Sicherheitsexperten und Kritiker warnen immer wieder vor den Gefahren Sozialer Netzwerke:
nicht nur vor der Verlockung, zu viel von sich preiszugeben, sondern auch vor technischen Lücken,
die den unerlaubten Zugriff auf diese Daten erlauben. Das Fraunhofer-Institut hat die einzelnen
Portale nun auf ihre Sicherheitsmankos untersucht.

Was in den USA bereits gang und gäbe ist, entwickelt sich in Österreich erst langsam zum Trend:
Social Networking. Laut Austrian Internet Monitor besuchte im ersten Quartal 2008 etwa jeder
dritte Internet-Nutzer ein Soziales Netz. Im Ranking führt dabei MySpace vor studiVZ, Facebook
und Xing.

Das Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt hat nun in einer Studie
untersucht, wie es in den gängigen Sozialen Netzen wirklich um den Schutz der Privatsphäre be-
stellt ist, und kam dabei zu teilweise besorgniserregenden Ergebnissen.

"Von den getesteten Plattformen konnte keine vollständig überzeugen", lautet das Fazit des Studien-
autors Andreas Poller. Von der Nutzung mancher Dienstfunktionen sei sogar abzuraten, weil die
Zugriffskontrollen teilweise einfach nicht funktionieren oder ganz fehlen.

Zugriff auf gesperrte Daten
Getestet wurden die Plattformen Facebook, studiVZ, MySpace, Wer-kennt-wen, lokalisten sowie
die businessorientierten Portale Xing und LinkedIn. Die Tester des Fraunhofer-Instituts meldeten
sich als Normalnutzer an, um die Einstellungsmöglichkeiten zu testen. Anschließend schlüpften
sie in die Rolle des Angreifers und prüften die Wirksamkeit der Konfiguration, indem sie versuchten,
an persönliche Daten aus selbst erstellten Profilen zu gelangen.
Mit Hilfe spezieller Suchmaschinen kamen sie zum Beispiel in den Besitz geschützter Bilder, ob-
wohl diese gar nicht für die Öffentlichkeit freigegeben waren. Auch die politische Orientierung und
der Familienstatus ließ sich trotz Sperrung der Daten ermitteln, und selbst nach Aufgabe der Mit-
gliedschaft blieben bei einer Plattform die persönlichen Gästebuch- und Foreneinträge bestehen.

Facebook schneidet am besten ab
Neben der Wirksamkeit der Zugriffskontrolle und deren Steuerungsmöglichkeit wurden auch die
Standardkonfiguration der jeweiligen Plattform sowie deren Verschlüsselungsmöglichkeiten bewer-
tet. "Keine Plattform konnte in allen Bereichen überzeugen, andererseits konnten wir für fast jeden
Bereich einen Vertreter finden, der ausreichenden Schutz bietet", so Poller.

Unter den Plattformen für den privaten Gebrauch erhielt Facebook die meisten guten Bewertungen,
auch wenn die Tester selbst hier Schwächen ausmachten. Die meisten Negativbewertungen
erhielten die lokalisten.

Von den zwei getesten Geschäftsplattformen bietet LinkedIn bessere Möglichkeiten zum Schutz der
Privatsphäre als Xing: Zum einen erlaubt LinkedIn eingeschränkt die Nutzung eines Pseudonyms,
zum anderen lässt sich der Account leichter kündigen und die persönlichen Daten besser entfernen.

"Gute Ansätze weiterführen"
Als typische Mängel in den Bewertungen erwiesen sich zu umfangreiche Pflichtdaten bei der Anmel-
dung, die fehlende Unterstützung von Pseudonymen und das fehlende oder unzureichende Verschlüs-
seln des Kommunikationskanals zum Plattform-Server. Weiters wurde fast überall das unvollständige
Löschen privater Daten nach dem Abmelden an der Plattform kritisiert.

"Würde man die einzelnen guten Ansätze der geprüften Plattformen weiterführen und in einem ein-
zigen Konzept vereinen, hätte man mit wenigen Einschränkungen die Idealplattform im Sinne dieser
Studie", so das Fazit der Autoren.

Ratgeber für Soziale Nutzer
Die Studie liefert auch Tipps für privatsphärenbewusste Social-Network-Nutzer: So wird etwa davon
abgeraten, die getesteten Portale von drahtlosen öffentlichen Netzwerken oder aus fremdadminist-
rierten Netzwerken zu benutzen. Auf Business-Plattformen sollte Berufliches und Privates zudem
streng getrennt werden.

Weiters seien die Standardkonfigurationen in Sachen Datenschutz bei fast allen Portalen zu lasch,
weshalb nach der Neuanmeldung unbedingt die Privatsphäre-Einstellungen angepasst werden sollten.

Die Studienautoren raten auch zu einer Depseudonymisierung von E-Mail-Adressen. Auf den meisten
Portalen können Nutzer über ihre E-Mail-Adressen gesucht werden: Viele Nutzer neigen dazu, ihre
Pseudonyme, etwa die Nicknames in Foren, auch in ihren E-Mail-Adressen zu übernehmen. Meldet
man sich mit so einer Adresse in einem Sozialen Netzwerk an, könnten Angreifer theoretisch relativ
leicht die Identität eines solchen Nutzers feststellen.

Vor der Eingabe neuer privater Daten sollten außerdem immer die Zugriffskontrollen geprüft und
gegebenenfalls angepasst werden.

Quelle mit Link zur Studie