HOME

Soziale Netzwerke: Der Spion, der mich kopierte

Soziale Netzwerke wie StudiVZ oder Facebook tun nicht genug, um die Privatsphäre ihrer Nutzer zu schützen. Eine Studie des Fraunhofer-Instituts zeigt am Beispiel der sieben meistgenutzten Anbieter, wie einfach private und geschäftliche Geheimnisse gelüftet werden können.

Von Anne Meyer

Wer bei StudiVZ munter Fotos vom letzten Zechgelage hochlädt, muss sich nicht wundern, wenn irgendwann auch die Eltern oder der potenzielle Arbeitgeber die Bilder zu Gesicht bekommen. Dass bei sorgloser Selbstdarstellung im Web unangenehme Überraschungen lauern, ist bekannt. Doch manchmal nützen auch alle Vorsichtsmaßnahmen nichts, weil sich an völlig unerwarteten Stellen Sicherheitslücken auftun. Datenklau, Wirtschaftsspionage, Phishing-Mails - die Nutzer sozialer Netzwerke sind vor keiner Gefahr sicher. Das ist das Ergebnis einer Studie des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT). "Von den getesteten Plattformen konnte keine vollständig überzeugen", sagt Studienautor Andreas Poller.

Erstmals in Deutschland wurden die sieben meistgenutzten Social-Network-Portale systematisch auf Gefahren für die Privatsphäre hin untersucht. Am besten schnitt dabei noch Facebook ab. "Wobei auch diese Plattform erhebliche Schwächen aufweist", betont Poller. Im Mittelfeld landeten StudiVZ, Wer-kennt-wen und Myspace, auf dem letzten Platz Lokalisten. Die Forscher raten davon ab, bei dem Letztplatzierten überhaupt private Daten einzugeben. Bei den businessorientierten Netzwerken schnitt LinkedIn etwas besser ab als Xing.

Um die Bedrohungen für die Privatsphäre aufzuspüren, mussten die Forscher noch nicht mal besondere technische Kenntnisse aufbieten. Sie betätigten sich nicht etwa als Hacker, sondern meldeten sich einfach als Normalnutzer an. Anschließend schlüpften sie in die Rolle des Angreifers und versuchten, an persönliche Daten aus von Nutzern erstellten Profilen zu gelangen. Das Ergebnis dürfte für Millionen Nutzer in Deutschland beunruhigend sein: Mit Hilfe der neuartigen Bildersuchmaschine Polar Rose gelangten sie an Fotos, die von den Profilinhabern für die Öffentlichkeit gar nicht freigegeben waren. Politische Orientierung oder der Familienstatus ließen sich über die Suchmaschinen der jeweiligen Angebote ermitteln. Und selbst nach Ende der Mitgliedschaft blieben mitunter die persönlichen Gästebuch- und Foreneinträge bestehen.

Die sieben Plattformanbieter sollen der Kommunikation dienen - wer jedoch direkt mit den Betreibern kommunizieren will, hat es unter Umständen schwer. Eine Telefonnummer ist bei keinem Betreiber leicht zu finden. Die US-amerikanischen Netzwerke Facebook, LinkedIn und Myspace reagierten nicht auf die stern.de-Anfrage, sich zu den Ergebnissen zu äußern. Auch von StudiVZ kam keine Antwort.

Gefahr oder Chance?

"Wir konnten für fast jeden getesteten Einzelbereich einen Vertreter finden, der ausreichenden Schutz bietet", so Poller. "Wenn man die Schutzmöglichkeiten der getesteten Angebote kombinieren würde, wäre das Ideal erreicht, aber die Plattformen scheinen kein durchgängiges Konzept zum Schutz der Privatsphäre zu verfolgen." Das hat unterschiedliche Gründe. So preist der Anbieter Xing, der besonders datengierig ist, den offenen Umgang mit Informationen als Teil der Plattformphilosophie: "Unsere stark wachsenden Mitgliederzahlen zeigen, dass unsere Nutzer dies nicht als ungewollte Einschränkung der Privatsphäre, sondern als echten Mehrwert sehen, um berufliche Kontakte zu pflegen und neue hinzuzugewinnen", erklärt Xing-Chef Lars Hinrichs gegenüber stern.de. Andere sehen eine Pseudonym-Funktion als Nachteil, weil die Nutzer damit weniger authentisch agieren und die Plattform mit Unwahrheiten quasi zumüllen würden. "Bei uns geht es um das Finden und Gefundenwerden von realen Personen", lautet die Erklärung von wer-kennt-wen-Sprecherin Karin Rothgänger. Dass es aber ein Bedürfnis nach Pseudonymen gibt, ist offenkundig. Den Anteil an falschen Namen oder Zweitaccounts bei StudiVZ und Facebook schätzt Fraunhofer-Forscher Poller auf 10 bis 20 Prozent.

Ein bislang wenig untersuchtes Phänomen ist die Gefahr der Wirtschaftsspionage. Schließlich liegt es nahe, dass Nutzer von LinkedIn oder Xing ungewollt Betriebsgeheimnisse ausplaudern. Ein Angreifer kann sich hier manchmal sehr ausführlich über die soziale Umgebung des Opfers informieren und sich sein Vertrauen erschleichen. Die Hemmschwelle zur Kommunikation mit dem Angreifer sinkt, weil man denkt, man habe es mit einem Kollegen zu tun. Poller entwirft das Szenario des "bösartigen Zwillings": Der Angreifer erstellt ein Profil mit den Daten eines Kollegen des Opfers, das er von einer anderen Plattform her kennt, und nimmt auf diese Weise dessen Identität an. "Damit kann er leicht erreichen, dass über Betriebsinterna geplaudert wird", so Poller. Deshalb bleibt immer die Frage: Ist der andere Nutzer wirklich der, für den er sich ausgibt? Die Forscher halten dieses Szenario für sehr realistisch: "Die Gefahren für Firmengeheimnisse werden wir am Institut ab sofort intensiv diskutieren."

Studienergebnisse gingen an die Anbieter

Poller schickte jedem Plattformbetreiber eine gedruckte Vorabfassung der Studie. "Einige Testergebnisse stellen unseres Erachtens Sicherheitsmängel dar, derer sich der Dienstanbieter annehmen muss. Deshalb ist es bei uns üblich, zuerst den Anbieter zu informieren, damit er sich nicht durch die Veröffentlichung Attacken ungeschützt ausgesetzt sieht." Nur Wer-kennt-wen hat jedoch bislang erklärt, einige Verbesserungsvorschläge der Studie umgesetzt zu haben. Deshalb gibt Poller einige Ratschläge, um möglichen Schaden zu begrenzen: Nach einer Neuanmeldung immer die privaten Einstellungen anpassen - und zwar nicht nur unter "Privatsphäre", sondern auch unter anderen Menüpunkten. Bei einigen Anbietern sind die Optionen über die gesamte Plattform verteilt. Außerdem: Niemals in öffentlich zugänglichen Wlan-Netzwerken die Plattformen besuchen. Und bei Xing und LinkedIn einerseits keine privaten Angaben machen und zum anderen die Interessen des Arbeitgebers immer mitberücksichtigen.

Was die Forscher des Fraunhofer-Instituts an den einzelnen Communitys konkret kritisieren, lesen Sie im Kasten links oben.

Facebook

Der Testsieger bietet gute Möglichkeiten für den Nutzer, seine persönlichen Daten vor ungewollten Zugriffen zu schützen. Allerdings kann ein potenzieller Angreifer unter Umständen leicht Mitglied eines internen Netzwerks werden, dem der Nutzer auch angehört - und so über Umwege doch an persönliche Daten gelangen. Das wird dadurch vereinfacht, dass die Netzwerke aller Mitglieder für alle sichtbar sind. Poller rät den Facebook-Usern deshalb, nur für diejenigen Netzwerke private Daten freizugeben, die mithilfe der E-Mail-Adresse prüfen, ob die Mitglieder tatsächlich dazugehören. Wenn das nicht geprüft wird, können Nutzer jeder beliebigen Gruppe beitreten und an Daten gelangen, die eigentlich nicht für sie bestimmt sind.

LinkedIn

LinkedIn kann als einzige Plattform mit einer Pseudonymisierungs-Funktion aufwarten. Vom Nachnamen erscheint dann nur noch der erste Buchstabe. Abgesehen davon ist die Situation vergleichbar mit der bei Xing: Die von den Usern zu nennenden geschäftlichen Informationen sind sehr umfangreich und teilweise mit privaten Informationen vermischt - und sie können nicht effektiv geschützt werden.

Lokalisten

In der Studie heißt es lapidar: "Von der Eingabe privatsphärenrelevanter Daten wird abgeraten." Das Unternehmen wollte sich zu diesem Ergebnis nicht äußern.

Myspace

Auch bei Myspace haben die Nutzer die Möglichkeit, den öffentlichen Zugang zu ihren Daten zu beschränken. Allerdings sind die Privatsphäre-Optionen sehr unübersichtlich. In der Standardeinstellung sind Daten wie Religionszugehörigkeit und sexuelle Orientierung sogar für Nichtmitglieder lesbar. Außerdem verwendet die Plattform keine Verschlüsselung, auch nicht für die Übertragung des Passworts. "In einem Internetcafé oder einem öffentlichen drahtlosen Netzwerk können sich Angreifer in die Sitzung einklinken", so Poller. Im schlimmsten Fall können die Passwörter ausgelesen werden. Wird dieses Kennwort auch für E-Mails oder andere Dienste verwendet, besteht akute Betrugsgefahr.

StudiVZ

Bei StudiVZ können die Mitglieder wählen, ob sie Unbekannten ihr vollständiges oder nur ein eingeschränktes Profil zeigen. Nicht geschützt werden der Name, das Profilfoto und die besuchte Hochschule. Ein potenzieller Angreifer kann also einfach die Hochschule seines Opfers auswählen und behaupten, er studiere dort. Damit wäre bei den Zugangskontrollen die Stufe "Personen einer Hochschule" zum Schutz völlig ungeeignet. Wer zudem die URL von Fotoalben kennt, die viele StudiVZ-Nutzer von sich und ihren Freunden auf ihrem Account ablegen, kann auf sie zugreifen, auch wenn er dazu nicht berechtigt ist. Die Adresse der geschützten Bilder erfuhren die Tester, indem sie Fotoverknüpfungen auf dieses Album verfolgten. Dazu untersuchten sie die Fotoverknüpfungen der Freunde eines Nutzers, denn hier ist die Wahrscheinlichkeit hoch, in einem geschützten Album des "Opfers" zu erscheinen.

Auch die Suchfunktion hat viele Schwachstellen. So ist es ohne weiteres möglich, eine bestimmte politische Orientierung in der Suche anzugeben (etwa "Kommunist") und in der Ergebnismenge Personen zu erhalten, die diese Info für die Allgemeinheit gar nicht freigegeben haben. Die Forscher raten deshalb, die so genannte Supersuche für das eigene Profil auszuschalten.

Wer-kennt-wen

Obwohl die Möglichkeit besteht, viele private Daten nur der Gruppe "Leute, die ich kenne" zugänglich zu machen, bleiben sowohl die Kontaktliste als auch die Gruppenzugehörigkeiten für jeden erkennbar. Angesichts von Gruppen wie "Lesben mit Kinderwunsch", "FDP-Wähler" oder "Alle, die Moslems sind" erübrigt sich dann auch der Schutz der individuellen Daten zur religiösen, politischen oder sexuellen Orientierung. Allerdings diskutiert Wer-kennt-wen zurzeit "eine individualisierbare Einstellungsmöglichkeit für die Sichtbarkeit von Gruppen", so eine Wer-kennt-wen-Sprecherin gegenüber stern.de. Ähnlich wie bei StudiVZ gilt: Wer die URL kennt, kann auch geschützte Fotoalben sehen. Allerdings weist Wer-kennt-wen den Nutzer auf diese Tatsache hin. Als Reaktion auf die Studie sind geschützte Fotoalben über eine Verlinkung nicht mehr erreichbar. Wie auch bei Myspace werden alle Daten bei Wer-kennt-wen unverschlüsselt übertragen. "Wir prüfen zurzeit die Möglichkeiten, Daten verschlüsselt zu senden", so die Sprecherin zu stern.de.

Xing

Um sich bei Xing anzumelden, muss der Nutzer viel von sich preisgeben. E-Mail-Adresse, Geburtsdatum, Berufsstatus, Bezeichnung der Firma, Position in der Firma sind dann für die Öffentlichkeit erkennbar. "Es besteht keine rechtliche oder technische Notwendigkeit, warum diese umfangreichen Daten Pflichteingaben sein sollen", so Poller. Über die Suchfunktion können politische oder weltanschauliche Neigungen leicht gefunden werden. Xing-Chef Lars Hinrichs hält entgegen, dass nur derjenige, der "seine Parteizugehörigkeit oder Weltanschauung verbreiten will, dies auch als Zusatzinformation veröffentlichen wird - mit dem Ziel, sich mit Gleichgesinnten zu vernetzen." Positiv wurde in der Fraunhofer-Studie allein bewertet, dass alle Daten über die gesamte Sitzung hinweg verschlüsselt gesendet werden.