Suchmaschinen-Hacking: Wenn Google zu viel verrät

Suchmaschinen mit der besonderen sozialen Komponente liegen ganz im Trend. Schließlich soll jeder möglichst mit nur einem Mausklick alles sofort finden, bis hin zum gewünschten Traumpartner. Wenn der User sein Ziel nicht direkt kennt, so steuert er meist eine der zahlreichen Suchmaschinen an. Wer schon mal seinen eigenen Namen „gegoogelt“ hat, wundert sich aber nicht selten, was er alles über sich erfährt.

Denn anhand der Eigenrecherche „Vor- und Nachname“ erscheinen auf dem Desktop schön bunt und übersichtlich genau die Informationen, die man lieber nicht im weltweiten Netz gefunden hätte. So mancher Rechercheur würde etwa bei einer anstehenden Bewerbungsrunde einige schwarze Flecken in der persönlichen Biographie wieder aus dem Netz tilgen und seine Spuren verwischen.

Doch was einmal von den Suchrobotern registriert wurde, ist auch Monate und selbst Jahre später noch online, etwa über Googles Cachefunktion. Suchmaschinen indizieren Milliarden von Webseiten, darunter auch diejenigen von Unternehmen. „Durch Verwechselungen und Missgeschicke kann es geschehen, dass Daten ins Internet gelangen, die dort eigentlich gar nicht hingehören“, sagt Sebastian Schreiber, Geschäftsführer des auf IT-Penetrationstests spezialisierten Beratungsunternehmens Syss GmbH.

Was ist Suchmaschinen-Hacking? Die Devise beim Suchmaschinen-Hacking lautet: Mit minimalem Aufwand frei verfügbare Daten nach missbrauchbaren Informationen zu durchsuchen. Für das gezielte Aufspüren von sensiblen Informationen und bekannten Applikations- oder Konfigurationsschwachstellen hat sich sowohl in der Hacker-Szene als auch in der IT-Sicherheitsindustrie der Begriff „Google-Hacking“ etabliert. Dies bedeutet aber nicht automatisch, dass Google aufgrund der angebotenen Funktionen, Suchmethoden oder Datenschutzpolitik eine besonders gute Angriffsfläche bietet.

Suchmaschinen Hacking ist nichts anders, als das gezielte Suchen nach genau solchen Datenbeständen. Bekannt geworden ist diese indirekte Methode an relevante Daten zu gelangen, ohne direkt auf die IT-Systeme zuzugreifen, durch den amerikanischen Hacker und Sicherheitsspezialisten Johnny Long, der dafür den Begriff „Google Hacking“ geprägt hat. Reichlich Angriffsmaterial liefert vor allem die unübersichtliche Zahl der in den Unternehmen vorhandenen Webserver. Die einzige Kunst des neugierigen Rechercheurs besteht darin, mit entsprechender Geduld passende Suchanfragen zu produzieren, um die genannten Seiten aufzuspüren.