Wem gehören die Daten der World-of-Warcraft-Spieler?

World-of-Warcraft-Spieler waren bereits häufiger Ziel cyberkrimineller Aktivitäten, was einige unter ihnen inzwischen datenschutztechnisch sensibilisiert hat. Als daher der Betreiber des Spiels Blizzard Entertainment vor einiger Zeit dem Spiel mit der sog. „Armory“ eine Funktion hinzufügte, die es um Social-Network-Funktionen erweiterte, wurden sie so allmählich wach. Die Armory ist eine allgemein, d.h. nicht nur für Spielteilnehmer erreichbare Suchfunktion, die neben zahlreichen Informationen zu Spieldetails auch Profile der teilnehmenden Charaktere liefert. Wer also wissen will, was ein bestimmter Avatar so erlebt hat, bekommt es mit dieser Suchfunktion heraus. Und kann damit sogar nachvollziehen, wann und wie häufig jemand im Spiel aktiv ist. Zwar liefert die Funktion keine Zuordnung von Spielern zu Avataren. Aber wenn ein Spieler zu einem früheren Zeitpunkt die Namen seiner Avatare preisgegeben hat, lassen sich mit der Armory leicht Rückschlüsse auf sein Spielverhalten ziehen.

Was z.B. Arbeitgeber bzgl. krankgemeldeter Arbeitnehmer und Auszubildende durchaus interessieren könnte (vgl. Beispielfall einer wegen privater Facebook-Nutzung gekündigten Arbeitnehmerin). Datenhungrigen Unternehmen ist ja inzwischen praktisch alles zuzutrauen. Und mit Recht und Gesetz wird es da oft ebenso wenig genau genommen wie mit Ethik und Moral (vgl. die zunehmenden Fälle von inszenierten Bagatellkündigungen zur Umgehung des Kündigungsschutzgesetzes)

Netzsherriff.de zum Thema Armory im WoW:

Jetzt koennen Eltern ihre Kinder, Freunde ihre Freunde, Arbeitgeber ihre Azubis oder Arbeitnehmer noch einfacher ueberwachen. Sobald ich weiss wer welchen Charakter spielt kann ich ab sofort und je nach Aktivitaet auch noch auf Jahre zurueck nachvollziehen was wann gemacht wurde. Nicht jeder Login und jede verspielte Minute aber immer noch genug fuer ein interessantes Profil. Vermutlich wird es nicht mehr lange dauern bis Blizzard die /played Information integriert – die insgesamt aufaddierte Spielzeit in Stunden/Tagen/Monaten pro Charakter.

Zudem ist nicht vorgesehen, dass WoW-Spieler die Veröffentlichung ihrer Spieldaten deaktivieren können. Was sie inzwischen zunehmend auf die Palme bringt und zu Protesten in Spielerforen veranlasst.

Zumal anzunehmen ist, dass diese eigenmächtige und mit niemandem abgestimmte Aktion von Blizzard rechtlich durchaus angreifbar ist, wie z.B. Florian Kretzer in einer lesenswerten Kommentierung im IT-Sicherheitsblog datenschutzrechtlich und vertragsrechtlich erläutert.

(die in seinem Artikel erwähnte EU-Datenschutzrichtlinie 95/46/E, das Fundament des europäischen Datenschutzrechts, gibt es hier im Volltext)

Es bleibt also abzuwarten, ob Blizzard die Armory freiwillig entschärft. Oder ob Spieler Beschwerden bei Datenschutzbeauftragten gegen Blizzard einreichen und diese Überprüfungen veranlassen, Bußgelder verhängen und Gewinne abschöpfen.

Einmal mehr zeigt sich ein Phänomen, das man „digitale Konvergenz“ nennen könnte. Reale und virtuelle Welt kommen einander immer näher. Was  in der einen Welt geschieht, hat zunehmend Auswirkungen auf das Geschehen in der anderen. Sich in eine virtuelle Welt zurückzuziehen, um sich der Misslichkeiten der Realität zu entledigen, klappt immer weniger.

Andererseits soll es ja tatsächlich engagierte WoW-Spieler geben, die ihr so generiertes Spielerprofil als gutes Mittel zum Beleg ihrer Kompetenzen als Raidleiter für ihre Bewerbung auf dem Arbeitsmarkt sowie als Bestandteil ihrer generellen Online-Reputation ansehen. Allerdings ist die Anzahl der zu besetzende Positionen in Wirtschaft und Verwaltung, in denen es auf nachweisbare WoW-Handlungskompetenz ankommt, noch recht überschaubar.

Online-Spieler im Fadenkreuz von Kriminellen

Zugangsdaten zu kostenpflichtigen Online-Spielen wie World of Warcraft entwickeln sich zunehmend zum begehrten Beuteziel für Cyber-Kriminelle. Das berichtete kürzlich der Antiviren-Softwarehersteller Sophos in einer Pressemeldung zu einer Malware, die den Klassifizierungscode Troj/Agent-LVF erhielt.

Dabei geht es um einen Angriff auf WoW-Spieler, der Social Engineering mit dem Einsatz von Spyware und Trojanern kombiniert.

Ausgewählte Angriffsziele erhalten dabei zunächst eine Mail mit dem Betreff „Do you like to find a girlfriend like me?“ und einem einladenden Text wie diesem:

„Wish to have a boyfriend
Be able to protect me, take care of me
Intolerable lonely night and would like to have your care.
Do you Willing?“

Dazu einige recht ansprechende Bildchen sowie zwei Videoclips einer asiatischen Porno-Schönheit als Dateianhang „my photos.rar“. Die Bildchen sollen offenbar Lust auf mehr machen und zum Starten der Videoclips verleiten. Diese enthalten den bereits erwähnten Trojaner, der dann den Rechner gezielt nach Zugangsdaten zu WoW durchsucht während der PC-Besitzer noch von schönen Zeiten mit großäugigen süßen Asiatinnen träumt.

Die Entwickler des Trojaners sind dabei auf bedeutend mehr aus, als einen kostenlosen Zugang zu dem beliebten Spiel. Sie streben danach, die virtuellen Besitztümer der WoW-Charaktere im Spiel auf andere Avatare zu übertragen und an Dritte weiter zu veräußern. Denn für seltene oder scher zu beschaffende Objekte werden in der realen  Welt durchaus ordentliche Preise mit echtem Geld bezahlt. Eine virtuelle Version des Straßenraubs also. Auch Auftragsdiebstahl wäre denkbar, wenn die Diebe auf diesem Weg z.B. gezielt ein bestimmtes Artefakt finden und an ihren Kunden liefern sollen.

Graham Cluley, Technologieberater bei Sophos, erläutert dazu: „Eine überaschende hohe Anzahl an Schadprogrammen wurde entwickelt, um Registrierschlüssel, Passwörter und Spieldaten von Computerspielen zu stehlen. Es geht dabei nicht darum, in einem Spiel besser voranzukommen. Kriminelle stehlen virtuelle Besitztümer wie Rüstungen, Geld und Waffen um sie gegen bares Geld in der realen Welt verkaufen zu können. Hacker machen sich gerne menschliche Schwächen zunutze, um in Computersysteme eindringen zu können. Und Bilder von nackten Frauen können für manchen Nutzer eine Einladung darstellen, der sie nur schwer widerstehen können“.

Während es rechtlich noch nicht wirklich klar ist, ob virtuelle Güter überhaupt gestohlen werden können, schaffen die WoW-Datendiebe Fakten. Künftig wird man wohl noch häufiger gezielte Angriffe mit einer Kombination von Methoden auf klar umgrenzte Zielgruppen erleben können, denen ein ebenso klar erkennbares ökonomisches, kriminelles oder terroristisches Motiv zugrunde liegt.

Und in der Spieleindustrie dürfte man zunehmend auch über Sicherheitsarchitekturen und Schutzmaßnahmen für Online-Spiele nachdenken. Da könnte sich mittelfristig ein neues Marktsegment für Produkte und Technologien rund um Informationssicherheit und sichere Software auftun.

Abgefischte WoW-Rollenspieler

Teilnehmer des beliebten Online-Rollenspiels World of Warcraft entwickeln sich zunehmend zu einer interessanten Zielgruppe für Phishing-Attacken. Schließlich lassen sich die Zugangsdaten zu WoW-Konten von Spielern ebenso weiterverkaufen wie seltene und daher wertvolle Gegenstände im Besitz der Spieleravatare.

Kürzlich erreichte eine Phishing-Mail die Spielergemeinde, die den Anschein hatte, als dass sie vom Betreiber Blizzard Entertainment verschickt wurde und in der es um die freiwillige Teilnahme an einem Test neuer Spielfunktionen ging. Konkret wurde ein neues spieltechnisch verbessertes Reittier versprochen (exotische Reittiere sind in WoW ein zum Teil recht wertvoller und schwer zu erlangender Besitz).

Wer an dem Test teilnehmen wollte, hätte einen Link anzuklicken und sich mit seinen Spielerdaten auf einer Website anzumelden, die auch den Begriff „worldofwarcraft“ mit im Namen trug.

So berichteten es kürzlich die Malware-Experten bei Sophos, die den Hergang der Phishing-Attacke analysierten.

Generell sollte man Mails, die einem besondere Spielvorteile wie mehr Gold, bessere Waffen, besondere Zauber oder sonst etwas Interessantes versprechen, sehr skeptisch begegnen. Insbesondere wenn die versprochenen Dinge nichts kosten und den Login mit eigenen Account-Informationen auf einer unbekannten Website erfordern.

Außerdem darf davon ausgegangen werden, dass Blizzard Entertainment Tests von professionellen Testern durchführen lässt und öffentliche Betatests von Spielfunktionen auf seiner Website ankündigt.

Abzocke im Online-Spiel – können virtuelle Güter gestohlen werden?

Microsoft gab kürzlich bekannt, mit Hilfe seines „Malicious Software Removal Tool“ im Februar etwa 981.000 Installationen eines Trojaners namens Win32/Taterf gefunden und beseitigt zu haben.

(s.a. Fundstücke bei Microsoft – Das Malware Protection Center)

Dieser späht gezielt Passwörter und Login-Daten für kostenpflichtige Onlinespiele wie z.B. World of Warcraft aus. Solche Daten lassen sich im Anschluss dazu verwenden, wertvolle weil nur schwer zu erlangende Ausrüstungsgegenstände der Spielercharaktere zu entwenden. Was zunächst etwas seltsam klingt ist bereits seit Jahren Realität. Und stellt die ermittelnden Polizeibehörden nach dem Eingang entsprechender Anzeigen oft vor gewisse rechtliche Probleme.

Virtuelle Werte können echte Sachwerte für Menschen bedeuten. Insbesondere wenn sie z.B. für echtes Geld erworben oder im Verlauf eines zeitintensiven bezahlten Spiels erspielt wurden.

So sieht dass auch die Polizei in Bochum, die aktuell den ersten Fall von Cyber-Diebstahl Deutschlands zu bearbeiten hat, der zur Anzeige gebracht wurde. Dort ist man sich darüber bewusst, dass man einen potentiellen Täter nicht wirklich wegen Diebstahls wird belangen können. Denn § 242 Abs. 1 Strafgesetzbuch (StGB) definiert den Diebstahl als Entwendung einer fremden beweglichen Sache. Das wird bei virtuellen Gegenständen ziemlich schwer.

Was aber durchaus vorliegen könnte ist ein Computervergehen auf der Linie von Datenausspähung und -veränderung. Laut § 303a StGB ein Vergehen, welches mit Geldstrafen oder bis zu zwei Jahren Haft geahndet werden kann.

Hinzu kommt: Besteht überhaupt ein Unterschied darin, ob jemand z.B. bei einem Online-Pokerspiel um Geld betrogen wird oder in einem Fantasy-Spiel um geldwerte virtuelle Gegenstände? Abgesehen davon, dass letzteres legal ist, ersteres als Geldspiel nicht.

Bisher gibt es in Deutschland jedenfalls noch keinen Fall, in dem jemand wegen Diebstahls virtueller Gegenstände belangt worden wäre.

In anderen Ländern hat sich die Rechtslage zum Cyberdiebstahl bereits weiter entwickelt. In Japan wurde 2005 ein chinesischer Täter, der in einem Rollenspiel einen virtuellen Raubzug veranstaltet hatte, zumindest verhaftet. Auch wenn es letztlich nie zu einem Prozess kam.

2007 klage in den USA gleich eine ganze Gruppe von Teilnehmern der virtuellen Welt Second-Life gegen einen Cyber-Dieb. Hier endete hier die Klage mit einem außergerichtlichen Vergleich.

Und 2008 machte ein niederländisches Gericht Schlagzeilen mit einer ersten Verurteilung wegen virtuellen Diebstahls. Zwei minderjährige Täter wurden zu einer Strafe in Form von Sozialstunden verurteilt, weil sie einen Jungen zur Übergabe virtueller Gegenstände genötigt hatten. Das Gericht nutzte den Tatbestand der Nötigung, um so eine Strafe zu ermöglichen. Virtueller Diebstahl ist auch im Strafrecht der Niederlande noch unbekannt.

Dagegen wurden in Südkorea, einem Land mit sehr hoher Nachfrage nach Online-Spielen, bereits mehrere Verurteilungen wegen virtueller Diebstähle ausgesprochen.

Und wie ermittelte nun die Polizei in Bochum? Sie kontakteten die Betreiberfirma des Spiels. Die verweist bisher nur auf ihre Allgemeinen Geschäftsbedingungen, in der die Haftung für virtuelle Schäden durch technische Probleme ausgeschlossen wird. Ob allerdings der Diebstahl durch andere Spieler als „technisches Problem“ durchgeht ist noch offen.

Auch die EU beschäftigt sich bereits mit dem Thema. Die EU-Organisation European Network and Information Security Agency (Enisa) hat Ende 2008 einen Bericht über Datenschutzprobleme und zunehmende Kriminalität in Onlinewelten (PDF, 2,7 MB) veröffentlicht, der diese als Problem thematisiert, das konkrete finanzielle Schäden verursacht. Die ENISA bemängelt, dass virtuelle Gegenstände in zu wenigen EU-Ländern überhaupt rechtlich zu schützen wären: Ein Copyright darauf gäbe es nirgendwo, ein Eigentumsrecht an etwas real nicht Existentem wiederum wäre schwer durchsetzbar.

Wir erleben einmal mehr, wie sich Gesetzgebung und Rechsprechung im Zeitablauf weiter entwickeln. Zumal das Thema eines der „großen Issues“ des Internets betrifft: Die Neufassung des Eigentumsbegriffs in einer vernetzten Welt, worüber ja auch im Zusammenhang mit Tauschbörsen, Filesharing und Immaterialgüterrecht diskutiert wird.

Bis dahin bleibt es in erster Linie den Nutzern von Onlinespielen selbst überlassen, sich gegen Diebstahl und Trickbetrug wie etwa  Versprechen der Vervielfältigung von Items, Hochstapelei, manipulierte Austauschgeschäfte oder Diebstahl ganzer Accounts zu schützen.

Gulli.de: Online-Gamer in Gefahr

Spiegel.de: Abzocke in Online-Spielem, Ich zieh dich ab!

Spiegel.de: Diebstahl im Onlinespiel, Polizei fahndet nach Phönixschuhen

Der virtuelle Terrorist

Geheimdienste genießen in fast allen Staaten der Welt immense Privilegien. Mit ihnen können sie an Recht und Gesetz vorbei und auf jede erdenkliche Art und Weise Bürger, Volk, Wirtschaft und andere Staaten ausspähen und der Politik tatsächliche oder auch nur angebliche Insider-Informationen über die Vorgänge in der Welt vermitteln.

Aufgrund der sie umgebenden Intransparenz und der häufigen Rechtsbrüche und Spitzelskandale wird die Tätigkeit der Geheimdienste jedoch zunehmend kritischer gesehen.

Da Geheimdienste zudem nichts Konkretes erwirtschaften und als staatliche Einrichtungen von Steuergeldern finanziert werden, besteht stets die Möglichkeit, dass ihnen im Zuge von Sparprogrammen Gelder gekürzt werden. Oder sie gar ganz geschlossen werden. Das bringt ihre Vertreter in Zugzwang, ihre Existenz stets aufs Neue zu rechtfertigen. Ähnlich wie beim Militär funktioniert das am Besten durch reale oder ggf. auch nur erfundene Bedrohungen, zu deren Eindämmung der Dienst finanziert werden muss.

Seit 9-11 taugt dazu am Besten das Feindbild des Terroristen. Zwar lässt sich der Eindruck nicht leugnen, dass echte Terroristen eher Anzug und Krawatte statt Kalaschnikow und Bart tragen. Und dabei vermehrt in Parlamenten und politischen Lobbyorganisationen statt in afghanischen Erdlöchern sitzen. Aber mit ihnen lässt sich seit Jahren jede nur denkbare Sauerei, jeder Abbau von Bürgerrechten, jede Steuererhöhung und jeder politische Machtaufbau begründen.

Die zeigte erst vor kurzem Dwight Toavs, ein Professor der National Defense University als er auf der, von der US-Geheimdienstbehörde DNI veranstalteten Open Source Conference, in einem Vortrag über neue Medien und ihre Auswirkungen auf die gesellschaftlichen Organisationen auf das weltweit größte Online-Rollenspiel World of Warcraft (WoW) hinwies. Millionen von Gesprächen finden, so Toavs, in Online-Rollenspielen gleichzeitig statt. Da die Spieler unter Pseudonymen auftreten, der Zugang von der ganzen Welt erfolgen kann und die Kommunikation leicht im jeweiligen Jargon codieren lässt, ist eine Überwachung schwer, wenn nicht unmöglich.

In virtuellen Welten wie WoW würden bereits Millionen von Menschen von staatlichen Einrichtungen weitgehend ungehindert und unkontrolliert gemeinsam planen, kommunizieren und agieren. Das würde es auch Terrorgruppen ermöglichen, sich untereinander abzustimmen und Anschläge zu planen. Als Beispiel führte Toavs eine fiktive Korrespondenz einiger WoW-Spieler auf, die im Rollenspieler-Slang einen Angriff auf das Weiße Haus planten. Der Rest seiner Präsentation befast sich mit den Auswirkungen von „Web 2.0“-Medien auf traditionelle Organisations- und Informationsfluss-Strukturen.

PT-Präsentation zum Download (7 MB)

In den US-Geheimdiensten wird schon seit längerem befürchtet, dass virtuelle Welten wie Second Life oder vor allem Online-Rollenspiele mit Millionen von Spielern eine Möglichkeit bieten könnten, um heimlich Pläne auszuhecken oder sich zu verabreden. Daher wurden Projekte wie z.B. „Reynard“ aufgesetzt, um Verfahren zu entwickeln, mit deren Hilfe das Entstehen von sozialen und terroristischen Dynamiken in virtuellen Welten und Online-Rollenspielen von normalem Verhalten unterschieden werden kann. Man will normales Verhalten erkennen und so automatisch verdächtiges Verhalten identifizieren können. Anscheinend greifen die Dienste bereits auf Vorrat Daten aus den virtuellen Welten ab, können aber noch nicht allzu viel damit anfangen. Das lässt es naheliegend erscheinen, dass sie verstärkt in Forschungsprojekte zur elekronischen Beweissicherung (IT-Forensik) investieren werden, um diese Fähigkeiten zu entwickeln.

IT-Sicherheit im Spielesektor

Heute beginnt in Leipzig die vom 21.-24.08. gehende Games Convention, eine Fachmesse der Computerspiele-Hersteller. Bereits seit längerem kann man auf Heise.de dazu Hintergrundinformationen zur Messe und zur wirtschaftlichen Lage der Spieleindustrie finden. Diese Gelegenheit will ich heute nutzen, um mal was zum Thema Spiele zu schreiben.

Viele Leute, die heute in der IT-Sicherheit tätig sind oder die dem „freischaffenden Hackertum“ zugeordnet werden können, sind ursprünglich über das Hacken von Computerspielen dazugekommen. Das ist auch heute noch ein, gerade für junge Leute beliebter Einstiegspunkt in die Materie der IT. Egal ob es um das klassische „cracken“, also um das Entfernen von Kopierschutzmechanismen geht. Oder ob man zu einem Spiel Modifikationen entwickelt, durch die ein Spieler Vorteile wie Unverwundbarkeit, mehr Geld, zusätzliche Fähigkeiten usw. erhält.

Man möchte meinen, dass die Spieleindustrie dieses Treiben ungern sieht. Zum Teil ist das auch so. Aber viele Spiele erlangten erst durch die Verbreitung von Kopien überhaupt ihre Popularität. Und z.B. Doom – einer der ersten Ego-Shooter – ereichte seine weltweite Bekanntheit erst dadurch, dass der Hersteller den Quellcode sowie andere interne Informationen dazu freigab. So konnten engagierte Dritte Zubehör wie Editoren und zusätzliche Spielebenen  (sog. „Mods“) entwickeln, die das Spiel erst zur Legende machten.

Das Zeitalter kopiergeschützter Spiele, die man nur lokal auf einen Rechner installiert und spielt, neigt sich aber ohnehin zunehmend dem Ende zu. Heute werden Spiele wie World of Warcraft immer beliebter, bei denen man gegen Zahlung eines monatlichen Betrags über das Internet in einer Art virtuellen Welt zusammen mit Hunderttausenden anderen spielt. Das Thema kopiergeschützter Client hat sich damit weitgehend erledigt, da man zur Teilnahme am Spiel ein eigenes Nutzerkonto beim Betreiber der Spieleserver braucht.

Aus Hackerperspektive sind vor allem solche Spiele interessant, die Schwachstellen aufweisen. Oder die eine Programmierschnittstelle bereitstellen. In WoW in beides gegeben, was man schon daran sieht, dass der Anbieter Blizzard regelmäßig Patches ausliefert und in seinem lokalen WoW-Client Sicherheitsmaßnahmen gegen Codemanipulationen während der Laufzeit implementiert hat. WoW-Spieler können Handlungsabläufe durch Batchbefehle automatisieren oder mit Hilfe der Scriptsprache Lua Erweiterungen und Plugins entwickeln, die den Umgang mit WoW erleichtern. Es gibt bereits zahlreiche Plugins, die man im Internet finden kann.

Auch die virtuelle Welt Second Life hat eine Programmierschnittstelle in Form der Linden Scripting Language (LSL). Mit ihr können Gegenstände, Gebäude oder besondere Verhaltensmuster der Avatare entwickelt werden. LSL-Scripts sind in Second Life bereits zur Handelsware geworden, die in Form von modischerem Aussehen des Avatars sowie virtuellen Gebrauchsgütern und Immobilien den Besitzer wechselt.

(Kurzeinführung in LSL und Modellierung von Objekten in SL)

So wies Michael Thumann von ERNW Enno Rey Netzwerke GmbH bereits 2007 auf der Systems in München in einem Vortrag „Hacking SecondLife“ auf die Angriffsmöglichkeiten hin, die LSL sowie die Architektur von Second Life dem „unkonventionellen“ Nutzer so bietet.

Zusammenfassend lässt sich sagen, dass Computerspiele nach wie vor eine Plattform zur Erprobung von Hackerfertigkeiten bleiben werden. Die zunehmende Komplexität und ökonomische Relevanz von Online-Spielen wie World of Warcraft sowie von virtuellen Welten wie Second Life werden zudem bei den Betreibern neuen Bedarf für IT-Sicherheit und damit im Zusammenhang stehende Produkte und Dienstleistungen schaffen.