Social Web 2.0 - sicherer Umgang mit sozialen Netzwerken

Bachelorarbeit von Martin Kreitmair

Einleitung:

1.1, Motivation:

In einer Zeit, in der die digitale Vernetzung immer rasanter an Geschwindigkeit gewinnt, ist es vielen Menschen zu lästig, eine intensive Auseinandersetzung mit dem Thema Datenschutz im Internet zu bestreiten. Die Unwissenheit vieler Internetnutzer in Bezug auf einen sicheren Umgang mit ihren Daten soll mit dieser Arbeit einfach und verständlich beseitigt werden.

Der Bedarf einer solchen Arbeit ist zweifelslos vorhanden. Dies zeigt bereits die Entwicklung sozialer Netzwerke in Deutschland, so tummeln sich offiziell bereits 19 Millionen Mitglieder aus Deutschland beim weltweiten Branchenprimus Facebook – ein unglaublicher Wert angesichts von mehr als 80 Millionen Einwohnern und einer Präsenz des Diensts auf dem hiesigen Markt von wenigen Jahren. [Com10] Jedoch konzentriert sich nicht alles auf einen zentralen Dienst, ganz im Gegenteil: Über 100 verschiedene Anbieter versuchen die Gunst der Nutzer mit individuellen Angeboten zu gewinnen. [Wei08] Seien es andere Massenangebote wie die VZ-Gruppe (StudiVZ, SchülerVZ und MeinVZ) oder auf bestimmte Märkte konzentrierte Dienste wie das amerikanische foursquare. Dies sorgt auf der einen Seite zwar für einen relativ gesunden Markt, auf der anderen stehen jedoch unzählige Datenschutzoptionen und ein unterschiedlicher Umgang mit den Daten der Nutzer. Weiterhin werden diese Datenschutzbestimmungen regelmäßig durch den Betreiber geändert, was zu weiterem Aufwand führt. Angesichts solcher Zahlen ist es nicht weiter verwunderlich, wenn viele Anwender nicht mit der Vielseitigkeit der sozialen Netzwerke zurechtkommen.

Dem Mitbegründer und CEO von Facebook Mark Zuckerberg wird gern unterstellt folgenden Satz gesagt zu haben: ‘[…] das Zeitalter des Datenschutzes ist vorbei.’ [SPO10] Zwar ist diese Aussage nie in dieser Form gefallen und nur eine etwas überspitzte Überschrift eines Interviews mit dem CEO von Facebook. [Kir10] Dennoch könnte dieser Satz stellvertretend für die Interessen der sozialen Netzwerke dienen, die sich mehrheitlich über Werbung finanzieren. Das wertvollste Gut aller sozialen Netzwerke sind die Daten, die die Nutzer bereit sind von sich preis zu geben. Und genau an diesem Punkt ist besondere Vorsicht geboten, wenn es um die Frage geht:

‘Was möchte ich der Welt preisgeben von mir und wem vertraue ich diese Informationen an?’.

Diese Arbeit soll helfen schnell mit der Thematik der Datensicherheit vertraut zu werden und möchte allen Interessierten eine Hilfestellung bieten, um den Alltag in sozialen Netzwerken sicherer und damit ein Stück weit sorgloser zu gestalten.

Dies alles geschieht in dieser Arbeit unter dem Gesichtspunkt: Social Web 2.0 – sicherer Umgang mit sozialen Netzwerken.

1.2, Aufgabenstellung:

Die Aufgabenstellung ist es, eine Analyse der potenziellen Bedrohungen im Bereich der sozialen Netzwerke im Internet durchzuführen. Hierfür werden stellvertretend sechs soziale Netzwerke ausgewählt und anschließend intensiv auf verschiedene Kriterien hin untersucht. Parallel dazu wird eine Umfrage durchgeführt, welche die Seite der Nutzer von sozialen Netzwerken beleuchtet und versucht Bedrohungen zu entdecken.

Im nächsten Schritt werden die gefundenen Bedrohungen - auf Seite der Betreiber von sozialen Netzwerken und der Nutzer von diesen - einzeln betrachtet und nach möglichen Schutzmaßnahmen gesucht.

Diese Schutzmaßnahmen werden anschließend in einem Leitfaden auf die ‘effektivsten’ Maßnahmen komprimiert.

Zum Abschluss wird der gefundene Leitfaden, welcher komplett auf die gefundenen Bedrohungen und Schutzmaßnahmen aufbaut, beispielhaft implementiert und getestet.

1.3, Vorgehensweise:

Kapitel 1 bis 2 beinhalten die Themeneinführung und eine Klassifikation von sozialen Netzwerken.

In dieser Bachelorarbeit wird ein sicherer Umgang mit sozialen Netzwerken evaluiert. Dabei wird zuerst eine Klassifikation der sozialen Netzwerke vorgenommen.

Kapitel 3 bis 6 befassen sich mit der Analyse und Ermittlung von Bedrohungen.

Diese werden anschließend exemplarisch an einigen Vertretern der jeweiligen Kategorien untersucht.

Das nächste Kapitel befasst sich mit der Analyse aus der Perspektive der Nutzer, welche mit einer Umfrage gestützt wird.

Die letzte Analyse ist schließlich eine allgemeine, welche noch nicht erwähnte netzwerkübergreifende Bedrohungen definiert.

Kapitel 6 gehört thematisch zum Bereich der Analyse, ermittelt jedoch keine neuen Daten sondern fasst nur zusammen und kategorisiert bereits gefundenes.

Kapitel 7 bis 8 stellen die Lösungskonzeption und anschließende Verdichtung bereit.

Ableitend aus diesen Daten wird ein Lösungskonzept erstellt, welches dem Nutzer einen Überblick über geeignete Schutzmaßnahmen bietet und in Form einer prototypischen Implementierung das Ganze plastisch darstellen wird.

Im darauf folgenden Schritt werden sämtliche Schutzmaßnahmen zu einer Art ‘Leitfaden’ aggregiert und auf die wesentlichen und elementaren Aktionen zusammengefasst.

Kapitel 9 bis 10 dienen der Verifizierung des Leitfadens und des abschließenden Kommentars und Ausblicks.

Im vorletzten Kapitel wird der gefundene Leitfaden (‘10 Gebote zum sicheren Umgang mit sozialen Netzwerken’) durch eine beispielhafte Implementierung verifiziert.

Im letzten Schritt wird ein Ausblick auf die weitere Entwicklung genommen und die Schlussbemerkung des Autors platziert.

Inhaltsverzeichnis:

1.	Einleitung	1
1.1	Motivation	1
1.2	Aufgabenstellung	1
1.3	Vorgehensweise	2
2.	Klassifikation von sozialen Netzwerken	4
2.1	Auswahlkriterium für exemplarische soziale Netzwerke	4
2.2	Ausgewählte soziale Netzwerke	7
2.2.1	Facebook	7
2.2.2	VZ-Gruppe	9
2.2.3	Lokalisten	10
2.2.4	YouTube	11
2.2.5	Xing	13
2.2.6	Friendticker	15
2.3	Zusammenfassung	16
3.	Analyse der Bedrohungen seitens der sozialen Netzwerke	17
3.1	Facebook	17
3.1.1	Rahmenbedingungen	17
3.1.2	Datenschutzeinstellungen	19
3.1.3	Funktionen	22
3.2	StudiVZ	29
3.2.1	Rahmenbedingungen	29
3.2.2	Datenschutzeinstellungen	31
3.2.3	Funktionen	32
3.3	Lokalisten	34
3.3.1	Rahmenbedingungen	34
3.3.2	Datenschutzeinstellungen	36
3.3.3	Funktionen	36
3.4	Xing	38
3.4.1	Rahmenbedingungen	38
3.4.2	Datenschutzeinstellungen	39
3.4.3	Funktionen	41
3.5	YouTube	42
3.5.1	Rahmenbedingungen	42
3.5.2	Datenschutzeinstellungen	43
3.5.3	Funktionen	44
3.6	Friendticker	46
3.6.1	Rahmenbedingungen	46
3.6.2	Datenschutzeinstellungen	47
3.6.3	Funktionen	48
3.7	Bewertung der untersuchten sozialen Netzwerke	49
4.	Analyse der Bedrohungen seitens des Anwenders	52
4.1	Gestaltung und Verteilung der Umfrage	52
4.1.1	Wahl des Umfrageanbieters	52
4.1.2	Methodik und Erstellung der Umfrage	52
4.1.3	Gewinnung von Teilnehmern	53
4.2	Repräsentativität der Umfrage	54
4.3	Auswertung der Umfrage	54
4.3.1	Statistische Angaben	54
4.3.2	Wahrnehmung des Themas Datenschutz	56
4.3.3	Umgang mit sozialen Netzwerken	57
4.3.4	Wissen über Datensicherheit	66
5.	Analyse der Bedrohungen im allgemeinen Kontext	69
5.1	Passwort	69
5.2	Cookies	69
5.3	Weitersurfen ohne vorheriges Ausloggen aus dem Netzwerk	71
5.4	Identitätsdiebstahl	71
6.	Klassifikation aller gefundenen Bedrohungen	73
6.1	Bedrohungen seitens der sozialen Netzwerke	73
6.1.1	Datenschutzrichtlinien	73
6.1.2	Datenschutzeinstellungen	74
6.1.3	Funktionen	74
6.2	Bedrohungen seitens des Anwenders	77
6.3	Bedrohungen seitens des allgemeinen Kontexts	79
6.4	Zusammenfassung aller ermittelten Bedrohungen	79
7.	Lösungskonzeption	81
7.1	Bedrohungen der Kategorie ‘Datenschutzrichtlinien’	82
7.2	Bedrohungen der Kategorie ‘Datenschutzeinstellungen’	84
7.3	Bedrohungen der Kategorie ‘Funktionen’	88
7.4	Bedrohungen der Kategorie ‘Anwender’	97
7.5	Zusammenfassung aller ermittelten Schutzmaßnahmen	103
8.	Leitfaden für einen sicheren Umgang mit sozialen Netzwerken	107
8.1	Kompaktdarstellung des Leitfadens	111
8.2	Zusatzhinweis zum erweiterten Schutz	111
9.	Beispielhafte Anwendung des Leitfadens	112
9.1	Testszenario	112
9.2	Anwendung und Durchführung	112
9.2.1	Registration bei Facebook	112
9.2.2	Ausfüllen des Profils	113
9.2.3	Anwendung des Leitfadens	115
9.2.4	Evaluation der Ergebnisse	122
10.	Ausblick und Schlussbemerkung	123
10.1	Ausblick	123
10.2	Schlussbemerkung	124
	Literaturverzeichnis	126

Textprobe:

Kapitel 5, Analyse der Bedrohungen im allgemeinen Kontext:

Neben den individuellen Bedrohungen bezüglich der Datensicherheit gibt es noch einige universelle Bedrohungen, welche unabhängig des gewählten sozialen Netzwerkes auftreten. Diese werden in den folgenden Abschnitten detailliert behandelt.

5.1, Passwort:

Ausnahmslos jedes behandelte soziale Netzwerk nutzt zur Authentifizierung und eindeutigen Identifizierung eine Passwortabfrage. Dieses Passwort kann größtenteils von dem Mitglied selbst erstellt werden und unterliegt nur einigen Vorgaben in Länge und Auswahl der Zeichen.

Oftmals wird das Thema der Passwort-Sicherheit stark unterschätzt und dementsprechend nicht ausreichend behandelt. Passwörter sollten so gewählt werden, dass Sie nicht leicht zu erraten sind, über ausreichend Zeichen verfügen und dabei noch leicht zu merken sind für den Inhaber. Diese drei Punkte zu vereinigen ist dabei die Herausforderung.

Unglücklicherweise gibt es keine eindeutigen Angaben, wie ein sicheres Passwort gestaltet sein muss. Jedoch bietet der BSI (Bundesamt für Sicherheit in der Informationstechnik) einen Maßnahmenkatalog an, welcher Regeln zur Beachtung festlegt.

Einige dieser Regeln laut BSI sind:

- Mindestlänge des Passworts sollten 8 Zeichen sein.

- Mindestens ein Zeichen, welches kein Buchstabe ist (Sonderzeichen/Zahl).

- KEINE Namen, Kfz-Kennzeichen, Geburtsdaten oder andere Passwörter mit persönlichen Bezug, welche leicht zu erraten sind.

- Möglichst jedes Passwort nur einmal verwenden je System.

- Regelmäßiges Ändern des Passworts, z.B. alle 90 Tage.

Wird ein zu leichtes Passwort verwendet, besteht die Gefahr, dass Unberechtigte Zugang zu den Account erhalten und damit Vollzugriff auf alle Funktionen. Die Bedeutung eines Passworts sollte niemals unterschätzt werden.

Der Schweizer Kanton Zürich bietet auf seiner Webseite einen Passwort-Check an, welcher das Passwort nach bestimmten Kriterien bewertet:

https://passwortcheck.datenschutz.ch/check.php?lang=de.

Die Kriterien weichen punktuell von denen des BSI ab. Es sollte jedoch niemals das Originalpasswort getestet werden! Es reicht ein Passwort zu testen, welches ähnlich aufgebaut ist, wie das Original.

Bedrohung:

- Passwort leicht knackbar.

- Benutzer verliert Kontrolle über den Account.

- Dieb erhält Vollzugriff und kann bedeutenden Schaden durch Änderungen des Profils anrichten, bis hin zum vollständigen Verlust des Accounts.

5.2, Cookies:

Unter Cookies werden in der Internetlandschaft kleine Dateien verstanden, welche Informationen auf der Clientseite abspeichern – also dem PC, Handy oder ähnlichem. Diese Informationen können zu einem späteren Zeitpunkt von der Webseite, respektive dem Webserver, wieder abgerufen werden. Diese Methode wird beispielsweise verwendet um User über einen längeren Zeitraum in einem sozialen Netzwerk angemeldet zu lassen – selbst wenn die Maschine zwischenzeitlich abgeschaltet wurde.

Der Browser hält hierfür meistens eine Datei bereit, in die jeder Webserver seine Cookie-Informationen reinschreiben darf. Eine Besonderheit von Cookies ist, dass lediglich dieselbe Instanz (Webserver) die Inhalte auslesen darf, welche diese auch reingeschrieben hat. Damit wird ein Zugriff von fremden Webseiten verhindert. Eine Ausnahme sind hierbei Cookies von Dritten, welche von verschiedenen Webseiten angeboten werden können. Dies würde es ermöglichen, das Surfverhalten über mehrere Webseiten hinweg aufzuzeichnen.

Diese Form der Cookies können jedoch zumeist durch den Browser blockiert werden. Beim beliebten Browser Firefox, findet sich die Einstellung unter dem Menüpunkt ‘Privatsphäre’. Dort müssen ‘benutzerdefinierte Einstellungen’ gewählt werden. Anschließend erscheinen neue Optionen.

Diese sogenannten HTTP-Cookies sind sehr weit verbreitet und werden auch häufig eingesetzt. Das generelle Verbieten von Cookies kann den Verlust eines komfortablen Surfens nach sich ziehen. Sinnvoller könnte es sein, bestimmte Seiten für Cookies auszusperren – dies ist jedoch vom eigenen Surfverhalten und Sicherheitsdenken abhängig.

Deutlich bedenklicher sind die Flash-Cookie, eine Weiterentwicklung der Cookies. Diese werden nicht vom Browser verwaltet, sondern von externen Adobe-Flash-Programmen. Damit besitzt der User deutlich weniger Übersicht und Steuerungsmöglichkeiten als bei den herkömmlichen HTTP-Cookies. Besonders problematisch ist die Tatsache, dass diese Form der Cookie unabhängig des Browser agiert und deutlich weniger beschränkt ist. So beträgt die Maximalgröße nicht 4KB wie bei den ‘normalen’ Cookies, sondern ist nahezu unbegrenzt.

Im Frühjahr 2009 hat die Europäische Kommission deswegen eine Untersuchung gegen YouTube eingeleitet, da vermutet wird, das der Konzern keine Sitzungs-Cookies (eng. für ‘session cookies’) verwendet, sondern erweiterte, welche das Surfverhalten der Surfer über Monate aufzeichnet. Dies unterstreicht einmal mehr, das Cookies keine Banalität sind und nicht unterschätzt werden sollten.

Bedrohung:

- Es werden unnötig viele sowie zu lang gültige Cookies akzeptiert.

- Surfverhalten wird aufgezeichnet.

-Übersicht bezüglich Cookies nicht garantiert.

5.3, Weitersurfen ohne vorheriges Ausloggen aus dem Netzwerk:

Betrifft derzeit hauptsächlich Facebook, kann in der Zukunft jedoch noch einen größeren Rahmen erhalten. Surft man auf anderen Webseiten in einem anderen Tab, während eine Sitzung bei Facebook aktiv ist, so können einige Webseiten den Besucher identifizieren. Sie erhalten dabei Informationen von Facebook – welches noch aktiv ist – um eine eingebundene Funktion von Facebook auf der jeweiligen Webseite bedienen zu können. Dies lässt sich nur durch ein ausloggen von Facebook vermeiden.

Bedrohung:

- Beliebige Webseiten kennen das Basis-Profil des Facebook Accounts.

- Facebook erfährt mehr über die Surfgewohnheiten des Users.

5.4, Identitätsdiebstahl:

Je mehr Informationen über eine Person verfügbar sind, desto einfacher ist es diese Identität zu ‘stehlen’. Die Motivation dieses Diebstahls kann vielseitig sein, etwa aus persönlichen Gründen genauso wie aus kriminellen Zielen. Dabei werden gezielt notwendige Daten über eine Person zusammengetragen, sodass ein vollständiges Profil entsteht – mitsamt echtem Bild.

Handelt es sich um persönliche Gründe, kommt es meistens zur Erstellung eines neuen Accounts in einem anderen Netzwerk, wo diese Person gezielt denunziert wird und Falschinformationen an Dritte verbreitet werden.

Aus krimineller Sicht lässt sich mit den Informationen Kapitel schlagen. So können Kreditkarten auf den Falschdaten beantragt werden oder es werden Internetkäufe über die Falschadressen abgewickelt. Nach nachweisen des Datenmissbrauchs ist dabei oftmals nur unter hohem Aufwand möglich.

Das deutsche Bundesministerium des Innern geht davon aus, das die Anzahl des Identitätsdiebstahl und –missbrauch weiter zunehmen wird und noch nicht absehbare Formen annehmen wird. Aufgrund dessen ist von einer steigenden Bedrohung und damit verbunden einer steigenden notwendigen Achtsamkeit der User auszugehen.

Bedrohung:

- Gezielte Denunzierung einer Person.

- Verbreitung von Falschinformationen über eine Person.

- Identitätsdiebstahl für kriminelle Zwecke.