Social Engineering: Ein kopiertes Facebook-Profil als Schlüssel zu Informationen
Der Identitätsdiebstahl der Landtagsabgeordneten Sandra Redmann auf Facebook wird in den Medien vielfach diskutiert. Kommentatoren fordern härteres Durchgreifen, einen verbesserten Verbraucherschutz oder mehr Rechte für die Polizei. Doch das Problem sitzt vor dem Bildschirm.
Der Trick ist denkbar einfach: Eine Person voll krimineller Energie nutzt alle frei verfügbaren Informationen, die auf einem Facebook-Profil einsehbar sind, und erstellt eine Kopie davon. Das selbe Profilfoto, das selbe Cover, die selbe Arbeitsstelle. Dann schickt er den Freunden der kopierten Person Freundschaftseinladungen mit einer Lüge wie: „Ich habe das Passwort zu meinem alten Profil verloren, hier nun mein neues.” Wenn diese die Einladung angenommen haben, beginnt der Spaß erst richtig. Man erfragt beispielsweise Handynummern der Freunde. Und nutzt diese dann, um Zugang zu weiteren Seiten oder Bezahlsystemen (Zong o.ä.) zu bekommen. Das ist dann aber auch nur möglich, wenn die Kriminellen PINs an die Handynummern der neu gewonnenen Freunde senden lassen und diese dann bei denen abfragen. So passierte es der Landtagsabgeordneten Sandra Redmann. Erst als Freunde bei der realen Frau Redmann nachhakten, was denn die virtuelle Frau Redmann so treibe, flog die Masche auf. Die Ermittlungen laufen nun, der Schaden ist bisher nicht abzuschätzen. Auch Landesblogger Chris Schmidt wurde von der falschen Frau Redmann kontaktiert und beschreibt seine Erlebnisse hier.
Kommentatoren (beispielsweise in den Kieler Nachrichten) forderten nun länderübergreifende Gesetze, die die Betreiber der betroffenen Seiten dazu verpflichten sollen, Daten der Betrüger schneller herauszugeben. Denn die Ermittlungsarbeit der Polizei wäre nicht all zu schwer, sofern Sie denn Daten wie die IP (die auf Facebook zugegriffen hat und das Profil anlegte) oder die Bankdaten (auf die das über Paypal gestohlene Geld überwiesen wurde) zur Verfügung hätte. Solche Forderungen sind natürlich verständlich (und sinnvoll), aber dienen nur der Nachverfolgung, nicht Verhinderung solcher Betrügereien. Denn sie helfen nicht dabei, das Kernproblem zu bekämpfen: Die Leichtgläubigkeit und das technische Unverständnis vieler Menschen.
Wer für „Nicht-Freunde” viele Informationen auf Facebook preisgibt, handelt fahrlässig. Arbeitgeber, Beziehungsstatus, Ausbildungsstätte, Urlaubsfotos und Freundesliste frei einsehbar? Schon in den Händen von Mark Zuckerberg, Marketingfirmen und Geheimdiensten sind diese Informationen nicht gut aufgehoben, wie wir seit Edward Snowden wissen. Man muss aber kein Hacker oder Geheimdienstler sein, um per „Rechtsklick — Speichern unter…” die Kinderfotos eines offen einsehbaren Profils zu ergattern. Und auch wer Freundschaftseinladungen von Unbekannten annimmt (was bei Landtagsabgeordneten sicherlich häufiger passiert, als bei Privatpersonen), sollte zumindest eine weitere Privatsphärenstufe einrichten. Denn bei Facebook ist es durchaus möglich, Informationen vor flüchtigen Bekanntschaften zu verbergen, selbst wenn diese mit einem befreundet sind. Einen Guide dazu bieten Facebook und mimikama.
Genau die gleiche Schuld trifft übrigens die „Freunde”. Jemanden erst über ein soziales Netzwerk die Handynummer mitzuteilen, und dann eine auf die eigene Nummer gesendeten PIN obendrauf, zeugt von geballter Naivität. Kein Gesetz der Welt kann verhindern, dass so etwas passiert. Hierfür Bedarf es Aufklärung der Bürgerinnen und Bürger durch Politik, Medien und Bildungseinrichtungen.
Weiterführende Links:
Das Unabhängige Landeszentrum für Datenschutz informiert Betroffene, wie sie weiter vorgehen können:
https://www.datenschutzzentrum.de/faq/persoenlichkeitsrechte.htm
