75 Prozent der Dating-Apps fallen bei Sicherheit durch

Ein Wisch nach rechts wirkt harmlos – doch hinter den Kulissen hapert es bei vielen Dating-Plattformen gewaltig. Laut einer aktuellen Untersuchung des Business Digital Index (BDI) erreichen drei Viertel der größten Apps nur die Sicherheitsnoten D oder F.

Das BDI-Team analysierte 24 führende Anbieter und stellte erhebliche Defizite in der digitalen Infrastruktur fest. Besonders brisant: Dating-Apps verwalten hochsensible Informationen – von privaten Nachrichten über sexuelle Orientierung bis hin zu Fotos und Zahlungsdaten.

Die Folgen unzureichender Schutzmaßnahmen sind gravierend, wie frühere Fälle zeigen:

• 2015 legte der Ashley-Madison-Hack Daten von über 30 Millionen Menschen offen – mit massiven persönlichen Konsequenzen.

• 2016 wurden bei AdultFriendFinder mehr als 400 Millionen Konten kompromittiert.

• 2018 zeigte eine Sicherheitsfirma, dass sich die Tinder-Nutzung einzelner Personen mangels Verschlüsselung lückenlos nachvollziehen ließ.

• Am Valentinstag 2019 meldete Coffee Meets Bagel den Diebstahl von sechs Millionen Nutzerkonten, deren Daten im Darknet landeten.

• 2020 traf es Zoosk: 24 Millionen Datensätze mit persönlichen Details wie Einkommen, Geburtsdaten und sexueller Orientierung fielen Hackern in die Hände.

• 2024 schließlich entdeckten Forscher Sicherheitslücken in den APIs von Tinder, Bumble, Grindr und Hinge, die Angreifern sogar Zugriff auf Standortdaten ermöglichten.

Die Analyse verdeutlicht: Angriffe auf Dating-Apps sind keine Ausnahme, sondern eher die Regel. Umso entscheidender ist die Frage, welchen Plattformen Nutzer in Sachen Cybersicherheit vertrauen können.

Hier finden Sie eine Zusammenfassung, wie der Business Digital Index die Cybersicherheitslage von Unternehmen misst:

Dating-Apps im Sicherheitscheck: Von stabil bis riskant

Eine aktuelle Analyse zeigt deutliche Unterschiede bei der Cybersicherheit von Dating-Plattformen. Während einzelne Anbieter solide Bewertungen erzielen, schneiden viele bekannte Namen nur mittelmäßig oder sogar katastrophal ab.

Die Spitzenreiter

Lediglich zwei Plattformen erreichten die Kategorie B – das beste Ergebnis der Untersuchung:

• Bumble: 93 Punkte, Note B

• EliteSingles: 92 Punkte, Note B

Das Mittelfeld

Die meisten bekannten Marken bewegen sich im durchschnittlichen Bereich. Sie sind sicher genug, um nicht komplett durchzufallen, liegen jedoch weit von Bestnoten entfernt.

• Note C (80–89): SilverSingles (89), HER (86), Lex (82)

• Note D (70–79): Tinder (72), OkCupid (73), Grindr (75), Ashley Madison (75), Plenty of Fish (71), Badoo (70), eharmony (72) sowie weitere Anbieter

Bemerkenswert: Tinder und OkCupid zählen weltweit zu den meistgenutzten Apps, erreichen aber nur mäßige Ergebnisse. Ashley Madison, berüchtigt für den Datenskandal von 2015, bleibt auch fast zehn Jahre später bei einer schlechten Bewertung hängen.

Die Schlusslichter

Fünf Plattformen landeten mit der Note F in der Risikokategorie:

• Coffee Meets Bagel: 67 Punkte, Note F

• Christian Mingle: 66 Punkte, Note F

• Match: 64 Punkte, Note F

• Zoosk: 59 Punkte, Note F

• AdultFriendFinder: 40 Punkte, Note F

Auffällig: Gerade jene Anbieter, die in der Vergangenheit durch massive Datenlecks Schlagzeilen machten – etwa Ashley Madison, AdultFriendFinder, Coffee Meets Bagel, Zoosk oder Tinder – hinken weiterhin in puncto Sicherheit hinterher. Auch die Apps der Match Group (Tinder, OkCupid, Plenty of Fish, Match.com) dominieren zwar den Markt, erreichen jedoch allesamt nur die Noten C oder schlechter.

Das Ergebnis ist eindeutig: Keine einzige Plattform erhielt die Note A. Cybersicherheit gilt in der Branche bislang offenbar nicht als Wettbewerbsvorteil.

Lehren aus früheren Sicherheitsverletzungen und aktuellen Warnsignalen

Die Sicherheitslücken, die heute in Dating-Plattformen zu beobachten sind, sind keine Hypothese. Dieselben Arten von Schwachstellen haben bereits zu einigen der schwerwiegendsten Sicherheitsverletzungen in der Dating-Branche und darüber hinaus geführt.

Sicherheitslücken bei E-Mails

Unsere Scans zeigen, dass Zoosk, Match, Lex, SilverSingles, HER, EliteSingles, Coffee Meets Bagel und Christian Mingle alle keine starken E-Mail-Authentifizierungsmaßnahmen wie DMARC, SPF und DKIM einsetzen. Diese Schwachstellen setzen Nutzer dem Risiko von Phishing und Markenmissbrauch aus.

Dies ist kein geringfügiges Problem: Im Jahr 2022 erlitt Dropbox einen Sicherheitsverstoß, als Mitarbeiter durch eine Phishing-Kampagne getäuscht wurden, was zum Diebstahl von Quellcode führte. Eine schwache E-Mail-Sicherheit auf Anbieterebene ermöglicht solche Angriffe und schadet sowohl den Unternehmen als auch ihren Nutzern.

Nicht gepatchte Software

AdultFriendFinder und DOWN weisen Anzeichen für nicht gepatchte Software-Schwachstellen auf, darunter allein bei AdultFriendFinder über hundert offene Probleme.

Die Geschichte zeigt, wie verheerend diese Vorgehensweise sein kann: Der Equifax-Hack (2017), bei dem Daten von 147 Millionen Amerikanern offengelegt wurden, ging auf eine einzige ungepatchte Apache-Struts-Sicherheitslücke zurück.

Transport- und TLS-Schwachstellen

Sieben große Plattformen – Badoo, Zoosk, AdultFriendFinder, Match, Grindr, Ourtime und Ashley Madison – weisen eine hohe Anzahl von TLS-Konfigurationsproblemen auf.

Diese Schwachstellen entsprechen genau den Erkenntnissen, die Forscher bei Tinder (2018) gewonnen haben, wo eine unvollständige Verschlüsselung die Rekonstruktion von Benutzeraktionen ermöglichte.

Exploits von Webanwendungen

Elf Plattformen, darunter Zoosk, AdultFriendFinder, Ashley Madison, Ourtime, Bumble, Taimi, Coffee Meets Bagel, Grindr, Match und BlackPeopleMeet, weisen Anzeichen einer schwachen Webanwendungskonfiguration auf.

Diese Indikatoren stimmen mit den Angriffsmethoden überein, die Angreifer bei AdultFriendFinder (2016) ausgenutzt haben, wo ein Local File Inclusion-Fehler den Weg für den Diebstahl von Daten aus der Datenbank ebnete.

Eine Parallele in einem anderen Sektor ist die MOVEit Transfer (2023)-Krise, bei der SQL-Injection-Fehler in webbasierter Software einen massiven Angriff auf Hunderte von Organisationen ermöglichten.

Haftungsausschluss:

Die hier vorgestellten Ergebnisse basieren auf externen, passiven Scans und sollten eher als Hinweise auf potenzielle Schwachstellen denn als eindeutiger Beweis für bestehende Sicherheitslücken verstanden werden. Unsere Bewertung berücksichtigt keine internen Sicherheitsmaßnahmen, kompensierenden Kontrollen oder organisationsspezifischen Praktiken, die diese Risiken mindern könnten. Der Zweck besteht darin, Bereiche hervorzuheben, die einer weiteren Untersuchung bedürfen, wobei anhand historischer Muster von Sicherheitsverletzungen veranschaulicht wird, wie ähnliche Kategorien von Schwachstellen in der Vergangenheit ausgenutzt wurden.

Ergebnisse zu offengelegten Anmeldedaten und wiederverwendeten Passwörtern

Die Analyse von BDI zeigt, dass Anmeldedaten aus früheren Datenverstößen weiterhin in neu zusammengestellten Datenbanken im Dark Web auftauchen, oft als Teil größerer Datensätze verpackt und verkauft.

Unsere Scans verfolgen Dark-Web-Marktplätze und Repositorien für Datenverstöße, um festzustellen, ob Anmeldedaten im Zusammenhang mit Unternehmensdomänen auftauchen.

Allein in den letzten 30 Tagen wurden Anmeldedaten von 76 % der analysierten Unternehmen in solchen Datenbanken gefunden.

In den meisten Fällen war die Anzahl der offengelegten Konten relativ gering – in der Regel weniger als 100 pro Unternehmen – und wir können nicht bestätigen, ob diese Anmeldedaten noch gültig sind. Unsere Scans markieren das Vorhandensein von mit Unternehmen verbundenen E-Mail-Domains in Daten zu Sicherheitsverletzungen und bedeuten nicht automatisch, dass das Unternehmen Opfer einer Sicherheitsverletzung geworden ist.

Über die Offenlegung hinaus haben wir auch die Wiederverwendung von Passwörtern gemessen. Durch die Verfolgung wiederholter Passwort-Hashes, die mit denselben Benutzern über mehrere Sicherheitsverletzungen hinweg verbunden sind, haben wir festgestellt, dass 56 % der Unternehmen Mitarbeiter hatten, die Passwörter wiederverwendeten.

Auswirkungen auf Menschen

Zuerst tauchten die Namen im Internet auf – Gigabytes davon –, dann folgten die Anrufe und schließlich die Scham. Sechs Tage nach dem Hackerangriff auf Ashley Madison beging John Gibson, ein Pastor und Seminarprofessor aus New Orleans, Selbstmord. In Interviews sagte seine Familie, er habe einen Abschiedsbrief hinterlassen, in dem er Depressionen und den Hackerangriff erwähnte; sie glaubten, dass er befürchtete, seinen Job zu verlieren. Dies ist einer der wenigen Fälle, in denen Angehörige einen Todesfall öffentlich mit einem Hackerangriff auf eine Dating-Website in Verbindung gebracht haben, und zwar mit erschütternder Deutlichkeit.

Die Polizei sagte, es gäbe noch mehr Fälle. Auf einer Pressekonferenz in Toronto gaben die Ermittler bekannt, dass sie zwei unbestätigte Selbstmorde untersuchen, die möglicherweise mit dem Datenleck in Verbindung stehen, und warnten vor einer sofortigen Welle von Betrügereien und Erpressungen, die sich gegen die neu enttarnten Nutzer richten.

Innerhalb weniger Tage dokumentierten britische Familienrechtsreporter den ersten Scheidungsfall, der eingereicht wurde, nachdem ein Ehepartner die Daten seines Partners in der Datenpanne gefunden hatte. Anwälte stellten fest, dass selbst wenn Ehebruch nicht nachweisbar war, die Registrierung auf der Website die Schwelle für „unzumutbares Verhalten” erreichen konnte, was zu dieser Zeit in England und Wales ein häufiger Scheidungsgrund war.

Erpressungen kamen ebenso vorhersehbar wie Spam. Kriminelle sammelten die geleakten E-Mails und begannen, maßgeschneiderte Drohungen zu versenden: Zahlen Sie in Bitcoin, oder wir informieren Ihren Ehepartner, Ihren Chef, Ihre Gemeinde.

Ashley Madison bleibt der am besten dokumentierte Fall hinsichtlich der Folgen von Datenlecks bei Dating-Apps; es lässt sich jedoch vermuten, dass andere Datenlecks, wie der Fall AdultFriendFinder, ähnliche Folgen hatten, auch wenn sie nicht öffentlich gemacht wurden.

Was diese Verstöße so schädlich macht, ist nicht nur ihr Ausmaß, sondern auch ihr Kontext. Dating- und Kontaktplattformen sammeln Metadaten, die für das Privatleben einer Person äußerst schädlich sein können – Transaktionshistorie, Nachrichten, Standortangaben, sogar sexuelle Vorlieben. Wenn diese Metadaten durchsuchbar werden, können Fremde sie als Waffe einsetzen.

Auswirkungen auf Plattformen

Was passiert mit einer Dating-Plattform, nachdem ihre Geheimnisse bekannt geworden sind? In den meisten Fällen ist öffentlich nicht viel messbar. Abgesehen von Ashley Madison fanden wir keine glaubwürdigen, geprüften Angaben zu Traffic oder Einbrüchen bei der Nutzerzahl, die direkt mit einer Sicherheitsverletzung in Verbindung stehen, in den von uns untersuchten großen Apps.

Ashley Madison ist der Ausreißer. Similarweb schätzt, dass der Traffic in den Monaten nach dem Datenleck 2015 um etwa 80–90 % zurückgegangen ist.

Das Unternehmen wehrte sich und behauptete, der Skandal habe paradoxerweise die Nachfrage angekurbelt – „Hunderttausende” neue Anmeldungen in der ersten Woche nach dem Datenleck. Unabhängige Medien berichteten über diese Aussagen, aber es wurden keine geprüften Zahlen zu Abonnenten oder Einnahmen veröffentlicht.

Der Datenleck enthüllte auch etwas, was die Nutzer schon lange vor dem Datenleck vermutet hatten: Die geleakte Liste der Namen schien zu zeigen, dass über 95 % der Mitglieder männlich waren. Die Aufsichtsbehörden behaupteten später, dass Ashley Madison vor und während des Datenlecks gefälschte weibliche Profile verwendet habe, um die Ausgaben anzukurbeln (das „Fembot”-Problem) – Vorwürfe wegen Täuschung, die das Unternehmen 2016 mit der FTC und mehreren US-Gerichtsbarkeiten beigelegt hat.

Bewertungen auf Trustpilot enthalten auch heute noch Beschwerden über botähnliches Verhalten.

Dennoch sind alle großen Dating-Dienste, die in den letzten zehn Jahren von einem hochkarätigen Datenleck betroffen waren, weiterhin in Betrieb, und harte Zahlen zu den Auswirkungen auf Umsatz oder Gewinn nach dem Vorfall bleiben weitgehend unbekannt.

In der Praxis ist der Reputationsschaden offensichtlich; eine Quantifizierung, geschweige denn eine Verknüpfung mit der Abwanderung oder dem Cashflow in öffentlichen Unterlagen, findet so gut wie nie statt.

Neue Bedrohung: Betrüger nutzen KI für Catfishing

Die Probleme im Online-Dating-Sektor gehen mittlerweile über die traditionellen Bedrohungen hinaus. Betrüger nutzen mittlerweile Chatbots und Deepfakes, um Catfishing in großem Stil zu betreiben, wodurch Betrugsfälle schwieriger zu erkennen sind.

Mit KI-Tools können Betrüger äußerst realistische Fotos, Videos und sogar Live-Deepfake-Anrufe generieren, die echte Menschen imitieren. Im Gegensatz zu älteren Betrugsmaschen, die oft auf schlecht geschriebenen Nachrichten oder gestohlenen Stockfotos beruhten, wirken diese KI-gestützten Persönlichkeiten authentisch und können lange Gespräche führen, ohne Verdacht zu erregen.

Laut dem aktuellen Jahresbericht des FBI beliefen sich die Verluste durch Liebesbetrug in den USA im Jahr 2024 auf 672 Millionen US-Dollar.

Im Dezember 2024 warnte das FBI die Bürger, dass Kriminelle zunehmend generative KI einsetzen, um Finanzbetrug zu erleichtern, wobei Liebesbetrug als einer der häufigsten Angriffsvektoren genannt wurde.

Infolgedessen werden die Opfer schneller und in größerem Umfang als je zuvor manipuliert, sodass sie Vertrauen fassen.

Politische und regulatorische Aussichten

• Gemäß der DSGVO werden von Dating-Apps gesammelte Daten, wie z. B. die sexuelle Orientierung, als Informationen der „besonderen Kategorie” behandelt und erfordern daher eine besonders sorgfältige Prüfung bei der Verarbeitung.
• In ähnlicher Weise fällt die sexuelle Orientierung gemäß dem California CPRA unter die Kategorie „sensible personenbezogene Daten”, wodurch solche Daten strengeren Vorschriften unterliegen.
• Die Regulierungsbehörden untersuchen auch „Dark Patterns” in Dating-Apps, darunter eine kürzlich erzielte Einigung in Höhe von 14 Millionen Dollar mit der Match Group (Tinder, Match.com, Hinge usw.) wegen Täuschung bei Stornierungsbedingungen und Abonnementverhalten.

Praktische Sicherheitstipps für Nutzer von Dating-Apps

1. Verwenden Sie eine eigene E-Mail-Adresse nur für Dating-Apps. So verhindern Sie, dass Sicherheitsverletzungen mit Ihren privaten/beruflichen Konten in Verbindung gebracht werden.
2. Vermeiden Sie die Wiederverwendung von Profilfotos. So verhindern Sie, dass Reverse-Bildersuchen Ihr Dating-Profil mit Ihrer Identität in Verbindung bringen.
3. Seien Sie vorsichtig mit „Anmelden mit Facebook/Google”. Es ist sicherer, ein eigenständiges Login zu erstellen.
4. Beschränken Sie die Standortfreigabe. Deaktivieren Sie die „präzise” GPS-Ortung, um das Risiko von Stalking zu verringern.
5. Verknüpfen Sie keine Social-Media-Konten. So werden weniger Daten offengelegt, wenn die Plattform kompromittiert wird.

Fazit

Die Ergebnisse zeigen, dass viele Dating-Plattformen im Jahr 2025 immer noch dieselben Schwachstellen aufweisen, die zu verheerenden Sicherheitsverletzungen geführt haben. Wenn diese nicht behoben werden, könnte sich die Geschichte wiederholen.

Entdecken Sie mehr

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky