Der Betreiber des sozialen Netzwerks LinkedIn hat eine neue Funktion namens Intro eingeführt, wie CHIP Online berichtet. Diese Erweiterung für Mail-Programme (vorerst nur für AppleiOS) zeigt das Bild und weitere LinkedIn-Profildetails des Absenders direkt in der E-Mail an.

Nun kritisieren immer mehr Sicherheitsexperten die zugrunde liegende Technik in teils deutlichen Worten. LinkedIns neue Mobile App sei „ein wahr gewordener Traum für Hacker und Geheimdienste“. Das Sicherheits-Beratungsunternnehmen Bishop Fox zählt Gründe auf, warum LinkedIn Intro mehr als nur bedenklich ist. Zum Beispiel:

• Inhalte von Kommunikationen mit Arzt oder Anwalt, die über einen Dritten (hier eben LinkedIn) geführt werden, können gerichtlich verwendet werden.
• Wenn die NSA weiß, dass alle mobilen E-Mails über LinkedIn-Server laufen, wissen sie, wo Sie ihre nächste Geburtstagsparty feiern.
• Zertifikate und Verschlüsselungen dürften die Behandlung auf dem LinkedIn-Server nicht überleben.
• Intro installiert nicht nur eine App, sondern eine Security Policy auf dem Smartphone. Und die kann weit schlimmeres anstellen, als Mails umzuleiten.

Ähnliche Technik wie bei NSA-Lauschangriffen

Überrascht zeigte sich Richard Bejtlich von der Sicherheitsfirma Mandiant: „Ich bin völlig baff. Ich kann nicht glauben, dass irgendjemand das für eine gute Idee gehalten hat“.

Sicherheitsexperten weisen zudem darauf hin, dass ähnliche Technik 2011 von iranischen Hackern angewandt wurde, um die Googlemail-Accounts von vermeintlichen Dissidenten abzuhören. Edward Snowdens Enthüllungen zufolge hat sich auch die NSA ähnlicher Mittel zum Belauschen des Google-Traffics bedient.

LinkedIn-Stellungnahme: wenig beruhigend

Inzwischen hat LinkedIn den ursprünglichen Entwickler-Blogbeitrag mit der stolz präsentierten Funktionsweise von Intro ergänzt. In der Stellungnahme wird unter anderem klargestellt, dass es sich um eine „Opt-In“-Funktion handelt, die also aktiv vom Nutzer abgenickt werden muss. Und weiter: „Benutzernamen, Passwörter und E-Mails werden nirgends permanent gespeichert. Jegliche Kommunikation zwischen Smartphone und LinkedIn-Server ist verschlüsselt, ebenso wie die von LinkedIn zum Zielprovider“. Während der Einbringung des Absenderprofils bei LinkedIn ist die Kommunikation aber unverschlüsselt, also les- und auswertbar, wie CHIP Online bemerkt.

Auf die Frage, ob LinkedIn Informationen über seine Nutzer weitergeben würde, lautet die Antwort „Wir werden niemals irgendwelche privaten Daten über Sie oder Ihre Kontakte verkaufen, verleihen oder weitergeben“. Was als „private Daten“ klassifiziert ist und wer das bestimmt, bleibt aber unklar.

Die schlechte Sicherheitsbilanz von LinkedIn

LinkedIn hatte in der Vergangenheit nun schon mehrfach Negativ-Schlagzeilen in Sicherheitsfragen gemacht. Vor zwei Jahren hatte ein Sicherheitsexperte vor einer gefährlichen Datenschutzlücke gewarnt. Im Sommer 2012 gerieten Hacker an 6,5 Mio.

Benutzernamen und Passwörter und veröffentlichten sie auf einer russischen Webseite. Und vor rund einem Monat war LinkedIn das Ziel einer Sammelklage von Nutzern, die dem Unternehmen vorwarfen, in private E-Mail-Accounts eingebrochen zu sein, um dann Bekannten, Freunden und Verwandten der Besitzer Werbenachrichten zu schicken.