Studie: Social-Networking-Portale gefährden Privatsphäre

Social-Networking-Plattformen verlangen von ihren Nutzern bei der Registrierung viele private Daten, bieten aber nur wenig Möglichkeiten, diese persönlichen Informationen vor ungewollten Zugriffen zu schützen. Dies ist das Ergebnis einer Studie (PDF) des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT), das beliebte Internetplattformen zur privaten und geschäftlichen Kontaktpflege untersucht hat.

Ziel der Studie war es, ein erstes Rahmenwerk für die Beurteilung des Privatsphärenschutzes von Plattformen zur Pflege sozialer Netzwerke aufzustellen. „Von den getesteten Plattformen konnte keine vollständig überzeugen“, sagt Studienautor Andreas Poller vom SIT. „Von der Nutzung mancher Dienstfunktionen ist sogar abzuraten, weil die Zugriffskontrollen teilweise einfach nicht funktionieren oder ganz fehlen.“

Getestet wurden die Plattformen Facebook, StudiVZ, MySpace, Wer-kennt-wen, Lokalisten sowie die geschäftlich orientierten Portale Xing und LinkedIn. Unter den Plattformen für den privaten Gebrauch erzielte Facebook das beste Ergebnis, wenngleich auch diese Plattform erhebliche Schwächen offenbarte. Die meisten Negativbewertungen erhielten Lokalisten. Von den zwei getesten Geschäftsplattformen bietet LinkedIn bessere Möglichkeiten zum Schutz der Privatsphäre als Xing: Zum einen erlaubt LinkedIn eingeschränkt die Nutzung eines Pseudonyms, zum anderen lassen sich der Account leichter kündigen und die persönlichen Daten besser entfernen.

Neben der Wirksamkeit der Zugriffskontrolle und deren Steuerungsmöglichkeit wurden auch die Standardkonfiguration der Plattformen sowie ihre Verschlüsselungsmöglichkeiten bewertet. „Keine Plattform konnte in allen Bereichen überzeugen, andererseits konnten wir für fast jeden Bereich einen Vertreter finden, der ausreichenden Schutz bietet“, so Poller. „Wenn man die Schutzmöglichkeiten der getesteten Angebote kombinieren würde, wäre das Ideal erreicht, aber die Plattformen scheinen kein durchgängiges Konzept zum Schutz der Privatsphäre zu verfolgen.“

Die Tester meldeten sich als Normalnutzer an, um die Einstellungsmöglichkeiten zu testen. Anschließend schlüpften sie in die Rolle eines Angreifers und prüften die Wirksamkeit der Konfiguration, indem sie versuchten, an persönliche Daten aus Profilen zu gelangen. Mit Hilfe spezieller Suchmaschinen kamen sie zum Beispiel in den Besitz geschützter Bilder, obwohl diese gar nicht für die Öffentlichkeit freigegeben waren.

Auch die politische Orientierung oder der Familienstatus ließ sich trotz Sperrung der Daten ermitteln, und selbst nach Aufgabe der Mitgliedschaft blieben bei einer Plattform die persönlichen Gästebuch- und Foreneinträge bestehen. „Phishingbetrüger und Angreifer, die es auf Firmengeheimnisse abgesehen haben, freuen sich natürlich über solche Informationen. Denn damit können sie sich leichter das Vertrauen der Nutzer oder anderer Personen erschleichen“, sagt Poller.