Safebook Das Private soll wieder privat werden

In einem kleinen Büro der Technischen Universität Darmstadt arbeitet Thorsten Strufe, ein freundlicher Juniorprofessor mit langem Haar, daran, Facebook überflüssig zu machen - und es geht gut voran. Seit eineinhalb Jahren tüftelt der Informatiker mit zwei Kollegen an einem Projekt, das ihnen, wie er sagt, „wohl kaum Geld bringen wird“, doch die Idee sei so einleuchtend gewesen, dass sie ihr nachgehen mussten. Strufes Team programmiert nicht weniger als ein soziales Netzwerk, das wirklich sicher sein soll: vor Missbrauch der Nutzerdaten durch den Betreiber und vor Angriffen durch Hacker, die mit wenigen Handgriffen Millionen von Datensätzen ergattern. Strufe und seine Kollegen forschten, programmierten und testeten das Probenetzwerk - Ende des Jahres hoffen sie, es jedem, der es will, zur Verfügung zu stellen. Der Arbeitstitel ist Programm: „Safebook“.

Die Idee kam Strufe ausgerechnet bei - Facebook. Dort schaute er sich um, weil er für ein Forschungsprojekt die Sicherheit sozialer Netzwerke untersuchte. Der Informatiker war damals an der kleinen Hochschule „Eurecom“ in Frankreich tätig, an der dieses Thema ein Forschungsschwerpunkt ist. Strufe beschloss, zu testen, wie sicher Nutzerdaten bei Facebook sind und wie leicht sie sich ausspähen lassen. So legte er beispielsweise ein neues Profil mit dem Namen und dem Foto eines schon bestehenden, frei zugänglichen Profils an. Anschließend schickte er den Personen, die in der Freundesliste des „Originals“ standen, Freundschaftsanfragen.

„Mehr als achtzig Prozent der Leute bestätigten den Kontakt ohne Rückfragen“, stellte Strufe erstaunt fest. „Das Vertrauen in die Glaubwürdigkeit der Netzwerke ist sehr groß, und die Leute denken wenig darüber nach, was sie da eigentlich tun.“ Mit seinem Fake-Profil konnte der Wissenschaftler geschützte Daten wie Mailadressen und private Fotos ansehen. Zu ähnlichen Ergebnissen kamen die amerikanischen Datenschutzfachleute Shawn Moyer und Nathan Hamiel vor zwei Jahren: „Satan steht in meiner Freundesliste - Das Angreifen sozialer Netzwerke“ hieß die Synopsis ihrer Testergebnisse.

Niemand hält sich selbst für ein lohnendes Ziel

Strufe kopierte außerdem - nach Einwilligung der Testpersonen - ganze Profile aus dem Netzwerk Xing in das Portal LinkedIn. Dort hätte er leicht Unheil anrichten können unter dem fremden Namen, denn die Testpersonen, die sich bei LinkedIn nicht selbst registriert hatten, hätten davon gar nichts gemerkt. Jeder glaube, dass er selbst kein lohnendes Ziel für solche Angriffe sei, meint Strufe. Doch sein Test verlief rein automatisch - die Algorithmen arbeiteten für ihn, kopierten Bilder, sendeten Freundschaftsanfragen. „Das lief eineinhalb Wochen, dann gab's die Leute zweimal“, sagt er trocken. Nach dem Versuch löschte der Wissenschaftler alle gefälschten Profile wieder - dennoch werden ihm von Facebook noch heute eigentlich deregistrierte „Strohmänner“ als Freunde vorgeschlagen. „Facebook-Zombies“ nennt er sie.

Strufe merkte, dass die Daten bei Facebook gefährdet sind. Abgesehen von der Gefahr, die aus dem laxen Umgang des Unternehmens hinter dem Netzwerk mit den Daten resultiert, droht Ungemach von außen: Es gebe immer Konfigurationsfehler, die Hackern den Zugriff auf die Datenbank ermöglichten, sagt der Informatiker. Das größte Problem sei, dass alle Nutzerdaten auf miteinander vernetzten Servern lägen - komme ein Hacker an einen davon, könne er auf Millionen von Datensätzen zugreifen. So ist es auch bei Facebook: 400 Millionen Nutzer - und damit alle Informationen, die sie über sich verbreiten - werden zentral verwaltet. Und das ist der Punkt, den Strufes „Safebook“ anders macht: Es ist ein dezentrales Netzwerk. Das heißt nicht etwa, dass es nur die Bewohner einer Region oder Personen mit einem speziellen Hobby vernetzt. Strufes soziales Netzwerk basiert auf einem Prinzip, das sich „Peer-to-Peer“ nennt und ein Rechnernetz ist, in dem viele gleichberechtigte Computer Daten bereitstellen und auf andere Rechner zugreifen. Auf diesem System basieren viele Tauschbörsen für Musik- und Filmdateien - so etwa das Protokoll „Gnutella“, das schon vor zehn Jahren vom Software-Entwickler Justin Frankel erfunden wurde.

Unabhängig von der Gnade kommerzieller Hosts

Auch bei sozialen Netzwerken gab es schon Versuche, ein Peer-to-Peer-Netz zu erstellen - beispielsweise das Projekt „Peerson“ von Sonja Buchegger von der Königlich Technischen Hochschule in Stockholm und Ross Andersons Forschungen zu Einzelaspekten dezentraler sozialer Netzwerke in Cambridge. Doch Strufe und sein Team sind schon weiter, ihr Netzwerk steht kurz vor der Inbetriebnahme. Außerdem legen sie mehr Wert als andere auf maximale Datensicherheit. Und das Interesse an der dezentralen Verwaltung privater Daten wächst: Gerade seit dem Start des Supernetzwerks Google Buzz vor wenigen Wochen fordern Kritiker Alternativen. „Netzwerke wie Buzz sind geschlossene Behälter“, sagt David Searls, Autor und Stipendiat des „Berkman Center for Internet&Society“ der Harvard University. „Solange unser Online-Privatleben von der Gnade kommerzieller Hosts abhängt, wird es Datenmissbrauch geben.“

Das Netzwerk, das Strufe und seine französischen Kollegen Antonio Cutillo und Refik Molva planen, organisiert sich selbst. Mit Hilfe von sogenannten Hashfunktionen wird beliebig langen Namen und IP-Adressen je genau eine Nummer in einem Netzwerk zugewiesen. Zwischen den Rechnern werden durch Algorithmen strukturierte Verbindungen hergestellt, die sichern, dass die Computer miteinander kommunizieren können. Dabei gibt es Abkürzungslinks, so dass nicht jede Anfrage an das Netzwerk, beispielsweise nach einem bestimmten Nutzernamen, an jeden Teilnehmer geschickt wird. Durch die komplexe Vernetzung der Rechner untereinander und die vielen Knotenpunkte erreiche eine Anfrage inzwischen recht schnell ihr Ziel, sagt Strufe.

Werbung und der Verkauf von Daten ist prinzipiell kaum möglich

Eine weitere Besonderheit von „Safebook“ ist, dass die Netzwerk-Freunde als „mich umgebende schützende Hülle“ fungieren, wie der Wissenschaftler sagt. Er vergleicht den Aufbau mit Matrjoschkas, den ineinandergeschachtelten russischen Holzfiguren. Suche etwa jemand nach „Thorsten Strufe“, werde diese Anfrage nicht an seinen Rechner geschickt, sondern beispielsweise an die beste Freundin der Ehefrau seines Arbeitskollegen. Die von Strufe im Netzwerk bereitgestellten Daten werden dann verschlüsselt über diese Verbindungen übermittelt, so dass der Absender nicht mehr zurückzuverfolgen ist. Auch haben die Forscher die Einstellungen zur Privatsphäre in ihrem Netzwerk sehr breit gefächert: So kann man im „Safebook“ einstellen, dass bestimmte Fotos nur eine einzige Person sehen kann, andere Bilder für die Arbeitskollegen, einige Aufnahmen aber für alle sichtbar machen. Diese Möglichkeit gibt es bei Facebook nicht. Auch kritisiert Strufe die offen einsehbaren Freundeslisten dort; dadurch, dass die Nutzer zeigen wollen, wie viel Freunde sie haben, lieferten sie sich Datendieben regelrecht aus.

Werbung und der Verkauf von Daten sind in Strufes Netzwerk nicht geplant, prinzipiell kaum möglich. Der Juniorprofessor nennt „Idealismus“ als Antrieb - es interessiere ihn, was jenseits der großen Netzwerke möglich sei. Bekannte, die für Facebook arbeiten, halten ihn für einen „armen Irren“, sagt Strufe und lacht: „Das stört mich überhaupt nicht.“ Er erinnert an die Anfangszeit des Netzes, als geschlossene Onlinedienste erfolgreich waren, bevor das „World Wide Web“ für alle kam. „Wir werden es vielleicht nie schaffen, dass alle Leute von Facebook zu sinnvollen Systemen wechseln. Aber es wird sich in diese Richtung bewegen.“ Noch testen Studenten das „Safebook“ auf Fehler; auch gibt es noch offene Fragen, über denen die Wissenschaftler brüten. Im Winter aber wollen sie fertig sein. Reich wird der Juniorprofessor aus Darmstadt mit dem Netzwerk nicht werden. Ihm sei wichtig, dass die Idee verwirklicht werde. „Ob die Menschen dann mitmachen, liegt an ihnen.“