Soziale Netze als Gefahr für Privatsphäre

27.09.2008

Sicherheitsexperten und Kritiker warnen immer wieder vor den Gefahren Sozialer Netzwerke: nicht nur vor der Verlockung, zu viel von sich preiszugeben, sondern auch vor technischen Lücken, die den unerlaubten Zugriff auf diese Daten erlauben. Das Fraunhofer-Institut hat die einzelnen Portale nun auf ihre Sicherheitsmankos untersucht.

Was in den USA bereits gang und gäbe ist, entwickelt sich in Österreich erst langsam zum Trend: Social Networking. Laut Austrian Internet Monitor besuchte im ersten Quartal 2008 etwa jeder dritte Internet-Nutzer ein Soziales Netz. Im Ranking führt dabei MySpace vor studiVZ, Facebook und Xing.

Das Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt hat nun in einer Studie untersucht, wie es in den gängigen Sozialen Netzen wirklich um den Schutz der Privatsphäre bestellt ist, und kam dabei zu teilweise besorgniserregenden Ergebnissen.

"Von den getesteten Plattformen konnte keine vollständig überzeugen", lautet das Fazit des Studienautors Andreas Poller. Von der Nutzung mancher Dienstfunktionen sei sogar abzuraten, weil die Zugriffskontrollen teilweise einfach nicht funktionieren oder ganz fehlen.

In Österreich verzeichnen Soziale Netzwerke die höchste Nutzerquote innerhalb der 14- bis 19-Jährigen. Mit zunehmendem Alter sinkt der Nutzeranteil kontinuierlich. Männer sind dabei eifrigere Besucher von Networking-Plattformen als Frauen.

Zugriff auf gesperrte Daten

Getestet wurden die Plattformen Facebook, studiVZ, MySpace, Wer-kennt-wen, lokalisten sowie die businessorientierten Portale Xing und LinkedIn. Die Tester des Fraunhofer-Instituts meldeten sich als Normalnutzer an, um die Einstellungsmöglichkeiten zu testen. Anschließend schlüpften sie in die Rolle des Angreifers und prüften die Wirksamkeit der Konfiguration, indem sie versuchten, an persönliche Daten aus selbst erstellten Profilen zu gelangen.

Mit Hilfe spezieller Suchmaschinen kamen sie zum Beispiel in den Besitz geschützter Bilder, obwohl diese gar nicht für die Öffentlichkeit freigegeben waren. Auch die politische Orientierung und der Familienstatus ließ sich trotz Sperrung der Daten ermitteln, und selbst nach Aufgabe der Mitgliedschaft blieben bei einer Plattform die persönlichen Gästebuch- und Foreneinträge bestehen.

Facebook schneidet am besten ab

Neben der Wirksamkeit der Zugriffskontrolle und deren Steuerungsmöglichkeit wurden auch die Standardkonfiguration der jeweiligen Plattform sowie deren Verschlüsselungsmöglichkeiten bewertet. "Keine Plattform konnte in allen Bereichen überzeugen, andererseits konnten wir für fast jeden Bereich einen Vertreter finden, der ausreichenden Schutz bietet", so Poller.

Unter den Plattformen für den privaten Gebrauch erhielt Facebook die meisten guten Bewertungen, auch wenn die Tester selbst hier Schwächen ausmachten. Die meisten Negativbewertungen erhielten die lokalisten.

Von den zwei getesten Geschäftsplattformen bietet LinkedIn bessere Möglichkeiten zum Schutz der Privatsphäre als Xing: Zum einen erlaubt LinkedIn eingeschränkt die Nutzung eines Pseudonyms, zum anderen lässt sich der Account leichter kündigen und die persönlichen Daten besser entfernen.

"Gute Ansätze weiterführen"

Als typische Mängel in den Bewertungen erwiesen sich zu umfangreiche Pflichtdaten bei der Anmeldung, die fehlende Unterstützung von Pseudonymen und das fehlende oder unzureichende Verschlüsseln des Kommunikationskanals zum Plattform-Server. Weiters wurde fast überall das unvollständige Löschen privater Daten nach dem Abmelden an der Plattform kritisiert.

"Würde man die einzelnen guten Ansätze der geprüften Plattformen weiterführen und in einem einzigen Konzept vereinen, hätte man mit wenigen

Einschränkungen die Idealplattform im Sinne dieser Studie", so das Fazit der Autoren.

Soziale Netze bis zum Abwinken

David "Knight Rider" Hasselhoff hat ein eigenes Soziales Netzwerk gegründet, in dem jeder Neuling automatisch aussieht wie - David Hasselhoff. Dazu fällt dem Kenner nur ein treffender Satz aus den Klassikern ein: Passen Sie auf sich auf, Michael!

Ratgeber für Soziale Nutzer

Die Studie liefert auch Tipps für privatsphärenbewusste Social-Network-Nutzer: So wird etwa davon abgeraten, die getesteten Portale von drahtlosen öffentlichen Netzwerken oder aus fremdadministrierten Netzwerken zu benutzen. Auf Business-Plattformen sollte Berufliches und Privates zudem streng getrennt werden.

Weiters seien die Standardkonfigurationen in Sachen Datenschutz bei fast allen Portalen zu lasch, weshalb nach der Neuanmeldung unbedingt die Privatsphäre-Einstellungen angepasst werden sollten.

Die Studienautoren raten auch zu einer Depseudonymisierung von E-Mail-Adressen. Auf den meisten Portalen können Nutzer über ihre E-Mail-Adressen gesucht werden: Viele Nutzer neigen dazu, ihre Pseudonyme, etwa die Nicknames in Foren, auch in ihren E-Mail-Adressen zu übernehmen. Meldet man sich mit so einer Adresse in einem Sozialen Netzwerk an, könnten Angreifer theoretisch relativ leicht die Identität eines solchen Nutzers feststellen.

Vor der Eingabe neuer privater Daten sollten außerdem immer die Zugriffskontrollen geprüft und gegebenenfalls angepasst werden.

Ziel der Studie ist laut Fraunhofer-Institut, ein erstes Rahmenwerk für die Beurteilung des Privatsphärenschutzes von Sozialen Netzwerken aufzustellen.