Donnerstag, Oktober 09, 2008

Soziale Netzwerke - Der Spion, der mich kopierte

Soziale Netzwerke wie StudiVZ oder Facebook tun nicht genug, um die Privatsphäre ihrer Nutzer zu schützen. Eine Studie des Fraunhofer-Instituts zeigt am Beispiel der sieben meistgenutzten Anbieter, wie einfach private und geschäftliche Geheimnisse gelüftet werden können.
Wer bei StudiVZ munter Fotos vom letzten Zechgelage hochlädt, muss sich nicht wundern, wenn irgendwann auch die Eltern oder der potenzielle Arbeitgeber die Bilder zu Gesicht bekommen. Dass bei sorgloser Selbstdarstellung im Web unangenehme Überraschungen lauern, ist bekannt. Doch manchmal nützen auch alle Vorsichtsmaßnahmen nichts, weil sich an völlig unerwarteten Stellen Sicherheitslücken auftun. Datenklau, Wirtschaftsspionage, Phishing-Mails - die Nutzer sozialer Netzwerke sind vor keiner Gefahr sicher. Das ist das Ergebnis einer Studie des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT). "Von den getesteten Plattformen konnte keine vollständig überzeugen", sagt Studienautor Andreas Poller.
Erstmals in Deutschland wurden die sieben meistgenutzten Social-Network-Portale systematisch auf Gefahren für die Privatsphäre hin untersucht. Am besten schnitt dabei noch Facebook ab. "Wobei auch diese Plattform erhebliche Schwächen aufweist", betont Poller. Im Mittelfeld landeten StudiVZ, Wer-kennt-wen und Myspace, auf dem letzten Platz Lokalisten. Die Forscher raten davon ab, bei dem Letztplatzierten überhaupt private Daten einzugeben. Bei den businessorientierten Netzwerken schnitt LinkedIn etwas besser ab als Xing.
Um die Bedrohungen für die Privatsphäre aufzuspüren, mussten die Forscher noch nicht mal besondere technische Kenntnisse aufbieten. Sie betätigten sich nicht etwa als Hacker, sondern meldeten sich einfach als Normalnutzer an. Anschließend schlüpften sie in die Rolle des Angreifers und versuchten, an persönliche Daten aus von Nutzern erstellten Profilen zu gelangen. Das Ergebnis dürfte für Millionen Nutzer in Deutschland beunruhigend sein: Mit Hilfe der neuartigen Bildersuchmaschine Polar Rose gelangten sie an Fotos, die von den Profilinhabern für die Öffentlichkeit gar nicht freigegeben waren. Politische Orientierung oder der Familienstatus ließen sich über die Suchmaschinen der jeweiligen Angebote ermitteln. Und selbst nach Ende der Mitgliedschaft blieben mitunter die persönlichen Gästebuch- und Foreneinträge bestehen.
Die sieben Plattformanbieter sollen der Kommunikation dienen - wer jedoch direkt mit den Betreibern kommunizieren will, hat es unter Umständen schwer. Eine Telefonnummer ist bei keinem Betreiber leicht zu finden. Die US-amerikanischen Netzwerke Facebook, LinkedIn und Myspace reagierten nicht auf die stern.de-Anfrage, sich zu den Ergebnissen zu äußern. Auch von StudiVZ kam keine Antwort.

Gefahr oder Chance?
"Wir konnten für fast jeden getesteten Einzelbereich einen Vertreter finden, der ausreichenden Schutz bietet", so Poller. "Wenn man die Schutzmöglichkeiten der getesteten Angebote kombinieren würde, wäre das Ideal erreicht, aber die Plattformen scheinen kein durchgängiges Konzept zum Schutz der Privatsphäre zu verfolgen." Das hat unterschiedliche Gründe. So preist der Anbieter Xing, der besonders datengierig ist, den offenen Umgang mit Informationen als Teil der Plattformphilosophie: "Unsere stark wachsenden Mitgliederzahlen zeigen, dass unsere Nutzer dies nicht als ungewollte Einschränkung der Privatsphäre, sondern als echten Mehrwert sehen, um berufliche Kontakte zu pflegen und neue hinzuzugewinnen", erklärt Xing-Chef Lars Hinrichs gegenüber stern.de. Andere sehen eine Pseudonym-Funktion als Nachteil, weil die Nutzer damit weniger authentisch agieren und die Plattform mit Unwahrheiten quasi zumüllen würden. "Bei uns geht es um das Finden und Gefundenwerden von realen Personen", lautet die Erklärung von wer-kennt-wen-Sprecherin Karin Rothgänger. Dass es aber ein Bedürfnis nach Pseudonymen gibt, ist offenkundig. Den Anteil an falschen Namen oder Zweitaccounts bei StudiVZ und Facebook schätzt Fraunhofer-Forscher Poller auf 10 bis 20 Prozent.
Ein bislang wenig untersuchtes Phänomen ist die Gefahr der Wirtschaftsspionage. Schließlich liegt es nahe, dass Nutzer von LinkedIn oder Xing ungewollt Betriebsgeheimnisse ausplaudern. Ein Angreifer kann sich hier manchmal sehr ausführlich über die soziale Umgebung des Opfers informieren und sich sein Vertrauen erschleichen. Die Hemmschwelle zur Kommunikation mit dem Angreifer sinkt, weil man denkt, man habe es mit einem Kollegen zu tun. Poller entwirft das Szenario des "bösartigen Zwillings": Der Angreifer erstellt ein Profil mit den Daten eines Kollegen des Opfers, das er von einer anderen Plattform her kennt, und nimmt auf diese Weise dessen Identität an. "Damit kann er leicht erreichen, dass über Betriebsinterna geplaudert wird", so Poller. Deshalb bleibt immer die Frage: Ist der andere Nutzer wirklich der, für den er sich ausgibt? Die Forscher halten dieses Szenario für sehr realistisch: "Die Gefahren für Firmengeheimnisse werden wir am Institut ab sofort intensiv diskutieren."

Studienergebnisse gingen an die Anbieter
Poller schickte jedem Plattformbetreiber eine gedruckte Vorabfassung der Studie. "Einige Testergebnisse stellen unseres Erachtens Sicherheitsmängel dar, derer sich der Dienstanbieter annehmen muss. Deshalb ist es bei uns üblich, zuerst den Anbieter zu informieren, damit er sich nicht durch die Veröffentlichung Attacken ungeschützt ausgesetzt sieht." Nur Wer-kennt-wen hat jedoch bislang erklärt, einige Verbesserungsvorschläge der Studie umgesetzt zu haben. Deshalb gibt Poller einige Ratschläge, um möglichen Schaden zu begrenzen: Nach einer Neuanmeldung immer die privaten Einstellungen anpassen - und zwar nicht nur unter "Privatsphäre", sondern auch unter anderen Menüpunkten. Bei einigen Anbietern sind die Optionen über die gesamte Plattform verteilt. Außerdem: Niemals in öffentlich zugänglichen Wlan-Netzwerken die Plattformen besuchen. Und bei Xing und LinkedIn einerseits keine privaten Angaben machen und zum anderen die Interessen des Arbeitgebers immer mitberücksichtigen.(Quelle:stern.de)

Labels: ,

0 Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post [Atom]

<< Startseite