Web

"Die Leute sind auf beiden Augen blind"

Nutzer sozialer Netze spielen mit dem Feuer

03.03.2008
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Web-2.0-Communities sind nützlich und machen Spaß. Viele Anwender übersehen da die Gefahren.

Unzählige Web-Angebote, die auf das Prinzip "Social Networking" setzen, buhlen um die Gunst der Anwender. Allein in Deutschland sind es über 100, Tendenz steigend. Die Nutzerschar segmentiert sich immer feiner, für jede Interessens- und Lebenslage gibt es digitale Gemeinschaften. Längst zählen populäre Netze wie SchülerVZ und StudiVZ Millionen an Mitgliedern, auch Myspace ist hierzulande akzeptiert. Die Bewohner einzelner Städte und Gemeinden tun sich bei den Lokalisten zusammen. Xing ist zum Vorreiter der Kontaktpflege im Business-Sektor geworden, viele Unternehmen schreiben offene Stellen zuerst hier aus oder kontaktieren anhand der Kandidaten die passenden Arbeitnehmer gleich selbst. Bei Netmoms und Mamiweb tauschen sich Mütter über Erziehung aus, für die Väter gibt es ichbinpapa.de. Sportsfreunde lockt alle, die sich für Leibesertüchtigung begeistern können. Das deutsche Flickr-Pendant Fotocommunity ist zu einer unerschöpflichen Bilddatenbank herangewachsen.

Allen Angeboten ist eines gemein: Vor der Nutzung steht das obligatorische Registrieren mit Namen, E-Mail-Adresse und unterschiedlich vielen weiteren persönlichen Informationen. Was mit diesen Daten geschieht, merken viele Anwender erst, wenn es zu spät ist.

Fünf Minuten Eldorado

Dass sich die elektronischen Postfächer, die bei der Registrierung genannt wurden, plötzlich schnell mit Spam füllen, scheint niemanden mehr aufzuregen. "Wir spüren eine zunehmende Abstumpfung, gerade gegenüber Werbung im Netz", stellt Christoph Hardy vom Security-Dienstleister Sophos fest. Je häufiger die Nutzer nach ihren persönlichen Informationen gefragt werden, desto schneller geben sie sie freiwillig heraus, da vieles an anderer Stelle im Netz schon bekannt ist. Damit steigt die Anfälligkeit für Spam oder gar Phishing-Attacken. "Viele Leute sind immer noch blauäugig oder sogar auf beiden Augen blind", konstatiert Hardy.

"Natalie" lockte in nur fünf Minuten über 50 unvorsichtige Nutzer an.
"Natalie" lockte in nur fünf Minuten über 50 unvorsichtige Nutzer an.

Um das zu beweisen, startete er im Online-Netzwerk Wer-kennt-wen Anfang des Jahres ein Experiment. Unter dem Pseudonym "Natalie" erstellte Hardy ein Profil mit dem Foto einer leicht bekleideten jungen Frau sowie einigen Angaben zu persönlichen Interessen und Vorlieben. Er beschrieb Natalie unter anderem als "suchend" und "für alles aufgeschlossen". "Ziel des Versuchs war es, herauszufinden, was innerhalb von fünf Minuten ohne eigenes Zutun mit einem solchen Profil passiert", so Hardy. Das Ergebnis war erhellend: Als Hardy das Profil nach fünf Minuten wieder entfernte, hatte die fingierte Single-Frau bereits 19 sofort bestätigte neue Kontakte, 27 E-Mails mit Kontaktanfragen sowie 48 Nachrichten. Über Natalie hatte Hardy freien Zugang zu den persönlichen Daten dieser Mitglieder, wie zum Beispiel Adresse, Alter, Instant-Messenger-Name und persönliche Interessen. Social Networks sind laut Hardy "ein Daten-Eldorado für Spammer und Phisher."

Das Netz vergisst nicht

Welche Langzeitfolgen die Freigiebigkeit vieler Internet-Nutzer mit ihren persönlichen Daten haben wird, ist noch schwer einzuschätzen. "Was einmal öffentlich ist, bleibt öffentlich", warnt Thilo Weichert, der Landesdatenschutzbeauftragte von Schleswig-Holstein. Er macht auf eine wichtige Tatsache aufmerksam, die viele Anwender vernachlässigen: "Es liegt kein Missbrauch vor, wenn der Nutzer diese Daten vorher freiwillig publiziert hat." Und das machten sich nicht nur kriminelle Identitätsdiebe zunutze, sondern auch Behörden, Ämter und Arbeitgeber. "Sehr wahrscheinlich verwenden sogar Wirtschaftsauskunfteien öffentliche Informationen im Internet wie Ebay-Bewertungsprofile zu Bonitätsüberprüfungen", vermutet Weichert. Wer seine Nutzerprofile in Social Networks in ihrer Sichtbarkeit nicht einschränkt, muss damit rechnen, dass der Google-Bot schneller vorbeischaut, als ihm lieb sein kann, und die persönlichen Daten damit umgehend in die Trefferliste der größten Suchmaschine einziehen.

Die beliebtesten deutschen Social Networks im Januar 2008*

Besucher

Page Impressions

StudiVZ

173,7 Mio.

6,3 Mrd.

SchülerVZ

110,9 Mio.

5,9 Mrd.

MyVideo

41,6 Mio.

710,6 Mio.

Knuddels

29,6 Mio.

165 Mio.

Lokalisten

22,4 Mio.

1 Mrd.

(*ohne Myspace und Piczo; Quelle: IVW; alle Zahlen mathematisch gerundet)

Der Datenschutzbeauftragte warnt besonders davor, harte Fakten wie Namen und Geburtsdatum herauszugeben - deren Kombination ermögliche die sofortige Zuordnung der Person zu allen möglichen anderen öffentlichen und behördlichen Datenbanken und mache sie eindeutig identifizier- und damit angreifbar. Der Weg hin zu mit Werbung überquellenden Briefkästen und "abgephishten" Konten sei dann nicht mehr weit, warnt der Datenschützer. Niemals sollten Konto- und Kreditkartendaten außerhalb von vertrauenswürdigen Shopping-Sites angegeben werden. "Es ist bereits vorgekommen, dass Kriminelle mit diesen Daten Verträge gefälscht und anschließend die Konten abgeräumt haben. Wer sich da als Betroffener nicht schnell kümmert, hat Pech gehabt: Nach sechs Wochen ist das Geld weg", so Weichert.

Social Networks bergen dem Datenschützer zufolge aber nicht nur Risiken für registrierte Teilnehmer, sondern auch für Unbeteiligte. Öffentliche Diffamierungen seien für das Landeszentrum für Datenschutz in Kiel zu einem echten Problem geworden. Vor allem Schüler gerieten auf Plattformen wie SchülerVZ oder Myspace oft aneinander. Dabei mögen die persönlichen Konflikte schnell wieder ausgeräumt seien ? der gute Ruf eines diffamierten Nutzers lässt sich aber kaum wiederherstellen. Langwierige positive Netzpropaganda kann die schlechten und oft falschen Behauptungen, die von anderer Seite aufgestellt wurden, meist nur übertünchen. Im Gegensatz zum Menschen vergisst das Netz nicht. Es ist zu erwarten, dass viele junge Nutzer in den kommenden Jahren noch ihr blaues Wunder erleben - sei es bei der Stellensuche, bei der Beantragung eines Visums für das Ausland oder der Aufnahme von Bankkrediten.

Die Anbieter sind in der Pflicht

Hardy und Weichert fordern, dass sich die Betreiber sozialer Netzwerke ihrer Verantwortung bewusst werden. "Ein neu angelegtes Profil darf per Standardeinstellung nur für den Anwender selbst sichtbar sein", verlangt Weichert. In der Regel kann der Nutzer sein Profil erst im Nachhinein privatisieren, weil es zunächst für jeden zugänglich ist. Oft übersehen oder vergessen die Teilnehmer dann, ihre Angaben für Dritte zu sperren, zumal die entsprechenden Funktionen meist gut versteckt sind. "Das ist ein grundlegender Konstruktionsfehler in diesen Portalen", moniert Hardy. Weichert fordert auch die Möglichkeit, anonym auf die Angebote der Netzwerke zuzugreifen. Wo nur mit Realnamen gechattet und diskutiert werden dürfe, werde das nicht eingehalten, so der Datenschützer. Die Betreiber seien darüber hinaus in der Pflicht, über die Verwendung aller Nutzungsdaten wie Profilinformationen oder IP-Adressen Rechenschaft abzulegen und die Anwender über die generellen Risiken von Social Networks bereits vor der Registrierung aufzuklären, so der Datenschützer.

Betreiber denken um

Einige Anbieter von Social Networks arbeiten bereits an neuen Konzepten zum Datenschutz und einer Sensibilisierung der Anwender.

Moli

Ende Januar startete das Web-Projekt "Moli" erfolgreich in den USA, Irland und Großbritannien: Innerhalb der ersten drei Wochen verbuchte die Seite 125 000 Registrierungen. Moli setzt bewusst auf den Claim "Control your Privacy" und erlaubt die Verwaltung mehrerer Profile unter einem Zugang. So kann der Anwender eine eigenständige Seite mit Informationen für persönliche Freunde und Familienmitglieder anlegen, eine andere für Arbeitskollegen und wieder eine andere für die breite Öffentlichkeit. "Der Nutzer entscheidet vor jeder Profilerstellung über den Status der Seite ? öffentlich, privat oder versteckt", erklärt Geschäftsführerin Judy Balint. Versteckte Profile sind nur für den Nutzer selbst sichtbar und können beispielsweise als persönliches Fotoalbum oder Terminplaner verwendet werden.

Für Unternehmen bietet Moli die Möglichkeit, geschlossene Nutzergruppen anzulegen, um Web-Konferenzen abzuhalten und bestimmte Arbeitsabläufe ins Web auszulagern. Moli soll im Lauf des Frühjahrs auch nach Deutschland kommen. "Unser Timing könnte nicht besser sein ? wir sehen uns als Pioniere des sicheren Social Networkings", sagt Chris Ohlund, der als Vice President of Business Development für den europäischen Markt zuständig ist. Seine Chefin Balint beschreibt Moli als Social Network 3.0, das "besonders erwachsene Nutzer über 30, die mit ihren Daten vorsichtiger umgehen als Jugendliche", anspreche. Um den Datenschutz zu gewährleisten, speichert das Unternehmen Profile und persönliche Informationen in verschiedenen Datenbanken. Nutzernamen können den realen Informationen über eine Person nicht zugeordnet werden. Die größte Herausforderung ist laut Ohlund eher formaler Art: Die Geschäftsbedingungen müssten von Land zu Land neu angepasst werden, um den verschieden strengen Datenschutzbestimmungen zu entsprechen. "Wir arbeiten mit internationalen Anwaltskanzleien zusammen, um da keine Fehler zu machen", so Ohlund. Moli finanziert sich über Anzeigen und ? ähnlich wie Xing - kostenpflichtige Premium Accounts. Wie das Unternehmen Werbekunden anlocken will, wenn es keine Detailinformationen über die Teilnehmer freigibt, bleibt im Dunkeln.

Lokalisten

Das Gründerteam von Lokalisten.de arbeitet an neuen Konzepten zum Datenschutz.
Das Gründerteam von Lokalisten.de arbeitet an neuen Konzepten zum Datenschutz.
Foto: Lokalisten

Auch deutsche Betreiber verfolgen neue Ansätze. Das Community-Portal Lokalisten.de möchte seine Nutzer zukünftig über die Risiken von Social Networks aufklären. Bislang erfahren die Anwender lediglich im Kleingedruckten der Allgemeinen Geschäftsbedingungen von den gesetzlichen Datenschutzbestimmungen und deren Umsetzung auf Lokalisten.de. "Wir klären aber auch schon mit speziellen Privacy-Symbolen neben den Eingabefeldern auf, welche Daten im Rahmen der Registrierung erforderlich sind, welche Informationen für andere User sichtbar sein werden und welche Daten der persönlichen Privatsphäre unterliegen", so Andreas Hauenstein, einer der Gründer der Plattform.

Kommentar: Arbeit an der Basis

Simon Hülsbömer, Mitarbeiter der COMPUTERWOCHE.
Simon Hülsbömer, Mitarbeiter der COMPUTERWOCHE.
Foto: Simon Hülsbömer

Wer nicht drin ist, ist out - Social Networks liegen im Trend und werden besonders bei jungen Leuten immer beliebter. Dass viele Anwender die Risiken unterschätzen, liegt in der menschlichen Natur. Hier sind die Betreiber der Plattformen gefragt, ihre Nutzer auch vor sich selbst zu schützen. Ein Restrisiko bleibt immer ? mit ein wenig mehr Aufklärung ließe sich aber schon eine ganze Menge tun. Diese Arbeit muss an der Basis stattfinden: auf den Plattformen selbst, in Bildungseinrichtungen und in den Medien. Die weitere Verschärfung von gesetzlichen Datenschutzbestimmungen, wie sie gerne gefordert wird, hilft nicht entscheidend weiter. Probleme im Internet sind immer globaler Natur und lassen sich nicht "mal eben so" durch neue Gesetze und Regulierungen lösen.

Die größte Herausforderung für die Betreiber von Social Networks wird es bleiben, trotz höherer Kosten Sicherheit zu gewährleisten und dabei dem Wunsch vieler Anwender, alles gratis nutzen zu dürfen, zu folgen. Nach dem gerade erfolgten Start des deutschen Ablegers des globalen Studentenverzeichnisses Facebook, neben Google die größte Datenkrake überhaupt, wird die Diskussion in den kommenden Wochen neuen Zündstoff bekommen.