gruppen, die Frau Mustermann besucht hat? Das Erstaunliche: In fast der Hälfte der Fälle bleibt nur ein Mitgliedsname übrig: in unserem Falle wäre dies wohl Frau Mustermann. Und über das Nutzerprofil erfährt der Angreifer nun eine Reihe von persönlichen Information über Frau Mustermann.

Aus der anonymen Surferin ist mit Hilfe des Browser-Verlaufs eine identifizierte Person geworden.

Die Methode der Ausspähung von Browser-Verläufen ist ist seit zehn Jahren unter dem Namen "History stealing" bekannt. Der aktuelle Forschungsbeitrag hat diese nun mit einer spezifischen Eigenschaft der Gruppen von sozialen Netzwerke kombiniert.

Diese Eigenschaft, die die Forscher "verstreute Datensätze" (englisch "sparse datasets") nennen, läßt sich auch in anderen Internetangeboten, etwa beim Online-Einkauf oder Online-Marktplätzen finden. Die Anwendung der beschriebenen Angriffstechniken, so steht zu befürchten, wird wohl nicht auf soziale Netzwerke beschränkt bleiben.

Was kann ich tun?

Die derzeit beste Möglichkeit, Ihre Identität und privaten Daten gegen diese Art von Angriffen zu schützen ist es, den Verlauf besuchter Internetseiten in Ihrem Webbrowser regelmäßig zu löschen, oder gar nicht erst speichern zu lassen. Das gilt vor allem für Internetadressen von Webseiten, bei denen Sie Mitglied sind.

In allen modernen Browser läßt sich der Verlauf per Hand oder regelmäßig automatisch löschen. Manche Browser bieten auch die Möglichkeit, ohne die Aufzeichnung von Verlaufsdaten zu surfen ("privates Surfen").

Update 8.2.2010: Im Artikel "Surfverlauf im Browser löschen und verwalten" und den konkreten Anleitungen für Internet Explorer, Firefox und Safari zeigen wir Ihnen, welche Möglichkeiten Sie zum Umgang mit dem Surfverlauf haben, .