Im Jahre 2009 erfuhr die ganze Welt, welche Badehose der britische Geheimagent John Sawers zum Schwimmen anzieht. Zumindest sahen es alle, die damals schon Mitglied von Facebook waren: Sawers' Ehefrau hatte Fotos von Familienausflügen in das soziale Netzwerk gestellt.
Die Frau des angehenden Chefs des britischen Geheimdienstes war in die Freundschaftsfalle getappt. Doch auf Facebook treffen sich nicht nur Freunde, sondern vor allem Fremde. Wie die Offenheit des Netzes auch Firmen schaden kann, hat der bayerische Verfassungsschutz nun Studenten der Hochschule Augsburg erforschen lassen ( PDF-Datei). In einem Handbuch, das aus der Forschung entstand, warnen sie davor, dass Mitarbeiter, wenn sie sich bedenkenlos in Netzwerken mitteilen, der Industriespionage die Tür öffnen. Jährlich entstehen der deutschen Wirtschaft durch Spionage 20 Milliarden Euro Schaden, schätzt das Bundesinnenministerium. Angriffe gingen besonders häufig von Russland und China aus.
So haben die Studenten im Feldversuch zum Beispiel über das berufliche Netzwerk Xing einen IT-Beauftragten ausfindig gemacht. Mitglieder stellen dort häufig ihre kompletten Lebensläufe ein. Die Studenten durchsuchten das Netzwerk systematisch nach Mitarbeitern eines bestimmten Unternehmens - und konnten aus den Spezialkenntnissen, die der Mann in seinem Werdegang aufgelistet hatte, schließen, welche Software sein Unternehmen benutzt.
Informationen auf dem Silbertablett
Früher sei es mühsame und aufwendige Arbeit gewesen, an Mitarbeiter von Unternehmen heranzukommen, erklärt Markus Schäfert vom Landesamt für Verfassungsschutz. Heute würden Spähern die Informationen "auf dem Silbertablett serviert". Aus dem, was Menschen über sich in den Netzwerken preisgeben, könnten Schlüsse über ihr Verhalten und ihre Kontakte gezogen werden. Auch, wer welche Kollegen hat und wer in welcher Abteilung arbeitet. Angreifern fällt es dann leichter, persönliche E-Mails an ganze Gruppen von Angestellten einer Firma zu schreiben, die scheinbar logisch zusammengehören.
So scheint es auch beim Angriff auf den amerikanischen Rüstungskonzern Lockheed Martin im vergangenen Jahr gewesen zu sein. Die Datendiebe versendeten E-Mails an einige Mitarbeiter der Sicherheitsfirma RSA. Diese fertigt die Verschlüsselungstechnologie, die als virtuelles Schutzschild für Lockheed Martin dient. Die E-Mails, die die Datendiebe verschickten, erschienen den RSA-Mitarbeitern unverdächtig, sodass sie auch den Anhang öffneten. Durch diesen bekamen die Angreifer Zugriff auf die Computer.
Manche Angreifer setzen noch stärker auf persönlichen Kontakt. Sie dringen mit gefälschter Identität in den virtuellen Freundeskreis vor, gelangen so an weitere persönliche Informationen und können das Verhalten ihres Opfers beeinflussen. Zum Beispiel sein Interesse auf eine Internetseite lenken, die beim Anklicken weitere Daten des Opfers abruft oder eine Spähsoftware auf dessen Computer installiert. Zudem mache sich erpressbar, wer allzu Privates von sich im öffentlichen Netzwerk preisgibt, mahnt das Handbuch.
Der Autohersteller Porsche verbot im Oktober 2010 seinen Angestellten, vom Firmencomputer aus auf Facebook, Xing und Googles E-Mail-Programm zuzugreifen; auch Ebay wurde untersagt. Damit könnte Porsche vielleicht das Risiko verringern, dass Spionage-Software ins Firmennetzwerk geschleust wird. Doch kein Konzern kann seinen Angestellten verbieten, die Internetdienste privat vom eigenen Computer aus zu nutzen - und damit bleibt eine wichtige Tür offen: das unüberlegte Ausplaudern. Schlichte Freude über seine baldige Heimkehr verleitete beispielsweise im März 2010 einen israelischen Soldaten dazu, auf seinem Facebook-Profil eine Razzia im Westjordanland anzukündigen. Was, wenn ein Ingenieur mit einer neuen Entwicklung angibt? Oder auch, wie beim Autobauer Daimler geschehen, ein Mitarbeiter sich über Vorstände auslässt?
Oft ist dann von der Schwachstelle Mensch die Rede. Doch diese Schwachstelle kann man schulen, raten die Verfassungsschützer. Immer wieder sollten Unternehmen deshalb deutlich machen, welche Informationen heikel und deshalb streng vertraulich sind, und was unbedingt ein Geheimnis bleiben muss. Niemals solle man das Firmenpasswort auch für private Zwecke oder umgekehrt nutzen, so der Rat der Forscher. Man könne dem Menschen sagen, dass Netzwerke gefährlich werden können. Und dass nicht jede Freundschaftsanfrage auf Facebook von einem Freund kommt.