Mit der Popularität sozialer Netze und der darin enthaltenen sensitiven Informationen steigt unweigerlich auch das Interesse am Schutz der Daten. Nachfolgend unsere Empfehlungen, wie man sich sicher in sozialen Netzen bewegen kann:
- Nur bei Gebrauch anmelden: Das Einrichten eines Kontos und die Preisgabe von persönlichen Informationen bei einem sozialen Netzwerk sollte nur dann gemacht werden, wenn man in dieser Handlung einen konkreten Nutzen sieht. Was man nicht braucht, muss man auch nicht haben.
- Minimale Preisgabe von Informationen: Im Internet im Allgemeinen und in sozialen Netzen im Speziellen sollte die minimale Menge an erforderlichen Informationen preisgegeben werden. Am besten stellt man nur jene Daten zur Verfügung, die zwingend für die Nutzung des Dienstes erforderlich sind oder die sowieso schon öffentlich zugänglich sind. Weniger ist mehr.
- Keine sensitiven Daten: Es sollten keine wirklich sensitiven Daten preisgegeben werden. Also Daten, die bei einem Verlust unweigerlich zu Komplikationen führen könnten. Für manchen ist dies die Nummer des Mobiltelefons, für andere Fotos der eigenen Familie. Was sensibel ist, gehört nicht ins Internet.
- Minimale Zugriffsrechte: Die jeweiligen Plattformen erlauben das Einschränken von Zugriffsrechten auf einzelne Datensätze. Von dieser Funktion sollte man Gebrauch machen, um den Arbeitskollegen wirklich nur Zugriff auf jene Details zu gewähren, die man im Arbeitsleben auch wirklich preisgeben möchte. Nicht jeder braucht Zugriff auf alles.
- Einschränken des Freundeskreis: Soziale Netzwerke basieren darauf, dass man Freunde hinzufügen kann. Diese erhalten dann in der Regel erweiterte Zugriffe auf die Daten und aktuelle Meldungen. Der Freundeskreis sollte möglichst klein gehalten werden, um nicht jedermann zusätzliche Privilegien einzuräumen. Nur wahre Freunde akzeptieren.
- Trennung von Arbeit und Freizeit: Mittlerweile gibt es Soziale Netze für jede Angelegenheit. Dabei sollte versucht werden Arbeit und Freizeit voneinander zu trennen. Dies betrifft sowohl die Informationen, die man freigeben will; als auch die Leute, die man als Freunde akzeptieren will. Xing und Facebook sind halt eben nicht das Gleiche.
- Durchgehen der AGBs: Durch das Anmelden bei einem Anbieter eines Social Network geht man mit diesem einen elektronischen Vertrag ein. Die grundlegenden Vereinbarungen sind in den AGB (Allgemeine Geschäftsbedigungen) festgehalten. Diese sollten vor dem Akzeptieren stets durchgelesen werden, um nicht ungewollt irgendwelche Rechte abzutreten oder Verpflichtungen einzugehen. Lesen, Denken, Einwilligen.
- Nicht benötigte Konten wieder löschen: Eine Anmeldung sollte nur dann ausgeführt werden, wenn man wirklich der Meinung ist, dass man das Soziale Netzwerk braucht. Wird im weiteren Verlauf von einer zukünftigen Nutzung abgesehen, sollte das Konto samt der beinhalteten Daten wieder gelöscht werden. Was nicht gebraucht wird, kann gelöscht werden.
Die Diskussion um den Schutz der Daten in sozialen Netzen hat verschiedene Modelle zur Klassifizierung hervorgebracht. Der bekannte US-amerikanische Kryptologe und Autor Bruce Schneier stellt Ende 2009 eine Taxonomie vor, in der das Vertrauen (Trust Level) als Grundlage dient. Sodann unterscheidet er zwischen fünf verschiedenen Datenklassen:
Nr | Typ | Beschreibung |
---|
1. | Dienstdaten | Für die Nutzung eines Dienstes erforderliche Grunddaten (z.B. Name, Alter, Kreditkartennummer) |
2. | Freigegebene Daten | Auf eigenen Seiten freigegebene Daten (z.B. Blog-Posts, Fotos, Statusupdates, Kommentare) |
3. | Anvertraute Daten | Auf anderen Seiten bzw. den Seiten anderer Benutzer veröffentlichte Daten (z.B. Kommentare) |
4. | Anfallende Daten | Durch andere Benutzer über einem selbst veröffentlichte Daten (z.B. Erwähnung in Post, Foto mit mehreren Personen) |
5. | Verhaltensdaten | Während der Nutzung des Dienstes anfallende Verhaltensdaten (z.B. Zeitpunkt von Logins, aufgerufene Seiten) |
José Ignacio Orlicki erarbeitete auf der Basis von Schneiers Posting eine alternative Taxonomie, in der die Klassifizierung der bereitgestellten Daten anhand des Ort der Veröffentlichung angestrebt wird. Er unterscheidet dabei zwischen vier unterschiedlichen Klassen:
Nr | Typ | Beschreibung |
---|
1. | Gesammelte Daten | Durch den Provider gesammelte Daten (z.B. Netzwerkzugriffe) |
2. | Öffentliche/Freigegebene Daten | Öffentlich freigegebene Daten (z.B. Name, Mailadresse) |
3. | Soziale Daten | Nur mit den eigenen Kontakten geteilte Daten (z.B. Messages, Postings) |
4. | Verkommerzialisierte Daten | Durch den Anbieter genutzte Daten, um personalisierte Werbungen auszuliefern (z.B. Ad-Banner, Werbemails) |
Über den Autor
Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)
Links