Allein aus diesem Kontext heraus kann man erahnen, dass einigen Lesern sicherlich direkt übel wurde. Es werden sich sicher auch etliche Fragen ergeben haben:

• Wieso ist es möglich sich so einfach Zugriff zu verschaffen?
• Ist das Internet wirklich so unsicher wie es hier angedeutet wird?
• Wie kann ich meine Kinder vor so etwas schützen?
• Wieso hat man das nicht direkt bemerkt und eine Sperre etabliert?

Leider wurden die technischen Aspekte im Artikel der Rheinpfalz nicht so sehr beleuchtet. Daher möchte ich versuchen vielleicht den ein oder anderen dieser Aspekte auch noch zu erhellen.

Die Vorgehensweise des Täters war recht durchdacht. So hat er sich z.B. seine Ziele aus sozialen Netzwerken herausgefischt. Im Vordergrund standen wohl Alter und Aussehen als Merkmale. Soweit ich weiß, ist nicht weiter bekannt, auf welchen Plattformen er gesucht hat. Beide Merkmale lassen sich aber in nahezu allen sozialen Netzen filtern.

Wichtig ist an dieser Stelle die Tatsache, dass diese Informationen für Jedermann öffentlich sind. Das heißt also, sie sind zumindest für jeden lesbar, der einen Account auf der Plattform hat. Dazu kommt eben, dass nicht alle Benutzer nur “nett” sind, sondern es ist eben auch ein ganzer Brocken schwarzer Schaafe mit an Bord.

Nachdem die “Zielgruppe” also zusammengestellt wurde, folgt im Grunde der wichtigste Schritt. Laut Berichten hat der Täter einen Trojaner verwendet, um die Webcams “fernzusteuern”. Nun sollte man über einen Trojaner wissen, dass er sich nicht selbst verteilt und auch nicht von allein aktiv wird. Er muss also explizit von einem Benutzer auf dem Rechner ausgeführt werden.

Um dies zu erreichen, so vermute ich, hat der Fernspanner entweder eine Direktnachricht mit Link zum Trojaner, oder eine E-Mail mit angehängtem Trojaner versendet. Der Inhalt dieser Nachricht muss derart hohen Anreiz schaffen, dass Jemand (so doof ist und) die angehängte Datei startet.

Update: Offenbar hat der Täter seinen Trojaner als Bild-Datei getarnt. Danach soll er  sich Zugang zu einem ICQ-Account eines Schülers verschafft haben, um so in dessen Namen den Trojaner leichter verbreiten zu können.

Der Rest ist, zumindest aus technicher Sicht, trivial: Der Trojaner meldet sich bei der Gegenstelle auf dem Rechner des Spanners und übermittelt Daten, wie IP-Adresse, Webcam-Bilder, etc. pp.  Auf diesem Wege hätte man also auch noch weitere persönliche Daten transportieren können. Das war aber wohl nicht das Ziel des Täters, denn dieser wollte offensichtlich nur spannen.

Im Übrigen hat natürlich nicht jeder PC eine Kamera installiert. Diesen Umstand kann man durch das Gießkannenprinzip minimieren: Je öfter ich meinen Trojaner verschicke, desto höher ist die Wahrscheinlichkeit, dass sich mein Trojaner mit einer Webcam meldet. Ein weiteres Indiz sind die Profilbilder oder Photos aus Alben der Benutzer in den sozialen Netzwerken. Webcam-Bilder haben immer eine besondere Charakteristik, was Aufnahmewinkel, Lichtverhältnisse, Farbsättigung und Auflösung angeht.

• In Bilderserien ist der Aufnahmewinkel immer derselbe
• Bei schlechten Lichtverhältnissen werden die Bilder oft körnig und unscharf
• Farben sind entweder übersteuert und verzerrt oder sehr blass
• Die Auflösung bewegt sich aufgrund der kompakten Bauweise i.d.R.  im Rahmen <=2 Megapixel

Aufmerksam machte schließlich ein 16-jähriges Mädchen auf den Trojaner, indem es sich bei einem Bekannten beschwerte, dass ihr Rechner so langsam geworden sei. Bei dem Bekannten handelte es sich wohl um einen “Experten”, dem es möglich war den Trojaner ausfindig zu machen, wonach diese Informationen an die Polizei weitergeleitet wurden. Nachdem der Täter ausfindig gemacht wurde, fanden die Ermittler einige der Webcam-Bilder auf seinem Rechner. In einem Interview des Radiosenders SWR1 RP heute morgen, beteuerte das Mädchen in Zukunft besser auf seinen Umgang mit persönlichen Daten im Netz Acht zu geben und keine Nachrichten/Einladungen mehr von Fremden unachtsam zu öffnen/anzunehmen.

Nach den Pressemeldungen zu urteilen gab es keine eindeutigen Hinweise auf kinderpornographische Hintergründe. Allerdings dürfte das mitunter darauf zurück zu führen sein, dass sich nicht gerade jedes 16-jährige Mädchen vor dem laufenden PC auszieht. Zumindest nicht nach meinem aktuellen Weltbild. Ob es tatsächlich das Ziel des Täters gewesen ist solche Bilder zu ergattern, möchte ich an dieser Stelle lieber  nicht beurteilen.

Was kann man tun?

Stichwort Medienkompetenz

Sowohl Eltern, als auch Kindern sollten den sicheren Umgang mit dem Medium Internet erlernen. Ich darf schließlich auch nicht am öffentlichen Verkehr mit einem PKW teilnehmen, wenn ich keinen Führerschein habe. Als Radfahrer brauche ich zwar keinen Führerschein, aber die Wahrscheinlichkeit, dass ich über den Haufen gefahren werde, wenn ich mich nicht an die StVO halte, ist sehr hoch.

Wenn jemand eine der Nachrichten, mit dem Hinweis auf einen Trojaner,  hätte deuten können und den Absender an die Betreiber des sozialen Netzwerks gemeldet hätte, wäre ein Eingreifen seitens der Polizei vielleicht schon früher möglich gewesen.

Man merkt an diesem letzten Satz, viel “hätte”, “wenn” und “können” führen leider in Wirklichkeit nicht zum gewünschten Ergebnis. Man muss also noch etwas tun, bzw. nicht tun, denn gegen das Öffnen einer Datei seitens des Benutzers gibt es nunmal keinen Schutz. Gängige Betriebssysteme warnen sogar beim Öffnen möglicher gefährlicher Dateitypen. Leider stumpft man ab, wenn man immerzu gefragt wird, ob man die Datei XY denn wirklich ausführen möchte, obwohl man das zuvor auch schon zig mal bestätigt hat.

Es gilt also dennoch einen kühlen Kopf zu bewahren und einzuschätzen, was sicher ist und was nicht. Dazu benötigt man ein gewisses Maß an Know-How und Fingerspitzengefühl.

Stichwort Antiviren-Programme

Was man im Volksmund unter dem Begriff Antivieren-Programme so schlicht zusammenfasst, ist eigentlich doch sehr breit gefächert: Viren, Würmer, Trojaner, Malware, Popups, Werbung, alles Böse…

Im Grunde gibt es an Software für jedes einzelne Töpfchen auch ein Deckelchen. Das kann mit unter dazu führen, dass der Rechner seine eigentlichen Aufgaben deutlich langsamer ausführt. Selbiges kann auch für All-In-One-Lösungen wie “Internet Security Suites” gelten. Das ist dann so wie Kondome beim Geschlechtsverkehr; es ist umständlich, aber es ist relativ sicher!

Ich selbst habe mich daher entschlossen nur das nötigste in Form eines einfachen Antiviren-Programms zu installieren. Diese decken den Bedarf an Abwehr gegen Viren und Würmer, die ja in der Lage sind sich selbst zu verbreiten, ab. Soweit möglich würde ich auch noch empfehlen zumindest die Windows-Firewall zu aktivieren; das ist besser als nichts.
Bei dieser Variante gehe ich davon aus, dass ich selbst in der Lage bin zu beurteilen, welche Dateien ich sicher öffnen kann und welche nicht. Die Analogie hier wäre vielleicht Persona; wenn das rote Lichtchen angeht, schläft eben jeder auf seiner Seite des Bettes und ansonsten verlasse ich mich darauf, dass ich nicht zu den 6% aus der Fehlerquote gehöre.

Eigentlich wollte ich noch mehr detailliertere Tipps geben, aber ich glaube diese würden ihr Ziel verfehlen. Im Nachhinein betrachtet wird sich ein Teenager kaum Gedanken um die Sicherheit seines PC’s machen wollen. Daher ist der Artikel wohl eher auch an Eltern gerichtet. Informiert euch!

Die sicherste Methode ist übrigens die Webcam einfach abzukleben, da die meisten diese wohl eher nicht dauerhaft nutzen. Wie das am besten funktioniert zeige ich euch dann im nächsten Beitrag

“I read your email” war gestern, heute ist “I’m watching you live on the internet” angesagt, Breitband sei Dank.

Meistens richten sie sich an Einsteiger, die ihren Erstkontakt mit dem Internet mit einer Registrierung, z.B. beim StudiVZ feiern. Kurz darauf hören sie dann von einem Kumpel, der schon knapp zwei Tage länger angemeldet ist, von Eingriffen in die Privatsphäre und davon, dass nun gewiefte Arbeitgeber auch Online-Profile nach Unstimmigkeiten und Bildern von Saufgelagen durchforsten. Wenig später ändert man dann fix seinen Namen auf dem Portal und passt noch dazu die Privatsphäre-Einstellungen (Neudeutsch “Preiwässi Sättinks”), nach den Empfehlungen des Kollegen, an. Zurück bleibt für Außenstehende eine leere Seite ohne Inhalt (“Kontännt”), die noch dazu unter dem falschen Namen “Graf Zahl” o.Ä. sinnfreiem  erscheint. Herzlichen Glückwunsch zu dieser Entscheidung, das Profil ist nun wirklich sicher. Jetzt können nach Herzenslust Bilder hoch- und runtergeladen werden, findet ja eh keiner mehr. Die Online-Reputation geht damit gegen Null. Fail.

Andere machen vermeindlich alles richtig und wollen es auf Business-Netzwerken, wie Xing so richtig krachen lassen. Es wird das Bild hochgeladen, zu dem damals noch die Mutter kommentiert hat: “Da siehst Du so richtig erwachsen aus”. Wir erinnern uns an dieser Stelle auch kurz daran, dass solche Mütter mit eben solchen Kommentaren ihre Kinder auch gerne mal zu PopStars oder DSDS ins direkte Verderben schicken.

Nachdem mit dem Profil-Photo die erste Hürde überwunden ist, macht man sich daran seinen Werdegang, von der Geburt bis hin zur morgentlichen Busfahrt zum Arbeitsplatz, zu beschreiben. Dabei fasst man noch kurz zusammen, was man eigentlich so kann: lesen, schreiben, reden (viel und reichlich), rechnen (nicht so dolle und auch bitte keine so krummen Zahlen). Vielleicht erwähnt man noch kurz, dass man zwischen Geburt und Busfahrt, also quasi auf dem Weg zum Bus noch BWL studiert hat.

Stolz gibt man den eigenen Namen bei Google ein und findet einen, aus Sicht der Mutter gutaussehenden, BWLer. Top, da bin ich nun, die Online-Reputation!

Hat man sich nun mit den üblichen Verdächtigen der Social-Networks beschäftigt, geht man gerne noch einen Schritt weiter Richtung Web2.0. Man möchte nicht nur gefunden werden, sondern man möchte dem Ganzen auch etwas zurückgeben und in Diskussionen und Beiträgen Reputations-Punkte sammeln. Nach einiger Zeit stellt man dann also fest, dass man wohl der einzig wahre “Ralf Müller” ist. Zumindest der einzige, der in fünf verschiedenen Social-Networks mitmischt. Außen Top-Hits, innen Geschmack und einiges an Fachwissen (“Knoff-Hoff”), sollen diese Suchergebnisse an Eindruck vermitteln.

Nun kann man sich natürlich folgende Situation vorstellen. In einer BWLer-Sekte (Xing-Gruppe), lernt man einen Ex-Studenten kennen, der zufälligerweise an der selben Uni studiert. Dann freundet man sich natürlich im StudiVZ an, der Kollege tritt mit Kommentaren die Bilder breit und erzählt das allen seinen Xing-Kollegen. Man sieht seine so mühsam errichtete Reputations-Bastille zusammenbrechen. Das Gefühl ist in etwa das gleiche, wie wenn man noch das Geräusch im Ohr hat, als man den Papierkorb auf dem Dekstop leerte und nun anfängt eine wichtige Datei zu suchen. Die siehst Du so schnell nicht wieder.

Aber Alles halb so wild, ist ja nur eine Xing-Gruppe nichts öffentliches, nur für Mitglieder und auch nur für zugelassene mit original BWLer-Profil-Bild. Die Trennung von Privatem und Offiziellem hällt also auch hier wunderbar stand.

In den Medien hört man öfter mal, dass Amokläufe und Flugzeugabstürtze über dieses Twitter publiziert werden. Kann man sich ja mal anschaun. Graf Zahl aka Ralf Müller fängt nun also auch an zu Twittern; naja zuerst nicht so richtig, dann haut man mal ein paar SEO-Links raus und gibt anderen Tipps, wie man richtig viele Follower an Land zieht. Die Anzahl der Posts stagniert erstmal, bis man selbst merkt, dass 1.000 Follower vielleicht etwas hochgegriffen sind, wenn man selbst nur 30 hat. Nundenn.

Nach langem hin und her entschließt man sich dann aber, Twitter nur noch privat zu nutzen. Man folgt einfach ein paar Usersn, die ähnliche miese Beiträge schreiben und freut sich am Miteinander.

Später im richtigen Job Twittert man ja gerne mal zwischendurch. Plötzlich kommt der Kollege rein und fragt: “Sag mal surfst Du schon wieder während der Arbeitszeit auf diesem Twitter?” Du guckst nur genervt und twitterst noch schnell ein kurzes: “Man dieser n00b weiß nichtmal was Twitter eigentlich ist.” und fügst wenig später noch an: “…soll er doch zu dieser Niete von Chef gehen und sich beschweren.”

Die Frage ist eigentlich dann nur noch, wie lange es dauert, bis einer der übrigen Mitarbeiter die Verknüpfung von Graf Zahl zu Ralf Müller herstellt und das dann dem Chef beichtet. Auf jeden Fall hat man dann unter Umständen ganz lange Zeit nachzudenken, was man an welchem Online-Profil besser machen könnte. Vielleicht hätte man auf dem Xing-Profil nicht doch die Twitter-Url für Jederman angeben sollen. Who knows.

Sicher ist aber auf jeden Fall, dass man privates und geschäftliches im Internet meiner Meinung nach garnicht trennen kann, zumindest nicht auf Dauer. Der Google-Elefant vergisst nie. Zum durchschauen einer solchen Fassade braucht man in der Regel nur, entweder einen schlauen Menschen oder eine dumme Suchmaschine. Was passiert, wenn ein schlauer Mensch eine dumme Suchmaschine bedient erleben wir ja täglich am eigenen PC. Man findet zu den Dingen, nach denen man eigentlich gesucht hat, auch all diejenigen, von denen man garnichts wissen wollte; Stichwort “pony geschwollene zunge”. Wenn ich also nicht will, dass irgendeine Information von mir im Netz wiederzufinden ist, dann poste ich sie auch nicht in selbiges Medium.

Umgekehrt halte ich es für unsinnig zu behaupten, dass Alles was im Netz gefunden wird, später auch gegen einen verwendet wird. Derjenige, der noch nie besoffen war, zahlt den ersten Stein auf dem nächsten Betriebsausflug. Das Problem hat man aber im richtigen Leben auch, denn man weiß nie im Vornherein, was Andere über einen selbst denken und was sie wiederum dann als Information weitergeben.

Damit möchte ich diesen Beitrag nun auch beenden und hoffe, dass einige mal drüber nachdenken, was Sie alles über sich veröffentlicht haben in all den Netzen auf denen sie angemeldet sind und was man vielleicht besser machen könnte, um sich selbst möglichst originalgetreu anderen zu präsentieren, ohne dabei über die Stränge zu schlagen. Erstmal Maß halten, dann erst Maß trinken

Eine weitere Meinung zu diesem Thema findet man übrigens im Blog von Marco Ripanti.

Ich fange einfach mal an. Der jeweils fette Teil ist mein persönlicher Favorit.

• Vimeo vs. YouTube
• Yiid vs. DandyID
• Posterous vs. Tumblr
• Loopt vs. Brightkite
• Delicious vs. Diigo
• Dailybooth vs. Dailymugshot
• Flickr vs. Ipernity
• getsatisfaction vs. Uservoice
• Xing vs. LinkedIn
• meinVZ/StudiVZ vs. Wer-kennt-wen (obwohl beides ein Krampf ist)

Bei einigen Vergleichen ist mir aufgefallen, dass oft auch einfach nur das bessere Layout entscheidet. Beziehungsweise -je näher der Funktionsumfang beieinander liegt, desto eher entscheidet rein die Optik. Auch im Web2.0 ist weniger oft mehr, daher wundert es mich immer wieder, wie überladene Seiten alá Facebook so beliebt sein können.