Krypto e.V.

Facebook, MySpace und andere soziale Netzwerke sollen sensible Nutzerdaten an Werbekunden weitergegeben haben. Entgegen den Richtlinien und Beteuerungen seitens der Plattformbetreiber wurden laut einem Bericht des Wall Street Journal persönliche Informationen ohne Zustimmung der Nutzer versendet. Die Daten sollen ein genaues Identifizieren der Personen ermöglichen.

Die Informationen gingen an Werbekunden wie Googles DoubleClick und Yahoos Right Media und sollen sowohl Nutzernamen, Wohnort, Alter und Beruf umfasst haben. Die Weitergabe sei dann passiert, wenn Nutzer in den sozialen Netzwerken auf Anzeigen klickten. Google und Yahoo beteuern jedoch, keine solchen Daten zu haben oder zu benutzen.

Zwischen Skandal und Missverständnis
Nach dem WSJ-Bericht wird nun diskutiert, ob es sich tatsächlich um einen großen Skandal oder nur um ein Missverständnis handelt. An sich werden den Werbern jedes Mal, wenn ein Nutzer auf einen Link klickt, die URLs angezeigt, von wo aus der Nutzer zugegriffen hat. Im aktuellen Fall sollen aber weit mehr Daten als üblich mitversendet worden sein. Offen ist, ob die Weitergabe möglicherweise auch unabsichtlich geschah.

“Facebook gibt keine Nutzerdaten weiter”, betont wiederholt eine Sprecherin der Plattform. Laut dem WSJ-Bericht gab es jedoch zumindest ein teilweises Eingeständnis der betroffenen Social Networks, dass hier sensible Informationen an Dritte gelangt sind. Denn die Plattformen sollen nach dem Aufkommen der Vorwürfe den Code für die Datenübermittlung geändert haben. Neben Facebook und MySpace wurden auch Seiten wie Digg und LiveJournal als Datensünder kritisiert.

Facebook am Pranger
Unabhängig davon, in wie vielen Fällen – ob unabsichtlich oder bewusst – die Informationen nach Außen gelangten, steht Facebook neuerlich am stärksten unter Druck. Einerseits sollen über die Seite noch mehr persönliche Daten mitgeliefert worden sein als bei anderen Portalen, andererseits ist Facebook derzeit ohnehin gehörig unter Beschuss. Der vom WSJ geortete Skandal kommt demnach zu einem äußerst ungünstigen Zeitpunkt für das einst so populäre Netzwerk. (pte/tc)

Die Spuren eines ausgefeiltes Cyber-Spionagenetzwerk, das unter anderem auf Indien, die tibetische Exilregierung und die Vereinten Nationen abzielt, kann bis nach China verfolgt werden. Das berichten der kanadische Information Warfare Monitor und die Shadowserver Foundation im heute, Dienstag, veröffentlichten Report “Shadows in the Cloud: Investigating Cyber Espionage 2.0“.

Demzufolge konnten die Hacker geheime Dokumente aus indischen Regierungskreisen ebenso stehlen wie Briefe aus dem Büro des Dalai Lama. Als Erfüllungsgehilfen haben die Cyber-Spione dabei das Web 2.0 missbraucht. Denn ihre Kommandoinfrastruktur hat diverse Cloud-basierte Social-Media-Dienste von Twitter bis zu Blogging-Diensten genutzt.

Massiver Datendiebstahl
Die Forscher haben Beweise für ein Spionagenetzwerk zusammengetragen, das beispielsweise Computersysteme der indischen Regierung und ihrer Botschaften kompromittiert hat. Dabei sind sie auf gestohlene geheime und vertrauliche Dokumente gestoßen, zu denen unter anderem Visa-Anträge aus Deutschland und der Schweiz stammen. Unklar sei, ob diese Dokumente direkt von Regierungscomputern gestohlen wurden oder aber, nachdem indische Offizielle sie auf Privat-PCs kopiert haben.

Ebenfalls gefunden haben die Forscher 1.500 Briefe aus dem Büro des Dalai Lama. Auch bei diversen anderen Institutionen seinen Systeme kompromittiert worden, darunter die Vereinten Nationen und die pakistanische Botschaft in den USA. Die Spuren des Netzwerks führen in die chinesische Provinz Chengdu und somit in ein Land, das sich auch im Hacker-Streit mit Google befindet. Die Identität und Motivation der Hinterleute sind aber den kanadischen Forschern zufolge ungeklärt.

Soziales Web als Hackerwerkzeug
Fest steht dagegen, dass sich das Web 2.0 bei den Hackern großer Beliebtheit erfreut. Die Kommando- und Kontrollinfrastruktur des Spionagenetzes nutze frei verfügbare Social-Media-Angebote, darunter Twitter, Google Groups, Blogspot und Yahoo Mail. Über diese Kommunikationskanäle wurden kompromittierte Computer an freie Webhosting-Dienste oder die eigentlichen Knotrollserver in China verwiesen.

Die aktuelle Untersuchung ist der Nachfolger zu “Tracking GhostNet”, einem vor rund einem Jahr veröffentlichten Bericht des Information Warfare Monitors. Schon damals war die Kooperation von Citizen Lab am Munk Centre for International Studies der University of Toronto und The SecDev Group einem aus China gesteuerten Spionagenetz auf die Spur gekommen. Nun wollten die Forscher damals unbeantwortete Fragen aufgreifen und eine detailliertere Analyse der Cyber-Unterwelt liefern.

Mit einem Datenschutz-Reset reagiert Google auf die wachsende Kritik am Umgang mit privaten Informationen im Social Network Buzz. So werden seit dieser Woche Nutzer automatisch aufgefordert, ihre Privatsphäre-Einstellungen zu bestätigen oder gegebenenfalls zu ändern, berichtet die BBC.

Neben Nutzern und Datenschützern hatte sogar der US-Kongress die Behörden dazu aufgefordert, den neuen Dienst und den Umgang mit privaten Informationen eingehend zu überprüfen. “Schon kurz nach dem Start von Google Buzz haben wir schnell realisiert, dass wir nicht alles richtig hingekriegt haben und alles daran gelegt, die Buzz-Erfahrung zu verbessern”, so Todd Jackson, Produkt-Manager bei Buzz. “Unseren Usern Transparenz und Kontrolle zu geben ist uns sehr wichtig”, so Jackson weiter.

Reaktion auf Kritik
Bereits seit Anfang Februar ist Buzz online und integrierte von Anfang an die Nutzer des Google-Mail-Services Gmail mit geschätzten 170 Mio. Mitgliedern. In der Nutzung unterscheidet sich Buzz nicht besonders von anderen Social Networks wie Facebook oder Twitter. So können Status-Updates abgegeben, Inhalte geteilt und Kommentare gepostet werden. Auf erste Kritik, Buzz würde mit persönlichen Daten nicht sorgfältig genug umgehen, reagierte Google umgehend – vielen gingen die Anpassungen jedoch nicht weit genug.

So auch dem knappen Dutzend an Kongressmitgliedern, das im vergangenen Monat die Federal Trade Commission (FTC) aufforderte, Bedenken bezüglich des Datenschutzes bei Google Buzz zu untersuchen. Man sei besorgt, dass die Privatsphäre verletzt und das Vertrauen der Nutzer missbraucht würde. Über das vorläufige Einlenken von Google zeigt sich die Web-Community nun erfreut. Man hätte diese Eingeständnisse bereits von Beginn an erwartet, begrüße aber trotzdem die Änderungen.

Das Thema Datenschutz und Privatsphäre im Internet ist zwar in aller Munde, die bestehenden Regelungen dazu seien jedoch ein Relikt aus den 90er-Jahren, der Anfangsphase des Internets. Sie sind damit längst überholt, kritisieren Experten. Das seit damals geltende zentrale Konzept Notice-and-Choice, beruht darauf, dass Webseiten ihren Umgang mit persönlichen Daten offenlegen und Nutzer damit die Wahl haben, welche Seiten sie besuchen und nutzen. Mittlerweile würden im Internet jedoch so viele Daten gesammelt, dass dieses Konzept nicht mehr zeitgemäß sei, berichtet die New York Times.

“Für das reine Notice-and-Choice-Modell gibt es praktisch keine Fürsprecher mehr”, so Daniel J. Weitzner von der amerikanischen National Telecommunications and Information Administration. “Es ist heute nicht mehr adäquat.” Die langen Erklärungen zu Privatsphäre und Datenschutz seien schwer verständlich, würden kaum gelesen und könnten dabei kaum die Komplexität des heutigen Umgangs mit Daten abbilden. Daraus resultiere, dass Nutzer keine wirkliche Kontrolle mehr über ihre Daten hätten, so Experten. Geburtsdatum, Adresse, Kredikartennummer oder das Online-Verhalten seien damit ungeschützt zugänglich.

Wirksame Werkzeuge
Um das bestehende Modell zu reparieren seien neue Regelungen und wirksame Werkzeuge zum Schutz der Privatsphäre notwendig. Gerade im Bereich der gesetzlichen Bestimmungen gilt es allerdings die Balance zu wahren. Schließlich ist das Sammeln von Daten und deren Auswertungen mittlerweile ein zentraler wirtschaftlicher Punkt. Die erfolgreichsten Online-Unternehmen der vergangenen Jahre wie Google, Facebook oder Twitter basieren auf dem freien Austausch von Information. Zusätzlich wird an neuer Software gearbeitet, die dem Nutzer die Kontrolle über seine persönlichen Informationen zurückgeben soll. So könnte der Nutzer zum Beispiel automatisch gewarnt werden, wenn er dabei ist, Daten preis zugeben.

Die Website PleaseRobMe erzählt der gesamten Onlinewelt, wer gerade nicht zu Hause ist. Die Plattform, die auf den ersten Blick eine Hilfestellung für Einbrecher bietet, will eigentlich vor den Gefahren des Social Web und dem freizügigen Umgang mit persönlichen Informationen warnen. Auf der Website werden Geo-Postings, die über Twitter von Leuten versendet werden, gesammelt und ein laufend aktualisierter Stream zeigt, wer seine Wohnung gerade leer zurück gelassen hat.

Schlechte Nachrichten für Foursquare-User
Für Liebhaber neuer Geo-Dienste wie Foursquare oder Gowalla zeichnet PleaseRobMe ein ernüchterndes Bild. Die Seite zieht alle Postings, die über Foursquare in den öffentlichen Twitter-Stream einfließen, übersichtlich zusammen und schickt automatisierte Warnungen via Twitter an die betreffenden Nutzer zurück. Für User der beliebten Geo-Dienste sollte dies nach der Idee von PleaseRobMe Anlass geben, über die eigene Mitteilungsbereitschaft nachzudenken.

“Einerseits lassen wir das Licht an, wenn wir in den Urlaub fahren, andererseits erzählen wir jedem im Web, wenn wir nicht zuhause sind”, erklären die Seitenbetreiber den Zweck hinter PleaseRobMe. Ziel sei es nun, mehr Bewusstsein zu schaffen und Leute, die Foursquare, Google Buzz oder ähnliche Dienste nutzen, dazu zu ermutigen, über den Umgang damit nachzudenken. “Wir versuchen nicht, Einbrechern zu helfen, sondern Leuten zu helfen, nicht ausgeraubt zu werden”, so Frank Groeneveld, Computerwissenschaftsstudent aus den Niederlanden und Plattformgründer.

Datenschützer begeistert
“Die Idee hinter der Seite ist großartig. Gerade durch witzige Aktionen kann man Leute auf etwas aufmerksam machen. Ich halte PleaseRobMe für gut gemacht und denke, dass die Seite – natürlich überspitzt – sehr gut auf die Problematik hinweist”, so Marit Hansen, stellvertretende Landesbeauftragte beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein. Eine solche Maßnahme bringe sicher mehr als ein erhobener Zeigefinger, so die Datenschützerin weiter.

“Die Problematik kennt man auch in anderen Bereichen – etwa wenn Jugendliche bei Twitter posten, dass sie zur Party einladen, weil die Eltern gerade nicht zuhause sind. Das hat einerseits schon zu Ärger geführt, weil die Eltern dann doch da waren, kann andererseits aber auch ausgenutzt werden, wenn jemand weiß, dass nur die Kinder zu Hause sind”, erklärt Hansen. PleaseRobMe greife die Thematik sehr gut auf.

Neue Öffentlichkeit
Viele Menschen beschränken den Einblick in ihre Geo-Postings auf bestimmte, vertraute Personengruppen. Immer mehr Menschen machen aber einfach alle Informationen öffentlich und unbeschränkt zugänglich. Der Umgang mit persönlichen Daten hat sich sehr geändert. Noch vor einigen Jahren wollten die meisten Menschen nicht einmal mit ihrem richtigen Namen im Web auftauchen. Mit dem Aufstieg von Facebook hat sich in dieser Hinsicht viel geändert – die Angabe des richtigen Namens ist normal geworden und Nicknames haben zumindest teilweise ihren Zweck verloren.