„◾Aber ich muß es einmal sagen: dieser Kampf scheint aussichtslos . . . Ich resigniere, ich kämpfe weiter, aber ich resigniere.“ – Kurt Tucholsky
Vor kurzem wurde ich gefragt, ob ich es wirklich so „bedenklich“ finde in sozialen Netzwerken aktiv zu sein und sein Leben dort zu dokumentieren. Die Frage musste früher oder später hoch kommen, da ich immer und immer wieder Freunden und Bekannten dazu rate nicht jeden Mist zu Facebook, Twitter & Co. hoch zu laden.
Man möchte meinen die Menschen haben aus den Informationen der letzten Zeit (NSA, Greenwald, Snowden…) absolut nichts gelernt. Oder, noch viel schlimmer: es scheint ihnen egal zu sein, was mit den eigenen Daten passiert!
Meine Antwort war und ist „JA“. Auf die weitergehend Frage, was denn so schlimm sei, habe ich meinem Gegenüber (IT-Administrator in einer relativ großen Firma) erklärt warum ich es nicht nur für „bedenklich“, sondern sogar fahrlässig halte, wenn man seine Daten ins Netz schleudert.
Fast jeder große Anbieter, der eine entsprechend große Plattform (oder auch „soziales Netzwerk“ genannt) betreibt, hat auch ein angebundenes API für Entwickler in der Hinterhand. Und genau über dieses API ist es quasi jedermann (der etwas programmieren kann) möglich, sich ein mehr oder weniger mächtiges Tool zur Datenauswertung zu programmieren.
Facebook-API: persönliche Daten im gezielten Abruf
Im Falle der NSA kann ich mir neben speziellen Zugriffsrechten, die dem Normalentwickler vorenthalten werden, aber auch vorstellen, dass von der frei zugänglichen API genauso ergiebig gebrauch gemacht wird. So ein API bietet schließlich nahezu alles was man braucht, um einen Schnappschuss von einem User-Profil zu erstellen.
Nehmen wir als erstes Beispiel doch einfach Facebook und das Facebook-API. Hier kann man im Bildschirmfoto schön sehen, wie beschrieben wird, wie auf das Userprofil und persönliche Daten zugegriffen werden kann. Nun ist es immer auch von dem API abhängig, aber meist ist die Abfragemöglichkeit nicht auf das eigene Profil begrenzt, sondern mindestens doch auf den Bereich der „Freunde“, „Follower“ oder „Kontakte“ ausgedehnt.
Die Daten die in einem Profil auf „Public“ (also „Öffentlich“) stehen sind natürlich ebenso abrufbar und könnten als zeitlicher Schnappschuss in einer eigenen Datenbank gespeichert werden. So schreibt sich im einfachsten Fall der Freizeitspion von heute seine eigenen Tools, um ein „Ziel“ über längere Zeit im Auge zu behalten und etwas über dessen Gewohnheiten, Vorlieben oder sonstige Verhaltensweisen in Erfahrung zu bringen.
Bist du auf Facebook aktiv? Wie viele deiner Facebook-„Freunde“ kennst du wirklich im wahren Leben? Würdest du einem Fremden auf der Straße einfach so ein Bild deiner letzten privaten Party zeigen? Würdest du eine fremde Person auf der Straße einfach so in dein Leben „integrieren“? Vermutlich nicht.
Warum machst du es dann auf Facebook oder anderen sozialen Netzwerken?
Was auch immer jemanden dazu bewegt seine Erlebnisse mit fremden Menschen zu teilen. Man darf nie vergessen, dass es sich hierbei um Informationen handelt.
Informationen sind Geld wert. Informationen über real existierende Personen lassen es zu diese Person zu analysieren. Das muss nicht der NSA-Mitarbeiter sein, der „ausgerechnet DICH“ ganz gezielt auswertet. Nein! Es sind Computer, die aus diesen Informationen und Metadaten ein Profil erstellen.
Vollautomatisch. Jeden Tag erneut. Und wenn du dann wirklich irgendwann interessant werden solltest (für eine Regierung oder andere Stellen, mit denen man lieber keinen Kontakt haben möchte), dann werden diese Daten u.U. gesichtet, ausgewertet und dein Leben mit ein paar Klicks durchleuchtet.
Ich male hier ein Horroszenario? Utopie? Ganz sicher nicht….
Die technischen Möglichkeiten sind schon lange vorhanden. Wertet man nun nicht nur das Facebook-Profil aus (was vermutlich eher private Inhalte zum Thema hat), sondern auch das Profil auf der Business-Plattform Xing, oder LinkedIn, so können die auswertenden Personen das User-Profil noch weiter abrunden und weiter gehende Rückschlüsse daraus ziehen.
Auch LinkedIn und Xing bieten natürlich hierfür schon ein API an, das uns Daten liefert. Aber seht selbst:
Xing-API: „Shows a particular user’s Profile…“
Wer es ausprobieren möchte kann sich hier schon ein schönes Beispielscript beschaffen KLICK bzw. HIER und HIER etwas einlesen.
LinkedIn steht all dem natürlich in nichts nach und liefert uns auch auf Anfrage reichlich auswertbare Daten:
LinkedIn-API
Fehlt als letztes natürlich noch Twitter im Bund der auswertbaren Daten:
Twitter-API
Die Gefahr besteht darin all diese Daten aus verschiedenen Plattformen für eine einzelne Person zusammen zu führen und dann auswertbar zu machen. Am besten kombiniert mit einem Web-Intelligence-Tool wie Recorded Future.
Und ich zitiere von deren Seite:
We constantly scan hundreds of thousands of quality public web sources, including news publications, high-caliber blogs, social media platforms, financial databases, government websites, and much more. From these open sources, we identify text references to entities and events. Then we detect time periods: when the events are predicted or reported to occur. Each reference links back to the original source. You can explore the past, present, and predicted future of almost anything in a matter of seconds. Our analysis tools facilitate deep investigation to better understand complex relationships, resulting in actionable insights.
Nutzt nun jemand auch noch ein und den selben „Nickname“ im Internet immer wieder für unterschiedliche Plattformen, so macht derjenige es potentiellen Verfolgen sogar noch wesentlich einfacher. Denn auch hierzu gibt es Tools (wie z.B. namechk.com) um sich eine Übersicht zu einem Nickname zu verschaffen und zu schauen wo dieser überall schon registriert wurde.
Für mich ist es inzwischen bereits zur festen Gewohnheit geworden mir über diese und weitere Wege Informationen zu Personen zu beschaffen.
Und das gar nicht mal in böser Absicht. Die Informationen sind da draußen. Sie wurden von den Usern dieser Dienste selbst und absichtlich ins Netz gestellt. Egal ob via Facebook, Twitter, Xing oder eine andere Plattform.
Und dass nun Geheimdienste oder clevere Firmen diese Daten abgreifen ist daher eigentlich selbst verständlich! Was erwartet man denn bitte von einem Geheimdienst? Er sammelt nun mal auch Daten. Es ist ja in diesem Fall nicht mal so, dass diese Daten irgendwo illegal erworben oder gar von der heimischen Festplatte oder vielleicht dem Einwohnermeldeamt geklaut wurden!
Aus vielen kleinen Bausteinen fügt sich also – unter den für den User denkbar schlechtesten Bedingungen – unter Umständen ein großes Ganzes, welches einem unbekannten Dritten ungeahnte Einblicke ermöglicht.
Immer wieder hört man den Satz „Aber ich habe doch nichts zu verbergen“. Ist das wirklich so? Gab es da vielleicht irgendwann nicht doch mal eine abfällige Bemerkung über einen Freund, den Chef oder die Schwiegermutter in einem der sozialen Netzwerke? Und was ist mit dem peinlichen Bild vom Partybesäufnis von vor 4 Jahren, dass der damals beste Freund auf Facebook hochgeladen hatte?
Manche Dinge und Informationen über einen selbst entziehen sich bereits dadurch, dass andere Personen sie online stellen (und wenn auch nur in einem vermeintlich eingeschränkten Userkreis), dem eigenen Einflussbereich.
An dieser Stelle kann ich nur zum Abschluss den Slogan vom Netwars-Project als dringenden Aufruf hier in leicht veränderter Form wiedergeben “ Start now to gain back CTRL!„.
Warum sollte ein Angreifer also neue Waffen erfinden, wenn er bereits mit den von uns freiwillig geteilten Daten die mächtigste Waffe gegen uns in Händen hält?
„Wenn du noch nicht zu Tode erschreckt bist, hast du noch nicht genug Informationen gesammelt“ – Quelle unbekannt
SDCybercom 