Soziale Netzwerke Datenschutz oft mangelhaft

5

Sie verbinden Menschen weltweit. Beim Datenschutz haben Facebook, Stayfriends und Co. aber Mängel. Jeder sollte genau überlegen, wie viel er von sich preisgibt.

Inhalt

Zum ersten Mal haben wir uns als Hacker betätigt – als Hacker mit Erlaubnis. Um herauszubekommen, ob soziale Netzwerke die Daten ihrer Nutzer ausreichend gegen Angriffe von außen schützen, haben wir versucht, in die Computersysteme der Anbieter einzudringen. Wir haben nach Zugängen gesucht, über die ein Angreifer Inhalte lesen, verändern oder löschen kann. Vorausgesetzt, der Betreiber hat uns dafür seine Zustimmung gegeben. Denn auch für einen Test wäre es unrechtmäßig, fremde Daten auszuspähen.

Nur sechs der zehn geprüften Netzwerke haben uns ihre Erlaubnis gegeben. Die Ablehner haben wir wegen mangelnder Transparenz abgewertet. Zu ihnen gehören auch die großen US-amerikanischen Netzwerke Fa­cebook, Myspace und LinkedIn.

Große Netze, große Mängel

Bei Jappy hat es nur eine Woche gedauert, den Passwortschutz zu umgehen – mit einfachen Mitteln, einem Computer und einer simplen, selbstentwickelten Software. Wir hätten jedes beliebige Nutzerkonto übernehmen und auf die gespeicherten Daten zugreifen können. Bei Stayfriends wäre es mit etwas mehr Aufwand ebenfalls möglich gewesen. Bei lokalisten und wer-kennt-wen.de hätten wir Konten übernehmen können, die von den Nutzern mit einem zu einfachen Passwort versehen wurden.

Auffällig ist der ungeschützte Zugang für mobile Endgeräte wie Handys bei allen geprüften Netzwerken, die das bieten. Und das, obwohl hier dieselben Daten geschützt werden müssen. Das heißt: Wer vom Handy auf sein Profil zugreift, überträgt Login-Name und Passwort im Klartext, also unverschlüsselt. An ungeschützten WLan-Hotspots in Cafés oder Clubs könnte jeder diese Informationen mitlesen und sich anschließend an diesem Konto anmelden.

Identität gestohlen

Wie gefährlich ein schlechter Schutz der Daten ist, zeigen die zunehmenden Identitätsdiebstähle. Ein Name und das dazugehörige Geburtsdatum, vielleicht noch der Beruf einer Person reichen Betrügern aus, um sich auf Kosten Fremder zu bereichern. Sie erfinden eine E-Mail-Adresse und kaufen mit den gestohlenen Daten im Internet ein. Viele Händler liefern, ohne die Iden­tität des Bestellers zu prüfen. Wenn die Rechnungen nicht bezahlt werden, treiben Inkassounternehmen das Geld bei den realen Personen ein.

Alle Netzwerke sollten wenigsten folgende Minimalforderungen erfüllen:

  • Nur Passwörter akzeptieren, die mindestens aus sechs Zeichen bestehen, auch Sonderzeichen enthalten und keine Trivialpasswörter sind,
  • sensible Informationen, die übertragen werden, stark verschlüsseln
  • und den Zugang nach einer bestimmten Zahl erfolgloser Anmeldeversuche sperren.

Personalentscheider kontrollieren

Soziale Netzwerke gehören zu den populärsten Internetseiten. Innerhalb weniger Jahre haben sie sich an die Spitze der meistgenutzten Onlineangebote katapultiert, nur noch übertrumpft vom allgegenwärtigen Google. Das Prinzip ist simpel. Die Netzwerke stellen Speicherplatz für Fotos, Videos und Erlebnisberichte zur Verfügung, die mit den anderen Mitgliedern der Community, der Gemeinschaft, ausge­tauscht werden können. Personen, denen das Mitglied Einblick in das persönliche Profil gestattet, werden hochtrabend Freunde genannt. So verfügen Netzwerker häufig über einen riesigen Freundeskreis.

Diejenigen, die ihr Privatleben großzügig zur Schau stellen, müssen mit Konsequenzen rechnen: Laut einer Studie von Microsoft kontrollieren in Deutschland 59 Prozent der Personalentscheider die Bewerber meist auch online. 16 Prozent haben Bewerber schon wegen unpassender Kommentare, Fotos oder Videos abgelehnt.

Privatsphäre ein überholtes Konzept?

Selbst diejenigen, die auf ihre Privatsphäre achten, können schnell ans Licht der Öffentlichkeit gezerrt werden. So sorgte Facebook im Dezember für Empörung, als das Unternehmen von einem Tag auf den anderen die Datenschutzeinstellungen änderte. Etliche Profildaten, beispielsweise Name, Nutzerfoto und die Mitgliedschaft in Gruppen, bis dahin nur für Freunde sichtbar, waren nun öffentlich. Facebook-Gründer Mark Zuckerberg verteidigte diesen Schritt damit, dass Privatsphäre inzwischen ein überholtes Konzept sei, da immer mehr Nutzer Persönliches im Internet öffentlich sichtbar preisgeben. Jeder, der sich bei Facebook registriert, sollte deshalb die Einstellungen zur Privatsphäre sofort seinen Bedürf­nissen anpassen.

Auch diejenigen, die nicht Mitglied sind, werden von sozialen Netzen erfasst. So können die Mitglieder von Facebook beispielsweise ihre E-Mail-Adresse und das dazu­gehörige Passwort angeben. Das Netzwerk findet dann alle Menschen, deren E-Mail-Adresse in diesem Postfach gespeichert ist und gleicht sie mit seiner Datenbank ab. So können auch Nichtmitglieder in den Blick von Facebook gelangen.

Jugendschutz begrenzt

Freundschaften über soziale Netzwerke sind für Jugendliche inzwischen fast unverzichtbar, zeigte eine Studie der Landesanstalt für Medien Nordrhein-Westfalen. 85 Prozent der 12- bis 24-Jährigen nutzen sie mehrmals pro Woche und verbringen dabei täglich rund zwei Stunden im Netz. Fast jeder hat schon Erfahrungen mit Cyber-Mobbing gemacht, 30 Prozent mit Belästigungen und 13 Prozent mit Fotos, die ohne ihr Einverständnis veröffentlicht wurden.

Auch wenn alle Netzwerke bemüht sind, jugendgefährdende Inhalte zu beseitigen, krankt der Jugendschutz daran, dass es keine effektive Möglichkeit der Alterskontrolle gibt. Einen Personalausweis haben Jugendliche in der Regel erst mit 16 Jahren. Bis zu diesem Alter können die Anbieter nicht sicherstellen, dass jemand, der vorgibt, 14 zu sein, auch wirklich 14 Jahre alt ist.

Xing, studiVZ und LinkedIn wenden sich ausschließlich an Erwachsene. Sie könnten ihre Mitglieder und so auch deren Alter sicher identifizieren – geeignete Verfahren, beispielsweise PostIdent, nutzen sie aber nicht, weil es Geld kostet und für die Nutzer umständlich ist.

Die Netzwerke sind nicht immer kostenlos, selbst dann nicht, wenn es draufsteht. Die Mitglieder zahlen häufig indirekt mit ihren privaten Daten, mit denen die Betreiber passgenaue Werbung schalten können. Hierfür sollten sie eine Einwilligung der Nutzer vorsehen, was die meisten Netzwerke aber nicht anbieten. Oft können die Nutzer die Werbung nur über einen Widerspruch verhindern – oder gar nicht.

Dreiste Klauseln

Facebook, Myspace und LinkedIn schränken die Rechte der Nutzer ein, räumen sich selbst aber weitreichende eigene ein, vor allem Daten an Dritte weiterzugeben. Zu welchem Zweck, sagen sie nicht. Bei Facebook zum Beispiel heißt es: „Du gibst uns eine nicht-exklusive, übertragbare, unterlizenzierbare, unentgeltliche, weltweite Lizenz für die Nutzung jeglicher IP-Inhalte, die du auf oder im Zusammenhang mit Facebook postest“. Unter IP-Inhalte ist das geistige Eigentum beispielsweise an Texten und Bildern gemeint. Dreist ist auch folgende Klausel von LinkedIn: „LinkedIn kann die Vereinbarung mit oder ohne Grund, jederzeit, mit oder ohne Mitteilung kündigen.“

Der Verbraucherzentrale Bundesverband (vzbv) hat im vergangenen Jahr fünf Netzwerke wegen verbraucherfeindlicher Klauseln in den allgemeinen Geschäftsbedingungen (AGB) abgemahnt. Die AGB von drei Anbietern sind daraufhin besser geworden. Die amerikanischen Seiten haben dagegen kaum etwas verändert. Myspace hat sich sogar verschlechtert, wie unsere Untersuchung zeigt. Dieser Anbieter verwendet über 20 unwirksame Klauseln. Darin räumt er sich teilweise weitgehende Rechte gegenüber den Nutzern ein.

Die besseren Netze

Es gibt auch positive Beispiele im Umgang mit privaten Daten. Die Netzwerke studiVZ und schülerVZ bieten dem Nutzer Einflussmöglichkeiten auf die Verwendung seiner Daten, die Verwertungsrechte verbleiben bei ihm, und sie geben kaum Daten an Dritte weiter. Beim Datenschutzmanagement ist studiVZ deutlich besser als die meisten anderen Netzwerke.

Nach früheren Problemen mit dem Datenschutz haben die VZ-Netzwerke die Softwarequalität und Datensicherheit vom Tüv-Süd prüfen lassen. Eine Sicherheitsgarantie bedeutet das aber nicht – denn wichtige Sicherheitsaspekte werden vom Tüv gar nicht überprüft. Da im Internet jederzeit Änderungen möglich sind, können Zertifizierungen, wie auch unsere Testergebnisse, nur eine Momentaufnahme darstellen.

Der Nutzer ist gefordert

Ein Netzwerk, das Informationsaustausch und Datenschutz in Einklang bringt, ist also noch nicht gefunden. Solange es solche Netzwerke nicht gibt, muss der Nutzer selbst aktiv werden. Um sein Profil vor ungewollten Einblicken abzuschotten, sollte er die Angabe der persönlichen Daten auf das unbedingt Notwendige beschränken und sein Profil nur für vertraute Personen sichtbar machen. Die Europäische Agentur für Internetsicherheit (Enisa) geht noch weiter. Sie empfiehlt, die Netzwerke nur unter Pseudonym zu nutzen und nur Freunden mitzuteilen, wer sich dahinter verbirgt.

Außerdem ist es ratsam, die Netzwerke mit verschiedenen Profilen zu nutzen und dabei Berufliches und Privates streng zu trennen.

Dass die großen amerikanischen Netzwerke beim Datenschutz am schlechtesten abschneiden, verwundert nicht. Denn Datenschutz spielt in den USA traditionell eine untergeordnete Rolle, und die wirtschaftliche Nutzung von persönlichen Daten als Gegenleistung für einen kostenlosen Dienst akzeptieren die Amerikaner viel eher als die Deutschen.

Doch auch hier wird die Kritik an den sozialen Netzwerken lauter. So warnte der amerikanische Internetpionier Jaron Lanier, der als Vater des Begriffs „virtuelle Realität“ gilt, in einem Interview: „Facebook presst die Nutzer in vorgestanzte Kategorien und reduziert sie zu Multiple-Choice-Identitäten, die an Marketing-Datenbanken verkauft werden können.“

Der verwunderte Datenschützer

Zu den weltweit rund 400 Millionen Facebook-Nutzern gehört seit einigen Monaten auch der Bundesbeauftragte für den Datenschutz, Peter Schaar. In seinem Blog berichtet er über seine Erfahrungen mit dem Internetdienst – naturgemäß aus Sicht des Datenschützers. Neben wenigen Pflichtangaben wie Name, Geburtsdatum und E-Mail, so Schaar, kann man bei Facebook Dutzende von persönlichen Angaben machen, etwa Beziehungsstatus, sexuelle Präferenz, Lieblingsfilme oder Handynummer. „All diese Informationen werden vom Betreiber gespeichert“, wundert sich der Datenschützer, „ohne dass zuvor irgendwelche Hinweise auf den Umfang und Ort der Datenverarbeitung und die Art der Datennutzung gegeben werden.“

Auch sonst fand Schaar Befremdliches. Zum Beispiel eine Fan-Seite über ihn, mit der er ganz und gar nicht einverstanden war, weil sie seiner Meinung nach fehlerhafte Informationen verbreite. Eine Mitteilung an Facebook blieb jedoch ohne Antwort. Auch im Test zeigte sich das Netzwerk von seiner zugeknöpften Seite. Dabei ist es doch nur durch Mitteilsamkeit so groß geworden – seiner Nutzer.

5

Mehr zum Thema

  • Messenger-Apps im Vergleich Wo niemand mitliest

    - WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.

  • Online-Konten schützen mit 2FA So funk­tioniert Zwei-Faktor-Authentifizierung

    - Pass­wörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann...

  • Privacy Shield EuGH kippt Daten­schutz­abkommen mit USA

    - Der Europäische Gerichts­hof (EuGH) hat das Daten­schutz­abkommen „Privacy Shield“ zwischen der Europäischen Union und der USA am 16. Juli 2020 gekippt. Die Vereinbarung,...

5 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

ms.lue am 09.11.2012 um 15:24 Uhr
Kleinere Alternativen

Vielen Dank für den lesenswerten Test. Ich möchte nur kurz anbringen, dass einige kleinere - insbesondere deutsche - Netzwerke sich durchaus große Mühen bereiten, ein gänzlich anderes Geschäftsmodell zu den großen wie FB etc. zu etablieren. Ein kleines und innovatives soziales Netzwerk ist z.B. www.weactive.com. Dort werden grundsätzlich erst gar keine wesentlichen Daten erfragt. Von der Idee her sehr sympathisch aber alles leider noch sehr in den Kinderschuhen.

fragmichdurch am 19.05.2012 um 09:07 Uhr
facebook an der Börse

Direkt nach dem versenden von eMails erschien lange Zeit unten ein Fenster von facebook, der eMailempfänger sei Mitglied bei facebook und ich solle mich auch dort umsehen (in diesem Sinne, nicht wortgetreu).
Was geht mich das an, wer alles bei facebook ist? Wieso kriegt jeder so eine Meldung? Hat mit Datenschutz ja nix mehr zu tun!
Einer meiner Bekannten hatte auch noch ein ziemlich beknacktes Bild von sich eingestellt. Schön blöd, sich so zum Affen zu machen.
Der denkt wohl nicht daran, das auch dieses - hm - peinliche Bild auf dem PC seines jetzigen oder zukünftiges Chefs landen könnte, wenn der mal eine mail schickt. Wofür muß man sich wohl erst einloggen, wenn man heimlich doch öffentlich wird? Zum Glück war auf diesen kleinen facebook-Fenstern auch eine Klickmöglichkeit, den Quatsch wieder abzubestellen. Werbung durch Datenmißbrauch ist für mich Grund genug, bei facebook ganz bestimmt nicht mitzumachen. Kurz danach kamen die ersten Datenmißbrauchs-Meldungen in den Medien...

Bart.Stevens am 16.06.2011 um 14:41 Uhr
Mr Billen VZW

Dear Mr Primus,
I met Mr Gerd Billen in Berlin 3 weeks ago and he asked me to contact you.
You can reach me via Bart.Stevens (at) ichoosr.com
Looking forward to talk to you.
Bart Stevens

Gärtnerin am 23.04.2011 um 10:06 Uhr
zu facebok

Seit einiger zeit erscheint auf meinem PC immer wieder die meldung Fecbok teilen. Er hat sich sogar bei mir in die Mailks eingeschlichen. Ich könnte verzweifeln. Versuche dann immer den darunter angegeben Link anzuklickken jetzt kommt das auch da rein. wie kann ich den Facbok loswerden. Kann mir jemand Umterstützung dazu geben. Ich hatte mich nie bei Facebok zumindest wissentlich, eingelogt. Da ioch dem Treiben von Angang an nicht glaubte

Godek am 28.01.2011 um 16:06 Uhr
Gefahr - Sozialnetzwerk

Die kommerziellen sozialen Netzwerke sind nicht nur aufgrund der Datenverwendung im Auge zu behalten. Gerade Facebook ist dermaßen kommerziell, dass einem da schon die Haare zu Berge stehen. Es wird viel Geld mit Benutzerdaten verdient. Doch hier tun sich alle der bekannten Netzwerke nicht sonderlich schwer - mit dem Datenhandel. Auch die gesellschaftlichen Veränderungen, die mit der intensiven Nutzung von SN einhergehen, sind nicht unbedingt wünschenswert. Immer mehr Leute vereinsamen weltweit durch die Nutzung des internets allgemein. Das sollte uns doch eigentlich stutzig machen. Doch hieran stört sich kaum jemand. Viellcht auch deßhalb, weil dazu kaum Informationen im Netz vorhanden sind - bzw. niemand danach sucht.
Ein Artikel, der dies meiner Meinung nach ganz gute beleuchtet findet sich hier: http://www.icando.eu/index.php?option=com_myblog&show=die-sozialen-netzwerke-und-der-wandel-in-der-gesellschaft.html&Itemid=60&lang=de || Grüße