Press  »  Datenklau in sozialen Netzen wem gehoert mein Adressbuch

Lochmaier, Lothar. Datenklau in sozialen Netzen: Wem gehört mein Adressbuch? ZDNet.de February 29, 2008.

Datenklau in sozialen Netzen: Wem gehört mein Adressbuch?

Communities wie Myspace, Studi-VZ, Xing und Facebook erfreuen sich zunehmender Beliebtheit. ZDNet zeigt, dass die Informationsfülle verlockend genug ist, um Datenjägern eine lohnende Beute zu bieten, die sich zu Geld machen lässt.

Niemand wird bestreiten, dass soziale Vernetzung über virtuelle Gemeinschaften eine sinnvolle Sache ist. Viele Betreiber von sozialen Netzwerken haben jedoch überwiegend nicht zahlende Nutzer in ihren Communities. Das stört sie bisher wenig, denn die zum Teil recht beachtlichen Datensammlungen stellen wertvolles Kapital dar, das sich zu Geld machen lässt.

So bekommt Microsoft für immerhin 240 Millionen Dollar gerade mal einen Anteil von 1,6 Prozent an Facebook. Der Gesamtwert von Facebook wird auf 15 Milliarden Dollar geschätzt.

Insbesondere die Werbeindustrie macht Druck auf Plattformen, wie Facebook, Profite aus ihrer Community zu ziehen. Das Geschäftsgebaren so mancher Plattformbetreiber lässt allerdings zu wünschen übrig. Der an sich positive Gedanke einer virtuellen Gemeinschaft, sich gegenseitig mit Tipps und Empfehlungen weiter zu helfen, wird ins Gegenteil verkehrt.

Premium-Mitglieder der Plattformen sollen Familienmitglieder oder Freunde dazu einladen, an den angeblich so vorteilhaften Angeboten teilzunehmen. Die Betreiber setzen auf das Bedürfnis, sich und andere in der Online-Welt zu entblättern. Konkrete Vorteile daraus ergeben sich aber oftmals nur für die Betreiber und nicht unbedingt für die Nutzer. Die Anwerbung neuer Mitglieder erinnert an Schneeballsysteme und Kettenbriefe.

Besonders interessant für die Werbeindustrie und andere Datenjäger ist die Informationen, wer wen woher kennt. Das Prinzip der kleinen Welt, nachgewiesen beispielsweise mit der Kevin-Bacon-Zahl, ist ein wertvoller Fundus an Informationen für Direktvertriebler, von Finanzdienstleistern bis hin zu dubiosen Gewinnspielanbietern.

Bild 1 der Galerie zeigt am Beispiel von Xing, dass weniger als 100 direkte Kontakte notwendig sind, um über "zwei Ecken" fast 500.000 Leute zu kennen. Wie in Bild 3 zu sehen ist, gibt es meist mehrere Verbindungen zu fast jedem Mitglied. Jedes Premium-Mitglied kann mit einem einfachen Webcrawler Beziehungslisten zwischen beliebigen anderen Mitgliedern aufbauen.

Facebook zeigt Software-Entwicklern die Möglichkeiten auf.

Xing hat als Business-Community eine hohe Anzahl von zahlenden Premium-Mitgliedern. Andere Communities, etwa Facebook, Studi-VZ oder Myspace, sind auf alternative Einnahmequellen angewiesen. So bietet Facebook Entwicklern  jede Menge Anleitungen, die mit ein wenig Fantasie auch zur Datenjagd genutzt werden können.

Kein Wunder also, dass nationale wie internationale Verbraucherschützer allein schon aufgrund der ausufernden Lockangebote im Netz seit längerem einen dramatischen Verfall der Sitten monieren. "Die Community erkennt plötzlich, dass ihre Rechte auf den ungehinderten und kostenlosen Austausch von Meinungen beschnitten werden", meint Anke Wahl, Wirtschaftssoziologin an der Universität Tübingen.

Die Nutzer wehrten sich zudem immer mehr dagegen, nur als Werbevehikel für die Plattformbetreiber missbraucht zu werden, sagt Wahl. Den ausufernden Machenschaften in puncto unlauterer Werbepraktiken soll eine vor kurzem von der Europäischen Union (EU) verabschiedete Richtlinie ein Ende bereiten. Danach sind irreführende Werbung sowie aggressive Verkaufspraktiken untersagt. Im Visier stehen Lockangebote, von Schneeballsystemen bis hin zu falschen Gesundheitsversprechen.

Soziales Kapital muss Kasse machen

Im Zuge des rasanten Vermarktungstempos rücken die Social Communities verstärkt ins Visier. Treten sie doch immer öfter als bezahlter Vermittler auf, indem sie für die naive Nutzergemeinde unauffällig die richtigen Fährten zu den Produkten von Drittanbietern legen. Denn allein mit dem freien und ungehinderten Meinungsaustausch lässt sich bekanntlich nicht so richtig Kasse machen.

"Durch unlautere Geschäftspraktiken wird der Verbraucher abgezockt und der Wettbewerb verzerrt", sagt EU-Verbraucherschutzkommissarin Meglena Kuneva. Allerdings ist die von der EU vor Weihnachten verabschiedete Richtlinie noch nicht von allen EU-Mitgliedstaaten umgesetzt. Gegen die säumigen Länder, darunter auch Deutschland, hat die EU-Kommission bereits ein Verfahren eingeleitet.

Wie gängige Shopping-Plattformen korrigieren aber auch die Betreiber der sozialen Netzwerke häufig nur auf ausdauernden Druck der Nutzer ihr Geschäftsgebaren. Kurz vor Weihnachten ruderte etwa die studentische Community Studi-VZ zurück. Aufgrund anhaltender Kritik teilte das Unternehmen seinen Mitgliedern lapidar mit, es rücke vom ursprünglich vorgesehenen Plan neuer Werbeangebote per SMS und Instant Messenger ab.

Auch Professor Hendrik Speck von der Fachhochschule Kaiserslautern hat bereits einschlägige Erfahrungen mit der deutschen Gründlichkeit in der Durchleuchtung sozialer Interessen gemacht. Seine Studenten beschäftigen sich zu Forschungszwecken mit der Visualisierung und Analyse sozialer Netzwerke. "Innerhalb dieser Forschungsarbeiten stießen unsere Studenten trotz freundlicher Anfragen und transparenter Programmmethoden, insbesondere bei einzelnen deutschen Netzwerken, auf massiven Widerstand, bis hin zu Drohungen", so Speck.

Hintergrund der steigenden Nervosität in der Szene sind die verstärkten Bestrebungen der Betreiber, nun endlich Kasse mit dem angehäuften sozialen Kapital zu machen. Nach entbehrungsreichen Jahren, in denen man die Nutzer quasi frei und zwanglos gewähren ließ, sollen sich die getätigten Investitionen jetzt rechnen. Die Übernahmefantasien von Konzernen heizen den Markt zusätzlich an.

Auch die Business-Plattform Xing zeigt einen ersten Eindruck der individuell maßgeschneiderten neuen Werbewelt. Noch sind die Werbebanner meist unauffällig in der Ecke platziert. Der freiwillig oder unfreiwillig mit allerlei Botschaften torpedierte Internetsurfer ist jedoch nur die eine Seite der Medaille.

Noch gravierender ist der mögliche Datenmissbrauch, der mit der völligen Nutzertransparenz beziehungsweise Datenweitergabe einhergehen könnte. Die Community selbst verfügt nämlich über keinerlei Kontrollmechanismen, obwohl sie mit ihren Beiträgen den Plattformen das Leben erst eingehaucht hat.

Bei den Betreibern dürfte auch künftig kaum eine größere Dankbarkeit für die vielen wertvollen Beiträge aufkommen. "Verschärft wird dieser Konflikt durch die zunehmende Begünstigung kommerzieller Interessen und Verwerterverbände, die es zumindest laut den vorliegenden allgemeinen Geschäftsbedingungen verbieten, dass Nutzer die informationelle Selbstkontrolle über ihre zur Verfügung gestellten Daten ausüben können", sagt Speck.

APIs bieten Datenjägern leichtes Spiel

Das Dilemma der Nutzer betrifft auch den kompletten Transfer und die automatische Migration der Daten und Adressbücher durch die Nutzer zu anderen Diensten. Einerseits unternehmen die Betreiber große Anstrengungen, um zu verhindern, dass die Nutzer ihre erstellten Netzwerke beispielsweise in externe E-Mail-Programme exportieren können. Andererseits wurde dem erhöhten Schutzbedarf dieser sensiblen Datenmengen kaum Rechnung getragen, wie man am Beispiel von Studi-VZ sehen kann.

Nach Auffassung von Speck sind die proprietären, geschlossenen Systeme der größeren sozialen Netzwerke ohnehin kaum geeignet, die jetzigen Vorstellungen von Privatsphäre und das gleichzeitige Bedürfnis nach digitaler Teilnahme und Datenaustausch in Zukunft miteinander zu vereinbaren. Die vermeintliche Öffnung durch Konzepte wie "Open Social" sei zwar populär, leiste aber keinen Lösungsbeitrag. So trage die Standardisierung mit Hilfe des Open-Social-Konsortiums vor allem den Geschäftspraktiken der Betreiber Rechnung, damit sie neue Marktanteile hinzugewännen.

"Es wird bewusst darauf verzichtet, auf die Kontroll- und Disziplinierungsfunktion von APIs und Schnittstellen hinzuweisen, die durch die Schnittstellenanbieter gegenüber freien Entwicklern beziehungsweise Wettbewerbern ausgeübt werden kann, und bei vergleichbaren Angeboten in der Vergangenheit auch ausgeübt worden ist", so Speck.

Dass die Betreiber durchaus ein eigenes und etwas verqueres Verständnis von "Nutzerfreundlichkeit" verfolgen, erscheint aus deren Selbstverständnis durchaus nachvollziehbar. Dies könnte sich aber auch als Bumerang erweisen. Zwar erlauben einige soziale Netzwerke das "Abmelden" des eigenen Profils. Sie verweigern jedoch andererseits die dezidierte Löschung einzelner Beiträge, Verknüpfungen und Foreneinträge.

Andere soziale Netzwerke verzichten wiederum auf die Zustimmung der Nutzer bei neuen Profilierungsmaßnahmen oder stellen die Nutzerdaten unbemerkt im sogenannten Opt-Out-Verfahren zur Verfügung. Wie weit derartige Eingriffe in die Privatsphäre gehen können, zeigt das Beispiel Facebook.

Nicht nur Datenschützer misstrauen Initiativen wie Open ID. Die enorme Popularität einzelner sozialer Netzwerke und die Verknüpfung unzähliger, an sich möglicherweise unkritischer Profildaten, werfen die Frage auf, ob und in welcher Weise sich das allgemeine Verständnis von Privatsphäre noch weiter aufrechterhalten lasse, insbesondere, wenn der Nutzer die Regie komplett an andere abgibt. Die durch wirtschaftliche und kriminelle Interessen entstehenden Bedrohungspotenziale sind dabei noch gar nicht einmal bedacht worden.

Selbstbestimmung durch Public-Key-Verfahren

Da die Betreiber die oftmals für mehrere Hundert Millionen Euro erworbene und zuvor gut gefütterte Kuh offenbar immer intensiver melken, versprechen nach Auffassung von Experten nur radikale aber durchaus erprobte Gegenmaßnahmen wirkliche Abhilfe. So plädiert Hendrik Speck vor allem für eine dezentrale Datenverwaltung beziehungsweise Verlinkung, die ein Aufbrechen der monopolartigen Strukturen in der Betreiberriege ermöglichen soll. Dazu gehöre auch die grundsätzliche Absicherung und Verschlüsselung der Datenebenen, abgesehen von einigen wenigen nutzerdefinierten Ausnahmen und Regelungen.

Des Weiteren fordert der Experte "Ring-of-Trust basierende Public-Key-Verfahren". Diese können mit einem Mix aus privaten und öffentlichen Schlüsseln zwischen Nutzer, Plattform und Anfragenden eine vertrauenswürdige Authentifizierungsebene herstellen und die Absicherung der Datenebenen vor allem für und durch den Nutzer garantieren. Der Public Key kann dann offen ausgelegt oder analog zur Form Robots.txt zum Beispiel mit einem Key.txt an alle relevanten Webseiten und Profile angefügt werden.

Als viertes Element käme die unmittelbar in die jeweiligen Schlüssel beziehungsweise in die Authentifizierungs- und Verschlüsselungsebenen eingebetteten Nutzer- und Datenfreigaben hinzu. Diese sollen zum Beispiel den Nutzergruppen wie Familie, Freunde, direkte Kontakte sowie dem öffentlich zugänglichen Bereich jeweils unterschiedliche Rechte zuweisen, basierend auf dem Private Key des Nutzers und kontrolliert durch das Public-Key-Verfahren.

Abschließend gelte es, die Sicherheit des Gesamtsystems noch an das gewünschte integrierbare Verfallsdatum zu binden. Dadurch könnten Nutzer dann tatsächlich die Kontrolle ihrer Daten und Vernetzungen zurückgewinnen, ohne von Versprechungen, Verheißungen und Vertrauensverlusten einer Seite abhängig zu werden.

Allerdings tangieren derartige Ansätze auch die etablierten Monopole nicht nur der Betreiber, sondern auch der Softwarehersteller. Es ist derzeit noch völlig offen, ob der Einfluss der weltweit verstreuten Open Source Communities überhaupt ausreicht, um einen wirksamen Gegenschub in Richtung Nutzerhoheit über die sozialen Einträge mit der notwendigen Schlagkraft zu versehen. Es gehe dabei nicht zuletzt um die Frage, wem mein Adressbuch noch gehört, meint Speck.

Dabei stelle sich mehr und mehr eine neue Existenzfrage, wer die Herrschaft über die eigenen und die Profile anderer Nutzer gewänne, einschließlich ihrer Verwertung und Absicherung. Aus Sicht der Datenschützer führt indes kein Weg daran vorbei, dem Nutzer auch technisch das Recht auf Ausübung der informationellen Selbstbestimmung zurückzugeben, garantiert durch eine entsprechende Kommunikationsstruktur und eben nicht durch externe Parteien oder kommerzielle Interessen.

Ob eine derartige Vision ein realistisches Ziel oder ein Wunschtraum bleibt, wird sich wohl im Laufe dieses Jahres deutlicher herauskristallisieren. Zumindest die Anbieterlandschaft wird sich wohl in puncto Datenschutz weiter ausdifferenzieren.

Contact

Professor Hendrik Speck. 2007.

Prof. Hendrik Speck
University of Applied Sciences Kaiserslautern
Department of Computer Sciences
Amerikastrasse 1
66482 Zweibrücken
Germany

Office: Building O, Room O 017

E-Mail: Hendrik.Speck  (at) hs-kl (dot) de
Phone: +49 631 3724 5360

Call Prof. Hendrik Speck with Sykpe Chat with Prof. Hendrik Speck

See Xing Profile of Prof. Hendrik Speck See Projects and Programs of Prof. Hendrik Speck

* Click here to View larger map.