Ihre Facebook-Freunde könnten Bots sein

Ein Team von Wissenschaftlern der kanadischen University of British Columbia (UBC) hat ganze Heerscharen von sozialen Bots entdeckt, die nicht nur für Netzwerke wie Facebook oder Twitter katastrophal sein könnten. Die Forscher entwickelten ein soziales Botnetz – eine Armee von automatisierten «Freunden». Jeder dieser Bots ahmt einen echten Menschen und sein Verhalten in einem sozialen Netzwerk nach. Kurz nach der Entwicklung wurden die Bots auf Facebook und seine Milliarden von Profilen losgelassen.

Auf den ersten Blick sind die Bots kaum von echten Nutzern zu unterscheiden. Sie erstellen Beiträge und interagieren mit der Plattform. Dabei werben sie unterschwellig für Produkte oder Standpunkte und sammeln fleissig private Daten ihrer «Freunde». Wird eine grosse Zahl solcher Bots von einem Botmaster koordiniert, können so massive Mengen an Daten angehäuft werden.

Traditionelle Botnetze sind für Facebook und Co. nicht gefährlich, da Nutzer im Normalfall problemlos zwischen echten Nutzern und einem Bot unterscheiden können. Die Roboter der UBC imitieren echte Menschen aber derart genau, dass eine Unterscheidung fast nicht möglich ist. Neue Wege für Social Engineering stehen offen und stellen Sicherheitsexperten vor Probleme.

Ein Programm der UBC erstellt automatisch Facebook-Profile und schickt Freundschaftsanfragen an zufällige Personen. Die Resultate überraschen: «Wir sahen eine Erfolgsrate von bis zu 80 Prozent», so UBC-Forscher Kosta Beznosov. Einige der Bots erhielten sogar ungefragt Freundschaftsanfragen. Dabei schnitten besonders weibliche Profile gut ab: Im Durchschnitt erhielten sie rund 300 Freundschaftsanfragen während des Experiments. Ihre männlichen Gegenstücke gerade mal zwischen 10 und 15.

Um ein Netzwerk zu infiltrieren, folgen die Bots einem ausgeklügelten Set an Verhaltensregeln. Mit diesen könne sie Informationen aufnehmen, verarbeiten und in eigenes Verhalten ummünzen. Die Bots können bis zu einem gewissen Grad eigenständige Entscheidungen treffen. Sonst werden sie vom Botmaster kontrolliert.

Das Vorgehen der Bots ist in drei Schritte aufgeteilt. Zu Beginn befreunden sich die Bots untereinander. So bauen sie ein Netzwerk auf, das glaubhaft wirkt. In einem zweiten Schritt befreunden sich die Bots mit echten Menschen. Für jeden echten Kontakt, der auf der Freundesliste hinzugefügt wird, entfernt der Bot einen anderen Bot aus dieser. So verschwindet langsam aber sicher jedes Zeichen von Künstlichkeit. Zu guter Letzt sammeln die Bots die freigegebenen Daten, durchsuchen Freunde von Freunden und entdecken neue Verbindungen.

Die Erstellung eines sozialen Botnetzes ist dabei kein Problem mehr. Der Markt für Malware ist mittlerweile beinahe standardisiert. Einen Account bei einem Botprovider zu erstellen ist nicht viel komplizierter als das Erstellen eines neuen Mailkontos. Laut UBC-Forscher Ildar Muslukhov kostet ein Social Bot gerade einmal 30 US-Dollar. Ganze Netzwerke mit Bots sind fertig verfügbar. «Wir haben uns mit einem dieser Leute online unterhalten. Er hat uns eine Feature-Liste geschickt. Alles war bereits fertig vorbereitet», erzählt Muslukhov.

Die Komplexität der Bots macht es schwierig, eine effektive Verteidigung gegen sie zu installieren. Wie in vielen Sicherheitsbelangen in der IT entsteht schnell ein Konflikt zwischen Sicherheit und Nutzerfreundlichkeit. Die Sicherheit sozialer Netzwerke basiert nicht zuletzt auf der Annahme, dass echte von gefälschten Profilen unterschieden werden können. Ein Blick auf eine Freundesliste sollte genügen, um echte von falschen Freunden zu unterscheiden, zumindest auf einer technischen Ebene. Wenn die gefälschten Accounts aber von echten nicht mehr zu unterscheiden sind, fällt diese Sicherheitsmauer in sich zusammen.

Die Forscher der UBC teilen die möglichen Sicherheitsmassnahmen gegen solche Bots in zwei verschiedene Bereiche ein: Vorbeugung und Begrenzung. Vorbeugung beinhaltet verschiedene Massnahmen, um die automatische Erstellung von Nutzerkonten zu verhindern. Im Hinblick auf die Existenz sozialer Botnetze müssen so, wohl oder übel, die Registrierungsvorgänger schwieriger werden. Auch wenn so potenzielle Nutzer vergrault werden. Viele Netzwerke setzen dabei explizit auf eine möglichst einfache Registrierung und öffnen damit Tür und Tor für Botuser. Begrenzung bedeutet die Realität der Angriffe zu akzeptieren und Ressourcen in die Begrenzung des Schadens zu setzen. Die Methode Benutzer anhand auffälliger Verhaltensmuster zu sperren, ist aber fehleranfällig und wird immer unpräziser.

Mit der weiteren Entwicklung sozialer Bots steigt deren Effizienz exponentiell. Je mehr Bots unerkannt in einem Netzwerk eingeschleust sind, desto weniger fallen sie auf und desto rentabler ist das Geschäft mit gestohlenen Nutzerdaten.