Soziale Netzwerke bieten zu wenige Möglichkeiten, die persönlichen Daten ihrer Nutzer vor ungewollten Zugriffen zu schützen. Zu diesem Ergebnis kommt eine Studie des Fraunhofer-Instituts für Sichere Informationstechnologie (PDF). “Von den getesteten Plattformen konnte keine vollständig überzeugen”, sagt Studienautor Andreas Poller vom Fraunhofer-Institut SIT. “Von der Nutzung mancher Dienstfunktionen ist sogar abzuraten, weil die Zugriffskontrollen teilweise einfach nicht funktionieren oder ganz fehlen.” Die Tester meldeten sich als Normalnutzer an und versuchten dann, an persönliche Daten aus selbsterstellten Profilen zu gelangen. Mit Hilfe spezieller Suchmaschinen kamen sie zum Beispiel in den Besitz geschützter Bilder, obwohl diese gar nicht für die Öffentlichkeit freigegeben waren. Auch die politische Orientierung oder der Familienstatus ließ sich trotz Sperrung der Daten ermitteln, und selbst nach Aufgabe der Mitgliedschaft blieben bei einer Plattform die persönlichen Gästebuch- und Foreneinträge bestehen. “Das kann für den Benutzer mitunter sehr peinlich werden. Aber auch Phishingbetrüger und Angreifer, die es auf Firmengeheimnisse abgesehen haben, freuen sich natürlich über solche Informationen. Denn damit können sie sich leichter das Vertrauen der Nutzer oder anderer Personen erschleichen”, sagt Poller.
Getestet wurden Facebook, StudiVZ, Myspace, Wer-kennt-wen, die Lokalisten sowie Xing und und LinkedIn als Geschäftsnetzwerke. Unter den Netzwerken für den privaten Gebrauch erzielte Facebook noch das beste Ergebnis, weil sich die Zugriffskontrollen auf einzelne Daten vergleichsweise genau steuern lassen. Die meisten Negativbewertungen erhielten die Lokalisten. Von den zwei getesten Geschäftsplattformen bietet LinkedIn bessere Möglichkeiten zum Schutz der Privatsphäre als XING: Zum einen erlaubt LinkedIn eingeschränkt die Nutzung eines Pseudonyms, zum anderen lässt sich der Account leichter kündigen und die persönlichen Daten besser entfernen.
Was aber soll die Nutzung eines Pseudonyms in einem Geschäftsnetzwerk bringen? Etwas merkwürdig ist auch die Kritik an Xing. Dort wird die Angabe geschäftlicher Daten bemängelt. Ohne diese Daten macht ein Geschäftsnetzwerk aber wenig Sinn. Hier drängt sich die Eindruck auf, die Datenschützer haben regelrecht nach Kritikpunkten gesucht.
Im Detail sind hier nun die Ergebnisse der Datenschützer (Seite 65ff.) dokumentiert, gegliedert nach den untersuchten Punkten:
Geforderte Daten bei der Anmeldung
Der Umfang der Anmeldedaten konnte bei keiner Plattform völlig überzeugen. Bei den privaten Plattformen hielt sich der »Datenhunger« jedoch insgesamt in Grenzen. Dennoch ist es im Grunde überflüssig, dass der Nutzer vollständige Geburtsdaten (Facebook, StudiVZ) oder die Postleitzahl des Wohnortes (Myspace) angeben muss. Bei den Geschäftsplattformen XING und LinkedIn sind Angaben zur beruflichen Situation verpflichtend (sogenannte »Business Daten« wie Firmenname, Position in der Firma, etc.). Dieser umfangreiche Datensatz ist nicht zwingend notwendig, um den Dienst technisch zu realisieren oder rechtliche Anforderungen abzudecken.
Pseudonyme Nutzung
Eine Form des pseudonymen Auftretens wird nur von den Plattformen Myspace, Lokalisten und LinkedIn unterstützt. Allerdings ist sie bei Myspace und Lokalisten nicht vollständig. Ein Plattformnutzer kann trotz eines Pseudonyms gezielt in der Plattform gefunden werden. Der Grund ist, dass die Suche vollständige Namen als Suchkriterium erlaubt. Dieses Problem hat LinkedIn nicht. Hier wirkt die Funktion auch auf die Suche. Interessant ist, dass sich die Nutzer an dieser Stelle selbst Abhilfe schaffen, indem sie bei der Anmeldung absichtlich falsche Angaben machen. Allerdings verstößt diese Praxis bei vielen Anbietern gegen die Allgemeinen Geschäftsbedingungen und kann zum Ausschluss aus dem Dienst führen. Das Beispiel zeigt jedoch deutlich, dass bei vielen Nutzern durchaus ein Wunsch nach einer Pseudonymisierungsfunktion besteht. Allein deshalb sollten Plattformbetreiber explizit eine pseudonyme Nutzung vorsehen.
Einsatz von Verschlüsselung
Das Thema »Verschlüsselung« ist bei fast allen Plattformen problematisch. Nur XING schützt die Nutzersitzung mit einer vollständigen Verschlüsselung. Bei den Plattformen Facebook, StudiVZ und LinkedIn sind zumindest der Anmeldevorgang und die Konfigurationsseiten verschlüsselt. Nutzername und vor allem das Passwort sind damit geschützt. Ein Angreifer kann aber in einem geeigneten Szenario (z. B. Internetcafé mit Wireless LAN) die Nutzersitzung trotzdem leicht angreifen und übernehmen. Nicht verschlüsselt wird bei Myspace, Wer-kennt-wen und Lokalisten.
Funktionsumfang der Zugriffskontrollen
Bei den nutzerdefinierten Zugriffskontrollen bietet Facebook die umfangreichsten Funktionen. Der Nutzer kann detailiert konfigurieren, welche Personen welche Daten lesen und schreiben dürfen. Für privatsphärenrelevante Daten, wie beispielsweise Hobbys, politische und religiöse Ausrichtungen ist in jedem Fall ein Schutz aktivierbar. Diese Möglichkeiten bieten grundsätzlich auch Myspace und StudiVZ. Allerdings muss der Nutzer hier mehr Kompromisse eingehen. So können z. B. Personenkreise und Einschränkungen nicht so differenziert konfiguriert werden wie bei Facebook. Die Plattform Wer-kennt-wen bietet ähnliche Zugriffskontrollen wie Facebook, besitzt aber keinen Schutz für die Kontaktliste und die Gruppenzugehörigkeiten. Beide stellen sensible Daten dar. XING und LinkedIn haben beide keine Kontrollmöglichkeiten für die sogenannten »Geschäftsdaten«, die neben beruflichen Informationen (Fähigkeiten, beruflicher Werdegang) vielfach auch schützenswerte, private Daten enthalten (Hobbys, politische Ausrichtung etc.). Bei der Verbreitung beruflicher Informationen, wie z. B. Tätigkeitsfelder, werden im Übrigen nicht nur die Interessen des Nutzers berührt. Der Arbeitgeber ist möglicherweise ebenfalls betroffen, wenn unerwünscht Firmeninternas offengelegt werden. Auch vor dem Hintergrund aktueller Probleme der Wirtschaftsspionage ist es möglich, dass Arbeitgeber nicht möchten, dass ihre Angestellten im Internet zu offenherzig über ihre Arbeit Informationen verbreiten. Umso kritischer ist das Fehlen einer Zugriffskontrolle. Schlusslicht sind die Llokalisten mit einer mangelhaften Zugriffskontrolle, sowohl hinsichtlich der Menge an schützbaren Daten als auch bezüglich der Granularität und des Umfangs der Einstellmöglichkeiten.
Standardkonfiguration
In dieser Kategorie haben alle Plattformen mangelhaft abgeschnitten. Die Zugriffskontrollen sind nach Eröffnen eines Nutzerzugangs häufig völlig offen und Daten damit ungeschützt. Abgesehen von der Bewertung hebt sich Facebook dennoch von den anderen Plattformen ab: Ein Großteil der privatsphärenrelevanten Daten sind nach dem Anmelden nur für Kontakte ersten Grades sichtbar. Allerdings reichte es nicht für eine neutrale oder gar positive Bewertung, da die Kontaktliste standardmäßig für alle Personen sichtbar ist. Zudem werden die Zugriffsrechte automatisch erweitert, sobald der Nutzer einem Netzwerk beitritt
Externer Zugriff auf Multimediadaten
Bei allen privat genutzten Plattformen waren Mediendaten wie Fotos und Videos über die Kenntnis ihrer URL von außen zugänglich. Allerdings wirken die URL-Verknüpfungen bei allen Plattformen kryptisch. Man nimmt an, dass ein Angreifer derartige Links nur mit einer geringen Wahrscheinlichkeit vorhersagen kann. Trotzdem existieren Wege, wie diese »geheimen« Hyperlinks leicht nach außen migrieren können. Als ein Beispiel wurde der Test mit der Software Polar Rose durchgeführt, der bei allen Plattformen erfolgreich verlief. Analog können auch andere Fotos bei allen anderen Privatplattformen mit beliebigen darauf abgebildeten Personen verarbeitet werden.
Suchfunktion
Die Prüfung der Suchfunktionen offenbarte zwei Problemfelder: Zum einen war bei den Plattformen Lokalisten und XING eine sehr umfangreiche Angabe von Suchkriterien möglich, denen auf der Nutzerseite keine Zugriffskontrollmechanismen gegenüber standen. Das führte bei diesen Plattformen zur Abwertung. LinkedIn hat zwar prinzipiell dasselbe Problem, verbessert die Situation aber mit einer einfachen Pseudonymisierungsfunktion. Diese Pseudonymisierungsfunktion verhindert teilweise das Erscheinen in Suchergebnissen und verbirgt dort zumindest den Namen des Profilinhabers. Im Gegensatz dazu war die Situation bei StudiVZ und Myspace umgekehrt. Hier waren Zugriffskontrollen (beispielsweise zum Schutz der Anzeige des »Beziehungsstatus « oder der »politischen Orientierung«) durchaus vorhanden. Nur leider setzt die jeweilige Suchfunktion vor diesen Zugriffskontrollen an, die damit teilweise wirkungslos wurden. Die Plattform Wer-kennt-wen erlaubt insgesamt wenig Suchkriterien und ist deshalb wenig problematisch. Gut war in dieser Kategorie nur Facebook, da hier sowohl Zugriffskontrollen auf Suchergebnisse wirkten, als auch separate Einstellmöglichkeiten für die Sichtbarkeit in der Suche vorhanden waren.
Zugriffsprotokollierung
Bei vielen der getesteten Plattformen war eine Besucherprotokollierung entweder nicht vorhanden oder das Erscheinen im Protokoll konnte von den Zugreifenden deaktiviert werden. Damit ist die Privatsphäre der Profilbesucher in dieser Hinsicht geschützt. Allerdings bekommt der Profilinhaber auch keinen Überblick über den Abruf seiner privaten Daten. Bei Lokalisten und XING ist ein Protokoll vorhanden. Der genaue Zeitpunkt des Zugriffs wird aber nicht vermerkt. Allerdings ist die Abfolge der Besuche erkennbar. Hervorzuheben sind die Konfigurationsmöglichkeiten bei LinkedIn: Auf Wunsch kann der Nutzer einstellen, dass er mit Geschäftsfeld und Position, aber nicht mit seinem vollständigen Namen im Protokoll anderer Profilinhaber erscheint.
Profil abmelden
Das eigene Profil zu löschen war bei Myspace, StudiVZ, Wer-kennt-wen und LinkedIn mit wenigen Mausklicks erledigt. Bei XING geht dem Ganzen erst eine unnötige Suchaktion durch die Hilfe voraus. Wenn das Formular einmal gefunden wurde, ist aber auch hier das Abmelden schnell möglich. Noch aufwendiger sind die Abmeldeprozeduren bei Lokalisten (EMail an Kundendienst erforderlich) und Facebook. Bei Facebook ist ein reguläres Löschen gar nicht vorgesehen, sondern nur ein Deaktivieren ohne Entfernen der Daten. Wie lange das Profil deaktiviert ist wird vom Nutzer bestimmt. Will man seinen facebookZugang permanent kündigen, dann muss der Anwender, wie bei XING auch, die entsprechende Funktion in der Hilfe zu suchen. Das eigentliche Entfernen des Profils wird dann nicht sofort durchgeführt, sondern bedarf einer Bearbeitungszeit.
Löschumfang
Wichtig war bei diesem Kriterium, der Umgang mit den Daten innerhalb der Plattform, aber außerhalb des eigenen Profils. Das Profil selbst wird bei allen Plattformen entfernt. Darüberhinaus löschen Myspace, Facebook, Lokalisten und LinkedIn auch viele anderen Daten, die eindeutig dem abgemeldeten Nutzer zugeordnet werden können, wie z. B. Gästebuchund Foreneinträge, Fotoverknüpfungen und BlogKommentare. Nicht so gründlich sind StudiVZ und Wer-kennt-wen, bei denen die Daten nur durch Austausch des Autorennamens eingeschränkt anonymisiert werden. Bei XING entfällt selbst dieser Austausch des Namens.
Nutzerführung
Die Nutzerführung wirkte bei den meisten Plattformen gut, auch wenn sich im Detail kleinere Mängel zeigten: StudiVZ vermischt die eigenen Konfigurationsmöglichkeiten mit denen einer anderen Plattform, was dem Verständnis nicht förderlich ist. Bei XING und LinkedIn ist die Organisation der Privatsphäre-Optionen im Konfigurationsbereich teilweise nicht ganz schlüssig. Die Plattform facebook weist bei den PrivatsphäreEinstellungen Inkonsistenzen und undokumentierte Seiteneffekte auf. Ein sehr ungewöhnliches Konzept liefert Myspace. Hier sind viele PrivatsphäreOptionen weit über die gesamten Konfigurationsseiten verstreut. Am übersichtlichsten erscheint Wer-kennt-wen. Die Gestaltung des Konfigurationsdialoges ist an Facebook angelehnt. Allerdings wurden die bei facebook bemängelten Schwächen nicht beobachtet. Bei der Plattform Lokalisten konnte dieses Kriterium, mangels geeigneter Konfigurationsmöglichkeiten, nur eingeschränkt beurteilt werden.
