Soziale Netze
Forschung und Sensibilisierung im Bereich Soziale Medien
In letzter Zeit hat die Bedeutung sozialer Medien für die Menschen stark zugenommen. Inzwischen sind beispielsweise über eine Milliarde Personen Mitglied bei Facebook. Wäre diese Plattform ein Land, so wäre es das drittbevölkerungsreichste Land der Welt. Auch in Deutschland verbringen erstaunlich viele Menschen ihre Freizeit mit der Gestaltung ihres Online-Profils sowie der Kommunikation mit sogenannten „Freunden“ über soziale Netzwerke. Jedoch sind diese „Freunde“ in der Regel größtenteils Bekannte, andere sind Verwandte oder sogar Arbeitskollegen und Vorgesetzte. Viele haben auch Personen auf ihrer Freundesliste, die sie im echten Leben noch nie getroffen haben. Trotzdem landen täglich hunderte von Terabyte an Fotos, Videos oder anderen eindeutig privaten Inhalten auf den Servern sozialer Netzwerke.
Während die Communitybetreiber selbst vor der Herausforderung stehen, diesem Vertrauen mit den nötigen Sicherheitsmaßnahmen zu begegnen, müssen Nutzer auch lernen, mit ihren persönlichen Daten adäquat umzugehen: solche Dienste werden nämlich für gewöhnlich als kostenlos beworben, im Endeffekt bezahlt man jedoch mit der Weitergabe von persönlichen Informationen, beispielsweise für personalisierte Werbeanzeigen. Was anschließend mit diesen Daten geschieht, kann man in vielen Fällen nur schwer oder sogar gar nicht nachvollziehen, vor allem, wenn z.B. durch Community-interne Anwendungen, wie sie u.a. bei Facebook zu finden sind, Dritte völlig unnötigen Zugriff auf persönliche Fotos oder Vorlieben erhalten. Sogenannte Privatsphäre-Einstellungen für das eigene Konto suggerieren eine Datensicherheit, welche zum Teil schon dann nicht mehr gegeben ist, wenn man die falsche Person oder Firma in seine Kontaktliste aufnimmt.
Solche Communities sind aber auch ein wunderbarer Schauplatz für Betrug bis hin zum Identitätsdiebstahl oder für die Verbreitung von Schadsoftware, z.B. durch das vorsätzliche Abgreifen von Accountinformationen oder auch einfach Links in gefälschten Nachrichten.
Nutzer müssen daher in der Lage sein, die Vertrauenswürdigkeit sozialer Dienste richtig einzuschätzen und lernen, entsprechend darauf zu reagieren und ein gesundes Maß an Misstrauen zu zeigen. Um auf diesem Gebiet für mehr Transparenz zu sorgen, forscht das Institut für Internet-Sicherheit in dem Bereich soziale Netze. Ziel ist es, zukünftiges Potential solcher Plattformen in Bezug auf Handhabung, mögliche Gefahren sowie Sicherheit anschaulich zu machen und eventuelle Maßnahmen zu optimieren.
Online Privacy Service
Persönliche Informationen sind ein wertvoller Rohstoff des Internetzeitalters. Firmen wie Google oder Facebook generieren damit individualisierte Werbeanzeigen, mit denen sie wiederum bares Geld verdienen. Dieses Prinzip findet auch nicht nur in Communities Anwendung, sondern auch bei vielen anderen Arten von Online-Diensten, z.B. E-Mail-Services, Suchmaschinen oder Online-Shops. Der Anwender „bezahlt“ quasi mit seinen Daten für die Nutzung des Angebotes.
In Deutschland gibt es das Recht auf informationelle Selbstbestimmung. Von diesem Recht kann jedoch im Internet derzeit kaum Gebrauch gemacht werden, denn der Nutzer ist hier bislang kaum bis gar nicht Herr seiner persönlichen Daten. Im Jahr 2010 forderte daher der Chaos Computer Club, dass Firmen, Behörden oder Institutionen, die personenbezogene Daten erheben, speichern oder übermitteln, den Betroffenen regelmäßig in Form eines Datenbriefes über die gespeicherten Daten informieren müssen. Kritik an dieser Idee gab es größtenteils in Bezug auf die Art der Zustellung, speziell das Problem der Fehladressierung und das damit verbundene Missbrauchspotenzial.
Facebook beispielsweise bietet seit November 2011 jedem Nutzer die Möglichkeit, die über ihn gespeicherten Informationen herunterzuladen. Diese Sammlung enthält jedoch längst nicht alle über den Nutzer gespeicherten Daten, es erfolgt also keine volle Dateneinsicht.
Der vom Institut für Internet-Sicherheit entwickelte Online Privacy Service dient daher dem Zweck, solche Firmen, Behörden oder Institutionen, die Anbieter eines Internet-Dienstes sind und personenbezogene Daten erheben, zu verpflichten, dem Betroffenen analog zum Datenbrief-Konzept diese gespeicherten Informationen regelmäßig kostenlos über einen standardisierten Dienst zur Verfügung zu stellen. Der OPS-Dienst ist mithilfe passender Schnittstellen in das Internet-Angebot zu integrieren, die Informationen sollen aber auch über andere Anwendungen zur Verfügung stehen. Um die Daten abzurufen, werden dementsprechend dieselben Zugangsdaten verwendet, wie für das dazugehörige Nutzerkonto. Es entstehen zudem keine weiteren potenziellen Angriffsziele, da die Daten lediglich dort aufbereitet werden, wo sie ohnehin liegen.
Lesen Sie mehr zu diesem Thema in unserem PDF-Artikel (IT-Sicherheit, 01/2013, 3.2 MB)