Community-Seiten verlangen von ihren Nutzern bei der Registrierung viele private Daten. Sie bieten aber nur wenige Möglichkeiten, diese Informationen vor ungewollten Zugriffen zu schützen. Zu diesem Ergebnis kommt die Studie "Privatsphärenschutz in Soziale-Netzwerke-Plattformen" des Fraunhofer Instituts für Sichere Informationstechnologie (SIT) in Darmstadt.
Zugriff auf private Daten
Getestet wurden die Plattformen Xing, LinkedIn, facebook, studiVZ, myspace, wer-kennt-wen und lokalisten. Von diesen konnte keine vollständig überzeugen. Von der Nutzung mancher Funktionen ist sogar abzuraten, weil die Zugriffskontrollen nicht vollständig funktionieren oder ganz fehlen. So können Unbefugte auf geschützte Informationen gelangen, obwohl diese nicht für die breite Masse freigegeben sind.
Als typische Mängel nennt die Studie folgende Punkte:
-
zu umfangreiche Pflichtdaten bei der Anwendung
-
kein Unterstützen von Pseudonymen
-
fehlendes oder unzureichendes Verschlüsseln des Kommunikationskanals zum Plattform-Server
-
Fehlen von Mechanismen, die den Zugriff auf Datenobjekte gemäß den vom Nutzer gesetzten Regeln erlauben oder verweigern wie zum Beispiel für die Suchfunktion oder Fotoverknüpfungen
-
Abruf vertraulicher Multimediadaten von außerhalb der Plattform
-
Schwer auffindbare Abmeldefunktionen oder umständliche Abmeldeprozesse
-
Unvollständiges Löschen privater Daten nach dem Abmelden von der Plattform
LinkedIn und Xing im Vergleich
Selbst die Business-orientierten Plattformen sind nur unzureichend geschützt. Allerdings schnitt LinkedIn im Test besser ab als Xing. Nutzer können bei LinkedIn ihre Mitgliedschaft leichter aufgeben als beim Konkurrenten. Die Anwenderdaten werden zudem gründlicher gelöscht.
Außerdem bietet nur LinkedIn eine einfache Funktion zur Unterstützung von Pseudonymen an. Mit ihr kann der Nutzer den Zugriff auf seine Daten regulieren. Anstatt des echten Namens des Anwenders wird ein Pseudonym verwendet. Private Daten können so zwar einer virtuellen Identität zugeordnet werden, aber nicht einer realen Person.
Zusätzlich kann bei LinkedIn die eigene Anzeige für andere Nutzer eingeschränkt werden. Statt des kompletten Anwendernamens zeigt das Profil nur das Geschäftsfeld und die Position an.
Nur die Verschlüsselung der Datenkommunikation zwischen dem Webbrowser des Nutzers und dem Dienst war bei Xing besser als beim direkten Konkurrenten LinkedIn. Xing ist auch die einzige Plattform, die vollständig verschlüsselt. Bei drei getesteten Diensten ist überhaupt kein kryptografischer Schutz vorhanden.
Facebook vor myspace, studiVZ, wer-kennt-wen und lokalisten
Bei den eher privat genutzten Plattformen erhielt facebook die meisten positiven Bewertungen. Lobenswert ist hier vor allem die Zugriffskontrolle, mit der Nutzer ihre Daten gegenüber anderen Mitgliedern schützen können.
Das Mittelfeld bei den privaten social Network-Seiten bilden myspace, studiVZ und wer-kennt-wen. Den schlechtesten Eindruck machte der Dienst lokalisten. Als besonders schwerwiegend bemängelt die Studie die weitestgehend fehlenden Zugriffskontrollen.
Mit Ausnahme von Xing ist keine der Dienste dazu geeignet, zum Beispiel in Hotspots wie am Bahnhof oder anderen öffentlichen drahtlosen Netzwerken genutzt zu werden. Hacker können leicht den Datenverkehr mitlesen und sich in die laufende Nutzersitzung einklinken.
Bei myspace, wer-kennt-wen und lokalisten ist sogar das Nutzerkennwort gefährdet, da es unverschlüsselt übertragen wird. Wird es auch für andere Dienste wie für das E-Mail-Postfach genutzt, besteht ein echtes Sicherheitsrisiko.
Ratgeber für Nutzer
Nutzer sollten nach einer Neuanmeldung die Privatsphäre-Einstellungen anpassen. Denn mit Ausnahme von facebook ist bei allen Plattformen die Standard-Konfiguration für den Schutz privater Daten völlig ungeeignet. Das Problem bei der Anpassung ist allerdings, dass die entsprechenden Optionen über die gesamte Plattform verteilt sind. Es ist daher sinnvoll nicht nur unter dem Menüpunkt Privatsphäre nachzuschauen.
Das Fraunhofer Institut rät generell dazu, zunächst die Zugriffskontrollen zu konfigurieren und dann erst Daten einzugeben. Bietet eine Plattform für bestimmte Daten keinen Schutz, sollte der Nutzer kritisch abwägen, ob die Angaben tatsächlich wichtig sind. Im Zweifelsfall ist Verzicht die bessere Wahl.
Erste Reaktion der Anbieter
Bis jetzt hat lokalisten als einziger Anbieter auf die Studie des Fraunhofer Instituts reagiert. Nicht verwunderlich, denn das Portal ist am schlechtesten bei der Untersuchung weggekommen. In einer Pressemitteilung wehrt sich der Anbieter, die Studie sei in einigen wesentlichen Aspekten unvollständig und falsch.
Die Rede ist außerdem von einer verzerrten Ergebnisdarstellung durch das Fraunhofer Institut. Dieses schreibe selbst, dass die für die Studie durchgeführten Tests keine umfassende Sicherheits-Analyse seien. Danach geht der Anbieter auf einzelne Punkte ein, die in der Untersuchung seiner Meinung nach falsch dargestellt wurden.
So können laut Studie bei lokalisten zum Beispiel nicht alle privatsphärenrelevanten Daten geschützt werden. Beim Portal selbst heißt es dazu: "Nicht erwähnt wird jedoch, dass im Vergleich zu den Wettbewerbern sensible Daten wie Adresse und Telefonnummer niemanden preisgegeben werden und es deshalb keiner zusätzlichen Sicherheitsmaßnahme bedarf."
Ziel der Fraunhofer-Studie ist es, ein erstes Rahmenwerk aufzustellen, mit dem der Schutz der Privatsphäre beurteilt werden kann. Die komplette Studie ist unter www.sit.fraunhofer.de erhältlich.