Privatsphärenschutz in Soziale-Netzwerke
Transcrição
Privatsphärenschutz in Soziale-Netzwerke
Privatsphärenschutz in Soziale-NetzwerkePlattformen Andreas Poller, Fraunhofer Institut SIT, Darmstadt “Ach wie gut, dass jeder weiß…” Symposium zum Europäischen Datenschutztag Mainz - 28. Januar 2009 Fraunhofer SIT und Soziale Netzwerke • Untersuchung im Zeitraum März 2008 bis August 2008 • Plattformen • Frei verfügbar im Internet: http://tinyurl.com/4ttc7o 2 „Ich kann die Dienste doch anonym nutzen…“ • „Jein“ • generell: Eingabe falscher Klartextnamen per AGB verboten Pseudonyme nur unterstützt von myspace, lokalisten • …aber Suche nach Klartextnamen möglich Quelle: myspace.com, lokalisten.de 3 „Ich kann die Dienste doch anonym nutzen…“ • Auswahl eines „unspektakulären“ Pseudonyms, z.B. – „Mueller123“ (ca. 5 Millionen Google-Treffer) statt – „InsaneKiddi“ (0 Google-Treffer) • Pseudonym nur für einen Dienst – Verkettung wird erschwert • Separate E-Mail-Adresse für den Nutzerzugang verwenden – Verkettung wird erschwert – ggf. Mail-Forwarder/temporäre E-Mail-Adresse für Anmeldung verwenden (wenn vertrauenswürdig) • De-Pseudonymisierung durch Zusammenführen der Daten mehrerer Sozialer Netzwerke möglich (z.B. XING+StudiVZ) 4 „Ich kann die Dienste doch anonym nutzen…“ • Explanations for high levels of self-disclosure in person-toperson computer-mediated communication have tended to focus on the psychological effects of anonymity: “This anonymity allows the persecuted, the controversial, and the simply embarrassed to seek information -- and disseminate it -- while maintaining their privacy and reputations in both cyberspace” (Quelle: Adam N. Joinson and Carina B. Paine “Self-disclosure, Privacy and the Internet”/ David L. Sobel “The Process that 'John Doe' is Due: Addressing the legal challenge”) • (Derzeitige Regelung nur für Angreifer sinnvoll?) 5 „Die Plattformen bieten Zugriffskontrollen zum Schutz der Daten…“ • „Unter Umständen…“ • Standardkonfigurationen „mangelhaft“ • „öffentliche“ Profile mit erhöhten Risiken - insbesondere durch Suchmaschinen-Caches Quelle: google.de • Konfigurationsmöglichkeiten z.T. mit schlechter Nutzerführung (z.B. myspace) oder Inkonsistenzen (z.B. facebook) 6 „Die Plattformen bieten Zugriffskontrollen zum Schutz der Daten…“ • myspace Quelle: myspace.com 7 „Die Plattformen bieten Zugriffskontrollen zum Schutz der Daten…“ • facebook Quelle: facebook.com 8 „Die Plattformen bieten Zugriffskontrollen zum Schutz der Daten…“ • Bestimmte Daten nicht verbergbar… Quelle: wer-kennt-wen.de, lokalisten.de 9 „Die Plattformen bieten Zugriffskontrollen zum Schutz der Daten…“ • …oder trotzdem auslesbar. Quelle: studivz.de 10 „Die Plattformen bieten Zugriffskontrollen zum Schutz der Daten…“ • …Verbindungspfade bei XING 11 „Die Plattformen bieten Zugriffskontrollen zum Schutz der Daten…“ • Kuriositäten Quelle: lokalisten.de studivz.de 12 „Die Plattformen bieten Zugriffskontrollen zum Schutz der Daten…“ • Nach dem Anmelden Standardkonfiguration auf stärksten Schutz umstellen, später Schritt-für-Schritt wieder lockern (Optionen genau durchsuchen) • „Öffentliches Profil“ ausschalten • Zugriffskontrolle für Datentyp fehlt -> Daten nicht eingeben?!? • Vor dem Durchführen von Aktionen prüfen ob diese zusätzliche Daten generieren/freigeben (z.B. in News-Feeds oder bei Netzwerkbeitritten) 13 Reale Welt vs. virtuelle Welt • Sicherheitsmechanismen nur wirksam, wenn eine Plattform für genau eine Rolle genutzt wird Kommilitonen Lisa Eltern Ehem. Schulfreunde 14 Reale Welt vs. virtuelle Welt • Alternative: Mehrere Nutzerkonten? Verschiedene Plattformen? • Lösungsansätze: – selektive Datenfreigabe für einzelne Netzwerke bei Facebook – Subprofiles (HelloWorld) 15 „Die richtige Plattform für den richtigen Zweck“ • Aufgepasst bei Geschäftsnetzwerken (XING, LinkedIn): Quelle: xing.com • Keine privaten mit geschäftlichen Daten vermischen. 16 Sonstige Sicherheitsschwächen bei einzelnen Plattformen • Zu umfangreiche Anmeldedaten • Mangelnde Verschlüsselung • Plattform-Suchmaschinen á la Rasterfahndungen • Unvollständiges Löschen nach Beenden der Mitgliedschaft • Unbefriedigende Zugriffskontrolle bei Multimediadaten • Funktion zur Aufgabe der Mitgliedschaft schwer aufzufinden (Achtung: Keine umfassende Sicherheitskontrolle!) 17 Zusammenfassung • „Die Prüfung lieferte ein sehr ambivalentes Bild: einzelne Schwächen der einen Plattform decken sich vielfach genau mit den Stärken einer anderen.“ • Regeln: – Keine öffentlichen Netze wie WLANs oder Internet-Café – Trennung Geschäftlich-Privat – Separate Pseudonyme und E-Mail-Adressen für einzelne Plattformen – Schutzmechanismen restriktiv einstellen, insbesondere nach Anmelden – notfalls „Mut zur Lücke“ bei Dateneingabe – Öffentliches Profil ausschalten – Rolle und Zweck für Nutzung definieren und befolgen – „Alte Datenzöpfe abschneiden“ 18 Zum Schluss 19 Kontakt Fraunhofer Institut für Sichere Informationstechnologie (SIT) Andreas Poller Rheinstraße 75 D-64295 Darmstadt Telefon: +49-6151-869-60048 Telefax: +49-6151-869-224 E-Mail: [email protected] Internet: http://www.sit.fraunhofer.de 20