Hat der Anonymous-Liebling Minds Sicherheitslücken?

Das soziale Netzwerk Minds gerät unter Beschuss: Nach einem erfolgreichen Start und mehr als 60 Millionen Visits gibt es nun erste Expertenberichte, die die Sicherheit des Open-Source-Projekts in Frage stellen.

Minds.com ist als das neue Facebook für Hacktivisten konzipiert. Hier teilen Nutzer Links untereinander, posten Bilder und Status-Updates oder schreiben anderen private Nachrichten. Die Besonderheit an Minds: Es basiert auf einem Open-Source-Code und verspricht unter anderem, sämtliche Mitteilungen zu verschlüsseln. Auf der Minds-Website heißt es : „Alles wurde ausdrücklich so entwickelt, um Ihre digitalen Rechte zu schützen (…).“ Selbst die Hacker-Organisation Anonymous sprach sich für Minds aus.

Scott Arciszewski, Sicherheitsberater bei Paragon Initiative Enterprises, übt nun allerdings massive Kritik an den Sicherheitsmaßnahmen des Open-Source-Facebooks. Er veröffentlichte eine Liste der Sicherheitslücken  und bemängelt wichtige Punkte im Grundkonzept.

Der Minds-Client akzeptiere „ die vom Server übermittelte Verschlüsselung blind“, ohne zusätzliche Informationen zur Identifikation abzurufen. In einem Interview erklärt Arciszewski: „Das ist weniger eine Sicherheitslücke, als vielmehr ein fataler Designfehler. In der Konsequenz könnte der Server einen gefälschten öffentlichen Zugang für die Person ausspucken und all ihre Nachrichten lesen.“ Angreifern wäre es also laut Arciszewski möglich, Gespräche dieses Nutzers mit einem eigenen Zugang abzuhören.

Des Weiteren kritisiert der Sicherheitsexperte die grundlegenden Verschlüsselungsprotokolle von Minds. Das bestätigte auch Matthew Green vom John Hopkins Information Security Institute: „Die Verschlüsselung ist definitiv schwach.“ Ob Minds dadurch anfälliger für Angriffe von außen ist, wollte Green indes nicht kommentieren. Minds technischer Leiter Mark Harding dementiert die von Arciszewski kritisierten Punkte und sieht sein Projekt als Opfer einer Hetzkampagne.

Dennoch häufen sich die kritischen Stimmen. Bereits kurz nach dem Start der Betaphase des sozialen Netzwerks meldete sich die Sicherheitsfirma Voidsec zu Wort und beklagte, dass man Nachrichten oder Profile jedes Benutzers bearbeiten oder gar löschen und außerdem beliebige Dateien in das System hochladen könnte.

Diese Probleme wurden vom Minds-Geschäftsführer Bill Ottman unlängst bestätigt. Allerdings wurden die Sicherheitslücken auch geschlossen. Er kontert die Anschuldigungen: „Es wird immer Leute geben, die die Verschlüsselung kritisieren. Aber so lange sie nicht geknackt wurde, sehen wir keinen Handlungsbedarf.“

Obwohl der Start von Minds reibungslos über die Bühne ging, so scheint absolute Sicherheit heute kaum möglich zu sein.

Es bleibt aber ohnehin abzuwarten, ob sich der Social-Network-Newcomer auf lange Sicht als ernsthafter Facebook-Konkurrent etablieren kann – an diesem Vorhaben scheiterten in jüngster Vergangenheit schon andere Seiten wie Ello oder Tsu. Und selbst das 2011 gestartet Google+  ist zwar durchaus noch lebendig, aber eben auch weit vom Status des Zuckerberg-Netzwerks entfernt. Die jüngste Kritik an der Sicherheit dürfte Minds jedenfalls nicht unbedingt zu mehr Popularität verhelfen.

Secure your Identity

Einmal mehr zeigt sich dass die Identität des Nutzers eine entscheidende Rolle in den neunen Online Kanälen spielt. Teilweise wird sehr fahrlässig damit umgegangen und Missbrauch dadurch gefördert. Deshalb müssen Sicherheitstechnologien her, die sowohl den Schutz des Anwenders garantieren und von diesem durch die einfache Handhabe akzeptiert werden. Unsachgemäße Identitätssicherheiten können den Nutzer schnell zum ablehnen der Technologie bewegen. In diesem Zusammenhang kann dem Unternehmen der diese Dienstleistung anbietet ein Reputationsschaden entstehen. Dies gilt es zu vermeiden!

Gastautor: Benedikt Plass-Fleßenkämper