Social-Networking-Plattformen verlangen von ihren Nutzern bei der Registrierung viele private Daten, bieten aber nur wenig Möglichkeiten, diese persönlichen Informationen vor ungewollten Zugriffen zu schützen. Dies ist das Ergebnis einer Studie (PDF) des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT), das beliebte Internetplattformen zur privaten und geschäftlichen Kontaktpflege untersucht hat.
Ziel der Studie war es, ein erstes Rahmenwerk für die Beurteilung des Privatsphärenschutzes von Plattformen zur Pflege sozialer Netzwerke aufzustellen. „Von den getesteten Plattformen konnte keine vollständig überzeugen“, sagt Studienautor Andreas Poller vom SIT. „Von der Nutzung mancher Dienstfunktionen ist sogar abzuraten, weil die Zugriffskontrollen teilweise einfach nicht funktionieren oder ganz fehlen.“
Getestet wurden die Plattformen Facebook, StudiVZ, MySpace, Wer-kennt-wen, Lokalisten sowie die geschäftlich orientierten Portale Xing und LinkedIn. Unter den Plattformen für den privaten Gebrauch erzielte Facebook das beste Ergebnis, wenngleich auch diese Plattform erhebliche Schwächen offenbarte. Die meisten Negativbewertungen erhielten Lokalisten. Von den zwei getesten Geschäftsplattformen bietet LinkedIn bessere Möglichkeiten zum Schutz der Privatsphäre als Xing: Zum einen erlaubt LinkedIn eingeschränkt die Nutzung eines Pseudonyms, zum anderen lassen sich der Account leichter kündigen und die persönlichen Daten besser entfernen.
Neben der Wirksamkeit der Zugriffskontrolle und deren Steuerungsmöglichkeit wurden auch die Standardkonfiguration der Plattformen sowie ihre Verschlüsselungsmöglichkeiten bewertet. „Keine Plattform konnte in allen Bereichen überzeugen, andererseits konnten wir für fast jeden Bereich einen Vertreter finden, der ausreichenden Schutz bietet“, so Poller. „Wenn man die Schutzmöglichkeiten der getesteten Angebote kombinieren würde, wäre das Ideal erreicht, aber die Plattformen scheinen kein durchgängiges Konzept zum Schutz der Privatsphäre zu verfolgen.“
Die Tester meldeten sich als Normalnutzer an, um die Einstellungsmöglichkeiten zu testen. Anschließend schlüpften sie in die Rolle eines Angreifers und prüften die Wirksamkeit der Konfiguration, indem sie versuchten, an persönliche Daten aus Profilen zu gelangen. Mit Hilfe spezieller Suchmaschinen kamen sie zum Beispiel in den Besitz geschützter Bilder, obwohl diese gar nicht für die Öffentlichkeit freigegeben waren.
Auch die politische Orientierung oder der Familienstatus ließ sich trotz Sperrung der Daten ermitteln, und selbst nach Aufgabe der Mitgliedschaft blieben bei einer Plattform die persönlichen Gästebuch- und Foreneinträge bestehen. „Phishingbetrüger und Angreifer, die es auf Firmengeheimnisse abgesehen haben, freuen sich natürlich über solche Informationen. Denn damit können sie sich leichter das Vertrauen der Nutzer oder anderer Personen erschleichen“, sagt Poller.
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.