CAS Information Security & Risk Management 2018: Soziale Medien: Welche Spuren hinterlassen wir?

Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Ein weiterer Teil des 15-tägigen Lehrgangs ist es, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Soziale Medien: Welche Spuren hinterlassen wir?

Seit dem Skandal um Facebook und Cambridge Analytica wissen wir um den Datenhunger der sozialen Medien und ihre Freizügigkeit bei der Weitergabe dieser Daten. Aber kennen wir jetzt den gesamten Eisberg? Ich behaupte: nein. Der grösste Teil des Eisbergs ergibt sich meines Erachtens aus der Verknüpfung der preisgegebenen Daten mit anderen Datensammlungen, deren Folgen wir uns noch gar nicht vorstellen können. Wie wir bei Facebook und Cambridge Analytica gesehen haben, können durch die Weitergabe von Daten verschiedene Datensammlungen miteinander verknüpft werden. Was geschieht nun, wenn ich meine Daten aus den sozialen Medien mit denjenigen von Google Maps oder YouTube, mit Bildern von Überwachungskameras und öffentlich verfügbaren Veranstaltungskalendern verknüpfe, um nur einige wenige Beispiele zu nennen? Versuchen wir doch mal, das gedanklich durchzuspielen: Auch als sehr zurückhaltender Benutzer sozialer Medien hinterlasse ich bei jeder Anmeldung Informationen über meinen aktuellen Aufenthaltsort. Zusammen mit den unzähligen von den sozialen Medien installierten Trackern ergibt das eine sehr dichte Spur. Eigentlich sind meine auf Jahre zurück gespeicherten Aufenthaltsorte ja eine unkritische Information. Werden meine Daten mit den Aufenthaltsorten anderer Nutzerinnen und Nutzer von sozialen Medien zusammengeführt, lassen sich etwa meine Arbeitskolleginnen und meine Freunde eruieren und es lässt sich rekonstruieren, wie viel Zeit ich mit ihnen verbringe. Verknüpft man meine Aufenthaltsorte zudem mit Daten von Google Maps, so lässt sich herausfinden, wer mein Arbeitgeber ist, wo ich wie oft einkaufe und wo ich mein Feierabendbier trinke. Aber auch Arztbesuche und der Gang zu Sozialhilfestellen lassen sich ermitteln. Werden die Daten mit öffentlich zugänglichen Veranstaltungskalendern verknüpft, so kann man herausfinden, welche politischen oder religiösen Anlässe ich besuche. Je nach Verknüpfung sind also Massnahmen der sozialen Hilfe, meine religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Aktivitäten und auch Hinweise über meine Gesundheit dokumentiert – alles Daten, die gemäss Datenschutzgesetz besonders schützenswert sind. Stelle ich den sozialen Medien zudem ein Foto von mir zur Verfügung, so können die Informationen zu meinem Aussehen an Betreiber von Überwachungskameras verkauft werden. Damit lässt sich nachverfolgen, wann ich wo vor die Linse einer Überwachungskamera gekommen bin. Und natürlich können mit der Gesichtsanalyse auch Verbindungen mit anderen Personen gemacht werden. Stell dir vor, die Firma, bei der du dich bewirbst, besitzt diese verknüpften Informationen. Oder dein Antrag auf einen Hypothekarkredit wird basierend auf diesen Informationen geprüft. Nichts ist vergessen, alles ist gespeichert, auch wenn du es gelöscht hast. Zwar sind die einzelnen Informationen alles andere als brisant und deren Weitergabe stört niemanden. Aber deren geschickte Verknüpfung lässt ein präzises Persönlichkeitsprofil von dir entstehen. Diese Möglichkeiten übersteigen im Moment noch unser Vorstellungsvermögen.

---

Blogpost wurde erstellt von Urs Meier im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Der CAS findet in der Regel zweimal im Jahr statt. Starttermine: März & September Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.