Die Betreiber von sozialen Netzwerken sehen bei Datenpannen die Schuld häufig bei den Nutzern: Die gäben zu viele Daten preis. ZDNet zeigt, dass die Netze gegen den Massendiebstahl von Profilen mehr tun können, als es derzeit der Fall ist.
Ende letzer Woche sorgte ein Datenskandal[1] bei SchülerVZ[2] für Aufregung. Millionen von Profilen wurden von mindestens zwei Hackern kopiert und in ein passwortgeschütztes Internet-Forum gestellt. Allein netzpolitik.org[3] bot jemand über eine Million Datensätze an. Die Polizei hat inzwischen einen 20-jähriger Erlanger in Berlin festgenommen[4].
Dabei knackten die Hacker weder Passwörter von SchülerVZ noch nutzten sie eine Sicherheitslücke aus, die einen privilegierten Zugriff gestattet. Sie griffen lediglich auf die Daten zu, die für jeden SchülerVZ-Nutzer unmittelbar nach der Anmeldung verfügbar sind.
Diese Daten haben sie allerdings nicht manuell per Mausklicks in ihrem Browser eingesehen, sondern mit einem Webspiderprogramm automatisiert ausgelesen. Technisch ist das kein Problem. Über seine Freundesliste kommt man an die Profile weiterer Nutzer, siehe Bild 1[5]. Meist lässt sich darüber weitere Kontaktlisten einsehen, siehe Bild 2[6]. So kommt man sehr schnell an die Profile vieler weiterer Nutzer.
Auf Xing[7] erkennt man sehr eindrucksvoll, wie viele Nutzer sich auf diese Weise ausspionieren lassen. Bild 3[8] zeigt, dass man mit nur 138 Kontakten leicht über eine Million Nutzer erreicht, wenn man Kontakte dritten Grades auswertet. Ein Webspider kann innerhalb kürzester Zeit sehr viele Profile abgreifen.
Was an Informationen preisgegeben wird, bestimmt man in den Netzwerken der VZ-Gruppe SchülerVZ, StudiVZ und MeinVZ weitgehend selbst. Ein Webspider fängt, sofern er nicht von einem eigenen Kontakt betrieben wird, nur öffentliche Daten ein, die jedes Netzwerkmitglied sehen kann. Bild 4[9] zeigt ein StudiVZ-Profil, das sehr viele Informationen für jedermann anbietet. Es finden sich dort zwar keine vollständige Adresse oder Telefonnummern, dennoch lassen sich Hochschule und Heimatort ablesen. Ebenso stehen dort Details über einen Nebenjob.
Bild 5[10] zeigt ein MeinVZ-Profil, das nur wenige Informationen preisgibt. Generell ist bei StudiVZ mindestens der Hochschulort und bei MeinVZ die Region einsehbar. In diesem Profil sind auch die Gruppenmitgliedschaften sichtbar.
Bildergalerie
Die Datenschutzgefahren in sozialen Netzwerken[11]
» zur Bildergalerie ...[11]Mehrere gestohlene Daten zu einer Person lassen sich wie ein Puzzle zusammensetzen. Wer in seinem sozialen Netzwerk bekannt macht, auf Partnersuche zu sein, wird möglicherweise gezielt mit Anrufen und SMS von meist unseriösen Partnervermittlungsagenturen beworben. Wer in einer Börsenspielgruppe Mitglied ist, muss mit Telefonspam zu "todsicheren" Geldanlagetipps rechnen.
Bei Xing sind eine ganze Reihe von Daten öffentlich einsehbar. Dazu gehören Postleitzahl und Ort der Geschäftsadresse, die bei vielen Selbstständigen und Freiberuflern mit der Privatadresse identisch ist, siehe Bild 6[13] und Bild 7[14]. Die meisten öffentlichen Xing-Profile liefern einen lückenlosen beruflichen Lebenslauf. Verliert ein Unternehmen Daten von derzeitigen oder ehemaligen Mitarbeitern, so lassen sich diese Daten leicht mit gestohlenen Xing-Daten kombinieren.
Bei Xing kommt hinzu, dass viele Profile ganz ohne Anmeldung sichtbar sind, siehe Bild 8[15]. Es fehlt lediglich der Name des derzeitigen Arbeitgebers. Darüber hinaus bekommt ein anonymer Benutzer vier zufällige Kontakte angezeigt. Diese Information kann ein Webspider nutzen. Ein erneuter Aufruf derselben Seite bringt vier weitere zufällige Kontakte.
Da Datenjäger sich innerhalb weniger Minuten unter falschem Namen ein Account bei Xing besorgen können, stellt die anonyme Abfrage kein weiteres Sicherheitsrisiko da. Hier geht es eher darum, ob man bei Suchmaschinen gefunden werden soll oder nicht.
Um den massenhaften Datenklau via Webspider einzugrenzen, hat die VZ-Gruppe inzwischen reagiert. Wer innerhalb kurzer Zeit viele Profile abruft, wird zur Eingabe eines Captcha[16] aufgefordert, siehe Bild 9[17]. Darüber hinaus wurde das Captcha-System ausgetauscht. Das alte System konnte mit einem Programm namens svz_captcha_solver mit einer Erfolgsquote von 70 bis 80 Prozent ausgetrickst werden.
Eine Lücke, die Profilfotos und Fotoalben betrifft, soll nach Angaben von StudiVZ in den nächsten Tagen geschlossen werden. Wenn ein Nutzer Fotos austauscht oder löscht, bleiben sie nach wie vor abrufbar, sofern man die exakte URL kennt. Entfernt man beispielsweise ein Fotoalbum einer ausgelassenen Party, bevor man eine Bewerbung startet, kann ein potenzieller Arbeitgeber die Fotos weiterhin ansehen, siehe Bild 10[18] und Bild 11[19].
Die Netzwerke können einiges tun, um den Datenmissbrauch einzugrenzen. So sollten alle sozialen Netzwerke Captchas einführen und darüber hinaus generell jedem Nutzer eine Grenze setzen, wie viele Profile er pro Tag einsehen darf. Ein sinnvoller Wert läge bei 500 oder 1000 Profilen pro Tag. An mehr dürfte ein menschlicher Bediener kaum Bedarf haben.
Einen hundertprozentigen Schutz bringt auch das nicht. Ein Datenjäger ist nicht darauf angewiesen, Millionen von Datensätzen an einem Tag zu sammeln. Er kann die Daten in mehreren Monaten sammeln. Zudem kann er mehrere Benutzerkonten verwenden.
Durch die starke Verlangsamung der Datensammlung wären die Betreiber der Netzwerke allerdings in der Lage, Heuristiken zu nutzen, die auf einen Crawler hinweisen. Sieht sich ein Nutzer an einem Tag 500 Profile an, dann kann man das noch als intensive Nutzung durchgehen lassen. Tut er das zehn Tage hintereinander, ohne ein einziges Profil doppelt abzurufen, ist mit Sicherheit ein Webspider im Spiel.
Zudem lassen sich weitere Hinweise nutzen. Auf ein automatisiertes Programm deutet beispielsweise hin, dass ein Client, zwar den HTML-Code einer Webseite herunterlädt, aber nicht die Bilder, die in den IMG-Tags eingebunden sind.
Auch wenn davon auszugehen ist, dass seriöse Netzwerke wie Xing und die VZ-Gruppe ihre Sicherheitsanstrengungen verstärken, sollten Nutzer darauf achten, wem sie welche Daten zur Verfügung stellen. Die Möglichkeiten, die zur Datenfreigabe zur Verfügung stehen, sind durchaus unterschiedlich. Bei der VZ-Gruppe lassen sich die meisten Daten für Nicht-Freunde sperren, siehe Bild 12[20]. Insbesondere sollten sich Anwender auf Fotoalben nur nach einer Bestätigung verlinken lassen. Sonst ist man leicht in einer Situation zu sehen, die man nicht öffentlich machen möchte.
Bei Xing lassen sich viele Daten für jeden einzelnen Kontakt sperren oder freigeben. Das bietet die Möglichkeit, nicht jedem Kontakt seine Adressdaten freizugeben. Davon sollte man durchaus Gebrauch machen. Der Kontakt kann sich jederzeit über Xing melden und weitere Daten erfragen. Bei der VZ-Gruppe fehlt hingegen die Möglichkeit, die Datenfreigabe für einzelne Mitglieder zu steuern.
Bei Xing enthalten die Datenschutz-Einstellungen keine Option, alle Informationen nur bestimmten Mitgliedern zugänglich zu machen, siehe Bild 13[21]. Die Einstellungen erlauben nur den Schutz persönlicher Kontaktdaten. Für beide Netzwerke gibt es noch Nachbesserungsbedarf.
Sehr wichtig ist, sich zu überlegen, wen man tatsächlich als Freund oder Kontakt haben möchte. Wer darauf aus ist, hunderte oder gar tausende von Personen in seiner Kontaktliste zu haben, muss sich nicht wundern, wenn seine Daten in einer gestohlenen Sammlung erscheinen.
Xing bietet die interessante Alternative "diese Person merken". Diese Funktion kann man bei flüchtigen Bekanntschaften oder Geschäftskontakten einsetzen, wenn man die Person bei einer späteren Gelegenheit noch einmal kontaktieren möchte. Ein Webspider kann die Liste der gemerkten Personen nicht finden. Auch diese Funktion sollte die VZ-Gruppe noch nachrüsten.
Soziale Netzwerke sind für viele Menschen eine Möglichkeit, in Kontakt mit Freunden, Bekannten und Geschäftspartner zu bleiben und zu kommen. Auch die Nutzung von Adressdaten durch die eigenen Kontakte geschieht meist legitim. Wenn sich Anschrift und Telefonnummer eines Kontaktes geändert haben, kann man die aktuellen Daten über das soziale Netzwerk abfragen.
Dass die Netzwerke auch das Ziel von Datenjägern sind, ist bei der Menge der dort gespeicherten Daten nicht weiter verwunderlich. Deshalb ist es wichtig, Gegenmaßnahmen zu ergreifen. Die Betreiber müssen ihre Sicherheitsmaßnahmen verstärken, etwa durch Captchas, die Beschränkung der pro Tag einsehbaren Profile und die Einführung weiterer Einstellungen, wer welche Daten einsehen darf. Zudem müssen verhaltensbasierte Erkennungsmethoden angewendet werden, die auf einen Datenmissbrauch schließen lassen.
Jeder Benutzer eines sozialen Netzwerkes sollte sich direkt nach der Anmeldung mit den Einstellungen zu Datenschutz und Privatsphäre vertraut machen und gut überlegen nach welchen Kriterien er gefunden werden möchte. Darüber hinaus sollte man sich sehr gut überlegen, welche Daten man preisgibt.
Insbesondere vor jeder Bewerbung bei einem neuen Arbeitgeber muss überprüft werden, welche Informationen für Kontakte einsehbar sind. Es ist damit rechnen, dass die Personalabteilung vor der Einladung zum Bewerbungsgespräch eine Kontakt- oder Freundschaftsanfrage stellt, die man schwerlich ablehnen kann.
Das gleiche gilt für Nutzer, die auf die Anbahnung von Geschäftskontakten angewiesen sind, ganz gleich ob sie die Kontakte über ein soziales Netzwerk knüpfen oder nicht. Man kann davon ausgehen, dass sich potenzielle Geschäftspartner genauso informieren wie Arbeitgeber.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/
[19] = http:/
[20] = http:/
[21] = http:/