Community-Portale müssen Sicherheitsstandards verbessern

Diese Studie nahm Security-Anbieter phion zum Anlass, um auf grundlegende Sicherheitsprobleme in diesem Umfeld hinzuweisen. "Die Ergebnisse der Fraunhofer-Instituts belegen es eindeutig: Mangelnde Verschlüsselung und eine oftmals unzureichende Authentisierung der Benutzer bei Social Networking-Plattformen ermöglicht das Ausspionieren der oftmals sensiblen Nutzerdaten und öffnen somit Tür und Tor für kriminelle Handlungen mit der Identität und den vertraulichen Daten der Nutzer", erläutert Wieland Alge, CEO der phion AG.

Mitglieder von Community-Portalen setzen sich gezielt Gefahren aus, denen sie sich oftmals nicht bewusst sind. Während im Zusammenhang mit Online-Banking in den Medien sehr häufig über Datenklau und Missbrauch berichtet wird und Regularien und Compliance-Vorschriften dort ein sehr hohes Maß an Sicherheit vorschreiben, ist dies bei Social Networking-Plattformen nicht der Fall. "Die Folge ist ein häufig fahrlässiger Umgang mit sensiblen Daten", betont Alge. Obwohl Community-Portale in der Regel als offene Plattformen konzipiert sind, sind sie zugleich auch Datenzentren an denen vertrauliche Informationen lagern, die in ihrer Summe ein attraktives Ziel für Angreifer darstellen. Der sichere Umgang mit vertraulichen Daten sollte für Anbieter von Social Networking Plattformen daher verbindlich werden.

"Dies fordern wir sowohl für vorwiegend privat genutzte Community-Portale, aber in viel gravierender Weise auch für Business-Plattformen", so Alge. "Mitarbeiter in zahlreichen Unternehmen nutzen diese zunehmend auch als erweitertes CRM-System, um mit Kunden, Geschäftspartnern und anderen Zielgruppen in den Dialog zu treten." Unternehmenskritische Daten, wie beispielsweise vertrieblich relevante Informationen, werden somit oft nur unzureichend geschützt ausgetauscht. Sämtliche Anstrengungen die Unternehmen in der Vergangenheit unternommen haben, um Firmendaten vor unberechtigtem Zugriff von außen zu schützen, werden damit konterkariert.

Solange die technischen Systeme der Anbieter von Social Networking-Plattformen nicht den gleichen Sicherheitsanforderungen genügen wie etwa denen von E-Banking-Plattformen ist es für außenstehende Angreifer ein relativ leichtes Unterfangen, Daten auszulesen und für kriminelle Zwecke zu missbrauchen. Kommt es tatsächlich zu Missbrauch, müssen sich die Anbieter der Community-Portale keine Gedanken über die Haftung machen. Im Ernstfall haftet diejenige Person, welche kritische Informationen Dritter in das Community-Portal eingestellt hat.

phion empfiehlt Unternehmen daher klare Richtlinien zu formulieren, die es Mitarbeitern untersagen, geschäftsrelevante Informationen über soziale Netzwerke zu kommunizieren. Bei Engagements in privaten Community-Portalen rät phion den Nutzern, sich sehr genau zu überlegen, welche Informationen öffentlich gemacht werden. Denn auch scheinbar harmlose Daten lassen sich in der Summe zu einem sehr aussagekräftigen Profil zusammenführen, so dass sie für kriminelle Aktivitäten verwertbar sind. Diese reichen vom unaufgeforderten Versand von Spam-Mails, bis hin zu ausgereiften Social Engineering-Maßnahmen, bei denen der Angreifer sich die Identität Nutzers zu Eigen macht.

Zudem fordert phion, dass Anbieter von Community-Plattformen Anstrengungen unternehmen, um ihre Sicherheitsstandards verbessern. Als Orientierungshilfe sei hier der Payment Card Industry Standard (PCI DSS) genannt. In diesen für die Kreditkartenindustrie formulierten Standards, sind Maßnahmen zur Steigerung der Sicherheit von Web Applikationen definiert. "Diese sind aus unserer Sicht nicht nur für Banken und der Kreditkartenindustrie zu empfehlen, sondern auch für sämtliche Anbieter im Web 2.0-Umfeld, die sensible Nutzerdaten verarbeiten", meint Wieland Alge.

www.phion.com