“Im Online-Marketing-Hacking geht es noch einigermaßen seriös zu” – IT-Professor Thorsten Holz
Browser-Hijacking, Click-Fraud, De-Anonymisierung: Prof. Dr. Thorsten Holz infiziert Browser, täuscht Klicks vor und hackt sich in soziale Netzwerke – zu wissenschaftlichen Zwecken. Mit deutsche-startups.de sprach Holz, der auf den Online Marketing Rockstars am 22. Februar in Hamburg einen Vortrag zum Thema Online-Marketing und Hacking halten wird, über die Untiefen des Online-Marketings.
Herr Holz, Sie haben an der Ruhr-Universität Bochum den Lehrstuhl Systemsicherheit inne. Wie sind Sie als Professor zum Online-Marketing gekommen?
Das liegt näher beieinander, als man vielleicht auf den ersten Blick vermuten mag. Systemsicherheit heißt, ich beschäftige mich damit, wie Systeme angegriffen werden und wie sie sich dagegen verteidigen können. „Systeme“ ist dabei ein Oberbegriff. Das können Smartphones sein, Desktop-PCs oder aber auch ganze soziale Netzwerke. Wir kommen immer dann mit Online-Marketing in Kontakt, wenn wir aus Angreifersicht schauen, wie man mehr Klicks bekommt oder User-Daten sammeln kann.
Eines Ihrer Forschungsgebiete ist die Sicherheit und Privatsphäre in sozialen Netzen. Können Sie uns da von einem spannenden Fall erzählen?
Ein Experiment, das wir zum Beispiel gemacht haben, war nur durch eine E-Mail-Adresse an so viele Informationen wie möglich über einen Nutzer zu kommen. Vor einiger Zeit konnte man bei Facebook, Linkedin oder Xing noch E-Mail-Adressen ins Adressbuch hochladen. Bis zu 5.000 Adressen pro Anfrage und das einige Tausend mal pro Tag. Jedes Mal bekamen wir eine Rückinformation, welche Adressen wirklich beim Netzwerk registriert waren, und erhielten dann jeweils einen Link zum Profil. So konnten wir viele Millionen E-Mail-Adressen verifizieren, Daten korrelieren und sammeln. Wenn wir solche Sicherheitslücken entdecken, gehen wir auf die Unternehmen zu, damit sie sie so schnell wie möglich schließen können.
Welcher ungewöhnliche bis unseriöse Online-Marketing-Hack hat Sie in letzter Zeit am meisten überrascht?
Woran ich immer noch denken muss, ist die Google-Geschichte letztes Jahr in den USA. Als sie eine Sicherheitslücke bei Safari dazu genutzt haben, Cookies zu setzen, auch wenn die User Cookies eigentlich abgelehnt hatten. Wie man sieht, kann solch ein Verhalten hohe Strafen nach sich ziehen. Im November wurde ja das Urteil verkündet: 22,5 Millionen Dollar, was den Verbraucherschützern jedoch nicht genug war.
Sind Hacks manchmal so intelligent gemacht, dass Sie sagen, „eigentlich eine klasse Leistung“?
Auch jeden Fall! Die Hacker lassen sich immer neue Tricks einfallen. Ich habe schon einige beeindruckende Online-Marketing-Hacks gesehen, zum Beispiel im Bereich Manipulation des Google-Rankings. Manchmal sind die Tricks so clever, dass auch unser Team daran scheitert, sie erfolgreich nachzuahmen.
Manche Marketing-Hacks sind ja sehr profitabel für die Macher. Wird man da manchmal neidisch, weil man sein Geld auf ehrliche Weise hart erarbeiten muss?
Um nur mal eine Hausnummer zu nennen: Im definitiv illegalen Hacking-Bereich von Schadsoftware und Spammails verdienen die Macher mit Hilfe sogenannter Botnetze sechs- bis siebenstellige Beträge im Jahr. Im Online-Marketing-Hacking geht es noch einigermaßen seriös zu, wenn es auch manchmal moralisch fragwürdig erscheint, was da gemacht wird. Das heißt aber nicht, dass das leicht verdientes Geld ist. Man muss ständig neue Strategien entwickeln und den rechtlichen Bereich im Auge behalten. Ich bleibe lieber Professor.
Gibt es momentan Trends im Hacking, die durchs Internet kursieren? Was können Sie unseren Lesern raten, um nicht zum Opfer zu werden?
Momentan dringen viele Angreifer über Programme ein, die bereits auf dem Computer installiert sind, wie Java, Acrobat Reader oder Flash. Die haben einfach so viele Sicherheitslücken. Mein Rat: Immer die neuesten Updates einspielen, sobald sie da sind. Im Online-Marketing sind gerade Hacks populär, um den User zu erkennen und wiederzufinden. So können Unternehmen zum Beispiel herausfinden, ob der User vorher auf der Seite eines Konkurrenten war, um wiederum ihr Online-Marketing zu optimieren. Darüber werde ich noch mehr auf den Online Marketing Rockstars erzählen. Neben Cookies ist auch Black-Hat-SEO gerade wieder „in“, um kurzfristig Links nach oben zu pushen. Ein oder zwei Tage oben im Ranking genügen schon, um aus Angreifersicht einen Reibach zu machen. Das können sich seriöse Internetfirmen aber nicht mehr leisten.
Haben Sie noch einen Rat speziell für Start-ups in puncto Systemsicherheit?
Start-ups sollten prüfen, ob ihre Internetauftritte und Systeme sicher sind. Hört sich vielleicht banal an, aber wir haben bei vielen Beispielen gemerkt, dass Start-ups oft so schnell auf den Markt drängen, dass sie die Sicherheit einfach vergessen oder ihr nur geringe Bedeutung zumessen. Schnell wird die Website online geschaltet, obwohl zum Beispiel die Seite noch Sicherheitslücken hat und so potentiell die Datenbanken angegriffen werden können. Aber nicht nur die Webauftritte, auch die Produkte selbst haben oft kein Sicherheitskonzept. Ein Beispiel ist der Zahlungsanbieter Square, eines der großen US-Start-ups. Meine Einschätzung: Idee super, System unsicher. Befindet sich Schadsoftware auf dem Telefon, können die Kreditkartendaten potentiell angezapft werden. Der (Image-)Schaden für so ein junges Unternehmen ist schnell passiert und der Aufwand, nachträglich Sicherheitsstufen einzubauen, ist um Einiges höher, als von vornherein daran zu denken.
Zur Person
Thorsten Holz ist ein Professor der Fakultät für Elektrotechnik und Informationstechnik an der Ruhr-Universität Bochum. Seine Forschungsinteressen liegen im Bereich der angewandten Aspekte von sicheren IT-Systemen mit dem Schwerpunkt auf systemnaher IT-Sicherheit. Momentan liegen seine Interessen vor allem in den Bereichen Bots/Botnetze, automatisierte Analyse von Schadsoftware und der Analyse von aktuellen Angriffstrends. Im Jahr 2011 erhielt er den Heinz-Maier-Leibnitz-Preis der Deutschen Forschungsgesellschaft, einen Preis für herausragende Nachwuchswissenschaftler.