Kampf den "Gateway-Daten"

Mitnichten, entgegnet Herbert "Hugh" Thompson, Chief Security Strategist beim Berater People Security, während seines Vortrags an der RSA-Conference 2009 in London. Dann zeigt er anhand diverser Beispiele auf, wie diese für sich genommen unspektakulären Daten gefährlich werden können. Denn die Informationsschnipsel lassen sich von Hackern nicht nur für persönliche Attacken nutzen. Sie können Wirtschaftsspionen dazu dienen, mehr über den Status einer Firma zu erfahren. Im schlimmsten Fall zeigen sie beispielsweise auf, ob ein Unternehmen zum Verkauf ansteht oder ob der Firma demnächst der Bankrott droht.

Eine besondere Goldgrube sind hier Geschäfts-orientierte soziale Netze wie etwa LinkedIn oder Xing. "Wenn ein Angestellter von Firma x eine Empfehlung von einem Mitarbeiter bei Firma y einholt, heisst das noch gar nichts", beginnt Thompson sein Beispiel. Wenn er von mehreren fordere, ein gutes Wort für ihn einzulegen, heisse zwar ein bisschen mehr, nämlich, dass er aus irgendwelchen Gründen den Job wechseln wolle. "Wenn aber die zehn Kaderleute des Unternehmens x plötzlich wie wild von ihren Kollegen diese Recommendations anfordern, heisst dies, dass hier mit dieser Firma in nächster Zeit etwas faszinierendes passieren wird", führt Thompson aus.

Er nennt diese Informationen "Gateway Data", weil sie das Einfallstor zu einer neuen Form von Social-engineering-Attacken darstellen. "Die Bezeichnung kennt noch niemand, weil ich sie erfunden habe", witzelt Thompson, liefert aber gleich eine Definition: Demnach sind dies Daten, die harmlos scheinen, aber wenn sie richtig verwendet werden, geben sie einem Zugang zu hochsensitiven Informationen.

Thompson zufolge gibt es drei Arten von solchen Gateway-Daten. Die erste Kategorie sind "direkte Daten". Dies sind Daten, die durch Anwendung von bestimmten Regeln einem Zugang zu heiklen Informationen erlauben. Als Beispiel nennt Thompson Fragen nach persönlichen Details, die einem Websites stellen, wenn man das Passwort vergessen hat. "Früher waren diese Fragen sinnvoll, denn nur sehr gute Bekannte hätten die Antwort herausfinden können. Aber heute sind viele der gefragten Informationen im Web erhältlich, sei es in Facebook-Konten, Blogs und weiteren Quellen", meint Thompson. Als Beispiel für einen erfolgreichen Hack mit solchen direkten Daten nennt er den Einbruch in das private Webmailkonto der ehemaligen Gouverneurin von Alaska, Sarah Palin. Hier fragte das System danach, wo sie ihren Partner kennen gelernt habe. "Die entsprechenden Angaben lassen sich im Wikipedia-Artikel über Palin nachlesen", sagt Thompson.

Doch damit nicht genug. Es gibt auch Daten, die Glaubwürdigkeit gewinnen, indem sie von einem Menschen wiederholt werden. Es gäbe Studien, so Thompson, die belegen, dass Leute glaubten, dass man ihre Kreditkartennummer weiss, wenn man ihnen die ersten vier Ziffern nenne. Thompson nennt diese Informationen "Ergänzungsdaten" (Amplification Data).

Die höchste Stufe von Gateway-Daten sind dann kollektive Informationen, die aus mehreren Quellen stammen. Sie sind für sich genommen irrelevant. Wenn man sie aber geschickt korreliert, dann können sie nicht nur etwas über einzelne Personen aussagen. Es lassen sich auch Aussagen über Firmen machen, wie das anfangs erwähnte Beispiel über die plötzlich via LinkedIn aktiv werdenden Kadermitglieder zeigt.

Laut Thompson ist derzeit das Bewusstsein bei vielen Security-Verantwortlichen nicht vorhanden, wie schädlich solche für sich gesehen belanglose Informationen für Individuen und Firmen werden können. "Wir müssen die Korrelationen zwischen diesen Infos besser verstehen lernen und das Bewusstsein bei den Anwendern schärfen, dass solche Daten missbraucht werden können", lautet das Fazit von Thompson.