Soziale Netzwerke wie Facebook und Twitter erdreisten sich seit längerem bei der Registrierung nach Login und Passwort zum Email-Account des Nutzers zu fragen. Als ich zum ersten mal davon gehört habe, konnte ich mir nicht vorstellen, dass es tatsächlich Menschen gibt, die da freiwillig ihr Passwort an vollkommen Fremde weitergeben. Inzwischen bin ich eines besseren belehrt worden, einem großen Teil der Nutzer ist es vollkommen gleichgültig, wer Zugriff auf das eigene Email-Postfach hat, und was derjenige mit den gewonnenen Daten anstellt.
Auf Seiten der Betreiber solcher Datensammel-Dienste gibt es natürlich eine ganze Latte möglicher Motive für den Zugriff auf die Email-Accounts der Nutzer, die von kommerziell bis kriminell reichen. Zunächst mal können natürlich die Adressbücher gescannt, Email-Adressen samt Klarnammen und, falls vorhanden, Adressen und Telefonnummern aller Kontakte extrahiert werden. Mit diesen Daten lassen sich Profile erstellen, für gezielte Werbung nutzen oder weiterverkaufen. Die Inhalte der Emails lassen sich natürlich ebenfalls für die Profil-Bildung und gezielte Werbung auswerten. Manche Social Networks nutzen die gesammelten Mail-Adressen dann direkt für Spam, und senden eine Einladungs-Mail an alle Kontakte des Nutzers (z.B “XY wants to keep up with you on Twitter”). Je nach Anbieter lässt sich das vom Nutzer unterbinden oder geschieht vollautomatisch. Für letzeres steht z.B. das Social Network Tagged, das die Mailbox scannt und an jede gefundene Adresse eine irreführende Spam-Mail schickt. Die Spam-Opfer sollen dann mit falschen Behauptungen á la “XY hat Fotos von Dir eingestellt” dazu gebracht werden, ebenfalls einen Account anzulegen – die nichtexistenten Fotos kann man nämlich angeblich erst nach dem Login sehen. Das Ganze ist natürlich mehr als peinlich, besonders wenn z.B. der ganze Betrieb mit solchen Kettenbriefen belästigt wird.
Natürlich beschränken sich die Möglichkeiten desjenigen, der per Passwort unbeschränkten Zugang zum Email-Account erhält, nicht auf Spamen, Profilbildung, Datensammlung und -verkauf. Da Passwörter für Webanwendungen und -shops, Softwareregistrierungen usw. häufig per Email an den Nutzer geschickt werden, stellt der Mailaccount eine wahre Fundgrube für Passwortklau und Identitätsdiebstahl dar. Selbstverständlich sind alle Mitglieder in Social Networks der Meinung, dass ihr Lieblings-Netzwerk so etwas natürlich nie tun würde. Tatsache aber ist: gerade dadurch, dass die Big Player wie Facebook und Twitter nach dem Passwort fragen, erhalten solche – eigentlich absolut unseriösen – Praktiken Akzeptanz, und immer mehr Menschen verlieren ihre Hemmungen ständig und überall ihre Passwörter herauszurücken. Dazu kommt, dass jede zusätzliche Stelle, die auf ein Passwort Zugriff hat, es speichert und nutzt, auch ein zusätzliches Sicherheitsrisiko darstellt. Man eröffnet damit z.B. die Chance, Mail-Passwörter nicht nur beim Mail-Provider und dem Weg dorthin, sondern auch beim Social Network abzugreifen. Das kann z.B. über das Hacken des Sozialen Netzwerks oder gefälschte Registrierungs-Seiten passieren. Selbstverständlich besteht auch die Gefahr, dass sich irgendwann Mitarbeiter des Social Network Anbieters ein kleines Zubrot verdienen wollen und die Daten ausspähen.
Soviel also zu den Risiken, denen man sich selbst aussetzt, wenn man aus Faulheit oder Naivität fremden Webseiten das eigene Email-Passwort nennt. Leider werden aber auch andere durch solch unverantwortliches Handeln in Mitleidenschaft gezogen. Wenn Facebook und Twitter die Adressbücher ihrer Nutzer scannen, erhalten sie ja die Daten von Kontakten, also Menschen, die dieser Datensammlung niemals zugestimmt haben. Das ist ein klarer Verstoß gegen die informationelle Selbstbestimmung. Der Anbieter kann so Profile in seinen Datenbanken über Menschen anlegen, die gar keine Nutzer des Social Networks sind, und dazu auf Mail-Adressen, Klarnammen, Postadressen, Telefonnumern, Instant-Messenger-Profile und aus Mail-Inhalten gewonnene vermeintliche Interessen zurückgreifen. Verantwortlich für den Gesetzesverstoß sind beide, einerseits der Nutzer, der solche Daten ohne Einverständnis der Betroffenen weitergibt, und anderseits das Soziale Netzwerk, das die Daten widerrechtlich speichert und auswertet.
Um zu testen ob z.B. bei Facebook schon eine Akte mit persönlichen Infos existiert, obwohl man nicht einmal angemeldet ist, kann man sich einen Fake-Account mit lauter falschen Angaben (bis auf die hauptsächlich genutzte Email-Adresse) anlegen. Facebook erkennt dann trotz falschem Namen, Adresse, Alter usw. an der Email-Adresse wer der neue Nutzer wirklich ist, und schlägt z.B. gleich Freunde vor, die man tatsächlich kennt. Die Daten darüber hat Facebook eben aus den Adressbüchern und Emails anderer Nutzer.
Bisher die Öffentlichkeit in Deutschland dieses Problem noch nicht wahrgenommen, das könnte aber auch daran liegen, dass Menschen die sich um ihre Privatsphäre und die anderer sorgen, Datensammler wie Social Networks eher meiden und deshalb noch nichts von der Passwort-Fragerei mitbekommen haben. Es lässt sich nur hoffen, dass die betreffenden Anbieter bald von Datenschützern abgemahnt werden, und sich vielleicht auch Betroffene finden, die gegen die Social Networks klagen.
Wer z.Z. Probleme mit dem Update von Antivir hat, ist damit nicht allein. Grund ist 
