Inhaltsübersicht

• Privatsphäre gegen Geschäftsmodell
• Der freiwillige Verzicht auf Privatsphäre
• Context Collapse
• Die Risiken
• Datensammlung durch Werbetreibende
• Datensammlung durch Apps-Anbieter (Facebook Apps, etc.)
• Datensammlung über Nicht-Mitglieder
• Kreditwürdigkeit auf Grund des sozialen Umfelds
• Social Advertising - Sponsored Advertisement - Sponsored Stories
• Fake Follower, falsche Freunde - Sock Puppets und Astroturfing
• Social Networks als Werkzeug der Industriespionage
• Wie kann ich mich schützen?
• Privatsphäre-Einstellungen bei Xing, LinkedIn, Facebook, Windows Live(MSN Messenger)
• Andere Schutzmöglichkeiten
• Wo gibt es Hilfe und weiterführende Informationen
• Weiterführendes

Separater Text: Bedrohung der Privatsphäre

• Definition Privatsphäre
• Was bedeutet ein Verlust an Privatsphäre?
• 4 Problembereiche beim Schutz der Privatsphäre

Separater Text: Thema Anonymität

• Definition(en) und Bedeutung
• Wann muss die (teilweise) Anonymität aufgehoben werden

Separater Text: Der aktuelle Verlust von Privatsphäre

• Wer weiß, wo ich mich gerade befinde? (Location)
• Wer kann meine Kommunikation mithören oder lesen? (Communication)
• Wer kann mich optisch überwachen? (Surveillance)
• Wer weiß, was ich früher mal gemacht habe? (History)

Weitere Texte:

• Spuren im Internet
• Privatsphäre und DNA-Tests
• Glosse: Der perfekte Tag – mit möglichst viel Privatsphäre
• Wir basteln einen gläsernen Menschen

Privatsphäre-Verlust durch Social Networks

Autor: Philipp Schaumann

Letzte Änderung: Februar 2013

Aug. 2012:
Zuerst eine positive Nachricht: Pew Research Center hat in einer US-Studie (pdf) gefunden, dass die Social Network Benutzer begonnen haben, bei ihren Einstellungen und auch bei der Wahl der Freunde restriktiver zu sein, und die Zahl der Kontake sogar zu reduzieren.

Vorwort und Einleitung

An anderer Stelle findet sich eine ausführliche Einführung in die verschiedenen Ausprägungen die heute unter dem Begriff Social Networks zusammengefasst werden. Auf dieser Seite befasse ich mich nur mit den Auswirkungen der Social Networks auf Vertraulichkeit und Privatsphäre. Dabei geht es nicht nur um Social Networks wie StudiVZ, SchuelerVZ, MySpace, Facebook, Xing, Spock, klassentreffen, klassenfreunde, stayfriends, LinkedIn und andere sondern auch um Foto-Sharing Websites und Dating-Websites, die sehr ähnliche Fragen aufwerfen.

Facecrooks, berichtet laufend über Angriffe über Social Networks.

Wer übrigens glaubt, dass bei Social Networking Websites das größte Risiko wäre, dass jemand sieht, dass ich mal etwas zu viel getrunken hatte, der soll bitte auf Facecrooks vorbeischauen. Dort wird laufend über Angriffe über Social Networks berichtet. Auch Facebook selbst hat eine Security Seite. Sie gibt für angemeldete Mitglieder Sicherheitshinweise, enthält einen Quiz, einen Blog und viele Tipps. (Dort werden übrigens auch alle gelistet, die Sicherheitsprobleme an Facebook gemeldet haben).

Privatsphäre gegen Geschäftsmodell

Die gesamte Situation rund um Social Networking und Privatsphäre wird dadurch zu einem Problem, dass hier 2 Kräfte zusammentreffen die sich gegenseitig verstärken und die dritte Kraft, die weniger riskantes Verhalten im Internet fördern möchte, gegen die ersten beiden Kräfte wenig ausrichten kann.

Die ersten beiden Kräfte sind zum einen der Wunsch der (oft jugendlichen) Benutzer, sich selbst darzustellen, ihre Rolle und ihre Position zu finden und viele Freunde zu haben (beliebt zu sein).

Die zweite Kraft ist das (verständliche) kommerzielle Interesse der Betreiber, mit ihren Diensten Geld zu verdienen. Die Betreiber können aber nur Geld verdienen, wenn sie jemanden finden, der bereit ist, für diese Dienste zu zahlen. Die Benutzer der Social Networks sind dazu aber nur sehr begrenzt bereit (denn es gibt ausreichend kostenlose Alternativen). Bei den Nutzern gibt die Erwartung, dass solche Dienste (und fast alles andere im Internet) kostenlos sein sollten.

Das heißt, der Betreiber des Social Networks MUSS das, was die Benutzer in ihre Profile stellen, "weiterverkaufen". Nicht unbedingt, indem er diese Daten direkt verkauft, sondern z.B. indem er eine möglichst enge Verknüpfung von Werbeinhalten mit den Inhalten der Benutzer anbietet und den Werbetreibenden (anonymen) Zugang zu den potentiellen Kunden verkauft - d.h. die Website verkauft den Zugang zu seinen Nutzern.

Dies gelingt um so besser, je mehr Aktivitäten so öffentlich wie möglich einem möglichst großen Kreis sichtbar werden. Daher der ganze Anstrengung, durch regelmäßiges Aufweichen der Privatsphäre-Einstellungen und durch neue Tricks wie die "LIKE"-Buttons, die Konsumaktivitäten der Benutzer so transparent wie möglich zu machen. Die öffentlich gemachten Konsum- und Kaufaktivitäten sollen für andere eine Vorbildwirkung haben.

Ein kleiner Kreis von Freunden die auf MySpace oder FaceBook über philosophische Fragen oder über ihre Emotionen diskutieren bringt den Social Network Anbietern nicht viel. Die Nutzer erwarten kostenlose Services und sie erkaufen sich diese Services dadurch, dass sie so "öffentlich leben" dass sie für Werbetreibende als Zielgruppe einschätzbar werden.

Gegenkraft sind die Warnungen vor Missbrauch dieser öffentlichen Daten. Diese Gegenkraft ist aber hilflos gegen die "Trendys" die ständig erklären, wie "cool" es ist, möglichst viel von sich selbst preis zu geben. Und - wenig überraschend - sind die Betreiber der Social Networks ganz vorn mit der Behauptung, dass "Sharen" cool ist und nur zum Vorteil der Nutzer, die jetzt genau die Werbung bekommen, die sie wirklich interessiert.

Sehr prägnant hat Zadie Smith das in einem sehr lesenwerten Artikel im New York Review of Books beschrieben (Generation Why? - hier auf deutsch: Generation Warum?):

To ourselves, we are special people, documented in wonderful photos, and it also happens that we sometimes buy things. This latter fact is an incidental matter, to us. However, the advertising money that will rain down on Facebook—if and when Zuckerberg succeeds in encouraging 500 million people to take their Facebook identities onto the Internet at large—this money thinks of us the other way around. To the advertisers, we are our capacity to buy, attached to a few personal, irrelevant photos.

Zadie Smith macht noch viele andere Punkte, dieser hier scheint mir sehr relevant: Facebook (und andere Social Networks) wollen eine Plattform bieten, auf der eine Person sich darstellen kann. Der Rahmen für diese Darstellung wurde von einem pubertierenden jungen Mann kreiert: "Beziehungsstatus" - wähle genau einen aus (bist du zu haben oder nicht???). Lebst du eigentlich? - beweis es indem du Fotos hochlädst. Mach eine Liste dessen was du magst - aber bitte nur über konsumorientierte Dinge wie Filme und Schauspieler, Musik und Interpreten, Bücher, Fernsehserien, Gadgets, Brands. Abstrakte Vorlieben ohne Konsumorientierung, wie Lebenseinstellung, philosophische Ideen und Konzepte, Architektur lassen sich gegenüber Marketingleuten nicht verkaufen.

Der freiwillige Verzicht auf Privatsphäre

Es ist für jemanden aus der älteren Generation verblüffend, mit welcher Offenheit heute speziell junge Leute detaillierte und oft intime Informationen auf Netzwerksites veröffentlichen, in dem oft sehr ausführlichen Profil und im Tagebuch, aber evtl. sogar noch verknüpft mit anderen Informationen über Kaufinteressen, die sich z.B. aus Suchanfragen nach Kleinanzeigen ergeben. Oder aber verknüpft mit Informationen aus einem Persönlichkeitstest wie ihn z.B. Tickle.com online anbietet. Wenn dann der Service, wie z.B. www.orkut.com, auch noch mit Google vereinigt ist, der alle unsere Suchanfragen für immer aufhebt (und auch die Mails auf gmail thematisch auswertet), so liegen dort sehr viele private Informationen über uns vor, und vieles davon ist öffentlich abrufbar, anderes wird intern genutzt um ein möglichst genaues Persönlichkeitsprofil für gezielte Werbung zu erstellen.

Das interessante ist, dass dies die Teilnehmer nicht zu stören scheint. Evtl. hängt es damit zusammen, dass die meisten Teilnehmer noch relativ jung sind. Hier einige Beispiele unter dem Stichwort: Honestly, .....

Auch 2007: eine interessante Präsentation von Werbern für die US-Navy, in der sie ihre Probleme mit den jungen Menschen von heute beschreiben:

Teens are creating new forms of social behavior that blur the distinction between online and real-world interactions," the presentation says. Young people are "fiercely uninhibited" and perceive "all kinds of opportunities" in "their willingness to reveal themselves online." They "feel they are only one step away from fame."

Vielleicht ändert sich diese Freizügigkeit mit Informationen über sich selbst einmal, wenn sie eigene Kinder haben und diese Kinder mal im Internet recherchieren können, was ihre Eltern in ihrem Profil alles angegeben haben, bzw. früher angegeben hatten. Vielleicht ändert sich jedoch eher die grundsätzliche Einstellungen bezüglich dessen, was man als Erwachsener als "peinlich" empfindet und welche Aspekte seiner Jugendzeit man lieber nicht öffentlich präsentieren möchte.

"Nachdem Sie so hart für ihre Karriere gearbeitet haben stehen Ihnen jetzt alle Wege offen, vorausgesetzt Sie schaffen es, ihre nackten Partyfotos von Myspace zu entfernen" Okt. 2010: Dass dies eigentlich schon nicht mehr lustig ist zeigt ein Artikel 'Pre-crime' Comes to the HR Dept.. Dort wird ein US-Unternehmen vorgestellt, das für Personalabteilungen auf Grundlage von "Facebook, Twitter, Flickr, YouTube, LinkedIn, blogs, and "thousands of other sources" Dossiers über Bewerber zusammenstellt und die Bewerber nach Kategorien wie "Poor Judgment," "Gangs," "Drugs and Drug Lingo" und "Demonstrating Potentially Violent Behavior" einteilt. Dafür werden Fotos und Postings gesammelt und bewertet. Das Dumme daran ist, dass der Bewerber überhaupt keine Chance bekommt, irgendwas richtig zu stellen, er oder sie erfahren ja gar nicht, warum sie abgelehnt wurden. Die Autoren des Artikels werden in den Film "Minority Report" erinnert, in dem die Polizei nicht Menschen jagt, die ein Verbrechen begangen haben, sondern von denen erwartet wird, dass sie eines begehen.

August 2010:
Ein Artikel der NY Times The Web Means the End of Forgetting (19.7.) beschäftigt sich sehr detailliert mit diesem Thema und ist eher skeptisch. Sie bringen ziemlich pessimistisch-machende Beispiele, die zeigen, dass die notwendige Toleranz, mit jugendlichen Sünden großzügig umzugehen, (noch) nicht vorhanden ist, im Gegenteil:

According to a recent survey by Microsoft, 75 percent of U.S. recruiters and human-resource professionals report that their companies require them to do online research about candidates, and many use a range of sites when scrutinizing applicants — including search engines, social-networking sites, photo- and video-sharing sites, personal Web sites and blogs, Twitter and online-gaming sites. Seventy percent of U.S. recruiters report that they have rejected candidates because of information found online, like photos and discussion-board conversations and membership in controversial groups.

Oder eine Stimme aus Östereich, Karin Bauer im Standard:

Fast alle Headhunter und Firmen-Recruiter schauen online nach, was es über die Bewerber so gibt. Laut einer Studie von Microsoft werden Kandidaten schon vorab online ausgesiebt, weil nach Check von LinkedIn, Facebook & Co Bedenken zum Lebensstil aufkommen, unangemessene Blogs gefunden werden, unpassende Fotos und Videos schnell gesehen werden. Nicht viel besser werden von Karriereexperten hastig irgendwann angelegte Accounts mit alten, unvollständigen Informationen zur Person beurteilt. Ohne nachvollziehbare Online-Spur geht's also auch nicht.

Der ORF schreibt 2009 bereits: Nach dem Ergebnis der Studie des Dimap-Instituts, das die (deutsche) Bundesregierung in Auftrag gegeben habe, erklärte über ein Viertel der befragten Unternehmen (28 Prozent), sie würden bei der Auswahl von Bewerbern gezielt Informationen im Internet benutzen.

Wie die "Berliner Zeitung" berichtet, geschieht das in vier von fünf Fällen vor einer möglichen Einladung zum Vorstellungstermin. Als Quellen würden private Karriereportale und Soziale Netzwerke wie etwa Facebook und StudiVZ genutzt. Ein Viertel der Unternehmen gab in der Umfrage an, dass Bewerber wegen Informationen aus dem Netz nicht zum Vorstellungstermin eingeladen worden seien. 76 Prozent der Arbeitgeber bewerten es demnach als negativ, wenn sich Bewerber im Netz abfällig über ihre Jobsituation äußern. Auch allzu persönliche Inhalte, etwa Fotos von privaten Partys, bringen Nachteile.

Ein Problem liegt auch darin, dass viele Internetnutzer mit unterschiedlichen Rollen im Internet repräsentiert sind: auf einer Dating-Website geben sie ein anderes Bild von sich, als auf einer Website für Jobsuche. Und doch führt Google (oder jede andere Suchmaschine) das alles wieder zu einem Bild zusammen, das dann aber evtl. nicht das Bild ist, das ich für meinen zukünftigen Arbeitgeber abgeben möchte. (Von mir finden sich noch Gästebucheinträge im Internet, die ich in den 90igern mal gemacht hatte, und die heute über Google leicht zu finden sind.)

Lori Andrews: I Know Who You Are and I Saw What You Did: Social Networks and the Death of Privacy Das Buch beschreibt so ziemlich alle Beispiele die hier auf der Website zu finden sind, aber natürlich ausführlicher (und linear lesbar).

Context Collapse

Die Realisierung unterschiedlicher Rollen in unterschiedlichen Situationen gelingt immer schlechter. Früher (d.h. vor myspace und facebook) trat man im Netz unter Pseudonymen auf. Heute wird es in den Social Networks stark gewünscht (bzw. in den Benutzungsregeln sogar gefordert), dass jeder unter seinem wirklichen Namen auftritt. Und obwohl das natürlich nicht kontrolliert werden kann, tun es auch fast alle Mitglieder (was die Benutzer dazu verleitet, dem Namen im Profil ein erhebliches Vertrauen entgegen zu bringen und für Betrüger Tür und Tor öffnet). In Bezug auf Privatsphäre bedeutet es, dass alle Rollen einer Person (private und dienstliche) sehr leicht zusammengeführt werden können.

Facebook ist jetzt (Sommer 2012) dabei ertappt worden wie sie durch Rückfragen bei den friends versuchen herauszufinden, ob jemand ein Pseudonym verwendet. Hier ein Artikel zur Nutzlosigkeit des Realnamen-Zwangs mit vielen Details und Untersuchungen.

Bei den meisten der jungen Internet-Nutzer scheint die Bereitschaft zum Kommunizieren von mehr und mehr Details kaum Grenzen zu kennen. Der Trend geht zu Websites, bei denen das ganze Leben in allen Facetten transparent wird. Die US Social Networking Site Facebook hat gerade einigen Wirbel erzeugt, weil sie automatisch und ohne Rückfrage die Einkäufe der Mitglieder an alle deren Freunde kommuniziert haben. Jetzt gibt es dort die Möglichkeit, dies durch Opt-Out zu unterbinden, es wird bezweifelt, dass dies aus dem Mitgliederkreis viele tun werden.

danah boyd schreibt gute Analysen zu diesen Themen. In Facebook privacy settings: Who cares?gibt sie zuerst einen guten Überblick über die bewegte Geschichte der Privacy-Settings von Facebook und berichtet dann von ihren Studien. Sie findet dabei, dass die jungen Leute (US-College Studenten, 18 - 20 Jahre) sehr wohl auf Grund der Diskussionen um Privatsphäre sich der Problematik durchaus bewusst sind und die Einstellungen ihres FB-Accounts ändern. Dies betrifft besonders junge Frauen (die sich auch als besonders gefährdet sehen) und häufige Nutzer.

Ähnliches berichten auch andere US-Studien: "Online Privacy: Kids Know More Than You Think":

Most kids are well aware of risks, and make "fairly sophisticated" decisions about privacy settings based on advice and information from their parents, teachers, and friends. They differentiate between people they don't know out in the world (distant strangers) and those they don't know in the community, such as high school students in their hometown (near strangers).

. . . Just as adults do, tweens want to be in control of how they share personal information -- and they do it in order to cultivate friendships and intimacy. Ironically, their sense of invasion of privacy comes not from friends or strangers, but the growing presence of adults, according to a 2011 study by danah boyd and Alice Marwick.

Phantom Privatsphäre
Bruce Schneier stellt (April 2010) diese Zusammenhänge in Forbes recht gut dar: Google And Facebook's Privacy Illusion. Er beginnt mit dem Hinweis dass derzeit viele Manager die viel Geld damit verdienen dass die Benutzer ihrer Websites intime Details veröffentlichen erklären, dass das Bedürfnis nach Privatsphäre nicht mehr bestehe. Er sagt, das sei falsch (und ich stimme ihm da zu) und weißt dann daraufhin dass die jüngere Generation zwar weniger Sachen hat, die absolute Geheimnisse sind, aber dass sie trotzdem die Kontrolle über ihre persönlichen Daten haben möchten.

Und die Illusion dieser Kontrolle wird ihnen von den Suchmaschinen, den Social Networks und anderen Datensammlern sehr wohl vorgegaukelt (und dann im Kleingedruckten wieder entzogen, siehe die ständigen Versuche dieser Websites, die Privatsphäre-Einstellungen der Benutzer wieder freizügiger zu machen). Dabei wird ihnen dann ständig vermittelt, dass das Sharen von persönlichen Daten, von täglich neuen Fotos, augenblicklichem Aufenthaltsort auf 30 Meter genau, detailliertem Beziehungsstatus der Spaß ist, auf den junge Menschen die dazu gehören wollen nicht verzichten können.

Auch wenn überall veröffentlicht wird, dass man seine Profile nicht öffentlich machen soll so gelingt das doch offenbar nicht allen Nutzern: Die Wirtschaftskammer (WK) Oberösterreich hat in den Facebook-Fotos einer Kellnerin geschnüffelt, die Ende April 2012 im Krankenstand Party-Bilder von sich gepostet hatte.

Wissenschaftlich wird das Verhalten der Benutzer von solchen Websites in einer Studie Information Revelation and Privacy in Online Social Networks (pdf) untersucht. Die kurze Zusammenfassung: über 98% der untersuchten Facebook-Accounts hatten die Privacy-Einstellungen Grundeinstellungen (defaults) verändert, d.h. nicht eingeschränkt. D.h. ihre sehr persönlichen Daten waren über die Suchfunktion für alle Facebook-Benutzer auffindbar und das gesamte Profil selbst (oft auch mit sexuellen oder politischen Vorlieben) war für jeden sichtbar, dem es gelingt einen Email-Account von der gleichen Universität zumindest kurz unter seine Kontrolle zu bringen. [Die gesamten Datenbestände werden übrigens von externen Interessenten regelmäßig automatisiert abgezogen und archiviert (wer weiß, vielleicht wird jemand der Studenten später mal berühmt, immerhin behauptet facebook 80% aller US-Studenten seien ihre Nutzer)].

Studie über das Verhalten von US-Teenagern in Bezug auf erotische SMS oder Bilder - vermutlich ist das in Europa ähnlich Quelle: Malicious Mobile Threats - Report 2010/2011

Eine Studie aus den USA (siehe Graphik rechts) berichtet über eine große Bereitschaft von Teenagern, über die Handys erotische Texte, Bilder oder Videos zu verschicken, 29% auch an Menschen, die sie noch nie persönlich getroffen hatten.

Anderseits ist es auch bereits weitgehend egal, wie viel jemand selbst über sich veröffentlicht, sein Verhalten allein reicht aus um sehr weitgehende Aussagen über ihn zu treffen. Sie zeit die Studie Facebook friendships expose sexual orientiation, dass aus der Wahl der Kontakte (friends) durch entsprechende wissenschaftliche Methoden auf die sexuelle Orientierung geschlossen werden kann. Und das bedeutet, dass diese Informationen auch für andere Netzwerke auswertbar sind, z.B. für die Telefonanbieter und die Email-Anbieter. Wie viel aus Telefondaten zu lesen ist zeigt die Studie Sex differences in intimate relationships. Die Wissenschaftler haben das Anrufsverhalten von 3 Millionen Europäern nach Geschlecht und Alter der Handykunden ausgewertet und dabei interessantes alters- und geschlechtsabhängiges Verhalten entdeckt. Ganz nebenbei hätten sie auch herausfinden können, wer eine sexuelle Vorliebe für das eigene Geschlecht hat.

Eine Studie aus Großbritannien findet auf 76 Prozent der Bilder von 1.781 befragten britischen Facebook-Nutzern Bezüge auf Alkohol. 56 Prozent der Befragten gaben an, Fotos von sich selbst in angetrunkenem Zustand in ihren Facebook-Alben zu haben, die ihre Kollegen oder Arbeitgeber nicht sehen sollten. Acht Prozent gaben gar an, dass einige ihrer Facebook-Fotos sie in ernsthafte Schwierigkeiten bringen würden. Zwei Drittel der Umfrage-Teilnehmer gaben an, Bekannte absichtlich in Fotos zu markieren, um sie bloßzustellen. Die logische Folge: 93 Prozent mussten bereits Markierungen von sich entfernen, weil sie darauf in peinlichem Zustand abgebildet waren.

Folgende Gründe werden in der o.g. Studie für die extensive Datenfreigabe oder Datenweitergabe angeführt:

• die erhofften Vorteile (z.B. bei der Partnersuche) scheinen höher als die vermuteten Nachteile durch Privatsphäre-Verlust
• Druck durch die Freunde (Peer-Pressure - sich nicht selbst ausgrenzen, dabei sein) und Herdentrieb
• entspanntes Verhalten gegenüber Privatsphäre-Verlust
• Unwissenheit über das Ausmaß der Offenlegungen und die möglichen Gefahren
• Vertrauen in die Betreiber der Plattform und in die Harmlosigkeit und Gutmütigkeit aller anderen Nutzer
• Bequemlichkeit der Beibehaltung der Grundeinstellungen ("recommended settings")

Ein weiteres großes Problem, das in dieser Studie angesprochen wird, ist die Tatsache dass wir im richtigen Leben sehr differenzierte Abstufungen bei der Intimität / Vertraulichkeit gegenüber unseren Freunden machen. Dies lässt sich in den online Social Networks nicht wirklich abbilden. Da gibt es (fast immer) nur Friends, alle auf einer Ebene. Und Tests bei denen 250 000 Social Network -Benutzer automatisiert gebeten wurden, eine ihnen nicht bekannte Person als Friends zu bestätigen haben immerhin Erfolgsquoten von 30% gehabt. D.h. es ist für einen Datensammler recht einfach, automatisiert Friends mit vollem Datenzugriff zu sammeln, und noch einfacher geht es, wenn 'friends-of-friends' auch vollen Zugriff haben, wie bei einigen der Netze die Grundeinstellung.

Dazu kommt noch, dass nicht nur die Personen diesen Zugriff haben (und seit Beginn 2013 auch in einer bequemen Suchfunktion), sondern auch die Facebook Apps, die diese Friends oder Friends-of-Friends irgendwann mal aktiviert und längst vergessen haben.

Wissen Sie eigentlich, was über Sie im Internet zu finden ist?

Machen Sie doch mal die Probe, "googlen" Sie sich mal. (Tipp: Anführungsstriche rund um den Namen setzen, z.B. "Alice Mayer", sonst werden es zu viele falsche Ergebnisse.

Und kennen Sie 123people.at? Dort wird alles zusammengetragen, was über Sie (vermeintlich) im Web zu finden ist. Etwas änliches gibt es in Deuschland mit yasni.de und in Amerika mit spock.

'Vermeintlich' über die jeweilige Person, weil das Zusammenführen der Daten automatisiert passiert und alle 'Alice Mayer' zusammen erfasst werden, und noch einige weitere Personen, die zufällig in einem Zusammenhang dazu erscheinen. (So ist die Amazon-Wunschliste, die bei yasni.de unter meinem Namen erscheint, von einem anderen 'Philipp Schaumann', aber das kann niemand erkennen).

Ein Einspruch dagegen scheint nicht möglich, weil es keine Website gibt, die korrigiert werden könnte, die Ergebnisse werden dynamisch immer wieder erzeugt. Heute, 2008, bietet 123people an, dass ich meine Daten korrigieren kann - eine sehr interessante Falle: entweder ich spiele dieses Spiel mit oder über mich werden falsche Daten, z.B. falsche Wunschlisten veröffentlicht.

Was weiß Facebook über diejenigen, die Facebook gar nicht benutzen?

Das mag verblüffen, aber Facebook (und fast alle anderen Sozialen Netzwerke auch) sammeln auch kräftig Daten über die Nicht-Nutzer. Bei Facebook sieht das so aus: "Wenn du diese Funktion aktivierst, werden alle Kontakte von deinem Handy (Name, E-Mail-Adresse, Telefonnummer) an Facebook gesendet". Und wenn Sie nun im Adressbuch von einem Facebook-Nutzer stehen, so kann es gut sein, dass Sie ihre Daten, zumindest ihre Email-Adresse dort auch gespeichert ist. Weiter unten gibt es noch mehr zum Thema Informationen über Nichtmitglieder.

Passwort-Sharing ist wie Sex

Aktualisierung Jan. 2012: Ein Artikel in der NY Times berichtet, dass es bei vielen jungen Pärchen als ein Zeichen des Vertrauens gilt, die Passworte für die Social Networks auszutauschen - Hier ein deutschsprachiger Artikel dazu: Passwort-Tausch als Zeichen der Liebe 2.0. Und hier die Originalstudie dazu.

Spezialfall Dating Websites

Alles was über Social Networks wie Facebook, LinkedIn und Xing gesagt wird, gilt übrigens mindestens genauso für Dating Websites. Der Link hier führt auf einen guten Artikel der Electronic Frontiers Foundation EFF die darauf hinweisen, dass die Informationen und Fotos nach der Kündigung des Accounts oft noch lange im Internet zu finden sind (und oft auch über Suchmaschinen angeboten werden, damit nämlich viele Hits auf der Website landen), die Fotos über Face Recognition heute gut zu identifizieren sind (und sogar den Ort an dem das Foto aufgenommen wurde veröffentlichen) und viele der Anbieter es nachweislich mit der Security nicht sehr genau nehmen.

Ein gutes Beispiel für das "Nicht-so-genau-nehmen": Im Juni 2012 wurden der Dating-Website eHarmony, dass 1.5 Mio. Passworte gestohlen und im August gabs ein Passwort-Leck bei der deutschen Singlebörse meetOne (im Klartext gespeicherte Nutzerpasswörter).

Die Risiken

Es gibt grundsätzlich zwei Risikobereiche: das sind einmal die Informationen, die die Nutzer dieser Websites selbst eingeben, deren genaue Verbreitung sie in einem gewissen Umfang kontrollieren können und deren Veröffentlichung sie dann implizit durch die Annahme der Geschäftsbedingungen zustimmen.

Zusätzlich gibt es weitere Bedrohungen durch die oft sehr fehlerhaften und unsicheren technischen Implementierungen, die es Angreifern erlaubt, auch auf nicht freigegebene Informationen zuzugreifen. Die Privatspäre-Problematik von solchen sozialen Netzen beleuchtet der (bereits etwas ältere) Artikel in securityfocus.com (englisch). Aber auch wenn einige dieser Probleme heute evtl. behoben worden sind, so werden doch ständig neue Verwundbarkeiten bei diesen Diensten entdeckt und auch ausgenutzt. Ein Angreifer zeigt im Jänner 2008, dass er eine halbe Million Fotos aus 44000 nicht-öffentlichen MySpace-Profilen abziehen und veröffentlichen kann.

Quelle: Microsoft Security Intelligence Report volume 7 1H09

Aktualisierung Nov.2009:
Im Microsoft Security Intelligence Report volume 7 1H09 wird dargestellt, dass im Laufe der 1. Hälfte 2009 beim Phishing die Social Networking Websites alle anderen Bereiche, z.B. auch die Banken weit abgehängt haben. D.h. die Zugangsberechtigungen für diese Websites sind anscheinend echtes Geld wert.

Eine amerikanische Studie zu Digital Footprints (pdf, engl., 800 kB) berichtet über folgende Einstellung in Amerika:

Fully 60% of internet users say they are not worried about how much information is available about them online. Similarly, the majority of online adults (61%) do not feel compelled to limit the amount of information that can be found about them online. Just 38% say they have taken steps to limit the amount of online information that is available about them.

The Pew Internet Project has reported extensively on teenagers' use of social networking websites, finding that 55% of online teens have created an online profile and that most restrict access to them in some way, just 40% said their profile was visible to anyone. Looking at adults, their use of social networking profiles is much lower (just 20%), but those who use the sites appear to do so in a more transparent way, 60% say that profile can be seen by anyone.

Die Studie Imagined Communities: Awareness, Information Sharing and Privacy on the Facebook (pdf, englisch) untersucht die Einstellung, das Wissen und das Verhalten von Teilnehmern an der Website. Die Studie findet eine ziemliche Diskrepanz zwischen der Besorgnis und dem Verhalten. So geben die jugendlichen Teilnehmer z.B. an, dass sie besorgt darüber sind, jemand könnte ihre Adresse über Facebook herausfinden, was aber einige nicht davon abhält, sie trotzdem einzugeben.

Viele haben keine korrekten Kenntnisse über ihre Möglichkeiten, die Sichtbarkeit ihrer Profile zu begrenzen (dazu siehe unten), andererseits schätzen sie die Sichtbarkeit viel begrenzter ein, als diese wirklich eingestellt sind. Sie sind beunruhigt durch den Gedanken, die falschen Personen könnten Zugriff haben, glauben jedoch (fälschlicherweise), dies kontrolliert zu haben. Oft glauben sie auch, durch die Verwendung von Nick-Names ihre Anonymität sichern zu können (dass dies ein Trugschluss sein kann, zeige ich hinter dem vorigen Link).

Die Datenschutzerklärungen (Privacy Policy) haben sie entweder nicht gelesen (oder nicht verstanden), sie vermuten jedoch viel eingeschränktere Datenweitergabe-Möglichkeiten, als dies in der Realität der Fall ist. Sie sind beunruhigt darüber, wie viele Informationen über die anderen Teilnehmer öffentlich sichtbar ist, für sich selbst glauben sie jedoch, alles unter Kontrolle zu haben.

Einen sehr guten umfassenden Überblick über die Risiken von Social Network Sites gibt die Studie der ENISA (PDF, 2 MB, 2007). Hier eine Zusammenfassung der 15 Bedrohungen, die dort beschrieben werden.

1. Auswertung und Sammlung von Profil-Seiten
Ein großer Teil der Profile sind direkt öffentlich zugänglich, zumindest für jemanden, der sich selbst angemeldet hat, auf jeden Fall aber für die Kontakte (es gibt Profile mit bis zu 1 Million Kontakte, z.B. bei den Präsenzen von Firmen und Markennamen). Für jemanden der mit Daten handelt (mehr dazu unter Daten-Integratoren) ist dies eine tolle Fundgrube. Es sind auch schon Fälle von Erpressung nach Zugriff auf Social Networking Profile dokumentiert, speziell wenn jemand überrascht zu einer gewissen Prominenz kommt. Zu diesem Zweck sammeln Online-Kriminelle möglicherweise verfängliche Fotos oder Texte, archivieren diese und drohen (wenn der Benutzer die verfänglichen Details längst gelöscht hat) mit einer nachträglichen Veröffentlichung.

2. Handel mit indirekten Daten
Die Vertraulichkeitserklärungen (privacy policy) sind oft sehr vage oder weitgehend wenn es darum geht, was mit den beim Betrieb der Website anfallenden Daten geschehen darf. Da steht dann z.B. "nicht persönlich zuordnenbare Daten können für Werbungszwecke auch mit Dritten geteilt werden". Dazu gehören z.B. wie oft ein bestimmter (anonymisierter) Benutzer online war, welche anderen Profile er besucht hat, auf welchen Shopping Seiten er noch war, etc. (siehe im ersten Abschnitt für mehr Details). Die ENISA macht sich Gedanken über die finanziellen Bewertungen dieser Websites. Wenn heute für Facebook 286 US$ pro Profil gezahlt werden, so muss sich jemand einen entsprechenden Gewinn aus den Profilen und den beim Betrieb anfallenden Daten versprechen.

3. Gesichtserkennung- Face Regognition
Die Programme für Gesichtserkennung werden immer besser. Es ist heute kein großes Problem mehr, mit einer ziemlichen Genauigkeit aus einer Menge von Fotos diejenigen herauszufinden, die zur gleichen Person gehören. D.h. wenn ein Profil zwar anonym ist, aber ein Foto enthält (z.B. eine Dating-Website), dann kann ein Programm dieses Gesicht auf anderen Websites, wo der gleiche Teilnehmer nicht anonym ist, wiederfinden (z.B. of Flickr oder auf der Firmenwebsite, bei der diejenige angestellt ist).

Aktualisierung Dez. 2010: Facebook hat gerade eine automatisierte Gesichtserkennung angekündigt. Dabei geht es um die "Tags" mit denen die Benutzer markieren können, welche Personen auf einem Foto zu sehen sind (mit einem Link zu deren FB-Seite). Das funktioniert so: Jemand lädt ein Foto mit Gesichtern hoch, FB analysiert die Gesichter und vergleicht diese mit anderen Fotos die irgendwo auf FB gespeichert sind, z.B. als Profilfoto oder auf einem früher von diesem oder einem anderen Benutzer hochgeladenen Foto. Dann macht FB Vorschläge wer das sein könnte. Ein Benutzer muss aktiv in den Privatsphäre-Einstellungen anwählen dass er/sie nicht automatisiert gefunden werden kann. Ein großes Problem dabei ist, dass unabhängig davon ob das Tagging automatisiert oder traditionell manuell erfolgt, bei Facebook eine riesige Sammlung von identifizierten Gesichtern entsteht, an der die Überwachungsbehörden sehr interessiert sind.

4. Content-based Image Retrieval (CBIR)
Dies ist ein Gebiet der künstlichen Intelligenz (AI), bei der es darum geht, dass ein Programm erkennen kann, was auf einem Foto abgebildet ist. Auf diesem Gebiet wurden in der letzten Zeit große Fortschritte gemacht. Facebook berichtete im Mai 2007 von 1.7 Milliarden Fotos, die z.B. automatisch durchsucht werden können, wie viel "nackte Haut" auf dem Foto zu sehen ist.

5. Verknüpfung durch "Tags" und "Meta-Daten"
Facebook berichtete auch von 2.2 Milliarden Personen, die auf den Fotos "tagged" wurden, d.h. wo jemand einen Namen zugeordnet hat. Auch dies ist eine Möglichkeit, trotz anonmymen Profils erkannt zu werden. Ein weiterer Trick sind die "Image Metadaten". Jede Digitalkamera speichert eine große Zahl von Informationen, z.B. Blende, Belichtung, Datum, Uhrzeit, Seriennummer der Kamera, etc. Letzteres ist schon verwendet worden, um den Fotografen zu identifizieren (Harry Potter and Digital Fingerprints.

6. Problem der Löschung von Accounts und der Inhalte außerhalb meiner Kontrolle
Das Löschen von Accounts ist entweder sehr schwierig, oder ganz unmöglich (dann wird nur eine "Inaktivierung" angeboten). Ein weiteres Problem liegt darin, dass oft auch eigene Äußerungen außerhalb des eigenen Profils zu finden sind, z.B. in Gästebucheinträgen anderer Nutzer - diese Unterliegen nur selten meiner Kontrolle und werden auch nur selten beim Austritt gelöscht. Der dritte Punkt betrifft Äußerungen über mich, die andere Nutzer der Website hinterlassen haben. Dazu gehören z.B. die Tags auf Fotos. Eine vollständige Beseitigung der digitalen Spuren ist fast unmöglich. Mehr dazu in der Frauenhofer-Studie, die weiter unten verlinkt wird. Futurezone hat zum Löschen auf Facebook einen guten Artikel mit Links.

7. Social Networking Spam
Es gibt automatisierte Programme, die Suchen nach Profilen die öffentlich erreichbar sind und a) bitten dann im Kontaktaufnahme (damit der volle Zugriff auf das Profil möglich wird, friendbots) oder b) senden eine Nachricht, oft auch mit einem Link auf eine Website ("schau, hier ein heißes Foto von mir"). Solche Links können dazu genutzt werden, den Rechner des anderen zu infizieren.

8. Technische Verwundbarkeiten der Websites, Viren, Würmer
Viele der Websites sind unsauber programmiert und können von Angreifern ausgetrickst werden. Dies ermöglicht vollen Zugriff auf ALLE Profile (auch die inaktiven), auf ALLE Fotos und auf die Zugriffsinformationen. Ein Ausspähen der Passworte wie oben dokumentiert erlaubt es, im Namen dieser Nutzer Spam und anderen Schmutz zu versenden. Spezielle Würmer sind darauf spezialisiert, sich zwischen den Nutzern zu verbreiten.
Aktualisierung Nov. 2010: heise.de berichtet Koobface-Server vom Netz genommen. Koobface (ein Anamgram von Facebook) verbreitet sich einer Analyse (PDF) der kanadischen SecDev Group zufolge vor allem über soziale Netzwerke. Dort verschickt es Links auf Webseiten, die den Computer mit Schadsoftware infizieren. Geld verdienen die Botnetz-Betreiber, indem sie die übernommenen PCs Klicks auf Online-Anzeigen oder Downloads von Scareware ausführen lassen.

9. Social Network Aggregatoren
Dies sind Anbieter, die es emöglichen sollen, auf mehreren dieser Websites präsent zu sein, ohne überall die Daten zu pflegen. Das Risiko dabei ist, dass diese Websites auch einem Angreifer ermöglichen auf alle meine Profile auf den unterschiedlichen Websites zuzugreifen.

10. Phishing über Social Networks
Soziale Netze von Freunden, die sich gegenseitig vertrauen, sind auch eine tolle Gelegenheit für Phishing-Attacken um z.B. das Passwort zu ergaunern (hier dokumentiert). Dabei wird leicht übersehen, dass die Kontakte auch friendbots sein können (d.h. Angreifer, die einfach ein attraktives Fotos als Lockmittel genutzt haben). Hier noch eine Studie zu Social Phishing.
Aktualisierung Nov. 2010: Facebook Attracts More Phishing Attacks Than Google

11. Infiltration der Kontaktnetze
Die Restriktion der Zugriff für direkte Kontakte oder Kontakte von Kontakten ist kein wirkliches Schutz, siehe Punkt 7 und Punkt 10. D.h. es ist relativ leicht für Datensammler, eine große Zahl von direkten oder indirekten Kontakten zu sammeln und auf diese Weise die Profile zu "ernten". Die Antivirusfirma Sophos hat einen Test durchgeführt: Sie haben für einen grünen Plastikfrosch ein Profil mit minimalen Informationen erstellt und 200 Kontaktwünsche rausgeschickt. 87 Personen sind darauf eingestiegen. Siehe auch friendbots und addnewfriends
Aktualisierung Nov. 2010: Ein gutes Beispiel wie einfach und effizient das ist: Der virtuelle Lockvogel. Ein Test hat in Facebook eine Kunstfigur geschaffen: Robin Sage, 25 Jahre alt, Absolventin der renommierten Technischen Hochschule in Massachusetts, Analystin für Cybersicherheit der US-Marine samt zehn Jahren Berufserfahrung. Die Fotos der Dame stammten von einer Porno-Website. Ergebnis: An die 300 hochrangige Militärs, Mitarbeiter der NSA, Industrielle und Politiker schickten ihr Freundschaftsanfragen und ließen sich nur allzu freimütig vertrauliche Informationen entlocken, inkluse militärische Geheimnisse.

12. Falsche Profile zwecks Rufschädigung
Hierunter wird verstanden, wenn jemand ein Profil für eine andere (reale oder fiktive) Person anlegt. So hat Galileo auf MySpace ein Profil mit 3000 Kontakten. Problematisch wird es, wenn jemand ein Profil einer realen Person anlegt und dort negaties über sich selbst (d.h. das Opfer) hinterlässt, andere verleumdet, etc.
Aktualisierung Nov. 2010: Die Presse.com berichtet über 'Tatort Internet': Eine Frau in Ö verleumdete ihren Exfreund im Internet als Pädophilen. In anderen Fällen veröffentichen Männer private Nacktfotos ihrer Ex-Freundinnen (4 Monate Gefängnis in Neuseeland). Oft bedenken die Täter dabei nicht, dass sie recht leicht aufgespürt werden können.

13. Stalking
In vielen Profilen finden sich reale Adressen, oder Hinweise darauf (z.B. Arbeitgeber und Arbeitsplatz) oder zumindest E-Mail Adressen. Beim Stalking geht es darum, dass entsprechend gestörte Mitmenschen das Opfer real oder virtuell verfolgen, ihm auflauern oder ständig belästigen. Hier Statistiken (pdf)

14. Cyber Bullying
Hier geht es darum, dass das Opfer durch gezielte und oft koordinierte Angriffe "fertig gemacht wird". Der Selbstmordfall Megan Meier wurde ausführlich dokumentiert, stellt aber nur die Spitze des Eisbergs dar. Megan Meier, ein junges Mädchen, wurde von der Mutter ihrer Ex-Freundin mittels vorgespielter Kommunikation mit einem vermeintlichen Jungen in den Selbstmord getrieben. Auch aus England werden ähnliche Fälle gemeldet. Eine 18-jährige Britin wurde wegen einer Todesdrohung in einem Social Network zu 3 Monaten Gefängnis verurteilt.

2011 wird eine große europäische Studie der London School of Economics and Political Science (LSE) zum Internetverhalten von Kindern veröffentlicht. Bei dieser Studie aus dem Oktober 2010, bei der 1000 Kinder aus Österreich zwischen neun und 16 befragt wurden, lag Österreich bei Mobbing-Fällen mit 27 Prozent EU-weit an vierter Stelle. Beim Cybermobbing waren es sieben Prozent, der EU-Schnitt lag bei fünf Prozent. Hier der Link zur Studie als PDF: EU Kids Online - Risiken im Internet.

Ein guter Artikel zu dieser Studie: Cybermobbing: "Jugend testet Grenzen aus". Darin sagt Psychologin Petra Gradinger von der Universität Wien: "Das neue Medium ist nicht das Problem. Wenn jemand Täter oder Opfer ist, ist er das meist auch im realen Leben. Das zeigen unsere Studien". Bei einer repräsentativen Studie der Universität Wien unter 14- und 15-Jährigen mit insgesamt 750 Befragten zeigte sich deutlich, dass die meisten Betroffenen auch "traditionelle Opfer oder Täter" sind. "Das Internet ist oft nur die Spitze des Eisbergs", meint Gradinger.

Bullying-Schutz und Gegenwehr: Deutsche Jugendliche können sich zu so genannten "Scouts" ausbilden lassen, die dann etwa Opfern von Cyber-Mobbing kompetent helfen sollen. Das Projekt wird führend von der Niedersächsischen Landesmedienanstalt getragen, die Landesmedienanstalten von Bremen, Hamburg/Schleswig-Holstein und Mecklenburg-Vorpommern beteiligen sich ebenfalls. Link dazu .

Für Eltern: Cyberbullying & SchülerVZ, StudiVZ & co. Tipps für Kinder, Eltern und Lehrer zu Mobbing, sowie Chatten. Die deutsche Polizei gibt Tipps für Opfer von vielen Arten von Kriminialität und bietet lokale Beratungsstellen an. Hier noch ein Artikel des BSI Cybermobbing ist kein Kinderspiel.

In Österreich warnt die Arbeiterkammer vor einem bedenkenlosen Umgang mit Sozialen Netzwerkplatformen und bietet eine Ratgeber zum Download an.

15. Industriespionage
Diese Social Networking Sites sind eine Fundgrube für jemand, der in näheren Kontakt mit einem Mitarbeiter der Konkurrenz treten möchte um an Betriebsgeheimnisse zu kommen. Mehr dazu siehe auch weiter unten und hier.

Aktualisierung Feb. 2010:
Die europäische Organisation ENISA ist durch neuerliche Probleme in Social Networks so beunruhigt, dass sie wieder eine neue Studie herausgegeben hat. Sie warnt in einem neuen Bericht vor Identitätsdiebstahl, Verbreitung von Malware, Datenverlust von Unternehmen und Reputationsrisiko und geben konkrete Ratschläge, z.B. nicht unter dem wirklichen Namen in Social Networks aufzutreten.

Aktualisierung Jan. 2011:
In einer Podiumsdiskussion wird über die speziellen Probleme von Social Networking im Arzt-Patienten-Verhältnis gesprochen. "Szekeres zitierte dort eine aktuelle Studie aus Frankreich, wonach Ärzte auf Sozialen Plattformen wie Facebook oft sehr sorglos mit ihren privaten Daten umgingen. Häufig akzeptierten sie Patienten als „ihre Freunde“ .....". Auch wird berichtet, dass speziell in den USA Medizinstudenten häufig Geschichten und medizinische Details ihrer Patienten posten.

Nigeria-Scams / 419-Scams

Noch ein Wort der Warnung: wie überall im Leben so lauern auch auf Dating Websites Betrüger. IBM Internet Security hat in ihrem Quarterly Report July 2009 berichtet ab Seite 16 über Betrug im Internet (pdf) und berichtet u.a. wie Betrug auf Dating-Websites abläuft. In der Regeln kommen die Kontakte aus einem fernen Land und vor der ersten Begegnung muss Geld für Flugtickets, Visum-Anträge, etc. geschickt werden. Oder es wird auf die Tränendrüsen gedrückt, es wird von kranken Familienmitgliedern berichtet, die dringend Geld für medizinische Versorgung brauchen.

Ebenfalls in diesem Bericht erwähnt wird die Technik, Adressen von Betrugsopfern zu handeln, weil die gleichen Personen immer wieder auf einen Betrug reinfallen, es gibt so viele unterschiedliche Varianten. Hier ein entsprechendes Beispiel-Email. Der gleiche Effekt wird auch in diesem 260 Seiten Bericht The psychology of scams: Provoking and committing errors of judgement beschrieben.

Datensammlung durch Werbetreibende

In vielen Fällen werden detaillierte und persönliche Informationen über die Nutzer des Social Netzwerks an die Unternehmen gesendet, die dort Werbung schalten. Dies geschieht ganz automatisch beim Abrufen der Werbegraphik und ohne dass der Benutzer auf irgendwelche Werbung klicken muss. Eine Studie On the Leakage of Personally Identifiable Information Via Online Social Networks zeigt, dass viele Social Networks bei der Darstellung von graphischen Elementen auch die interne Benutzer-ID ihrer Mitglieder mitsenden, mit deren Hilfe der Werbetreibende in aller Regel auf das Profil (mit Name, Foto und vielen privaten Details) zugreifen kann. Dies funktioniert immer, außer der Nutzer des Netzwerks hat diese Daten explizit gesperrt, was aber beim Namen fast nie der Fall ist. Und weil manche Benutzer Details wie die Email-Adresse nicht öffentlich machen, so senden einige der Social Networks solche Daten ihrer Nutzer beim Abruf von Werbeeinschaltungen automatisch ganz explizit zu den Werbetreibenden (auch wenn dies in den Datenschutzerklärungen oft anders dargestellt wird). Details finden sich in der o.g. Studie.

Datensammlung durch Apps-Anbieter (z.B. Facebook Apps)

Ein ganz spezielles Thema sind die Apps, d.h. die Programme die in vielen Social Networks angeboten werden und die dann im Context des jeweiligen Benutzers irgendwelche lustigen oder praktischen Sachen machen, oft Spiele. Nachdem der Benutzer einmal zugestimmt hat, kann ein solches Programm fast alle Profildaten auslesen und dann damit machen, was es möchte, z.B. auch den Programmierer der Anwendung übertragen.

Die Website apps.secure.me/ hat 500 000 Facebook Apps untersucht und beschreibt für jede, welche Daten diese App sammelt.

Sehr problematisch ist, dass durch diese Datensammlung nicht nur die eigenen Daten im Zugriff sind, sondern auch die Daten meiner Friends (die dazu überhaupt nicht gefragt wurden und daher auch nicht zugestimmt haben). Dies gilt nicht für die eigentlichen "menschlichen Friends", sondern Zugriff haben auch alle Firmen, deren Fan ich geworden bin (oder deren Fan einer meiner Friends geworden ist), auch die haben Zugriff auf meine Daten und meine Freundesliste.

Das Wallstreet-Journal bringt eine gute Untersuchung darüber, wie weitgehend solche Apps in die Privatsphäre von denen eingreifen, die die App gar nicht installiert haben: Selling You on Facebook .

"Many popular Facebook apps are obtaining sensitive information about users—and users' friends—so don't be surprised if details about your religious, political and even sexual preferences start popping up in unexpected places."

Zusätzlich zu dem Tracking durch den Apps Anbieter gibt es dann auch noch Werbung in den Apps:

"Dozens of apps allow advertisers that haven't been approved by Facebook within their apps, which enables advertisers including Google to track users of the apps. . . . Apps as the popular quiz games "Between You and Me" and "Truths About You" sought dozens of personal details - including the sexual preferences of users and their friends

Betrug in Game Apps (z.B. Facebook Apps)

In einigen Social Networks gibt es Anwendungen (Apps, nicht zu verwechseln mit Smartphone-Apps), die von unabhängigen Anbietern entwickelt wurden und die viele sinnvolle oder weniger sinnvolle Funktionalitäten bieten. Eine der Problematiken ist, dass solche Anwendungen, nachdem ein Benutzer sie auf seiner Profilseite eingebunden hat, weitgehenden Zugriff auf alle Daten dieses Benutzers haben. Aber es gibt noch andere Probleme.

Es gibt da offenbar einen sehr ungesunden Trend zu Betrug in Games Apps. Die Details finden sich in Scamville: The Social Gaming Ecosystem Of Hell. Ein dort beschriebens Beispiel sieht so aus: es gibt in MySpace und Facebook kostenlose Spiele, bei denen man jedoch gegen Gebühr in einen höheren und interessanteren Level kommen kann. Alternativ kann der höhere Level aber auch angeblich kostenlos erreicht werden, indem z.B. an einem Quiz teilgenommen wird. Am Ende des Quiz muss die Handynummer eingegeben werden. Dann bekommt man ein SMS mit einem Code, den man auf der Website eingeben muss. Was der Benutzer übersehen hat ist, dass irgendwo anders auf der Website stand, dass durch die Eingabe des Codes ein monatliches Abo von 10$ abgeschlossen wird.

In einem anderen Betrug wird dem Benutzer eine kostenlose Lern-CD von einem "Video Professor" angeboten, 10$ Versandspesen müssen jedoch über Kreditkarte gezahlt werden. Dann folgen noch viele weitere CDs und dann eine Rechnung üver 189$. Denn irgendwo stand im Kleingedruckten, dass die CDs nur dann kostenlos sind, wenn sie innerhalb einer bestimmten Zeit zurückgesandt werden. (in dem o.g. Blogbeitrag gibt es noch reichlich weitere Links zur dunkleren Seite der Games in Social Networks).

Solche Sachen verstoßen innerhalb der EU gegen diverse Verbraucherschutzgesetze. Nur hilft das nicht viel, denn eine Klage in den USA kann sich keiner der (zumeist Jugendlichen) Betroffenen leisten. Und die Kreditkartenfirmen erstatten das Geld auch nicht zurück, weil ja irgendwo auf der Website die wirklichen Bedinungen zu lesen waren und deswegen ein gülter Vertrag zustande gekommen ist.

Bruce Schneier berichtet über Erpressung in Online-Games durch Ausnutzung eines Reputations-Systems, das auch negative Bewertungen erlaubt. Dies ist nicht nur ein Problem für Games, ähnliche Ratings sind auch bei vielen anderen Platformen wie eBay, Amazon, etc. möglich.

Location, Location

Die Kommunikation des Standorts wird 2010 immer mehr zum Thema in Social Networks. Viele Anbieter offerieren jetzt eine Funktionalität, wo ein Benutzer bei einer Lokation elektronisch "einchecken" kann und dann sieht, wer noch alles dort eingecheckt ist und schauen kann, ob er jemand davon kennt. Ein guter Artikel dazu ist auf er EFF-Website: On Locational Privacy, and How to Avoid Losing it Forever.

Mehr und mehr Smartphones haben auch GPS und speichern den Aufnahmeort in den Meta-Daten der Bilder oder Videos (EXIF-Daten). Wenn diese dann eine heimische Idylle zeigen, so ist auch klar klar, wo man selbst und die Kinder zu finden sind. Und wenn im Tweet noch steht, das ich gerade in Urlaub fahre, so ist das eine nette Einladung. Die Website IcanStalkU.com zeigt kontinuierlich wie Menschen über Twitter Fotos hochladen und damit (wissentlich oder unwissentlich) ihre Standorte posten. Die Website bringt auch Tipps zum De-aktivieren der GPS-Daten im EXIF für iPhone, Android-, Blackberry- und Palm-Geräte.

Facebook (und andere Netze) machen zunehmend Stress

Eine interessante Studie hat untersucht, ob Facebook-Freunde Stress steigern. Die kurze Antwort, lt. dieser Studie, ist JA. Futurezone fasst die Ergebnisse folgendermaßen zusammen: "Zwölf Prozent der Befragten gaben an, dass Facebook Angstgefühle auslösen würde. Diese gestressten Nutzer haben im Schnitt deutlich mehr Facebook-Freunde (117) als jene, die keine Stresssymptome an sich beobachteten (75 Freunde)". D.h. mehr digitale Friends sind nicht unbedingt ein Segen, sondern eher eine neue Stressquelle, vermutlich weil dadurch auch mehr Druck entsteht, diesen vielen Freunden auch etwas bieten zu müssen. Wenn Benutzer nicht Online sind, so kommt leicht das Gefühl auf, "etwas zu verpassen". Hier einige Details der Umfrage:

• 63% zögert die Beantwortung von Friend-Requests hinaus
• 32% berichtet, dass das Ablehnen eines Friend-Requests Schuldgefühle und Unbehagen bedeutet
• 10% sagt, dass Friend-Requests grundsätzlich Unbehagen bereiten

Datensammlung über Nicht-Mitglieder

Ein Artikel in der futurezone des ORF (7.7.2010) berichtet über ein Bußgeldverfahren der Hamburger Datenschutzbehörde. Es geht um Facebook und ihre Friendfinder Funktionalität.

Hier das Problem: Beim Registrieren auf Facebook (FB) (und jederzeit später) bietet FB an, dass sie gegen kurzfristige Überlassung des Passworts für sein Webmail-Account dort einmal nachsehen, wer von den Email-Partnern des FB-Benutzers bereits einen FB-Account hat. Diese Personen werden dann aufgelistet und der FB-Benutzer kann sich überlegen, ob er diese Personen als Friend einladen möchte.

FB stellt sich auf den Standpunkt, dass der Benutzer für seine eigene Privatsphäre selbst verantwortlich ist. Das Problem liegt jedoch darin, dass das personenbezogene Datum "A kennt B" zwei Personen betrifft, nämlich A und B. A hat zugestimmt, B weiß gar nichts nichts von dieser Übertragung seiner Daten an FB und hat daher auch nicht zugestimmt.

FB (und mittlerweile die meisten der anderen Social Networks, die die gleiche Funktionalität anbieten) durchsuchen das Email-Verzeichnis aber nicht nur nach Mitgliedern, sondern sammeln und speichern auch alle Nicht-FB-Mitglieder die sie auf diese Weise finden. D.h. in unserem Beispiel wird die Email-Adresse vom Nicht-Mitglied B und die Tatsache, dass er A kennt von FB ausgelesen und gespeichert. Falls sich später Person B bei FB anmeldet, so ist bereits die Vernetzung mit dem FB-Nutzer A bekannt und beiden kann sofort der jeweils andere als Kontakt vorgeschlagen werden ohne dass der neue Benutzer B seinen Webmailer für FB freigegeben hat.

D.h. der Benutzer A hat durch die Weitergabe seiner sozialen Kontakte an FB auch (ungefragt) Daten aller seiner Email-Partner hochgeladen. Bei FB-Nutzer A kann man davon ausgehen, dass dieser der Preisgabe seiner eigenen Daten zugestimmt hat, aber FB besitzt auf diese Weise auch (wenn auch unvollständige) Daten über Menschen, die (noch) gar keine FB-Benutzer sind.

Im Selbsttest habe ich einen FB-Account eingerichtet, keine Informationen über mich eingegeben außer meiner (nicht-zu-veröffentlichenden) Email-Adresse und schon kamen recht überraschende Vorschläge für Freunde. Die einzige Erklärung dafür ist, dass die anderen Personen ihr Email-Accounts freigegeben hatten und daher FB mich bereits in ihrer Datensammlung hatte.

Der Artikel erklärt, dass es bei FB irgendwo auf den Datenschutzseiten eine Möglichkeit gäbe, mit deren Hilfe sogar Nicht-Mitglieder sehen können, was FB über sie gespeichert hat und dies zu löschen. Ich habe so eine Möglichkeit nicht gefunden. Andererseits ist wiederum klar, dass FB gar nichts löschen wird. Sie bieten nämlich auch die Möglichkeit dass Nicht-Mitglieder, die wiederholt eingeladen werden, in einer Antwort-Email mitteilen können, dass sie nie wieder eingeladen werden möchten. Und das funktioniert natürlich nur, wenn die Daten über den FB-Verweigerer gespeichert und entsprechend markiert werden.

FB ist auch schon dabei erwischt worden, dass sie Nicht-Mitglieder im Namen eines Mitglieds eingeladen haben, ohne dass das Mitglied dies wusste (weil das Mitglied seinen Email-Account gar nicht freigegeben hatte). An anderer Stelle mehr Details zur Argumentation von Facebook zu diesen und anderen Fragen.

Wie weit das gehen kann zeigen einige Studien wie z.B. One Plus One Makes Three (for Social Networks). Dort wird aufgezeigt wie die Wissenschaftler auf Grund der Analyse der Daten von 2 Mitgliedern Erkenntnisse über ein drittes Nicht-Mitglied gewinnen konnten.

Kreditwürdigkeit auf Grund des sozialen Umfelds

Hier ein Bericht darüber, dass Banken (in einigen Ländern) damit beginnen, mittels Facebook, Twitter, LinkedIn, etc. das Umfeld eines Kunden zu beurteilen der einen Kreditantrag stellt. Statistisch ist bestimmt was dran, dass jemand, dessen Freunde bereits mehrmals Kredite nicht zurückgezahlt haben, mit einer leicht höheren Wahrscheinlichkeit den Kredit auch nicht zurückzahlt. Oder dass sich aus dem Wohngebiet eines Antragsstellers auf die Wahrscheinlichkeit der Nicht-Rückzahlung schließen lässt. Das Ungerechte daran ist natürlich, dass bei solchen statistischen Methoden aus einer Korrelation, die nichts über den Einzelfall aussagt, Entscheidungen bezüglich des Einzelfalls getroffen werden. D.h. die faire Methode zur Beurteilung eines Kreditantrags ist, sich jeden Einzelfall im Detail anzuschauen.

Aktualisierung Juni 2012:
Der große Datenschutz-Skandal in Deutschland: Die größte deutsche Wirtschafts-Auskunftei Schufa überlegt, künftig verstärkt Informationen aus dem Internet für die Berechnung der Kreditwürdigkeit heranzuziehen. In einem Forschungsprojekt mit der Universität Potsdam wurde bereits ausgelotet, wie Facebook- und Twitter-Daten ausgewertet werden können.

Laut einem Bericht des NDR sollen unter anderem die Kontakte von Facebook-Mitgliedern herangezogen werden, um Beziehungen zwischen Personen zu untersuchen und so Zusammenhänge mit der Kreditwürdigkeit der Verbraucher zu finden. Dazu sollen Social Bots eingesetzt werden, die ich auf dieser Weise an anderer Stelle erwähnt habe. Zudem sei die Analyse von Textdaten denkbar, um „ein aktuelles Meinungsbild zu einer Person zu ermitteln.“ Im Ziel sind aber auch berufliche Netzwerke wie Xing oder LinkedIn, der Kurznachrichtendienst Twitter, Personensuchmaschinen wie Yasni, Geodatendienste wie Google Street View und selbst Mitarbeiterverzeichnisse von Unternehmen oder den Autorenkatalog der Deutschen Nationalbibliothek. Digitale Marktplätze wie Immoscout sind nach einem "Welt"-Bericht ebenfalls im Visier.

Diskutiert wurde gar, wie die Schufa über eigene Facebook-Profile oder Zugänge zum Kurznachrichtendienst Twitter verdeckt an „Adressen und insbesondere Adressänderungen“ anderer Nutzer gelangen kann. Angedacht sei auch die „automatisierte Identifikation von Personen öffentlichen Interesses, Verbraucherschützern und Journalisten“. Die Unterlagen auf ndr.de.

Nach einem Aufschrei von Datenschützern und Politiker wurde das Projekt eingestellt und als "Missverständnis" bezeichnet. Über mehr als nur Überlegungen außerhalb von Europa berichet im Juni 2012 die Futurezone: Big Data entscheidet über die Kreditwürdigkeit. Der Bericht sagt, dass bisher zwar Data Mining Techniken zur Abschätzung der Kreditwürdigkeit genutzt werden, jedoch (bisher) nicht basierend auf öffentlichen Daten wie denen in den Social Networks. Das ist aber außerhalb von Europa (da wo viele der Websites liegen, die wir benutzen) oft ziemlich anders.

Rein wirtschaftlich ist natürlich die Versuchung groß, sich solcher Dienste zu bedienen die automatisierte Risikoprofile erstellen weil sie großflächig (mit welchen Methoden auch immer) das gesamte "Daten Öko-System" der sozialen Netze auswerten. Die NY Times hat dazu einen recht guten Artikel. Der Autor sagt, dass wir derzeit alle kräftig mithelfen dieses riesige "Daten Öko-System" zu befüllen. Wir tun dies nicht nur durch unsere Postings in den Social Networks, sondern auch durch unsere Online-Einkäufe, durch unsere Anfragen an Suchmaschinen und alle anderen Aktivitäten im Netz, die alle irgendwo Datenspuren hinterlassen. Dieses "Daten Öko-System" nicht zu nutzen wird auf die Dauer ein Wettbewerbsnachteil sein.

Social Advertising - Sponsored Advertisement - Sponsored Stories

Der NY Times Artikel geht dann auch noch auf Social Advertising ein. Das ist ein neues Schlagwort bei dem es darum geht, dass die sozialen Netze (nicht nur Facebook, auch LinkedIn und irgendwann alle anderen auch) die Tatsache ausnutzen, dass wir empfänglicher für die Empfehlungen unserer Freunde sind als wir reguläre Werbung. Social Advertising bedeutet, dass der Nutzer darauf aufmerksam gemacht wird, welche Kaufentscheidungen seine Kontakte getroffen haben. Selbst die Businessplatform LinkedIn hat das jetzt eingeführt und zwar per-default aktiv für alle, die dies nicht sperren.

Social Advertising wird zur reinen Manipulationsmaschine, wenn z.B. ein Unternehmen oder eine Regierung solche simulierten "Friends" (oder lebende, aber bezahlte "Friends") dazu nutzt, um mehr oder weniger subtil die Meinung oder das Verhalten der realen Menschen zu beeinflussen. Dies funktioniert recht gut weil wir Menschen nun mal sehr soziale Wesen sind, die sich von der Tatsache, dass in ihrem erweiterten "Freundeskreis" auf einmal ganz viele etwas bestimmtes kaufen oder tun sehr leicht beeinflussen lassen. Wir haben es dann mit Social Engineering im ursprünglichen Wortsinne zu tun, nämlich dem aktiven Verändern des Verhaltens einer großen Zahl von menschen. Da der Begriff Social Engineering aber heute leicht anders verwendet wird, wird in dem Artikel "Social Architecture" vorgeschlagen.

Aktualisierung Juni 2012:
Die NY Times berichtet, dass Facebook durch Gerichtsbeschluss gezwungen wird, den Like-Button zu entschärfen. Es geht darum, dass seit einiger Zeit Facebook das Klicken auf "Gefällt mir" interpretiert als die Erlaubnis, dieses "Gefällt" den Friends des Benutzers als Werbung zu zeigen. Das funktioniert so: ein Social Network Nutzer klickt auf der Fan-Seite eines Unternehmens oder einer anderen Seite mit einem Produkt auf "Like". Das Social Network nutzt dann Namen und Fotos des Benutzers in einer Werbung gegenüber den "friends" das Nutzers.

Facebook ist damit übrigens nicht allein, LinkedIn macht dies ebenfalls. In beiden Services musste man diese Feature explizit abstellen, jetzt mit diesem Beschluss muss Facebook den Benutzer explizit im Erlaubnis fragen.

Aktualisierung August 2012:
Nichts wird entschärft (bzw. fast nichts). Ein kalifornischer Richter bezweifelt an der Fairness eines Settlements bei dem Nutzer unter 18 Jahren die Möglichkeiten haben, die kommerzielle Nutzung ihrer Likes durch Opt-Out zu verbieten, und FB muss 10 Mio an gemeinnützige Organisationen zahlen (und angebliche Gerichtskosten von 10 Mio an die Kläger). Dem Richter fiel auf, dass Facebook weiterhin kostenlos den Namen der Nutzer verwenden darf und dass die Größenordnung der Gerichtskosten und der Entschädigungszahlung leicht verzerrt seien. Und das Opt-Out bei Erwachsenen ist jetzt offenbar ganz weggefallen.

Fake Follower, falsche Freunde - Sock Puppets und Astroturfing

Heute wird der "virtuelle Wert" einer Person immer öfter über die Zahl der Follower in Twitter oder der Friends in Social Networks gemessen. Da wundert es natürlich nicht, daraus auch schnell eine Geschäftsidee wird.

Unter Sock Puppets und Astroturfing wird verstanden, wenn mittels bezahlter Identitäten Stimmung für oder gegen etwas gemacht wird. Ein guter Artikel dazu ist Falsche Freunde als Geschäftszweig. Dort wird berichtet, dass solche Dienste kommerziell angeboten werden, dass ein Mitarbeiter i.d.Regel 20 Identitäten bedient und dass man für 35.000 Euro typischerweise 10.000 neue Fans für eine Website kaufen kann. An anderer Stelle wird berichtet, dass auf eBay 1000 Fans für 1995 Euro zu haben sind - was immer davon der korrekte Preis ist, auf jeden Fall scheint das ein kommerzieller Markt zu sein.

Laut den Security-Spezialisten von Barracuda Networks hat sich bereits eine Schattenwirtschaft um gekaufte Follower und Freunde entwickelt. Der Preis pro Follower soll bei 1,5 Cent liegen. Bzw. wie venturebeat berichtet: $1500 for 100,000 fans — on shady sites like SocialMediaCorp. Siehe Facebook’s war on zombie fans just started - Ergebnis: Rihanna’s down 22,000 fans, and so is Shakira. Lady Gaga is liked by 32,000 fewer people today, and Zynga’s Texas HoldEm Poker is down by almost 100,000 fans.

Der Online-Shop-Anbieter "Limited Run" behauptet, dass die Klicks auf Facebook Ads zu einem großen Teil von nicht-menschlichen "Nutzern" kommen sollen. Sie haben in FB Werbung geschaltet, aber nur 20 Prozent dieser vermeintlichen Nutzer die auf ihre Anzeigen geklickt hätten, wären auch auf der eigenen Webseite aufgetaucht. Dabei ist ihnen auch aufgefallen, dass die anderen Nutzer Javascript deaktiviert hatten, was in der Regel nur ein bis zwei Prozent der Nutzer tun, weil ja sonst die meisten Websites nicht mehr funktionieren. D.h. es sieht ganz so aus als würde irgendein Bot auf die Anzeigen klicken und damit Kosten für die werbenden Firmen und Einnahmen für Facebook erzeugen.

Aber es geht auch noch einfacher. Warum Leute bezahlen um falsche Profile anzulegen? Hier gibt es eine Erweiterung zur Blogging Software Joomla, die tut das automatisiert. Generate JomSocial Profiles. "Who will register on the site that has no user? When you first launch your site no one is there, so you can show these fake users, so real users may get attracted to register on your site." So einfach kann das also sein.

Facebook selbst veröffentlicht Zahlen zu sog. Fake Accounts. Das waren im Juli 2012 8,7%, d.h. von 955 Mio Nutzern sind das 83 Millionen. Aber weiter aufgeschlüsselt sind dies hauptsächlich doppelte Accounts, bzw. Accounts von Haustieren u.ä. Wirkliche "unerwünschte Accounts" sind nach ihren Angaben nur 1,5%, d.h. immerhin 15 Mio. Dies sind Accounts die für Spamming, Werbebetrug wie weiter oben erwähnt oder für Datensammlungen genutzt werden.

Paid Posters, Crowd Turfing

Aktualisierung Dezember 2011:
Der Artikel Das Geschäft mit dem Crowdturfing zeigt, dass das Manipulieren von Meinungen durch falsche Aktitivitäten in Social Networks mittlerweile ein nennenswerter Gechäftszweig geworden ist. Zitat: "Die meisten Aufträge, die Crowdsourcing-Dienste in China und den USA abwickeln, dienen inzwischen der Manipulation von sozialen Netzwerken und der öffentlichen Meinung". In China sind mittlerweile "paid posters" die auf Webseiten (derzeit noch hauptsächlich noch chinesische) positive oder negative Kommentare und Bewertungen abgeben ein nennenswerter Geschäftszweig geworden.

Aber auch bei englischsprachigen Diensten wie dem Mechanical Turk von Amazon gibt es mehr und mehr zweifelhafte Aktivitäten. Hier berichtet der Guardian über entsprechende Software, ursprünglich entwickelt für psychologische Kriegsführung, aber natürlich auch sehr gut geeignet für positive oder negative Kommunikation über Produkte.

Ein Ergebnis dieser Aktivitäten kann durchaus sein, dass die Bewertungssysteme auf Websites wie eBay, Amazon, den Hotel- und Reisewebsite, etc. irgendwann einmal vollkommen wertlos werden, weil eh die größte Zahl der Beiträge und Bewertungen "bestellt" sind.

Social Networks als Werkzeug der Industriespionage

In diesem Kapitel geht es um die Transparenz der eigenen Kontakte durch die Nutzung von Social Networking Websites (Bsp.: Xing und LinkedIn). Diese Social Networking Plattformen können für alle, die im Kontakt mit Kunden oder Partnern arbeiten, sehr hilfreich sein. So kann man vor einem Besuch bereits sehr viel über den Gesprächspartner erfahren (sofern dieser an einer der Plattformen teilnimmt und seine Daten entsprechend freigegeben hat). Dies führt aber genau zum eigentlich problematischen Punkt, nämlich den Daten, die Sie freigegeben haben. Dazu haben diese Websites eine ganze Reihe von Voreinstellungen, die von „extrem freizügig mit den eigenen Daten“ bis zu „sehr zugeknöpft“ reichen.

Extrem freizügige Einstellungen erlauben es z.B. einem Konkurrenten, den Sie unter ihre Kontakte aufgenommen haben, dass er automatisch über alle Veränderungen bei Ihnen informiert wird. So etwas passiert oft auch dann , wenn ein Kollege die Firma verlässt und zur Konkurrenz wechselt. Sie sind dann vermutlich nicht so hart, dass Sie den Ex-Kollegen aus Ihren Kontakten entfernen.

Die Nachrichten über Veränderungen bei Ihren Kontakten findet sich in Xing unter "Neues aus meinem Netzwerk" und bei LinkedIn als "Network Updates". Dort ist der Service sogar als RSS verfügbar.

Aber wenn Sie dann z.B. einen neuen Kunden besuchen und den dann als einen Ihrer Kontakte aufnehmen, so sieht der Konkurrent sofort, wen Sie jetzt neu kennen gelernt haben. LinkedIn hat eine neue Feature, bei der alle Mitarbeiter eines Unternehmens automatisch zu einer Gruppe zusammengefasst werden, die sich dann firmen-interne Nachrichten austauschen können. Problematisch wird es, wenn jemand gekündigt hat, aber versäumt, seinen Eintrag unter "Arbeitgeber" zu löschen.

Wer sagt Ihnen eigentlich, dass der nette Mensch, der Sie unbekannterweise kontaktiert hat wirklich existiert? Marko Rogge und Paul Ziegler (pdf) demonstrieren in einem Artikel über Social Engineering, wie sie eine fiktive Person in Xing angelegt haben, die dann Kontakte schloss und über Job-Angebote und Informationsaustausch an vertrauliche Informationen kam.

Ein weiteres Beispiel für den Einsatz von Social Networking Einträgen beim Knacken von Passworten wird im Twitter Angriff geschildert (die Details sind im englischen Artikel zu finden).

Facebook im Zivilprozess in den USA

Das hier ist jetzt keine Industriespionage, aber auch sehr einschneidend: Offenbar wird es in den USA in Zivilprozessen immer üblicher, dass die Richter anordnen, dass die Inhalte von Social Networking accounts der Gegenseite ausgehändigt werden (das läuft unter "discovery", d.h. der Mitwirkung bei der Wahrheitsfindung). In diesem Fall hat ein Richter in einem Sorgerechtsverfahren angeordnet, dass Account-Passworte dem Ex-Partner überlassen werden. Hier dier ausführlichere und genauere Originalartikel.

Wie kann ich mich schützen?

Die beste Schutzmöglichkeit ist natürlich, Social Networks gar nicht zu nutzen, bzw. nur eingeschränkt, z.B. für berufliche Informationen. Eine Studie in Österreich berichtet von 60% Facebook-Verweigerern. Darunter verstehen sie Menschen, die zwar im Web aktiv sind, aber ganz bewusst Online-Plattformen nicht nutzen.

Für alle, die trotzdem Social Networks nutzen ist der wichtigste Tipp: Immer bedenken, dass man zwar das Gefühl hat, die Informationen ständen nur für die engen Freunde zur Verfügung, aber letztendlich lesen immer auch noch andere mit (z.B. über die Suchmaschinen, oder über die Apps die man "installiert" hat, oder über die "gefällt mir"-Button, etc). Außerdem greifen auch die Polizei (Campus police use Facebook) und viele Arbeitgeber, bei denen man sich bewirbt auf die entsprechenden Websites zu, dies gehört zum Stand der Technik in Personalbüros (siehe auch LTA suspends top junior players).

Quelle: Fraunhofer Institut - aber mittlerweile nicht mehr ganz aktuell, an diesen Einstellungen wird ja leider ständig gebastelt

Erschwert wird der eigene Schutz durch mangelnde Qualität der Implementierungen. Das deutsche Frauenhofer Institut hat typische Angebote auf ihren Prvatsphäreschutz getestet - und zwar mit sehr sclechten Ergebnissen:

"Von den getesteten Plattformen konnte keine vollständig überzeugen. Vielfach ist sogar von der Nutzung bestimmter Dienstfunktionen abzuraten.

"Unter den Privatplattformen erhielt facebook die meisten guten Bewertungsergebnisse, wenn gleich selbst diese Plattform erhebliche Schwächen offenbarte. Die Dienste myspace, studiVZ und wer-kennt-wen erreichten mit ihren Bewertungen ein Mittelfeld. Den positiven Bewertungen standen hier verschiedene Mängel wie Lücken in der Zugriffskontrolle, Eigenheiten bei der Nutzerführung oder fehlende Verschlüsselung gegenüber.

"Die Plattform lokalisten markiert das untere Ende der Bewertungsskala, insbesondere weil viele notwendige Zugriffskontrollfunktionen schlichtweg fehlten.

"Bei den Geschäftsplattformen konnte LinkedIn gegenüber XING besser abschneiden. Zum einen erlaubt LinkedIn im begrenzten Rahmen die Nutzung eines Pseudonyms. Zum anderen war die Aufgabe der Mitgliedschaft einfacher und das anschließende Löschen privater Daten umfangreicher als beim Konkurrenten XING."

Die Studie berichtet, dass der Schutz der Nutzer oft nicht mal SSL-Verschlüsselung beim Login beinhaltet und die Standardkonfiguration der oft recht differenzierten Zugriffsrechte (wer darf welche Aspekte meines Profils, meiner Fotos, meines Blogs, etc. sehen - nur meine Kontakte, Kontakte 2. Grades, alle Mitglieder, das gesamte Internet) bei allen Platformen außer facebook viel zu weit offen sind. Facebook schneidet trotzdem schlecht ab, denn wenn das Mitglied einem Netzwerk betritt (was der Regelfall ist), so ist es danach weit offen sichtbar.

Außerdem gelten bei allen Plattformen außer facebook diese Zugriffseinschränkungen nicht bei der Suchfunktion. D.h. obwohl das Mitglied gewisse intime Information als "nur für direkte Kontakte zugänglich" markiert hat, kann über eine Suche auf die geschützten Daten zugriffen werden.

"Geschäftlich genutzte Plattformen wie XING oder LinkedIn sind »offener« konzipiert als die für den Privatgebrauch. Es ist häufig Teil der Plattformphilosophie, dass Daten hier zur Präsentation der eigenen Person vollständig für alle anderen Plattformmitglieder zur Verfügung stehen. Entsprechend sind weniger Schutzmechanismen vorhanden um die Sichtbarkeit von Daten einzuschränken. Dieser Umstand stellt die Nutzung dieser Plattformen nicht prinzipiell infrage.

"Es empfiehlt sich aber, bei der Profilerzeugung private Angaben außen vor zu lassen, auch wenn sie zunächst banal erscheinen. Beispielsweise kann allein die Angabe einer bestimmten Sportart (z. B. Motorsport) erhöhte gesundheitliche Risiken implizieren, von den Problemen mit politischen oder weltanschaulich-religiösen Themen ganz abgesehen. Diese Hinweise gelten auch für die weitere Plattformnutzung, z. B. hinsichtlich der Diskussion von Privatem in Foren oder ähnlichem. Für solche Zwecke wird empfohlen, eine andere Plattform zu nutzen."

Generell treten wir auch im Internet in verschiedenen Rollen auf: als Eltern, Kinder, Freunde, Arbeitskollegen, denen gegenüber wir vermutlich durchaus unterschiedliche Ansichten unserer selbst präsentieren möchten. Diese Problematik wird in keiner der Plattformen berücksichtigt. Evtl. sollten nämlich die Arbeitskollegen nicht die gleichen Urlaubsfotos sehen wie die engsten Freunde. Weiter unten mehr zu den Möglichkeiten, gezielt Zugriffe zu kontrollieren.

Es gibt mittlerweile viele Leute, die die Problematik der fehlenden oder verwirrenden Privacy-Settings bei den Social Networking Websites aufzeigen. Diese Studie The Privacy Jungle: On the Market for Data Protection in Social Networks untersucht 45 (!) solche Angebote die alle über 1 Million Mitglieder haben. Die Privacy Settings reichen sehr oft von verwirrend bis nicht-vorhanden, wobei die ganz großen immerhin noch etwas besser sind als die kleineren Anbieter.

Illegale Inhalte im Internet und anderes unerwünschtes Verhalten kann man melden - wo genau erkläre ich in Hilfe im Internet. Dort steht auch was man tun kann, wenn man auf Betrüger hereingefallen ist.

Reputation Defense and Repair
Dadurch dass über fast jeden von uns immer mehr Informationen (und manchmal auch abträgliche Informationen) im Netz zu finden sind ist auch eine neue Dienstleistung entstanden, Reputationsreparatur. Hier z.B. ist das US-Unternehmen ReputationDefender oder in Deutschland webreputation. Sie bieten für privat und für Firmen eine kontinuierliche Überwachung und bei Bedarf auch Reparatur an. Diese Reparatur kann in extremen Fällen darin bestehen, dass sie Inhalte von Websites entfernen lassen. Dies kann eigentlich jeder, jedes dieser Unternehmen hat eine Beschwerdestelle (oft Compliance Officer genannt, zumeist zu finden unter abuse@xyz.com) wo strafbare Inhalte oder Aktivitäten (z.B. Verleumdung oder Cyber-Stalking) gemeldet werden können und wo dann entsprechende Schritte gemacht werden. Wenn dies nicht geschieht, so kann die Unterlassung für die Mitarbeiter der Website-Betreiber deutliche Konsequenzen haben. Google Mitarbeiter in Italien wurden deswegen zu Gefängnis verurteilt. Solche Firmen haben bestehende Verbindungen zu Compliance-Officers und können das schneller.

Schwieriger wird es, wenn der Inhalt den jemand ins Internet gestellt hat weder eine Verleumdung ist noch gelogen und auch nicht wirklich illegal, z.B. eine Peinlichkeit die in der Presse berichtet wurde. In solchen Fällen versuchen diese Firmen so viele positive andere Inhalte über diese Person ins Netz zustellen, dass die negativen Schlagzeilen bei den Suchergebnissen erst auf den hinteren Seiten erscheinen (Suchmaschinen-Optimierung heißt diese Aktivität, die auch fast alle Firmen betreiben, die vom Verkehr auf ihrer Website leben müssen). Auch dies kann man selbst versuchen, aber Profis haben mehr Erfahrung und Tricks auf Lager.

Aktualisierung Juni 2012:
Mittlerweile ist das ganze so kompliziert, dass die Firma Secure.me das Absichern von Social Network Seiten als Service anbietet. Die Grundservices sind wohl kostenlos, erfordern aber wohl, dass diese Firma auf die Facebook Seiten zugreifen darf, die abgesichert werden sollen.

Hilfestellung bei Privatsphäre-Einstellungen

Grundsätzliches: Untersuchungen zeigen, dass es für die Nutzer in aller Regeln nicht leicht ist, die Privatsphäre-Einstellungen so zu haben, wie man das wirklich möchte. (Dies ist auch in Tests belegt worden: die Testpersonen wurden gefragt, für welche Zielgruppen bestimmte Inhalte zur Verfügung stehen sollten. Dann mussten die Zielgruppen versuchen, dies bei dem Social Network ihrer Wahl entsprechend einzustellen. Der Hälfte ist dies dann üblicherweise auch gelungen, die anderen waren danach "transparenter" als sie gewünscht hatten).

Viele Mitglieder möchten, dass ihre Informationen nur den direkten "Freunden"/Kontakten zur Verfügung stehen. Andererseits wird auf "friends of friends" sehr häufig verwendet. Ein großes Problem liegt darin, dass damit die Daten in der Regel sehr weit öffentlich sind. Denn Tests zeigen, dass ca. ein Fünftel der Nutzer "friend requests" von (attraktiven) Fremden positiv beantwortet, und dass die Akzeptanz von "friend requests" von "friends of friends" dann schon bei 80% liegt. Ergebnis ist, dass nur sehr restriktive Einstellungen wirklich sicherstellen, dass die Informationen privat bleiben, denn in jedem größeren "Freundeskreis" gibt es Mitglieder, die sich auch mit Wildfremden "anfreunden". Siehe z.B. diese Studie Sophos Facebook ID probe shows 41% of users happy to reveal all to potential identity thieves. Weiter oben gibt es mehr Hintergründe und Zahlen unter dem Stichwort Social Bots.

Die Geschäftsmodelle der Unternehmen beruhen oft darauf, dass möglichst viel Informationen sichtbar sind. Wenn die Mitglieder leicht gefunden werden, so zieht dies wiederum andere Mitglieder an. Deswegen sind die Privatsphäre-Einstellungen oft ein wenig versteckt und oft nicht einfach unter Kontrolle zu halten (weil sie auch von den Unternehmen immer wieder geändert werden). Dies NYTimes Graphik verdeutlicht das (z.B. das Anwachsen des Facebook Privacy Statements 2005 mit 1004 Worten auf 5830 Worte in 2010. Hier jetzt einige Anleitungen.

Facebook

Facebook ist eigentlich ständig wegen Veränderungen an den Privacy-Einstellungen in den Schlagzeilen, sehr gut demonstriert in dieser Infographik. (Die Einstellungen finden sie übrigens auf der Facebook-Seite ganz rechts oben hinter einem kleinen Dreieck versteckt). Eine recht hilfreiche und detaillierte Anleitung für alle heftigen Facebook-Nutzer gibt es auf der Futurezone.

Sehr aktuell ist die Brochüre des Hamburgischen Datenschutzbeauftragten: Tipps für den persönlichen Datenschutz bei Facebook.

Klicksafe.de bietet Anleitungen für Facebook, StudiVZ und Wer-kennt-wen und auch Privatsphäre-Hilfestellungen für Facebook. Klicksafe bietet dort auch Handreichungen für Eltern oder Lehrer zum Thema Social Networks und Communities.

In der Futurezone gibt es eine Anleitung für vernünftige Privatsphäre-Einstellungen. Es ist wichtig, sich regelmäßig die Mühe anzutun und alles wieder zu akzeptablen Einstellungen zurückzusetzen.

Facebook selbst hat eine Anleitung für junge Menschen, Eltern und Lehrer gechrieben: Guide to Facebook Security (PDF)

Facebook Apps Permissions

Hierbei geht es nicht im Smartphone-Apps, sondern die Apps, die man in seine Facebook-Seite "einbinden" kann. Nur wenige wissen, dass diese Apps weitgehende Zugriffsrechte auf die Profildaten haben und wie vielen Apps er oder sie implizit diese Zugriffsrechte gegeben hat.

Die Website MyPermissions.org bietet einen vereinfachten Weg zu den Privatsphäre-Einstellungen vieler Social Networks, z.B. Facebook, twitter, Google+, Yahoo, LinkedIn, flickr und andere. Man muss sich zuerst im jeweiligen Netzwerk anmelden und dann auf den entsprechenden Link auf MyPermissions klicken. Der führt direkt auf die Unterseite des Netzwerks, auf dem die Apps Permissions verwaltet werden. Und dort gibt es fast immer Überraschungen (auch für mich selbst). Von dieser Seite mit den Apps Permissions findet man dann meist auch recht einfach zu den restlichen Privatsphäre-Einstellungen.

Microsoft Messenger, Hotmail, Windows Live, etc.

Microsoft hat erkannt, dass ihr Messenger und die Kontaktlisten in hotmail auch bereits ein Netzwerk darstellen und hat spätestens seit Anfang 2009 hart daran gearbeitet, immer mehr Networking Features einzubauen. D.h wenn ein Hotmail-Benutzer in der obersten Leiste auf "Profil" klickt, so findet sie etwas weiter unten "Datenschutzeinstellungen". Dort geklickt bekommt man eine ganze Seite mit Privatsphäre-Einstellungen, die dort verändert werden können. Wenn Sie diese systematisch durchgehen werden Sie stauen, wie transparent Sie dort voreingestellt sind.

Xing und LinkedIn

Aktualisierung Dezember 2011:
LinkedIn versucht jetzt, ähnlich schlimm zu sein was heimliche Privatsphäre-Veränderungen betrifft wie Facebook. So gibt es jetzt die neuen Einstellungen im Bereich "Social Advertising". Unter diesem Begriff versteckt sich, dass LinkedIn auch mehr über unsere Kauf-Aktivitäten lernen möchte und das verwenden möchte, um unseren Kontakten mitzuteilen, was jeder von uns so gekauft hat. Solche personalisierten Empfehlungen gelten als der neue Übertrick bei der Werbung, jeder will dort einsteigen. Und bei LinkedIn ist das per Default jetzt für alle aktiviert.

So schaltet man es aus: In der rechten oberen Ecke unter dem eigenen Namen gibt es als Pull-down Punkt "Settings". Dann links unten "Account" und die oberen beiden "Privacy Controls" betreffen die Werbung.

Hier sind die Links zu den Privatsphäre-Einstellungen bei Xing "Einstellungen" und LinkedIn "Account & Settings". Leider muss man diese Sachen regelmäßig neu überprüfen, weil immer wieder neue "Features" hinzukommen und die Grundeinstellungen stehen zumeist auf voller Transparenz. Hier ein kleiner Test des ORF Wie sicher ist dein Facebook Profil? (der Test gilt aber auch für alle anderen Netzwerke).

Bei Xing ändern Sie "Neues aus meinem Netzwerk" unter Privatsphäre / "Neues aus meinem Netzwerk". Dort sind die Optionen einzeln aufgelistet. Ganz unten findet sich jetzt auch die sog. "Statusmeldung", ein einzeiliger Text, dessen Inhalt auch sorgfältig überlegt werden sollte, falls man so etwas wirklich nutzen möchte.

Bei LinkedIn sind die "Network Updates" unter "Privacy Settings" / "Profile and Status Updates". Die Default-Einstellungen machen Sie vollkommen transparent.

Eine weitere wichtige Einstellung ist, wer Ihre Seite überhaupt finden und sehen darf: Das reicht von „das ganze Internet“ bis zu „nur meine Kontakte“.

Diese Feature ist bei Xing zu finden unter: Privatsphäre. Optionen sind z.B. "Mein Profil darf auch für Nicht-Mitglieder abrufbar sein" oder "Mein Profil darf in Suchmaschinen auffindbar sein".

LinkedIn versucht ebenfalls, die Profile für die Suchmaschinen verfügbar zu machen. Auch hier gibt es die Möglichkeit, dies zu sperren: "Public Profile", dann "Edit", dann "None" selektieren.

In diesen Systemen spielen Gruppen eine große Rolle.

In Xing können Sie die Sichtbarkeit von Gruppen über Profileinstellungenkontrollieren - "Meine neuen Gruppenmitgliedschaften sind standardmäßig sichtbar" oder eben nicht. Wenn diese sichtbar sind, so bedeutet dies, dass Sie damit Ihre Interessen und Vorlieben veröffentlichen und leicht auch für einen Social Engineer erreichbar sind.

Der Wikipedia-Eintrag zu Xing bemängelt zum Thema Gruppen: Beiträge von Nutzern in Gruppen, deren Sichtbarkeit nicht auf Gruppenmitglieder oder andere Xing-Mitglieder beschränkt ist, werden in den Suchmaschinen gelistet. Auf diese Weise sind ihre Beiträge in Google zu finden. Wer seine Beiträge in den Suchmaschinen unterdrückt, kann in den Foren nicht zitiert werden. Dies wird von vielen Nutzern bemängelt.

Die Sichtbarkeit der Kontaktliste lässt sich bei beiden einstellen:

Bei Xing unter Privatsphäre - Kontaktliste ist sichtbar für … und bei LinkedIn unter Connections Browse - You can control whether or not your connections are able to view the people you are connected to, although they will always be able to see shared connections. Diese Einstellung verhindert zusammen mit der automatischen Statusbenachrichtigung z.B., dass ein Kontakt, der zur Konkurrenz gewechselt ist, sehen kann, wen Sie neu als Kontakt aufgenommen haben.

Eine Funktion die den Nicht-Premium Benutzern häufig nicht bekannt ist, ist das Feature „Mitglieder, die meine Kontaktseite kürzlich aufgerufen haben“. Dadurch wird die eigene Nutzungsweise der Plattform für andere Nutzer sichtbar. Diese Funktionalität muss der Benutzer aktiv abschalten, wenn er oder sie diese Transparenz nicht wünscht.

Aber leider können Sie dies in Xing leider nicht kontrollieren, d.h. wann immer Sie auf die Seite eines anderen Xing-Benutzers gehen, besteht die Chance, dass dieser Nutzer darüber informiert wird (und Sie auch darauf anspricht).

In LinkedIn kontrollieren Sie dies durch Profile Views - Control what (if anything) is shown to LinkedIn users whose profile you have viewed. "Don’t show users that I’ve viewed their profile" scheint mir sinnvoll.

Ebenfalls problematisch kann ein Gästebuch sein:

Bei Xing können Sie dies unter Optionen abstellen. Wer weiß was andere Nutzer dort über Sie alles eintragen, welche kleinen Geheimnisse ihre Kontakte dort aus Versehen preisgeben.

Noch ein weiterer Knackpunkt bei Xing ist das Gästebuch. Ich habe erlebt, dass jemand bei seinen eigenen Einträgen recht vorsichtig war und dann blättern ein guter alter Bekannter seine Jugend in einem Gästebuch-Eintrag auf. Ich weiß nicht, ob man solche Einträge nachträglich löschen kann, auf jeden Fall kann man das Gästebuch grundsätzlich abschalten und das halte ich für eine gute Idee.

Mein Résumé ist, dass Sie sich gut überlegen sollten, ob und in welchem Umfang Sie sich auf diesen Plattformen transparent machen wollen. Und Firmen täten gut daran, ihre Mitarbeiter dabei mit Tipps und Hinweisen zu unterstützen.

Ebenfalls kritisiert wird auch die erzwungene Abtretung der eigenen Rechte bei Forenbeiträgen. In Artikel 12 (Rechte an Inhalten) der AGB von XING steht: "... XING hat damit das Nutzungsrecht an allen Beiträgen zu den von ihrbetriebenen Diskussionsforen. ...". Ich hoffe, dass allen Nutzer klar ist, dass sie natürlich nach deutschem und österreichischen Recht weiterhin die Autorenrechte an ihren Beiträgen haben und dass dieses Nutzungsrecht kein exklusives ist.

Andere Schutzmöglichkeiten

Danah Boyd berichtet über ganz andere Formen der Risikoreduktion die von jungen Menschen genutzt werden, die in einem "wilderen" sozialen Umfeld leben und bereits schlechte Erfahrungen mit Facebook gemacht haben, aber trotzdem darauf nicht verzichten möchten oder können. Bei beiden Strategien wird Facebook eher wie ein Chatroom genutzt und das hat für diese jungen Menschen Vorteile (und evtl. für andere auch).

Die erste der beiden Methoden wird zum Teil "Whitewalling" genannt. Es geht darum, dass die Pinwand /Wallpaper und alles andere im Account ständig (z.B. täglich) von alten Einträgen gesäubert wird. Wenn dort keine alten Einträge, oder Fotos oder Postings zu finden sind, so können diese auch keinen Schaden einrichten, z.B. bei neuen Freunden, die alte Postings oder Fotos durchsuchen und sich über irgendwas ärgern könnten (z.B. eifersüchtig werden auf frühere "friends") oder wenn man sich bei einem Arbeitgeber bewirbt und dieser die alten Fotopostings durchsucht. Die Strategie ist am Anfang etwas mühsam falls es viel zu löschen gibt, aber das wird dann später zur Routine. Etwas mühsamer ist es vermutlich mit den Postings, die man selbst auf anderen Pinwänden hinterlassen hat, aber auch das lässt sich regeln.

Diese Strategie ganz konsequent durchzuziehen ist vermutlich keine Lösung für alle, aber regelmäßig mal durchzuschauen ob alte Ereignisse, Postings, Komentare, Fotos wirklich noch relevant sind ist bestimmt eine gute Idee. Auf diese Weise kann bestimmt der eine oder andere Konflikt vermieden werden.

Die zweite Methode wird zum Teil "Super-Logoff" genannt. Es geht um die Frage, was macht mein Profil (in anderen Umgebungen mein Avatar) eigentlich wenn ich nicht online bin. Bei Facebook (und anderen Networks) lässt er/sie sich finden, sammelt Postings auf der Pinwand und ist dadurch auch exponiert. Der Trick um dies zu vermeiden liegt darin, dass die Benutzer vor dem Abmelden den ganzen Account deaktivieren.

Ein deaktivierter Account ist nicht mehr sichtbar, wird nicht mehr gefunden, steht für Postings und Friend-Requests u.ä. nicht mehr zur Verfügung. Aber beim nächsten Login wird der Benutzer gefragt, ob er den Account wieder aktiveren möchte - und schon sind alle Informationen wieder da. Wenn die Freunde das auch tun so sieht jeder immer nur die Freunde, die gerade online sind, eher so wie in einem Chatroom. Ziel ist es, auf Interaktionen anderer sofort reagieren zu können, z.B. auf unerwünschte weil potentiell konfliktgeladene Postings sofort reagieren zu können.

Dieser "Super-Logoff" klärt eine Scherzfrage zur heute (2011) Nischenplattform Second Life: "Was macht mein Avatar eigentlich, wenn ich nicht online bin? Ich trau dem Kerl nicht!" Bei den Social Networks habe ich nur dann Kontrolle über meine Präsenz wenn ich selbst online bin. Wenn ich meine Pinwand für meine "friends" (wer auch immer das sein mag) freigebe, so können diese auch während meiner Abwesenheit meine Internet-Präsenz verändern und merke es erst wenn ich das nächste mal online gehe.

Eine Scheinlösung: "Verstecken im Information-Overload"
Eine sehr interessante Sendung gab es im Bayrischen Rundfunk, ON3-Radio: Wieviel Geheimnis brauchen wir?. Der Reporter Michael Bartlewski hat Interviews mit jungen Leuten, einer Therapeutin, einem Medienkünstler, einer Datenschützerin und einer Wissenschaftlerin durchgeführt. Ergebnis sind interessante 66 Min, die auch heruntergeladen werden können. Für mich bleibt am Ende der Sendung nur ein kleines Problem übrig: Stimmt es wirklich, dass ich mir Privatsphäre schaffen kann, indem ich einen Information-Overload erzeuge?

Bis zum Ende der Sendung bleibt leider die Behauptung des Medienkünstlers, dass man sich durch Over-Publishing schützen kann, unwidersprochen. Aber: Das Verstecken einer Nadel im Heuhaufen klappt nur bei realen Nadeln in realen Heuhaufen, nicht im Internet.

Das automatisierte intelligente Durchforsten von gigantischen Textmengen ist trivial, Google beweist uns das jederzeit. Dabei können die Algorithmen

Aber auch mit Fotos geht das mittlerweile. Google hat eine App fertig, die es erlaubt, ein Foto das die Kamera gerade geschossen hat, gegen die gesamte Google Bildersammlung zu vergleichen. Google hat diese App lt. NT Times NICHT released, weil das dem Stalking wirklich Tür und Tor öffnet. Für alle meine eigenen Bilder auf Picasa geht es aber sehr wohl. D.h. ich kann alle Fotos des Medienkünstlers runterladen und dann wieder auf meinen Picasa-Account laden. Und dann nehme ich das Foto eines anderen Menschen und lade das auch hoch und frage Picasa, ob dieser Mensch auf einem seiner Fotos drauf sind. D.h. er kann sich nicht in der Bilderflut verstecken, die Bilder lassen sich maschinell auswerten und nach Personen durchsuchen.

Wo gibt es Hilfe und weiterführende Hinweise

Auf einer separaten Seite habe ich Stellen für Hilfe im Internet in Deutschland, Österreich und Schweiz zusammengestellt.

Von klicksafe.de gibt es interessante Brochüren, zum Teil gedacht als Unterrichtsmaterialien. Das klingt ganz vernünftig: 66 Seiten Spielregeln im Internet - Durchblicken im Rechte-Dschungel Themen sind „Darf man Fotos anderer Personen auf sein Social-Network-Profil hochladen?“, „Was tun bei Abmahnungen?“ oder „Was tun gegen Cyber-Mobbing?“.

Hier weitere Materialien: Arbeiterkammer Österreich: Ratgeber Soziale Netze mit konkreten Tipps an. Für Jugendliche konzipiert: Du bestimmst .... Es werden viele Themen behandelt, die für Kinder, ihre Eltern und eigentlich für alle Erwachsenen relevant sind. Diese Fraunhofer-Studie enthält auch Tipps zur sicheren Nutzung von Social Networking Angeboten (die Studie als pdf). Tipps und Tricks in einfacherer Form gibt es in 10 Tipps zum sicheren Umgang mit sozialen Netzwerken vom BSI für Bürger. Weiter oben verlinke ich auf Material zum Schutz gegen Mobbing und Bullying.

Nicht direkt zu Social Networks, aber zum Thema Unterrichtsmaterialien, hier aus einem Text von Buerger-CERT:
Gewaltprävention an Schulen
Die Handreichung der Polizei "Herausforderung Gewalt" ist grundlegend überarbeitet worden und steht Lehrkräften nun in aktualisierter Form zur Verfügung, berichtet die Polizei-Präventionsseite. In der Publikation werden erfolgreiche Maßnahmen zur Gewaltprävention an Schulen vorgestellt. So umfasst sie nun auch Hinweise und Präventionsansätze zu neuen Erscheinungsformen von Gewalt unter jungen Menschen, wie Gewalt in den Neuen Medien oder Amokläufen. Interessenten können die Handreichung bei allen Landeskriminalämtern bestellen oder von der Polizei-Beratungs-Webseite herunterladen.

Hier Anleitungen für eigene Aktivitäten zur Rückgewinnung der Kontrolle: Delete Your Bad Web Rep. und Social Networking Tipps von der BSI in Deutschland.

Weiterführendes - Studien, eher wissenschaftlich und viele, viele Details

Eine Studie zeigt, dass ein Hinweis auf den vertraulichen Umgang mit sensiblen Informationen für das Sammeln solcher Informationen kontra-produktiv ist. Auf einer Website mit dem Titel "How BAD are U??" (mit einem süßen Teufelchen als Logo und ohne Vertraulichkeitserklärung) "beichten" die Menschen viel gesprächiger.

Ein Forschungspapier Semantic Analytics on Social Networks (pdf, 850 KB) zeigt, wie eine systematische Auswertung von solchen Websites aussehen kann, finanziert auf leichten Umwegen durch das US-Department of Homeland Security, DHS. Hier mehr zum Thema Data Mining. Ein separater Artikel von mir beschreibt die Spuren im Internet, die bei jeglicher Aktivität im worldwide web entstehen.

Und aus dem Thema "Verlust der Kontrolle über seine Daten" wird dann auch schon wieder ein neuer Erwerbszweig: Herbst 2006 gibt es einen Service ClaimID (claimid.com), der verspricht, ihren Kunden die Kontrolle über das Bild zurückzugeben, das sie im Internet bieten. Andere Services bieten mittlerweile ähnliche Dienste an.

Aus 2008: Bericht und Empfehlung zum Datenschutz in sozialen Netzwerkdiensten »Rom Memorandum« der International Working Group on Data Protection in Telecommunications.

Und wie wird das alles enden? Eine Minisatire dazu: Die "Zero Friends" Kontrolle

Hier ein recht guter Überblick aus dem Jahr 2011 darüber, wie das Verhalten in Social Networks ausgewertet wird.

Max Schrems gegen Facebook

Jetzt etwas ganz anderes: Februar 2012 verhandelt Facebook mit dem Wiener Studenten Max Schrems, der 22 Anzeigen gegen Facebook-Irland erstattet hatte. Das ist für das europäische Rechtsverständnis eher unüblich, aber dabei ist ein ganz interessantes Protokoll der Gespräche zwischen ihm und Facebook entstanden, das die unterschiedlichen Rechtsauffassungen gut darstellt.

"Data Portability"

Es gibt offensichtlich (nicht ganz überraschend) Fehler bei der Implementierung der "data portability". Das ist ein neues Konzept, dass das Problem beheben soll, dass jemand mit viel Aufwand ein Profil in Facebook erstellt hat und dann von einem anderen Freund eingeladen wird, in seine MySpace Community zu kommen. Der bisherige Stand ist, dass nun alles noch mal eingegeben werden muss. Data portability erlaubt das Übertragen zwischen den verschiedenen Communities. Aber offensichtlich gibt es Fehler in der Implementierung und ein Kanadier hat das an Hand der Profile von Lindsay Lohan und Paris Hilton aufgezeigt, komplett mit einer Anleitung.

Diverses

Aktualisierung Okt.2009:
Heute kamen 3 Meldungen zu den Problemen mit Social Networks auf meinen Schreibtisch: heise.de beschreibt einen florierenden Markt für Datensammelprogramme aus Social Networks. Anlass ist der Verlust von 1 Million Datensätzen aus SchülerVZ. Aber das scheint nur die Spitze des Eisbergs zu sein, wie der Artikel erklärt. Ebenfalls spannend ist dabei, dass zwar jemand verhaftet wurde, dass aber unklar ist, ob das automatisierte "Absaugen" dieser Daten überhaupt eine kriminelle Handlung ist. Es verletzt die Nutzungsbestimmungen, aber das ist Zivilrecht, kein Strafrecht. Was mit solchen Datenmengen gemacht werden kann beschreibe ich übrigens unter Data Mining. Was kannich als Nutzer hieraus lernen: Eigentlich nur, dass ich meine Privatsphäre-Einstellungen sorgfältig einstellen muss und vor jedem Posting nachdenken muss, wie schlimm es für mich wäre, wenn diese Information in die breitere Öffentlichkeit käme.

XING: Malware-Infektion durch gefälschte Kontaktanfragen, d.h. Leute die Schadsoftware verteilen wollen versenden fälschliche Einladungen einem Netzwerk beizutreten mit einem Link auf ein angebliches Fotos, das aber Schadsoftware installiert. Und 95 Prozent aller Blog- und Forenkommentare mit Malware verseucht.

Wie interessant diese Aktivitäten in den Social Networks für die Überwachungsbehörden mittlweile sind zeigt diese Meldung U.S. Spies Buy Stake in Firm That Monitors Blogs, Tweets. Hier die Zusammenfassung der Rechtslage: “Anything that is out in the open is fair game for collection”.

Aktualisierung Dez.2009:
Der ORF berichtet, dass es in England mehr Scheidungsfälle durch Facebook u.ä. Websites gibt. Zwanzig Prozent der Scheidungsanträge seien auf das Soziale Netzwerk Facebook zurückzuführen. Der "Daily Telegraph" berichtet, in jeder fünften Ehetrennung werde ein ausufernder Facebook-Flirt gegenwärtig als Scheidungsgrund angegeben - Tendenz steigend.

Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann.
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.