Getestet wurden die Plattformen facebook, studiVZ, myspace, wer-kennt-wen, lokalisten sowie die geschäftlich orientierten Portale XING und LinkedIn. "Von den getesteten Plattformen konnte keine vollständig überzeugen", sagt Studienautor Andreas Poller vom Fraunhofer-Institut SIT. "Von der Nutzung mancher Dienstfunktionen ist sogar abzuraten, weil die Zugriffskontrollen teilweise einfach nicht funktionieren oder ganz fehlen." Die Studie steht im Internet zum Download bereit. Neben den Detailergebnissen enthält sie auch Ratschläge, wie man seine persönlichen Daten in den einzelnen Plattformen am besten schützt. Die Forscher stellen ihre Erkenntnisse am 13. Oktober auf dem Symposium "Datenschutz im Zeitalter Sozialer Netzwerkdienste" in Straßburg vor.
Unter den Plattformen für den privaten Gebrauch erzielte facebook das beste Ergebnis, wenngleich selbst diese Plattform erhebliche Schwächen offenbarte. Die meisten Negativbewertungen erhielten die lokalisten. Von den zwei getesten Geschäftsplattformen bietet LinkedIn bessere Möglichkeiten zum Schutz der Privatsphäre als XING: Zum einen erlaubt LinkedIn eingeschränkt die Nutzung eines Pseudonyms, zum anderen lässt sich der Account leichter kündigen und die persönlichen Daten besser entfernen. "LinkedIn schnitt in Sachen Pseudonymisierung sogar am besten ab", so Poller, "obwohl diese Form der Kommunikation im geschäftlichen Alltag eher wenig genutzt wird. Das hat uns schon überrascht." Neben der Wirksamkeit der Zugriffskontrolle und deren Steuerungsmöglichkeit wurden auch die Standardkonfiguration der jeweiligen Plattform sowie deren Verschlüsselungsmöglichkeiten bewertet. "Keine Plattform konnte in allen Bereichen überzeugen, andererseits konnten wir für fast jeden Bereich einen Vertreter finden, der ausreichenden Schutz bietet", so Poller weiter. "Wenn man die Schutzmöglichkeiten der getesteten Angebote kombinieren würde, wäre das Ideal erreicht, aber die Plattformen scheinen kein durchgängiges Konzept zum Schutz der Privatsphäre zu verfolgen."
Betrüger machen schnelles Geld
Die Tester meldeten sich als Normalnutzer an, um die Einstellungsmöglichkeiten zu testen. Anschließend schlüpften sie in die Rolle des Angreifers und prüften die Wirksamkeit der Konfiguration, indem sie versuchten, an persönliche Daten aus selbsterstellten Profilen zu gelangen. Mit Hilfe spezieller Suchmaschinen kamen sie zum Beispiel in den Besitz geschützter Bilder, obwohl diese gar nicht für die Öffentlichkeit freigegeben waren. Auch die politische Orientierung oder der Familienstatus ließ sich trotz Sperrung der Daten ermitteln, und selbst nach Aufgabe der Mitgliedschaft blieben bei einer Plattform die persönlichen Gästebuch- und Foreneinträge bestehen. "Das kann für den Benutzer mitunter sehr peinlich werden. Aber auch Phishingbetrüger und Angreifer, die es auf Firmengeheimnisse abgesehen haben, freuen sich natürlich über solche Informationen. Denn damit können sie sich leichter das Vertrauen der Nutzer oder anderer Personen erschleichen", sagt Poller.
Ziel der Studie ist es, ein erstes Rahmenwerk für die Beurteilung des Privatsphärenschutzes von Plattformen zur Pflege sozialer Netzwerke aufzustellen. Dieses Privatsphäre-Modell lässt sich auch durch juristische Prüfungen, Whiteboxtests oder andere Elemente erweitern und kann so als Grundlage für weiterführende Evaluierungen dienen. (sh)