Sicherheit und Datenschutz bei sozialen Netzwerken HTW Aalen
Transcrição
Sicherheit und Datenschutz bei sozialen Netzwerken HTW Aalen
Sicherheit und Datenschutz bei sozialen Netzwerken Seminararbeit von Martin Safian, Manuel Höcker HTW Aalen Hochschule für Technik und Wirtschaft Betreuender Professor: Prof. Dr. Roland Hellmann 09.06.2015 ii Kurzfassung Die folgende Seminararbeit startet mit einer Einleitung, in der es um den Motivationshintergrund und dem Ziel der Arbeit geht. Motivation ist die immer größere Nutzung von sozialen Netzwerken in der Gesellschaft. Dabei gilt es herauszufinden, welche Gefahren und Risiken dies aus Datenschutz- und sicherheitsrelevanten Aspekten mit sich bringt. Der Leser soll ein Verständnis für die gewissenhafte Nutzung von sozialen Netzwerken entwickeln. Der Vorgang gestaltet sich so, dass diverse Netzwerke untersucht werden. Im Anschluss daran werden die verschiedenen Datenschutzbestimmungen auf internationaler Ebene verglichen. Um zu sehen wie einflussreich der Wert von personenbezogenen Daten ist, wird aufgezeigt, inwiefern sich der Umsatz von Unternehmen in Bezug auf Werbung entwickelt hat. Ebenso wird Bezug auf die Entwicklung von Cyberkriminalität genommen. Um den technischen Hintergrund zu beleuchten, werden verschiedene Angriffsmethoden auf soziale Netzwerke aufgezeigt. Jedes analysierte soziale Netzwerk wird auf die Art des Netzwerkes, die Datenschutzrichtlinie, Cookies, das Anlegen eines Profils, die Standardkonfiguration, den Einsatz von Verschlüsselung, den Löschumfang bei Abmeldung und Vorfälle in der Vergangenheit untersucht. Hierzu dienen exemplarisch die Netzwerke Facebook und LinkedIn. Zum Abschluss erfolgen eine Zusammenfassung in Form eines Fazits und ein Ausblick auf zukünftige Entwicklungen. iii Inhaltsverzeichnis 1 Einleitung 1.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Ziel der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1 1 1 2 Datenschutz 2.1 in Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 international . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Problematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 2 2 3 Wert von personenbezogenen Daten 3.1 für Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 für kriminelle Institutionen . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3 4 4 Angriffsmethoden auf soziale Netzwerke 4.1 Cross-Site Scripting (XSS) . . . . . 4.2 Man-in-the-Middle . . . . . . . . . . 4.3 Vernetzung von Profildaten . . . . . 4.4 SQL-Injection . . . . . . . . . . . . . 4.5 Denial-of-Service-Attacken (DoS) . 4.6 Phishing und Social Engineering . . . . . . . 5 5 6 7 8 9 9 . . . . . . . . 11 11 11 14 16 16 18 18 19 5 Facebook 5.1 Art des Netzwerkes . . . . . . 5.2 Datenschutzrichtlinie . . . . . 5.3 Cookies . . . . . . . . . . . . . 5.4 Anlegen eines Profils . . . . . . 5.5 Standardkonfiguration . . . . 5.6 Einsatz von Verschlüsselung . 5.7 Löschumfang bei Abmeldung . 5.8 Vorfälle in der Vergangenheit . . . . . . . . . . . . . . . . . . . . . . . . . iv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Inhaltsverzeichnis 6 LinkedIn 6.1 Art des Netzwerkes . . . . . . 6.2 Datenschutzrichtlinie . . . . . 6.3 Cookies . . . . . . . . . . . . . 6.4 Anlegen eines Profils . . . . . . 6.5 Standardkonfiguration . . . . 6.6 Einsatz von Verschlüsselung . 6.7 Löschumfang bei Abmeldung . 6.8 Vorfälle in der Vergangenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 20 20 22 23 23 23 24 24 7 Zusammenfassung und Ausblick 25 7.1 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 7.2 Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Abbildungsverzeichnis Literaturverzeichnis v 1 Einleitung 1.1 Motivation Das Internet spielt heutzutage eine wichtige soziale Rolle in der Gesellschaft. Zwei Drittel der Internetnutzer weltweit beteiligen sich aktiv in sozialen Netzwerken, in Deutschland sind es sogar drei viertel aller Internetnutzer. Ob Facebook, Myspace, Twitter, StudiVZ oder Xing - für jeden Anlass ist ein passendes soziales Netzwerk verfügbar, sei es für private oder geschäftliche Kontakte. Auch Unternehmen und Institutionen setzen soziale Netzwerke verstärkt für ihre Zwecke ein. Dazu werden Personalwerbung, Marketing und interne Unternehmenskommunikation gezählt. Dennoch nutzen die meisten Menschen soziale Netzwerke nicht bewusst und ignorieren die Risiken im Bereich des Datenschutzes und der IT-Sicherheit. Dadurch werden sie häufig zu Opfern von Angriffen auf ihre Privatsphäre, wie zum Beispiel Identitätsdiebstahl. 1.2 Ziel der Arbeit Ziel ist es, den Leser auf die Gefahren und Risiken im Bereich Datenschutz und IT-Sicherheit bei der Nutzung von sozialen Netzwerken hinzuweisen. Es soll so ein Bewusstsein geschaffen werden, in dem der Nutzer soziale Netzwerke kritisch hinterfragt und dadurch das Risiko minimiert wird, selbst zum Opfer von Angriffen zu werden. 1.3 Vorgehen Im Rahmen der Arbeit werden mehrere soziale Netzwerke analysiert und ihre Datenschutzbestimmungen geprüft beziehungsweise ihre Sicherheitslücken aufgezeigt. 1 2 Datenschutz 2.1 in Deutschland Jeder Mensch in Deutschland hat das Recht auf informationelle Selbstbestimmung und kann somit selbst darüber entscheiden, wem er welche persönliche Information anvertraut. Das Bundesdatenschutzgesetz - kurz BDSG - regelt zusammen mit den Datenschutzgesetzen der Länder den Umgang mit personenbezogen Daten. Primäres Ziel ist es den Nutzer vor kriminellen Machenschaften zu schützen. [fSidI13] 2.2 international Weltweit gibt es kein einheitliches Datenschutzgesetz, allerdings gibt es in der Europäischen Union seit 1995 eine gemeinsame Datenschutzrichtlinie (95/46/EG). Die Umsetzung der Datenschutzbestimmungen wird nicht einheitlich von zentraler Stelle geregelt, sondern jeder Mitgliedsstaat ist selbst für die Umsetzung verantwortlich. In der Praxis führt dies dazu, dass die genaue Rechtslage eher unklar und schwer umsetzbar ist. Es Bedarf weiterer Harmonisierung in der Europäischen Union und stetiger Anpassung des Datenschutzrechtes. [dI15] 2.3 Problematik Viele bekannte soziale Netzwerke haben ihren Sitz im Ausland. Dadurch, dass es kein weltweit einheitliches Datenschutzgesetz gibt, entsteht das Problem ,dass der Nutzer nur sehr schwer nachvollziehen kann, inwiefern seine Daten tatsächlich geschützt sind. Außerdem besitzt jedes soziale Netzwerk zusätzlich noch eigene Datenschutzbestimmungen, die eventuell in Deutschland rechtlich nicht einmal zulässig sind, dies erschwert die Sachlage erheblich. 2 3 Wert von personenbezogenen Daten 3.1 für Unternehmen Warum sind Unternehmen an unseren personenbezogenen Daten so sehr interessiert? Betrachten wir hierzu den Umsatz des sozialen Netzwerkes Facebooks genauer. Abbildung 3.1: Darstellung des Umsatzes von Facebook [20115a] Wie der Graph verdeutlicht, besteht der Großteil des Umsatzes von Facebook aus Werbeeinnahmen. Diese werden durch personalisierte Werbung, die genau auf das Verhalten und die Vorlieben des jeweiligen Nutzers zugeschnitten ist, erzielt. Weltweit gelingt es Facebook so 8,71 US-Dollar pro Nutzer einzunehmen, wobei die Werbeeinnahmen pro Nutzer in den USA und Kanada wesentlich höher ausfallen. Dies wird allerdings wiederum durch die niedrigen Umsätze in Asien und Europa ausgeglichen. Anhand dieses Beispiels wird zeigt, wie Wertvoll unsere personenbezogenen Daten für Unternehmen sein können. [20115b] 3 3 Wert von personenbezogenen Daten 3.2 für kriminelle Institutionen „Wen interessieren schon meine persönlichen Daten?“, denken sich viele, da sie nicht wissen, wieviel ihre Daten für Hacker wert sind. Fakt ist: Der Datenklau ist mittlerweile lukrativer als der weltweite Drogenhandel. Allein in Deutschland wurden im Jahr 2013 64.426 Fälle von Cyberkriminalität erfasst. Siehe Abbildung 3.2. Dabei handelt es sich nur um die polizeilich erfassten Straftaten. Die Dunkelziffer wird von Experten auf das zehnfache Fache geschätzt. Abbildung 3.2: Polizeilich erfasste Fälle von Cyberkriminalität [Sta13] Somit kann tatsächlich jeder zum Opfer werden. Die Hacker können dabei wirklich alles zu Geld machen. Auf illegalen Plattformen kann jeder E-Mail-Adressen, Passwörter, Kreditkartendaten, Computerschädlinge und vieles mehr tausendfach kaufen und verkaufen. Pro Datensatz erhalten die Hacker dabei mindestens einen Cent. Als Zahlungsart werden meist Bitcoins oder andere Online-Zahlungsmittel verwendet. Im Jahre 2014 sorgte ein russischer Hacker für Schlagzeilen, hierbei gelang es ihm 1,2 Milliarden Passwörter zu stehlen. Bei circa einem Cent pro Datensatz machen dies immerhin 12 Millionen Euro. Allein in Deutschland wird der jährliche Schaden auf circa 11,8 Milliarden Euro geschätzt. [MED11][Men14] 4 4 Angriffsmethoden auf soziale Netzwerke Soziale Netzwerke werden hauptsächlich über den Webbrowser oder mobile Applikationen aufgerufen. Hierbei werden die Web-Dienste der sozialen Netzwerke vom Nutzer verwendet. Somit stellen Varianten herkömmlicher webbasierter Angriffe eine Herausforderung für die Sicherheit sozialer Netzwerke dar. 4.1 Cross-Site Scripting (XSS) Eine besondere Gefahr stellen Cross-Site Scripting (XSS), auch Cross-Site Scripting-Viren genannt, dar. Hierbei wird auf dem Zielserver, z. B. im eigenen Profil oder anderen öffentlichen Bereichen, Schadcode eingebunden, der sämtliche Betrachter infiziert, sich selbständig auf deren Seiten repliziert und von dort wiederum weitere Besucher infiziert. Abbildung 4.1: Darstellung des Angriffsverlaufs Cross-Site Scripting [Ela14] 5 4 Angriffsmethoden auf soziale Netzwerke Die Abbildung 4.1 zeigt den Verlauf einer solchen Attacke. Der Angreifer infiziert den Server des sozialen Netzwerks und schleust so den Schadcode ein. Sobald der Nutzer die infizierte Webseite aufruft, lädt er den Virus herunter. Dadurch erhält der Angreifer im schlimmsten Fall Zugriff auf den Computer des Opfers und so die völlige Kontrolle. Gleichzeitig erstellt der Virus einen öffentlichen Post, in dem ebenfalls der Schadcode enthalten ist, sodass sich der Virus schnellstmöglich verbreitet. Soziale Netzwerke wurden bereits in der Vergangenheit zum Ziel solcher Angriffe. Dazu zählt zum Beispiel der MySpace-Wurm Samy, der bereits im Jahr 2005 aufgetreten ist und innerhalb von 20 Stunden über eine Million Profile infiziert hat. Aller Voraussicht nach werden auch in Zukunft Angreifer soziale Netzwerke dazu nutzen, Viren zu verbreiten, da diese aufgrund ihrer hohen Nutzerzahlen ein ideales Ziel darstellen und somit sehr lukrativ für die Angreifer sind. [Eil15] 4.2 Man-in-the-Middle Bei einem Man-in-the-Middle-Angriff klinkt sich der Angreifer in die Kommunikation zwischen zwei Stationen ein, die sich einander vertrauen. Dabei täuscht der Angreifer vor, dass seine Pakete von einem Rechner kommen, dem das angegriffene Ziel vertraut. Aufgrund einer falschen Identität kann der Angreifer das Ziel dazu bringen, alle Datenpakete zu ihm zu schicken. Der Angreifer kann dabei die Pakete auswerten und gegebenenfalls manipulieren. Siehe Abbildung 4.2. Abbildung 4.2: Darstellung des Angriffsverlaufs Man-in-the-Middle [Unk15] 6 4 Angriffsmethoden auf soziale Netzwerke Solche Angriffe sind vor allem deshalb erfolgreich, weil die meisten sozialen Netzwerke nicht durchgängig das sichere Kommunikationsprotokoll HTTPS verwenden, sondern auch das unsichere HTTP. Ungeschützte HTTP-Sitzungen sind noch immer die Regel. So verwenden beispielsweise Facebook und LinkedIn das sichere HTTPS bisher standardmäßig nur zur Übertragung der Login-Daten. Recht populär ist zum Beispiel das Werkzeug Firesheep, welches das Übernehmen von Nutzersitzungen in ungeschützten WLANs erlaubt. 4.3 Vernetzung von Profildaten Nutzerprofile von sozialen Netzwerken können von Dritten durchsucht, heruntergeladen und für Zwecke verwendet werden, die vom Nutzer meist nicht vorgesehen sind. Arbeitgeber durchsuchen soziale Netzwerke nach potentiellen neuen Mitarbeitern oder zum Aussortieren von Bewerbern nach unliebsamen Eigenschaften. Zwar können die Nutzer ihre Profile zumindest teilweise ändern oder löschen, sie können jedoch nicht wirksam verhindern, dass ihre Daten anderswo, beispielsweise bei einem potentiellen Arbeitgeber gespeichert und aufgehoben werden. Das Entfernen von personenbezogenen Daten auf fremden Webseiten gestaltet sich meist als sehr schwierig. Außerdem setzen Unternehmen zunehmend sogenannte Crawler-Programme ein, um Daten von sozialen Netzwerken abzugreifen. Ziel ist es, den Markt zu analysieren um zum Beispiel die Wirksamkeit ihrer Werbung festzustellen. Auch Versicherungen nutzen heutzutage soziale Netzwerke um Hintergrund- und Risikoprüfungen durchzuführen. Die SCHUFA hatte 2006 das Hasso-Plattner-Institut (HPI) damit beauftragt, Daten aus sozialen Netzwerken zu gewinnen und zu validieren, um so noch bessere SCHUFA-Einstufungen durchführen zu können. Aufgrund umfangreicher medialer Kritik hat das HPI nach eigenen Angaben das Projekt eingestellt. Dennoch ist aller Voraussicht nach davon auszugehen, dass die SCHUFA weiterhin Daten aus sozialen Netzwerken für ihre Einstufungen verwendet. Die meisten Nutzer tolerieren jedoch die Vernetzung ihrer Profildaten oder sind sich dieser nicht bewusst. Nur einzelne Vorfälle schaffen es in die Medien. Dennoch kann die Datenspeicherung negative Auswirkungen für den Nutzer haben, zum Beispiel wenn der potentielle Arbeitgeber beim Bewerbungsprozess Einsicht in diese hat. 7 4 Angriffsmethoden auf soziale Netzwerke 4.4 SQL-Injection Die Datenbank einer Webseite ist oft das interessanteste Ziel für Hacker. Dort sind schließlich alle nutzerbezogenen Daten gespeichert. Doch wie gelingt es Hackern SQL-Code einzuschleusen? Die Abbildung 4.3 zeigt SQL-Injection in der einfachsten Form. Abbildung 4.3: Beispielhafte Darstellung SQL-Injection [Sec13] Durch unachtsame Programmierung seitens der Webseitenbetreiber ist es in diesem Fall möglich, SQL-Statements direkt über die Eingabemaske einzuschleusen. Theoretisch ist es nicht schwierig für Webseitenbetreiber, sich vor SQL-Injection zu schützen. Die sicherste Variante ist es, alle Benutzereingaben, die in eine SQL-Anfrage eingefügt werden, mithilfe der Methode mysql_real_escape_string zu escapen. Dennoch sind laut dem Data Breach Investigations Report (DBIR) circa 80% aller Webseiten anfällig für SQL-Injections. Es besteht daher noch großer Nachholbedarf der Webseitenbetreiber diese einfache Angriffsform einzudämmen. [Wey] 8 4 Angriffsmethoden auf soziale Netzwerke 4.5 Denial-of-Service-Attacken (DoS) Eine Denial-of-Service-Attacke (auch als DoS-Attacke abgekürzt) ist ein Angriff, der dazu führen soll, dass eine Webseite temporär, oder in besonders extremen Fällen auch dauerhaft, nicht mehr erreicht werden kann. Internetaktivisten nutzen DoS-Angriffe im Rahmen von Protestaktionen um beispielsweise Regierungsseiten und Firmenwebseiten lahmzulegen. Als Entwickler kann man sich nur unzureichend gegen DoS-Attacken schützen. Abbildung 4.4: Social Engineering Angriffszyklus [Sim14] Hacker verwenden meist sogenannte Botnetze, um DoS-Angriffe zu realisieren. Von den gekaperten Rechnern, auch Zombies genannt, werden solange fehlerhafte Pakete gesendet bis die Webseite überlastet ist und zusammenbricht. Somit ist es jedem mit Hilfe von einfachen Tools möglich, eine DoS-Attacke zu starten. [Wey] 4.6 Phishing und Social Engineering Wenn Angreifer Zugang zu einem Benutzerkonto erlangen möchten, besteht die Möglichkeit, das Passwort mittels Brute-Force-Attacken zu knacken. Im Gegensatz zu den technischen Hindernissen, lässt sich der Mensch leichter täuschen. Phishing ist hauptsächlich aus dem Bereich des Online-Bankings bekannt. Aber auch in sozialen Netzwerken verwenden Angreifer immer häufiger Phishing um an 9 4 Angriffsmethoden auf soziale Netzwerke Benutzerdaten zu gelangen. Dabei werden Links zu gefälschten Seiten meist über gekaperte Benutzerkonten versendet. Phishing wird oft mit anderen Angriffsmethoden wie zum Beispiel Man-in-the-Middle kombiniert, um an die Daten des Nutzers zu gelangen. Ebenso wie beim Phishing werden beim Social Engineering Menschen dazu gebracht, Informationen preiszugeben, die es einem Angreifer ermöglichen, in ein System einzudringen. So ein Angriff kann in der Regel in die vier Phasen, siehe Abbildung 4.5, unterteilt werden. Abbildung 4.5: Social Engineering Angriffszyklus [Hin02] Ziel von Social Engineering ist es, durch gezielte Befragung von Mitarbeitern eines Unternehmens oder einer ähnlichen Einrichtung Informationen über interne Prozesse oder Zugangsdaten zu einem System zu erlangen. Um dies zu erreichen, bauen Social Engineers in der Regel zunächst eine gewisse Vertrauensbasis auf und ermitteln mit scheinbar belanglosen Fragen weitere Informationen über das Unternehmensumfeld und soziale Umfeld dieser Menschen. Diese Informationen können dazu verwendet werden, sich als eine bestimmte autorisierte Person auszugeben und so zum Beispiel andere Mitarbeiter unter Druck zu setzen, um relevante Informationen zu erfahren. Zum Schluss werden die erbeuteten Daten dazu verwendet, eine bestimmte böswillige Aktion auszuführen. Sehr häufig werden soziale Netzwerke von Social Engineers dazu verwendet, Daten über eine gewisse Person zu sammeln. Da die meisten Menschen sehr freizügig mit ihren persönlichen Daten umgehen, ist dies einfach zu bewerkstelligen. [Wey] 10 5 Facebook 5.1 Art des Netzwerkes Facebook (FB) ist ein soziales Netzwerk, ein Treffpunkt im Internet, an dem der Nutzer mit Freunden und Bekannten kommuniziert. Facebook ermöglicht es, den Nutzern Inhalte von sich online einzustellen. Es besteht die Möglichkeit, Statusmeldungen zu geben. Zudem können die Nutzer Fotos, Videos, Links zu Webseiten einstellen. Eine weitere Funktion ist der Live-Chat. Facebook geht auf Jahrbücher an amerikanischen Universitäten zurück. Die Bücher werden Facebook genannt, weil darin alle Studenten eines Jahrgangs mit Foto und Namen abgebildet sind. Facebook-Gründer Mark Zuckerberg war Student, als er das Netzwerk erfand, um anfangs damit die Studenten der eigenen Uni zu vernetzen. Facebook in der derzeitigen Form existiert seit 2004. Die Zahl der Nutzer liegt derzeit bei 1,39 Milliarden.[ntv15] Außerdem gehört Facebook zu den am meisten aufgerufenen Webseiten - in Deutschland als auch global gesehen - auf Platz 2.[Ale15] 5.2 Datenschutzrichtlinie FB sammelt sehr viele Daten über den Benutzer. Dies sind insbesondere für den aktiven Nutzer die Daten der Registrierung für das Konto, das Erstellen oder Teilen von Inhalten, Nachrichten, die vom Account versendet werden, die Kommunikation mit anderen Nutzern, hochgeladene Fotos, die Nutzung der Dienste, die Häufigkeit und Dauer der Aktivität. Der Benutzer sollte sich im Klaren sein, welche Daten er preisgibt, da sich aus den vorhandenen Daten ein Benutzerprofil erstellen lässt. Ebenso findet eine Datensammlung ausgehend vom passiven Nutzer statt. FB hat Zugriff auf die Netzwerke und Verbindungen des aktiven Nutzers, d. h. Informationen darüber, mit welchen Personen oder Gruppen der Nutzer verbunden ist, die Interaktion mit den Gruppen bzw. Personen, mit welchen Personen am 11 5 Facebook meisten Interaktion stattfindet, die Kontaktinformationen die der Benutzer von einem Gerät hochlädt (zum Beispiel das Adressbuch eines Smartphones). Sobald der Benutzer eine Bezahl-App seitens FB verwendet, so muss er Zahlungsinformationen eingeben. Dies sind die z. B. Kontonummer, Angaben zur Abrechnung, Versand, Kontaktdaten. Somit hat FB Informationen über den Wohnort und die finanziellen Daten des Nutzers. Außerdem werden Informationen über das verwendete Gerät gespeichert. Dies sind Computer und Smartphones. Sobald der Benutzer eine App, z. B. den Facebook Messenger installiert hat, willigt er ein, dass FB Zugriff auf alle Daten des Geräts hat. Informationen über das Gerät sind z. B. das Betriebssystem, Hardware-Version, Geräteeinstellungen, Browsertyp, Datei- und Softwarenamen, der Gerätestandort (GPS), Bluetooth oder WLAN, Verbindungsinformationen, der Internet-Provider oder Mobilfunkanbieter, Handynummer, IP-Adresse. So gut wie jede Information des verwendeten Geräts wird gespeichert. Es werden Daten von Webseiten und Apps gespeichert. Es findet eine enorme Datensammlung statt, z. B. wenn der Benutzer auf den Gefällt mir Button klickt. Aus diesen Daten lässt sich genau analysieren, welche Interessen der Nutzer hat und somit können diese Informationen für gezielte Werbemaßnahmen genutzt werden. Sobald der Benutzer einen Tab mit der FB-Seite offen hat und nebenher auf anderen Webseiten surft, protokolliert FB die aufgerufenen Webseiten. Die meisten Nutzer haben Facebook nebenher geöffnet und surfen aufgrund der Tab-Funktion auf anderen Webseiten.[Fac15b] Aus diesen gesammelten Daten lässt sich ein sehr breites Profil über den Benutzer erstellen. FB weiß so gut wie alles über seine Benutzer. Dies ist aus datenschutzrechtlichen Gründen als sehr kritisch einzustufen, da die meisten Benutzer sich nicht im Klaren sind, dass eine so große Datensammlung stattfindet. Zu beachten ist, dass zu FB folgende Unternehmen gehören: Facebook Payments, Atlas (Werbeunternehmen), Instagram LLC (Aufnahme und Teilen von Fotos), Mobile Technologies Inc. (Spracherkennungssoftware), Onavo (sorgt für geringeren Datenverbrauch beim Surfen), Parse (SDK für mobile Geräte), Moves (Software, die für ihre Nutzer die täglich zurückgelegten Strecken aufzeichnet, grafisch anzeigt und dabei unter anderem die verbrauchten Kalorien berechnet), Oculus (virtuelle Realität, Entwickler einer 3D-Brille), Live Rail (Plattform für Videowerbung) und WhatsApp Inc. (Plattformübergreifende mobile Nachrichten App) [Fac15c]. Die Liste 12 5 Facebook der zu FB gehörenden Unternehmen wird immer länger. FB ist weitaus mehr als nur ein soziales Netzwerk, es ist ein Unternehmen das enorme Daten von den Benutzern sammelt, über verschiedenste Wege. Facebook nutzt die Daten und Informationen um dem Benutzer direkte Vorschläge anzubieten, zum Beispiel die Markierung eines Fotos von einem Freund. Falls Standortinformationen vorhanden sind, werden diese verwendet um dem Nutzer lokale Veranstaltungen und Angebote in seiner Umgebung vorzuschlagen. Des Weiteren wird der Standort des FB-Nutzers verwendet und den Freunden mitgeteilt. Ebenso werden die Daten benutzt, um personalisierte Werbeanzeigen anzuzeigen. Diese werden von den Unternehmen zudem ausgewertet, um weitere zielgerichtete Werbung bzw. Dienste anzubieten. Unternehmen verwenden FB, um die Nutzer zu erreichen, die sich am meisten für ihre Produkte oder Dienstleistungen interessieren. Funktionsweise von Werbeanzeigen auf Facebook: Das Unternehmen erstellt eine Werbeanzeige. Es stellt FB Informationen zu den Nutzern zur Verfügung, die sie erreichen möchten. Diese können auf Daten wie beispielsweise der Stadt, in der sie leben, ihrem Alter und ihren Interessen basieren. FB zeigt die Werbeanzeige den Nutzern, auf die diese Beschreibung offenbar zutrifft. Anhand der Art der Interaktionen auf FB wird selektiert, welche Werbeanzeigen am besten für den User geeignet sind. Wenn der Nutzer zum Beispiel Seiten und Beiträge mit „Gefällt mir“ markiert, auf Meldungen in den Neuigkeiten klickt oder die Webseiten oder Apps bestimmter Unternehmen verwendet, die auf FB werben, entscheidet FB darüber, welche Werbeanzeige relevant ist oder nicht. Die Unternehmen stellen FB Informationen zu den Nutzern zur Verfügung, die sie erreichen möchten. FB teilt niemals Informationen durch die der User persönlich identifiziert wird, wie den Namen und Kontaktinformationen, es sei denn, der User erteilt die Berechtigung dazu. Die FB-Philosophie besteht darin Werbeanzeigen zu zeigen, die nützlich bzw. interessant sind. Anpassungen, welche Werbung angezeigt werden soll, kann der User vornehmen: Werbung anklicken, Informationen darüber, warum eine Werbeanzeige angezeigt wird, Einstellungen vornehmen. Gelegentlich kann es vorkommen, dass Werbeanzeigen angezeigt werden, die nicht zu den Interessen passen. Dies passiert wenn Unternehmen eine große, nicht enger eingegrenzte Zielgruppe erreichen möchten, beispielsweise alle Benutzer in einer Stadt.[Fac15f] 13 5 Facebook Lösungsmöglichkeit: Die Abbestellung der Informationssammlung und Nutzung für Werbung über die „European Interactive Digital Advertising Alliance“. Abbildung 5.1: Nutzungsbasierte Online-Werbung [EDA15] 5.3 Cookies Cookies werden dazu verwendet, um zu sehen welche Webseiten besucht wurden. Hierzu wird eine kleine Textdatei auf dem lokalen Computer des Nutzers gespeichert. Somit weiß die schon einmal besuchte Seite beim nächsten Besuch, wer der Nutzer ist. Cookies können nicht nur ihre eigenen Webseiten lesen, sondern sind auch in der Lage alle anderen Webseiten zu lesen. Aus diesen Informationen kann eine Art Interessenprofil erstellt werden und zum Beispiel für Geld an werbetreibende Firmen verkauft werden. Dies ist eine zentrale Einnahmequelle von FB. FB verwendet Cookies hauptsächlich um Inhalte und Werbung anzuzeigen, die für den Nutzer relevant sind. Es gibt folgende Nutzungskategorien: Authentifizierung: Information zur Anmeldezeit des Nutzers. Dadurch entsteht eine Verknüpfung zu anderen Websites, die z. B. von FB-Plugins verwendet werden. Es werden Informationen gespeichert inwiefern der Benutzer die Anwendungen von Facebook verwendet. 14 5 Facebook Sicherheit und Webseitenintegrität: Bei Eingabe des Nutzernamens oder Passworts bieten Cookies die Option Tippfehler zu korrigieren. Außerdem werden Anmeldebestätigungen verwendet, um sicherzustellen, dass sich nur ein Benutzer anmeldet. Hierzu gibt es ein Protokoll, welches alle Anmeldungen mit Standort, IP-Adresse und Browser speichert. Somit kann überprüft werden, ob sich eine unbekannte Person nicht autorisierten Zugriff beschafft hat. Werbung, Messungen, Statistiken: Cookies werden verwendet, um gezielt die Interessen von den Benutzern zu analysieren. Daraus kann Facebook Werbung für die Benutzer schalten. Des Weiteren bietet das soziale Netzwerk diverse Produkte und Dienstleistungen zu den vorherigen Informationen an. Zudem werden die gesammelten Daten an die Partnerunternehmen weitergeleitet, die wiederum ihre Produkte anbieten. Die Partner verwenden FB-Plugins um Daten zu sammeln, die sie an Facebook geben. So entsteht ein riesiger Kreislauf einer Datensammlung in Form von Statistiken, die letztendlich bei Facebook landen. Lokalisierung: Informationen zur bevorzugten Sprache werden gespeichert. Dies lässt schlussfolgern, aus welchem Land der Benutzer ist. Webseitenfunktion und Dienste: Bei der Anmeldung von Facebook wird automatisch das Nutzernamefeld ausgefüllt. Der Benutzer kann sehen, welche Freunde gerade online sind. Außerdem kann FB sehen, inwiefern FB-Dienste genutzt werden. Performance: Es wird festgestellt, wie schnell die Daten der FB-Dienste geladen werden. Diverse Daten von Mobilgeräten werden von FB gespeichert. Kritisch ist, dass der Nutzer nicht weiß, welche Daten und FB dies nicht offen legt. Analyse und Forschung: FB sammelt Daten, wann der Nutzer vom Computer oder einem Mobilgerät auf Facebook Dienste oder andere Webseiten und Apps zugreift. Diese werden analysiert und zur Verbesserung der eigenen bzw. Partnerprodukte verwendet. Verwendung Mobilgerät: Facebook erhält Informationen über die Verwendung des Geräts und der installierten Apps. Dies dient der Identifikation bzw. der Speicherung von anderen Informationen auf dem Gerät. Summa summarum benutzt Facebook eine große Anzahl von Cookies um Daten zu gewinnen und diese im Anschluss zu analysieren. Beispiele sind Atlas, Bloom Digital, Flashtalking, GroupM, Mediamind, Mediaplex, Pointroll, TruEffect, 15 5 Facebook Weborama und DoubleClick zur Gewinnung von Daten zur Analyse des Nutzungsverhaltens. Wenn der Nutzer vordefinierte Werbung oder Suchergebnisse nicht angezeigt haben möchte, so kann er in den Privatsphäre Einstellungen des Browsers einstellen, dass die Cookies beim Schließen des Programms die Cookies weg wirft. Somit weiß FB beim nächsten Besuch nicht, was der Nutzer mag und zeigt wirre Werbeeinblendungen. Ebenso ist es möglich, direkt in den Privatsphäre Einstellungen von FB diverse Optionen zu setzen. [Fac15a] 5.4 Anlegen eines Profils Um sich bei FB anzumelden, ist es nötig, den vollständigen Namen, die Mailadresse, ein möglichst sicheres Passwort (mindestens acht Zeichen bestehend aus Buchstaben, Zahlen und Sonderzeichen), das Geschlecht und das Geburtsdatum einzugeben. Laut den Nutzungsbedingungen müssen zwingend echte Daten angegeben werden, ansonsten kann der Account später von Facebook gesperrt werden. Die Mailadresse muss gültig sein, da ein Bestätigungslink zur Verifizierung verschickt wird. Als nächsten Schritt möchte FB vorhandene Kontakte des Mailkontos abgreifen (Freunde finden). Gibt der Nutzer Zugriff, so hat Facebook alle Kontakte des Nutzers. Der Nutzer soll nun weitere Informationen wie Schule, Hochschule und Arbeitgeber angeben, die übersprungen werden können. Der letzte Schritt ist das Hochladen eines Profilbildes. [Fac15d] 5.5 Standardkonfiguration In der Standardkonfiguration sind private Daten für jeden sichtbar. Oben genannte Daten sind via Google sehr leicht aufzufinden. Es bestehen folgende Möglichkeiten um Facebook ein wenig einzuschränken: Privatsphäre-Einstellungen: oben rechts zu finden Anwendungen bei Facebook stoppen: Bei FB kann der Nutzer als Mitglied sogenannte Anwendungen nutzen, Zusatzprogramme, die FB um bestimmte Funktionen erweitert. Das Problem: Viele Anwendungen greifen dabei auf ihre persönlichen Daten zu. Diese wandern in diverse Datenbanken oder werden für Werbezwecke verwendet. Eine Abhilfe schafft die Deaktivierung, um den Zugriff zu verbieten. 16 5 Facebook Personalisierung stoppen: Umgehende Personalisierung bedeutet, dass Drittfirmen auf die bei Facebook gespeicherten Daten zugreifen dürfen, um dem Nutzer bestimmte Dienste oder Einstellungen anzubieten. Eine Deaktivierung ist sinnvoll. Wie Nutzer seine Informationen an Anwendungen weitergeben, die sie nutzen: Ein weiterer wichtiger Punkt in den “Privatsphäre-Einstellungen” ist das Thema “Wie Nutzer deine Informationen an Anwendungen weitergeben, die sie nutzen“. Hier sind viele Punkte von FB bereits voreingestellt. FB-Freunde können persönliche Daten vom Nutzer in der Regel unbewusst an Drittfirmen übermitteln, wenn sie FB-Anwendungen nutzen. Eine Deaktivierung ist sinnvoll. Chronik und Markierungen: Als soziales Netzwerk versucht FB, seine Mitglieder untereinander zu vernetzen. Um zu unterbinden, dass andere die Fotos mit ihrem Namen markieren oder auf der persönlichen FB-Seite Mitteilungen zu platzieren, gibt es die Möglichkeit unter Chronik und Markierungen die Einträge zu deaktivieren. Werbeanzeigen, Anwendungen, Webseiten: Facebook verdient sein Geld mit Werbung, vor allem mit personalisierter Werbung. Dabei verwendet das Unternehmen die Nutzerdaten, um anderen Mitgliedern Produkte schmackhaft zu machen. Eine Deaktivierung in den Privatsphäre-Einstellungen bei Punkt „Werbeanzeigen, Anwendungen und Webseiten“ hindert Facebook daran. Kontoeinstellungen: Unter diesem Punkt wird das FB-Konto gegen unbefugten Zugriff von außen abgesichert. Im nachfolgenden Punkt Sicherheit können weitere Einstellungen vorgenommen werden. Sicherheitsfrage: Hier wird eine Sicherheitsfrage ausgewählt für den Fall, dass der Nutzer ein neues Passwort anfordern muss. Damit wird verhindert, dass ein Unbefugter mit dem Namen des Users ein neues Passwort anfordern kann. Sicheres Durchstöbern: Beim sicheren Browsen (HTTPS) handelt es sich um eine Sicherheitsfunktion. Wenn diese Funktion aktiviert ist, werden möglichst alle Aktivitäten auf Facebook verschlüsselt. Dies erschwert es anderen Nutzern, ohne Genehmigung auf Facebook-Informationen zuzugreifen. Anmeldebenachrichtigung: Es wird eine Mail an den User abgeschickt, wenn von einem bislang unbekannten Computer auf den Facebook-Zugang zugegriffen wird. 17 5 Facebook 5.6 Einsatz von Verschlüsselung Seit Juli 2013 verwendet Facebook standardmäßig HTTPS für alle Nutzer seines sozialen Netzwerks. Damit erfolgt praktisch jeglicher Datenverkehr über eine sichere Verbindung. Die Apps für Android und iOS nutzen die Verschlüsselung schon länger. Hierzu verwendet Facebook Transport Layer Security (TLS), dies macht die Kommunikation zwischen Browser und Facebook-Servern sicherer. Hintergrund ist die Verhinderung von Man-in-the-middle-Angriffen, da dieses Protokoll eine zusätzliche Sicherheitsschicht darstellt. Bisher war es möglich sich Zugang zu den Benutzerkonten zu verschaffen. Ebenso konnte die Kommunikation belauscht werden. Facebook bietet die HTTPS-Verschlüsselung schon seit 2011 als Option an, bis Juli 2013 war diese standardmäßig deaktiviert. [Fac13a] FB hat am 1. Juni angekündigt seine Mails an die Nutzer zu verschlüsseln. Dies erfolgt mit der Verschlüsselungstechnik OpenPGP. Technisch gesehen werden die Mails somit automatisch signiert und verschlüsselt. Aktuell gilt die Verschlüsselung als sehr sicher. Facebook unterstützt die Entwicklung für das Programm GnuPG finanziell. [Fac15e] 5.7 Löschumfang bei Abmeldung Facebook bietet die Option an, das Benutzerkonto dauerhaft zu löschen. Es ist innerhalb von 14 Tagen möglich, den Löschvorgang zu revidieren. Sobald sich der Benutzer innerhalb dieser Zeitspanne einmal einloggt, so ist der Prozess abgebrochen. Die Daten bleiben für den Benutzer für 90 Tage in Form von Protokolldateien und Sicherungskopien ersichtlich. Gästebuch- und Foreneinträge, Fotoverknüpfungen und Kommentare zu einem Blog entfernt Facebook vollständig. Allerdings: Daten, die nicht nur im eigenen Account gespeichert wurden (Beiträge in einer Gruppe oder Nachrichten zu anderen Benutzern) bleiben in jedem Fall dauerhaft bestehen. Es ist somit nicht möglich, komplett alle Daten, die der Benutzer an FB gegeben hat, zu löschen. Abschließend als kritisch zu betrachten ist, ob Facebook wirklich alle Daten löscht und sich einbehält die vorhandenen Daten zu speichern. [Fac13b] 18 5 Facebook 5.8 Vorfälle in der Vergangenheit Deutsche Verbraucherschützer kritisieren Facebook aufgrund der Datenschutzund Nutzungsregeln. Derzeit arbeitet die Verbraucherzentrale an der Vorbereitung einer Klage gegen das soziale Netzwerk. Bereits im Februar 2015 wurde Facebook von Verbraucherschützern bezüglich 19 Klauseln abgemahnt. Der Hauptkritikpunkt ist die Auswertung von Nutzerdaten für die Schaltung von Werbung. Nach deutschem Recht dürften Unternehmen persönliche Daten nur verwerten, wenn die Nutzer dem zustimmen. Eine Einwilligung in dieser Form gibt es bei Facebook nicht. Zudem ist ein weiteres Problem die Pflicht, den vollständigen Namen anzugeben. Des weiteren sind bestimmte Einstellungen vordefiniert, die der Nutzer erst umstellen muss. Somit kann Facebook das Surfverhalten von den Nutzern umfassend auswerten und dementsprechend ist eine Beeinflussung möglich, vor allem in Bezug auf die genannten Werbemaßnahmen. Ein Erfolg der Klage scheint allerdings unwahrscheinlich, da die Datenschutzbehörde von Facebook in Irland liegt. Somit sind die Datenschützer aus Irland für das soziale Netzwerk zuständig. [ho15] 19 6 LinkedIn 6.1 Art des Netzwerkes LinkedIn ist ein soziales Netzwerk zur Pflege bestehender Geschäftskontakte und zur Knüpfung geschäftlicher Beziehungen. Mit über 347 Millionen registrierten Nutzern in mehr als 200 Ländern ist es die derzeit größte Plattform dieser Art. [Cor15] Außerdem gehört LinkedIn zu den meist aufgerufenen Seiten der Welt und belegt aktuell Platz 13 in der Rangliste von Alexa. [Int15] 6.2 Datenschutzrichtlinie LinkedIn speichert personenbezogene Informationen und leitet diese zur Verwaltung an ihre Standorte weiter. Sollte der Nutzer seinen Wohnsitz innerhalb der USA haben, werden seine Informationen von LinkedIn Corporation, 2029 Stierlin Court, Mountain View, California 94043, USA verwaltet. Befindet sich der Wohnsitz außerhalb der USA, so werden die Daten an LinkedIn Ireland, Wilton Plaza, Dublin 2, Irland weitergeleitet. [Cor14a] Außerdem erfasst LinkedIn Informationen über das Nutzungsverhalten des Nutzers. So wird zum Beispiel erfasst, sobald der Nutzer innerhalb oder außerhalb von LinkedIn-Anzeigen klickt. Des Weiteren werden folgende Informationen erfasst: Suchanfragen, das Adressbuch, Gruppen-Beitritte, Inhalte auf Pulse oder SlideShare und Stellenbewerbungen. Zusätzlich wird von allen Geräten, welche LinkedIn verwenden, die jeweilige IP-Adresse, GPS Koordinaten gespeichert und mit ihrem Konto verknüpft. [Cor14d] Diese Daten werden unter anderem dazu genutzt, dem Nutzer personalisierte Werbung anzuzeigen. Es wird außerdem darauf verwiesen, das LinkedIn sich das Recht vorbehält, diese Daten an Geschäftspartner weiterzuleiten und auch das Recht hat, Daten von Dritten über Sie zu beziehen und diese zu speichern. Hierzu 20 6 LinkedIn verwendet LinkedIn Cookies von Dritten. Es besteht die Möglichkeit, die Nutzung der Cookies abzulehnen. Hierzu verweist LinkedIn lediglich auf die Datenschutzrichtlinien der jeweiligen Betreiber. Somit ist dies sehr aufwendig und einem normalen Nutzer kaum zumutbar. [Cor14e] Die Datenschutzrichtlinien von LinkedIn sind erschreckend. Wer diese akzeptiert, muss sich bewusst sein, dass er LinkedIn und Geschäftspartnern das Recht dazu gibt, ihn nahezu völlig zu überwachen. Ob man nun im Internet surft oder wo man sich gerade befindet, all dies wird an LinkedIn übermittelt und gespeichert und an Geschäftspartner weitergeben. Außerdem erhält LinkedIn das Recht, sämtliche Inhalte und Feedbacks sowie persönliche Daten, welche LinkedIn zur Verfügung gestellt werden, zu nutzen, zu kopieren, zu modifizieren, zu verteilen, zu veröffentlichen, zu verarbeiten und an Dritte weiterzugeben. [Cor14f] Es ist zu erwähnen, dass der Nutzer zwar Eigentümer seiner Inhalte bleibt, allerdings LinkedIn eine Lizenz erhält, mit welcher LinkedIn, wie bereits oben erläutert, sämtliche Rechte zugesprochen bekommt. LinkedIn seinerseits verpflichtet sich zu nichts. Weder das ihre Dienste Verfügbar sein müssen, noch dass sie haftbar für Qualität, Sicherheit oder Zuverlässigkeit ihrer Dienste sind. Sollte es zu einem Rechtsstreit kommen, weist LinkedIn außerdem darauf hin, dass diese vor einem Gericht des Staates Kalifornien unter Anwendung kalifornischen Gesetzes stattfindet. [Cor14h] Der Nutzer hingegen verpflichtet sich dazu, nur wahrheitsgemäße Angaben zu machen und diese auf aktuellem Stand zu halten. Der Nutzer selbst darf auch nicht Informationen von LinkedIn sammeln und diese ohne Genehmigungen seitens LinkedIn an Dritte weitergeben. Die Stiftung Warentest kritisierte schon 2010 in einem Bericht, dass einerseits die Rechte der Nutzer eingeschränkt, dem Netzwerk andererseits weitreichende Rechte eingeräumt würden. Dies sei ein ungerechtfertigtes Ungleichgewicht. [War10] Der Autor kann diese Ansicht nur bestätigen und leider hat sich seit 2010 wohl nichts gebessert. Beschwerden des Verbraucherschutzes scheint LinkedIn schlichtweg zu ignorieren. Es liegt wohl an den Nutzern selbst solche Machenschaften zu boykottieren. 21 6 LinkedIn 6.3 Cookies LinkedIn verwendet eine Vielzahl von Cookies um Daten zu gewinnen und diese im Anschluss zu analysieren. Laut eigenen Angaben nutzt LinkedIn Cookies für die in Abbildung 6.1 beschriebenen Zwecke. Abbildung 6.1: Verwendungszweck Cookies LinkedIn [Cor14j] LinkedIn verwendet unter anderem Quantcast, Google Analytics, BlueKai, DoubleClick, Nielsen, Comscore, Eloqua und Lotame zur Gewinnung von Daten und Analyse des Nutzungsverhaltens. [Cor14i] Der Nutzer hat die Möglichkeit einzelne Cookies auszuschalten. Allerdings ist dies sehr umständlich und meist nicht von langer Dauer. Besser ist es, die Cookies direkt im Browser zu deaktivieren sofern dieser dies unterstützt. Allerdings ist in Folge dessen damit zu rechnen, dass nicht mehr alle Funktionen von Webseiten genutzt werden können, wie etwa das automatische Speichern von Passwörtern. 22 6 LinkedIn 6.4 Anlegen eines Profils Um sich bei LinkedIn anzumelden, muss der Nutzer seinen vollständigen Namen, E-Mail-Adresse, Land und Postleitzahl eingeben. Außerdem muss er zusätzlich Daten über seinen beruflichen Werdegang angeben, wie etwa den Berufsstatus, Firma, Stellung, Branche und Schulbildung angeben. Die Registrierung bei LinkedIn gestaltet sich sehr umfangreich. Viele Pflichteingaben sind nötig. Damit bezweckt LinkedIn ein, möglichst vollständiges Profil des Nutzers zu erhalten. Diese Daten werden unter anderem dazu verwendet, das Gehalt des Nutzers zu schätzen. Das Geschlecht ermittelt LinkedIn laut eigenen Angaben anhand des Vornamens. [Cor14b][Cor14c] 6.5 Standardkonfiguration In der Standardkonfiguration sind privatsphärenrelevante Informationen für jeden sichtbar. Daten wie zum Beispiel der berufliche Werdegang, Ausbildung und Interessen können somit via Google oder einer anderen gängigen Suchmaschine gefunden werden. Es ist dem Nutzer zu empfehlen, die Standardkonfiguration anzupassen, sodass dies verhindert werden kann. 6.6 Einsatz von Verschlüsselung Standardmäßig sind nur die Registrierung, der Login und das Verändern von Nutzereinstellungen verschlüsselt. Allerdings besteht die Möglichkeit, in den Kontoeinstellungen unter „Sicherheitseinstellungen verwalten“ durchgängige verschlüsselte Verbindungen zu aktivieren. Dennoch steht LinkedIn für seine schlechte Verschlüsselung der Daten in der Kritik. 2012 gelang es einem russischen Häcker 6,5 Millionen Passwörter von LinkedIn zu stehlen. Die Passwörter waren nur einfach verschlüsselt und konnten somit sehr schnell entschlüsselt werden. [Huc12] Fraglich ist, warum LinkedIn nicht bereits als Standardkonfiguration das sichere HTTPS verwendet und dieses aktuell nur über die Einstellungen im Nachhinein aktivierbar ist. 23 6 LinkedIn 6.7 Löschumfang bei Abmeldung Die Abmeldung bei LinkedIn gestaltet sich relativ unkompliziert. Die Angabe eines Grundes ist optional. Nach mehrmaligen Bestätigen wird der Zugang gelöscht. Allerdings ist darauf hinzuweisen, dass LinkedIn sich das Recht vorbehält, personenbezogene Informationen auch weiterhin nach Löschung aufzubewahren, sofern die Aufbewahrung erforderlich ist. Laut LinkedIn ist das der Fall, wenn einer der folgenden Punkte erfüllt ist: um rechtlichen Verpflichtungen nachzukommen, behördliche Anforderungen zu erfüllen, Rechtsstreitigkeiten zwischen Mitgliedern beizulegen oder Betrug und Missbrauch zu verhindern. Außerdem kann der Kundendienst die Daten so lange erforderlich aufbewahren um Trendanalysen und Berichte erstellen zu können. [Cor14g] Ein genauer Zeitraum wird von LinkedIn nicht angeben. Wie lange die Daten für diese besonderen Zwecke tatsächlich aufgehoben werden ist somit unklar. Die Formulierungen sind in diesem Punkt im Gegensatz zu den Pflichten des Nutzers mit Absicht schwammig gehalten. 6.8 Vorfälle in der Vergangenheit Neben den bereits erwähnten Hacker-Angriffen 2012 machte LinkedIn 2013 negativ Schlagzeilen. LinkedIn hatte in der Vergangenheit mehrmals Einlademails an Outlookkontakte ihrer Nutzer geschickt. Die Emails erweckten dabei den Eindruck, dass der Mailinhaber selbst die Email geschrieben hat. LinkedIn hatte schließlich im Namen der Nutzer die Emails mit ihrer jeweiligen Emailadresse versandt. LinkedIn wurde daraufhin in USA wegen des Vorwurfs des Hackens von Mailaccounts und Spammings angeklagt. Das Unternehmen argumentierte mit dem Recht auf freie Meinungsäußerung. Außerdem würden die betreffenden Nutzer so bei dem Aufbau eines Netzwerks unterstützt werden. Der Prozess ist aktuell noch nicht abgeschlossen, da LinkedIn zum wiederholten Male Berufung eingelegt hat. Des Weiteren wurde Ende 2013 bekannt, dass die LinkedIn-App Man-in-the-Middle-Angriffe verwendet, um Mails und Kontakte vom Smartphone abzufangen und auf ihre eigenen Server zu verschieben. Hierfür wurde das Unternehmen bislang nicht zur Rechenschaft gezogen. [Dav14][McK14][Sch13] 24 7 Zusammenfassung und Ausblick 7.1 Fazit Soziale Netzwerke sind der absolute Renner und werden sowohl von Privatnutzern und Unternehmen immer häufiger genutzt. Die Anmeldung bei den genannten sozialen Netzwerken ist auf den ersten Blick kostenlos, als kritisch anzusehen ist allerdings, dass die Daten den Unternehmen gehören und somit die Nutzer in dieser Form bezahlen. Die Daten werden vor allem für Werbezwecke verwendet und machen einen immer größer werdenden Umsatz aus. Der Wert an personenbezogenen Daten ist enorm hoch. Soziale Netzwerke sind diversen Angriffsmöglichkeiten ausgesetzt. Hier ist ein großes Potential angesiedelt, da die Netzwerke zum einen sehr viele Nutzer haben und zum anderen dadurch viele personenbezogene Daten speichern, die auch für kriminelle Institutionen sehr wertvoll sein können. Es handelt sich vor allem um Daten wie E-Mail Adressen, Passwörter und Kreditkartendaten, welche entsprechend verkauft werden können. Durch die sehr große Anzahl an Nutzern besteht eine hohe Gefahr für die Ausbreitung von Schädlingen. Viele Benutzer sind sich nicht bewusst, dass soziale Netzwerke keine Privatsphärenbereiche darstellen, sondern für jeden öffentlich zugänglich sind. Alle Daten, die in den Profilen eingegeben werden, sind für immer gespeichert. Ein verantwortungsvoller Umgang mit den Netzwerken ist unbedingt erforderlich. Den Benutzern sollte klar sein, dass die Standardeinstellungen oft unzureichend sind. Summa Summarum können aus den gesammelten Daten nahezu vollständige Persönlichkeitsprofile erstellt werden. 25 7 Zusammenfassung und Ausblick 7.2 Ausblick Die sozialen Netzwerke werden weiterhin an Bedeutung gewinnen. Die Umsätze und Gewinne der Unternehmen steigen von Jahr zu Jahr rasant an. Dem entgegen bleibt die Nutzerzahl konstant, weil so gut wie jeder soziale Netzwerke wie etwa Facebook nutzt. Facebook wird in Zukunft vermehrt eine Aufkauf-Strategie verfolgen. Eine weitere Taktik, sich in die Benutzerwelt zu integrieren ist z. B. der Facebook Messenger, der die klassische SMS ersetzt. Wer den Messenger benutzt, bekommt das eigentliche Facebook nie zu sehen, dennoch werden die Kontakte über das soziale Netzwerk verwaltet und so bleibt der Kunde erhalten. Ebenso integriert Facebook seine Anmeldung auf diversen Webseiten und greift so tief in andere Bereiche ein. Facebook entwickelt derzeit die App Paper, die das traditionelle soziale Netzwerk ersetzen soll. Diese bietet die gleichen Funktionen wie Facebook, mit neuem Design, minimalistisch und der Integration von sogenannten Geschichten, d. h. Nachrichten und Beiträgen von Online Medien, zuvor ausgewählt von Facebook. [onl14] Die Zukunft von Facebook könnte sich so gestalten, dass sich der Dienst auf eine Profil- und Datenverwaltung beschränkt. Da die meisten Webseiten die FB-Anmeldung verwenden und somit verzahnt sind, dient das FB-Profil als digitaler Ausweis. Die Verzahnung von FB mit diversen Webseiten erlaubt es, ein großes Werbenetzwerk aufzubauen, da es durch die Datenvielfalt über die registrierten Benutzer ein perfektes Auswählen bietet. Der Messenger könnte in Zukunft mit zusätzlichen Funktionen ausgestattet sein, z. B. Apps für Smartwatches, 3D-Brillen, ein Nachrichtenportal. Ein weiteres Spektrum könnte eine FB-Dating-App sein, was sich aus dem Aufkauf der App Tinder ergibt. Ebenso bietet sich für FB die Möglichkeit an, ein Spiele-Portal anzubieten – finanziert durch personalisierte Werbung. Facebook wird sich wohl überall im Internet ausbreiten, es entsteht eine große Macht für ein Unternehmen, welches sehr viel über die Benutzer weiß. Der Datenschutz und die IT-Sicherheit wird diesbezüglich eine sehr große Rolle spielen. 26 Abbildungsverzeichnis 3.1 Darstellung des Umsatzes von Facebook . . . . . . . . . . . . . . . . . . . 3.2 Polizeilich erfasste Fälle von Cyberkriminalität . . . . . . . . . . . . . . . 4.1 4.2 4.3 4.4 4.5 Darstellung des Angriffsverlaufs Cross-Site Scripting Darstellung des Angriffsverlaufs Man-in-the-Middle . Beispielhafte Darstellung SQL-Injection . . . . . . . . Social Engineering Angriffszyklus . . . . . . . . . . . . Social Engineering Angriffszyklus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 4 . 5 . 6 . 8 . 9 . 10 5.1 Nutzungsbasierte Online Werbung Facebook . . . . . . . . . . . . . . . . 14 6.1 Verwendungszweck Cookies LinkedIn . . . . . . . . . . . . . . . . . . . . . 22 Literaturverzeichnis [20115a] Statista 2015. Umsatz von facebook weltweit nach segmenten in den jahren von 2009 bis 2014. http://de. statista.com/statistik/daten/studie/151159/umfrage/ umsatz-von-facebook-in-2009-nach-segmenten/, 2015. [Online; aufgerufen 17-May-2015]. [20115b] Statista 2015. Werbeumsätze von facebook pro nutzer in den jahren 2010 bis 2014 nach region. http://de. statista.com/statistik/daten/studie/224878/umfrage/ werbeumsaetze-von-facebook-pro-nutzer-nach-region/, 2015. [Online; aufgerufen 17-May-2015]. [Ale15] Alexa. Alexa traffic ranks. http://www.alexa.com/siteinfo/facebook. com, 2015. [Online; aufgerufen 26-April-2015]. [Cor14a] LinkedIn Corporation. 1.1. verwaltung ihrer daten. https://www. linkedin.com/legal/privacy-policy#info-collected, 2014. [Online; aufgerufen 26-April-2015]. [Cor14b] LinkedIn Corporation. 1.2. registrierung. https://www.linkedin.com/ legal/pop/pop-user-agreement, 2014. [Online; aufgerufen 26-April2015]. [Cor14c] LinkedIn Corporation. 1.3. profilinformationen. https://www.linkedin. com/legal/pop/pop-user-agreement, 2014. [Online; aufgerufen 26April-2015]. [Cor14d] LinkedIn Corporation. 1.6. nutzung der webseiten und apps von linkedin. https://www.linkedin.com/legal/privacy-policy# info-collected, 2014. [Online; aufgerufen 26-April-2015]. [Cor14e] LinkedIn Corporation. 1.7. nutzung der dienste dritter und besuch von webseiten dritter. https://www.linkedin.com/legal/privacy-policy# Literaturverzeichnis info-collected, 2014. [Online; aufgerufen 26-April-2015]. [Cor14f] LinkedIn Corporation. 3.1. ihre lizenz für linkedin. https://www. linkedin.com/legal/pop/pop-user-agreement, 2014. [Online; aufgerufen 26-April-2015]. [Cor14g] LinkedIn Corporation. 3.2. aufbewahrung von daten. http: //de.linkedin.com/legal/privacy-policy?trk=hb_ft_priv# uses-sharing-per-info, 2014. [Online; aufgerufen 26-April-2015]. [Cor14h] LinkedIn Corporation. 4. haftungsausschluss und haftungsbeschränkung. https://www.linkedin.com/legal/pop/pop-user-agreement, 2014. [Online; aufgerufen 26-April-2015]. [Cor14i] LinkedIn Corporation. Welche cookies dritter verwendet linkedin. https: //www.linkedin.com/legal/cookie-policy, 2014. [Online; aufgerufen 26-April-2015]. [Cor14j] LinkedIn Corporation. Wofür werden cookies verwendet. https://www. linkedin.com/legal/cookie-policy, 2014. [Online; aufgerufen 26April-2015]. [Cor15] LinkedIn Corporation. About linkedin. https://press.linkedin.com/ about-linkedin, 2015. [Online; aufgerufen 25-April-2015]. [Dav14] Wendy Davis. Linkedin argues it has free speech right to email users’ friends. http://www.mediapost.com/publications/article/234555/ linkedin-argues-it-has-free-speech-right-to-email.html, 2014. [Online; aufgerufen 26-April-2015]. [dI15] Bundesministerium des Innern. Datenschutzrecht eu. http://www. bmi.bund.de/DE/Themen/Gesellschaft-Verfassung/Datenschutz/ Datenschutzrecht-EU/datenschutzrecht-eu_node.html, 2015. [Online; aufgerufen 05-April-2015]. [EDA15] EDAA. Präferenzmanagement. http://www.youronlinechoices.com/ de/praferenzmanagement/, 2015. [Online; aufgerufen 01-May-2015]. [Eil15] Carsten Eilers. Cross-site scripting im Überblick. http://www.ceilers-news.de/serendipity/ 628-Cross-Site-Scripting-im-UEberblick, -Teil-3-Der-MySpace-Wurm-Samy.html, 2015. [Online; aufgerufen Literaturverzeichnis 15-April-2015]. [Ela14] Ahmed Ela. Cross-site scripting. http://www.security4arabs.com/ 2014/01/12/dombased-xss-vulnerabilities/, 2014. [Online; aufgerufen 15-April-2015]. [Fac13a] Facebook. Secure browsing by default. https://www.facebook.com/ notes/facebook-engineering/secure-browsing-by-defa%20ult/ 10151590414803920, 2013. [Online; aufgerufen 01-May-2015]. [Fac13b] Facebook. Wie lösche ich mein konto dauerhaft? https://www.facebook. com/help/224562897555674, 2013. [Online; aufgerufen 01-May-2015]. [Fac15a] Facebook. Cookies, pixel und ähnliche technologien. https://www. facebook.com/help/cookies/update, 2015. [Online; aufgerufen 01May-2015]. [Fac15b] Facebook. Datenrichtlinie. https://de-de.facebook.com/about/ privacy, 2015. [Online; aufgerufen 01-May-2015]. [Fac15c] Facebook. Die facebook unternehmen. https://de-de.facebook.com/ help/111814505650678, 2015. [Online; aufgerufen 01-May-2015]. [Fac15d] Facebook. Registrieren. https://www.facebook.com/, 2015. [Online; aufgerufen 01-May-2015]. [Fac15e] Facebook. Securing email communications from facebook. https://www.facebook.com/notes/protecting-the-graph/ securing-email-communications-from-facebook/ 1611941762379302, 2015. [Online; aufgerufen 02-June-2015]. [Fac15f] Facebook. Über werbung auf facebook. https://de-de.facebook.com/ about/ads/#568137493302217, 2015. [Online; aufgerufen 01-May-2015]. [fSidI13] Bundesamt für Sicherheit in der Informationstechnik. Datenschutz. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01005.html, 2013. [Online; aufgerufen 05-April-2015]. [Hin02] Jason Hiner. Change your company’s culture to combat social engineering attacks. http://www.techrepublic.com/article/ change-your-companys-culture-to-combat-social-engineering-attacks/, 2002. [Online; aufgerufen 24-May-2015]. Literaturverzeichnis [ho15] heise online. Deutsche verbraucherschützer klagen gegen facebook. http://www.heise.de/newsticker/meldung/ Deutsche-Verbraucherschuetzer-klagen-gegen-Facebook-2635155. html, 2015. [Online; aufgerufen 17-May-2015]. [Huc12] Michael Huch. Linkedin-millionen-passwoertergehackt. http://www.computerbild.de/artikel/ cb-Aktuell-Sicherheit-LinkedIn-Millionen-Passwoerter-gehackt-7555143. html, 2012. [Online; aufgerufen 26-April-2015]. [Int15] Alexa Internet. Ranking. http://www.alexa.com/siteinfo/linkedin. com, 2015. [Online; aufgerufen 25-April-2015]. [McK14] Tom McKay. Linkedin illegally sold your professional data, lawsuit claims. http://mic.com/articles/101236/ linked-in-illegally-sold-your-professional-data-lawsuit-claims, 2014. [Online; aufgerufen 26-April-2015]. [MED11] WEKA MEDIA. Die motivation der hacker. https://www.datenschutz-praxis.de/fachartikel/ die-motivation-der-hacker/, 2011. [Online; aufgerufen 20-May2015]. [Men14] Andreas Menn. Datenklau ist lukrativer als der weltweite drogenhandel. http://www.wiwo.de/technologie/digitale-welt/ hackerangriff-datenklau-ist-lukrativer-als-der-weltweite-drogenhandel 10299730.html, 2014. [Online; aufgerufen 20-May-2015]. [ntv15] ntv. Facebook wächst überraschend stark. http://www.n-tv.de/ wirtschaft/Facebook-waechst-ueberraschend-stark-article14411336. html, 2015. [Online; aufgerufen 26-April-2015]. [onl14] Zeit online. Lesen statt liken. http://www.zeit.de/digital/2014-02/ facebook-paper-app, 2014. [Online; aufgerufen 24-May-2015]. [Sch13] Benjamin Schischka. Linkedin liest ihre e-mails mit. http://www.pcwelt. de/news/LinkedIn_liest_Ihre_E-Mails_mit-Intro-8281685.html, 2013. [Online; aufgerufen 26-April-2015]. [Sec13] SecureAuth. U.s. financial hack - how secureauth could have helped. https://www.secureauth.com/SecureAuth/media/Blog/ Literaturverzeichnis SQL-Injection-arch-01.jpg, 2013. [Online; aufgerufen 24-May-2015]. [Sim14] Eric Simard. Protecting your dns server against ddos attacks. http://www.gtcomm.net/blog/ protecting-your-dns-server-against-ddos-attacks/, 2014. [Online; aufgerufen 24-May-2015]. [Sta13] Statista. Polizeilich erfasste fälle von cyberkriminalität. http: //de.statista.com/statistik/daten/studie/295265/umfrage/ polizeilich-erfasste-faelle-von-cyberkriminalitaet-im-engeren-sinne-i 2013. [Online; aufgerufen 20-May-2015]. [Unk15] Unknown. Man-in-the-middle. https://www.owasp.org/images/2/21/ Main_the_middle.JPG, 2015. [Online; aufgerufen 15-April-2015]. [War10] Stiftung Warentest. Soziale netzwerke: Datenschutz oft mangelhaft. https://www.test.de/ Soziale-Netzwerke-Datenschutz-oft-mangelhaft-1854798-0/?mc= kurzurl.netzwerke, 2010. [Online; aufgerufen 26-April-2015]. [Wey] Dr. Peter Kraft / Andreas Weyert. Network Hacking 4. Auflage.