Soziale Netzwerke - Gefahren & Datenschleudern

Ich wettere ja immer gerne gegen soziale Netzwerke wie MySpace oder FaceBook und wie sie alle heißen – das Konzept ist ja immer gleich – und nun hat auch die Enisa (Network and Information Security Agency) eindringlich darauf hingewiesen, dass man dort mit persönlichen Daten und privatem sparsam sein sollte und das dadurch unnötige Gefahren erwachsen.

Denn soziale Netzwerke boomen, fast jeder will daran teilhaben, vor allem in den Spammer und Cracker geplagten USA aber den echten Nutzen daraus haben nur die Betreiber und die Dritten, an die sie die gesammelten Daten, die viele dort freiwillig und bereitwillig abgeben, weiter vermarkten. Gerade die Amis haben offenbar gefallen daran, sich öffentlich bis aufs Mark zu entblößen um so beliebter und anerkannter zu werden – dass man damit genau das Gegenteil erreicht ist vielen nicht bewusst. Aber im Austausch für digitale Freunde und möglichst viele davon auf der Contact List tut man offenbar alles, da man dies mit einem nicht vorhandenen Einfluss gleichsetzt.

Der Trend zum „Ich gebe alles über mich auf meiner Seite preis.“ Ist bei uns ja noch nicht so stark verbreitet – wahrscheinlich weil hier die Diskussionen um ID Probleme und den Datenschutz intensiver geführt werden. Auf der anderen Seite des großen Teiches fast gar nicht, da sind Punkte wie Sexualstraftäter mit MySpace Profilen eher wochenlang in den Schlagzeilen.

Wie gesagt, dass Gespür für den Datenschutz fehlt völlig, auch weil man ein falsches Gefühl von Intimität hat durch die digitalen Freunde und ihnen alles sagt – dummerweise auch allen anderen die das mitlesen auch wenn man daran gar nicht denkt. Die Enisa brachte dazu einen ganz netten Vergleich: Soziale Netzwerke sind wie digitale Partys – nur eben mit jeder Menge von Beobachtern, die eigentlich gar nicht eingeladen aber trotzdem da sind. Andere Seiten, siehe Internet: Firmen auf der Jagd nach persönlichen Daten, freuen sich über diesen freiwilligen Wust an Daten und halten sie meist automatisch gleich fest. „Dank“ der heutigern Technik braucht man dazu nicht einmal mehr nur die eMail Adresse oder den Nutzernamen, der auf 50 Seiten verwendet wird, sondern macht sich das Userverhalten, überall Bilder von sich zu präsentieren, gleich zu Nutze und setzt mittlerweile auch auf Programme zur automatischen Bild und Gesichterkennung. So kann man aus mehreren Profilen aus verschiedenen Seiten eine Aktei zusammenschneidern auf die Gestapo und Stasi geradezu neidisch wären und für die sich wiederum andere brennend interessieren – z. B. potentielle Arbeitgeber.

Zwar gibt es neben den Datensammler und „Aktenschreibern“ schon wieder andere Firmen, die versuchen dieses Problem zu beseitigen, aber alles können die auch nicht, auch wenn die Person von sich aus ihre Profile löscht oder teilweise gar nicht löschen können, wenn z. B. andere diese bereits archiviert haben und an anderer Stelle wiedergeben. Und wenn man selbst nicht daran Schuld ist, weil man schon übervorsichtig ist, gibt es immer noch Freunde auf die man sich verlassen kann, die Bilder von einem hochladen oder verlinken, die wenig vorteilhaft sind.

Genug der Einleitung, denn das ist eigentlich der Sachverhalt der jedem bewusst sein sollte – doch worin bestehen denn nun die Gefahren und Möglichkeiten im genauen? Wie schnell kann so ein Profil missbraucht werden? Denn genau davor warnt die Enisa – und auch ich (mal wieder).

Die digitale Akte samt Verhaltensmuster

Das Problem wurde von mir ja schon kurz angesprochen: Per entsprechenden Tools kann man durch die Kombination von mehreren Profilen mittels Keyword und Bildersuche leicht eine ausführliche Akte mit sehr pikanten Details über jeden Teilnehmer anlegen. Mögliche Interessenten hierfür gibt es genug: potentielle Arbeitgeber, der Partner / die Partnerin und Menschen die jemanden gerne nötigen, erpressen oder anschwärzen wollen, z. B. missgüntige Kollegen beim Arbeitgeber oder Nachbarn und sonst wie intrigante Personen. Was im Internet so noch lustig ist, kann offline schnell peinlich sein und Schwierigkeiten machen.

Sammlung von persönlichen, zweitrangigen Daten

Für andere Dritte wie Marketingagenturen und andere Firmen ist nicht interessant, wie dumm man sich äußert, sondern was man so im Netz alles macht. Diese Daten lassen sich mit großen Gewinn an jene verkaufen, seitens von Firmen, welche Profile auswerten, Firmen die Adressen sammeln und verkaufen – oder gleich vom Anbieter selbst. Facebook teilt den Kuchen z. B. ungern und verkauft und vermarktet diese Daten gleich von allein.

Verlinkungen

Das kennt man mittlerweile auch hierzulande, das semantische Netz. Bedeutet: auf StudiVZ.net oder Flickr.de kann man die eigenen Bilder mit Schlagwörtern oder entsprechenden weiterführenden Links versehen, was in der Menge ein riesiges zusammenhängendes Netz bedeutet. Einst als große Errungenschaft gefeiert kann das schnell nach hinten losgehen, wenn so Beziehungen zwischen Usern und deren Bildern hergestellt werden können, die diese gar nicht wollen – und löschen oder ändern kann man es nicht. So wird ein Interessent schnell vom anständigen und netten Bild zu einer Eskapade weitergeleitet, die wenig vorteilhaft für einen ist.

Die Accountlöschung

Man kann zwar oft das eigene Profil löschen lassen, aber nicht die abgegebenen Kommentare oder andere Einträge, die nicht direkt mit dem Profil in Verbindung stehen, z. B. Bemerkungen anderer auf deren Seiten oder Seiten anderer. So bleibt immer ein Rest übrig…

Automatische Gesichtserkennung inhaltsbasierte Bildersuche

Damit man im Netz nicht mehr anonym ist, wird hier und da ein Bild von sich gepostet – gut für die Tools, die mittlerweile die automatische Gesichterkennung beherrschen, sowohl von Fotographien oder in Videos. Perfekt um noch mehr Daten eines Users schnell zu akkumulieren. Das erlebt auch die Zuordnung von anonymen Bildern zu jeder Person. Die inhaltsbasierte Bildersuche funktioniert genauso, nur dass eben nach beispielsweise Gegenständen, ähnlicher Umgebung usw. gesucht wird – die Informationen die hier z. B. in begleitenden Texten stehen müssen dann nur noch sortiert und ausgewertet werden.

ID Klau oder Identitätsdiebstahl

Wenn man ein Profil anlegt erfolgt nie eine Identitätsprüfung – so kann sich jeder für jeden ausgeben und so natürlich auch mit entsprechenden Daten, siehe die vorherigen Punkten, die Person überzeugend spielen und so zum Beispiel ihren Ruf schädigen.

Cyber Stalker willkommen

Dass das Profile um viele Leute damit zu erreichen auch anders genutzt werden kann, z. B durch Cyber Stalker die die betreffende Person dann überall wo diese vertreten ist nervt und belästigt…

Digitales Mobbing

…und dann sind wir auch schon beim Folgesymptom, falls man der Person nicht nachgibt oder jemand einem Schaden möchte, das digitale Mobbing. Indem man die Person überall wo sie vertreten ist belästigt und ihr nachstellt und versucht anzugreifen umso ihre digitalen Freunde gegen sie aufzuhetzen. Oder andere versuchen jemand unbeliebten durch gezielte Diskreditierung, Gruppenausschluss oder gezielte Anfeindungen und Veröffentlichungen oder ID Klau zu verunglimpfen und fertigzumachen, man denke an 13jährige erhängt sich wegen Cyberspace-Freund.

Cracker und Spionen Tür und Tor öffnen

Für Cracker, die gezielte Betriebsspionage betreiben wollen, sind soziale Netzwerke und Datensammlungen perfekt, besser geht es fast gar nicht um ein erfolgreiches Social Engineering zu planen oder gleich online per lockerer Plauderei an Firmeninterna kommen. Man ist ja anonym – denkt man.

Spammerparadies

Neben dem Social Engineering kann man soziale Netzwerke auch als interessante Objekte für Spammer zur Verbreitung von Spam sehen. Leicht wird man der Freund eines Benutzers und umso leichter kann man diesen gezielt zuspammen.

Malware & XSS

Auf diesen Trick der Spammer bauen auch Cracker auch auf – schnell ein paar Nutzer als Freunde gewinnen und so Malware gezielt durch einen Einstieg in ein „Freundenetzwerk“ verbreiten. Soziale Netzwerke sind auch ideal für XSS (Cross Site Scripting), da man oft eigenen Code einbinden kann. Eigentlich für Videos usw. gedacht, damit lassen sich aber auch leicht harmlose Profile zu gefährlichen Drive-By Seiten umbauen.

Aggregatoren

Hier findet man einen Anbieter unter den vielen Aggregatoren der manchem schon lange Bauchweh macht – Google. Denn Google ist wie andere Anbieter darum bemüht, die Social Networks unter einem Dach zu vereinigen und die Seiten zu vereinheitlichen, damit User so einfach alle Kontake auf verschiedenen Börsen auf einmal verwalten können. Umgedreht kann so natürlich auch jeden User einfach verwalten oder Cracker müssen nur noch einen Account knacken um auf alle Profile zugriff zu haben.

Phishing

Eine besondere Form des Phishing, das Speer Phishing, boomt momentan – das Prinzip ist schnell erklärt und namensgebend: Phisher versuchen gezielt als neuer Freund an jede Menge persönlicher Daten per Social Engineering zu geraten. Viele User geben nur allzu bereitwillig persönliche Daten heraus – mehr als man mit jeder anderen Phishing Attacke akkumulieren könnte.

Infiltration von Netzen

Natürlich gibt es auch geschlossene Gruppen in sozialen Netzwerken – wobei sie eher als beschränkt geschlossen gelten sollten, da man einfach nur der Freund eines Mitglieds werden muss um ebenfalls Mitglied zu sein und alles einzusehen.


Die Enisa fordert angesichts dieser Lage Aufklärungskampagnen an Schulen, in Unternehmen und Behörden sowie diese Art von Netzwerken nicht zu verbieten sondern darüber aufzuklären, eine Neuinterpretation bestehender Richtlinien und Gesetze, eine Verpflichtung seitens der Anbieter die User darüber zu informieren, was mit ihren Daten passieren kann, ein Repuationssystem ähnlich dem von eBay um schwarze Schafe schneller zu erkennen oder durch ein Post-Ident-Verfahren um ID Klau zuverhindern. Den Usern legt die Enisa nahe, in solchen Börsen nur soviel von sich preiszugeben wie man auch einem total Fremden auf der Straße sagen würde.

Angesichts der Tatsache, dass sich immer noch viele Menschen gar nicht darüber im Klaren sind, wie schnell man ihnen auf die Spur kommen kann, wenn man sich illegaler File-Sharingangebote bedient, wundert es mich nicht, dass die sozialen Netze immer noch so unbefangen angenommen und genutzt werden.
Der Vergleich mit einer Party ist schon ganz gut, ich würde es eher mit einer RL-Party im Glashaus vergleichen. Hier kann auch jeder zuschauen und mit mehr oder weniger Aufwand Gespräche "belauschen".
Soziale Netze sind ja an und für sich nichts schlechtes, bloss sollte wirklich mehr sensibilisiert werden, was die potentiellen Gefahren betrifft. Wie viele Menschen wettern gegen Punkte-/Rabatt- und andere Kundenkarten geben im vermeintlich privaten Ründchen im Netz viel mehr Daten preis, als das für solche Karten erforderlich wäre.