Der erste Schritt bei der Durchführung von Online-Propaganda und Desinformationskampagnen ist fast immer ein gefälschtes Profil in den sozialen Medien. Gefälschte Profile für nicht existierende Personen bahnen sich ihren Weg in die sozialen Netzwerke echter Menschen, wo sie ihre Unwahrheiten verbreiten können. Aber weder Social-Media-Unternehmen noch technologische Innovationen bieten verlässliche Möglichkeiten, Social-Media-Profile zu identifizieren und zu entfernen, die keine echten Menschen repräsentieren.

Es mag positiv klingen, dass Facebook innerhalb von sechs Monaten Ende 2017 und Anfang 2018 etwa 1,3 Milliarden gefälschte Konten entdeckt und gesperrt hat. Aber schätzungsweise 3 bis 4 Prozent der verbleibenden Konten, also etwa 66 bis 88 Millionen Profile, sind ebenfalls gefälscht, wurden aber noch nicht entdeckt. Ebenso sind schätzungsweise 9 bis 15 Prozent der 336 Millionen Twitter-Konten gefälscht.

Gefälschte Profile gibt es nicht nur auf Facebook und Twitter, und sie zielen nicht nur auf Menschen in den USA ab. Im Dezember 2017 warnten deutsche Geheimdienstmitarbeiter, dass chinesische Agenten mit gefälschten LinkedIn-Profilen mehr als 10.000 deutsche Regierungsmitarbeiter ins Visier nehmen. Und Mitte August meldete das israelische Militär, dass die Hamas gefälschte Profile auf Facebook, Instagram und WhatsApp verwendet, um israelische Soldaten zum Herunterladen von Schadsoftware zu verleiten.

Obwohl Social-Media-Unternehmen begonnen haben, mehr Mitarbeiter einzustellen und künstliche Intelligenz einzusetzen, um gefälschte Profile zu erkennen, wird das nicht ausreichen, um jedes Profil rechtzeitig zu überprüfen und ihren Missbrauch zu stoppen. Wie meine Forschung zeigt, besteht das Problem nicht darin, dass Menschen – und Algorithmen – gefälschte Profile online erstellen. Das Problem ist vielmehr, dass andere Menschen darauf hereinfallen.

Meine Forschung darüber, warum so viele Nutzer Schwierigkeiten haben, gefälschte Profile zu erkennen, hat einige Möglichkeiten aufgezeigt, wie Menschen besser in der Lage sein könnten, gefälschte Konten zu erkennen – und zeigt einige Stellen auf, an denen Technologieunternehmen helfen könnten.

Menschen fallen auf gefälschte Profile herein

Um die Gedankengänge der Nutzer sozialer Medien zu verstehen, habe ich gefälschte Profile auf Facebook erstellt und Freundschaftsanfragen an 141 Studenten einer großen Universität geschickt. Jedes der gefälschten Profile unterschied sich in gewisser Weise – z. B. ob es viele oder wenige gefälschte Freunde hatte oder ob es ein Profilfoto gab. Die Idee war, herauszufinden, ob die eine oder andere Art von Profil am erfolgreichsten darin war, von echten Nutzern als Verbindung akzeptiert zu werden – und dann die getäuschten Personen zu befragen, um herauszufinden, wie es dazu kam.

Ich fand heraus, dass nur 30 Prozent der angesprochenen Personen die Anfrage einer gefälschten Person ablehnten. Bei einer Befragung zwei Wochen später zogen 52 Prozent der Nutzer immer noch in Erwägung, die Anfrage zu genehmigen. Fast jeder Fünfte – 18 Prozent – hatte die Anfrage sofort angenommen. Von denjenigen, die der Anfrage zustimmten, hatten 15 Prozent auf die Anfragen des Fake-Profils mit persönlichen Informationen wie ihrer Wohnadresse, ihrer Studentenidentifikationsnummer und ihrer Verfügbarkeit für ein Teilzeitpraktikum geantwortet. Weitere 40 Prozent zogen in Erwägung, private Daten preiszugeben.

Aber warum?

Als ich die echten Personen befragte, auf die meine gefälschten Profile abgezielt hatten, stellte ich vor allem fest, dass die Nutzer grundsätzlich glauben, dass hinter jedem Profil eine Person steht. Die Leute erzählten mir, dass sie dachten, das Profil gehöre zu jemandem, den sie kennen, oder möglicherweise zu jemandem, den ein Freund kennt. Nicht eine Person hatte jemals den Verdacht, dass das Profil eine komplette Erfindung war, die ausdrücklich zu ihrer Täuschung erstellt wurde. Die irrtümliche Annahme, dass jede Freundschaftsanfrage von einer realen Person stammt, kann dazu führen, dass Menschen Freundschaftsanfragen annehmen, einfach um höflich zu sein und die Gefühle anderer nicht zu verletzen – selbst wenn sie nicht sicher sind, dass sie die Person kennen.

Außerdem entscheiden fast alle Nutzer sozialer Medien, ob sie eine Verbindung annehmen, auf der Grundlage einiger Schlüsselelemente im Profil des Anfragenden – vor allem, wie viele Freunde die Person hat und wie viele gemeinsame Verbindungen es gibt. Ich habe herausgefunden, dass Menschen, die bereits viele Verbindungen haben, noch weniger kritisch sind und fast jede Anfrage annehmen, die eingeht. Selbst ein brandneues Profil führt also zu einigen Opfern. Und mit jeder neuen Verbindung erscheint das gefälschte Profil realistischer und hat mehr gemeinsame Freunde mit anderen. Durch diese Kaskade von Opfern erlangen gefälschte Profile Legitimität und werden weit verbreitet.

Die Verbreitung kann schnell erfolgen, weil die meisten Websites sozialer Medien darauf ausgelegt sind, dass die Nutzer immer wieder zurückkommen, gewohnheitsmäßig Benachrichtigungen überprüfen und sofort auf Verbindungsanfragen reagieren. Diese Tendenz ist auf Smartphones sogar noch ausgeprägter – was erklären könnte, warum Nutzer, die über Smartphones auf soziale Medien zugreifen, deutlich häufiger gefälschte Profilanfragen akzeptieren als Nutzer von Desktop- oder Laptop-Computern.

Illusionen der Sicherheit

Und Nutzer denken vielleicht, dass sie sicherer sind, als sie es tatsächlich sind, weil sie fälschlicherweise davon ausgehen, dass die Datenschutzeinstellungen einer Plattform sie vor gefälschten Profilen schützen werden. So sagten mir viele Nutzer, dass sie glauben, dass die Facebook-Kontrollen, die Freunden einen anderen Zugang als anderen gewähren, sie auch vor Fälschern schützen. Ebenso sagten mir viele LinkedIn-Nutzer, dass sie der Meinung sind, dass die potenziellen Konsequenzen für die Annahme falscher Verbindungen begrenzt sind, da sie nur berufliche Informationen veröffentlichen.

Aber das ist eine fehlerhafte Annahme: Hacker können jede Information nutzen, die sie von jeder Plattform erhalten. Wenn sie zum Beispiel auf LinkedIn wissen, dass jemand in einem Unternehmen arbeitet, können sie E-Mails an die Person oder andere Mitarbeiter des Unternehmens schreiben. Außerdem gefährden Nutzer, die unvorsichtigerweise Anfragen in der Annahme annehmen, dass ihre Datenschutzeinstellungen sie schützen, andere Verbindungen, die ihre Einstellungen nicht so hoch eingestellt haben.

Lösungen suchen

Soziale Medien sicher zu nutzen bedeutet, dass man lernen muss, wie man gefälschte Profile erkennt und die Datenschutzeinstellungen richtig verwendet. Es gibt zahlreiche Online-Quellen für Ratschläge – einschließlich der eigenen Hilfeseiten der Plattformen. Aber allzu oft bleibt es den Nutzern überlassen, sich selbst zu informieren, meist nachdem sie bereits Opfer eines Social-Media-Betrugs geworden sind – der immer damit beginnt, eine gefälschte Anfrage zu akzeptieren.

Erwachsene sollten lernen – und ihren Kindern beibringen – wie man Verbindungsanfragen sorgfältig prüft, um ihre Geräte, Profile und Beiträge vor neugierigen Blicken und sich selbst vor böswilliger Manipulation zu schützen. Dazu gehört, dass sie Verbindungsanfragen in ablenkungsfreien Zeiten prüfen und einen Computer statt eines Smartphones verwenden, um potenzielle Verbindungen zu prüfen. Es geht auch darum, herauszufinden, welche ihrer tatsächlichen Freunde dazu neigen, fast jede Freundschaftsanfrage von irgendjemandem anzunehmen, was sie zu schwachen Gliedern im sozialen Netzwerk macht.

Das sind Orte, an denen die Unternehmen der sozialen Medienplattformen helfen können. Sie schaffen bereits Mechanismen, um die App-Nutzung zu verfolgen und Benachrichtigungen zu unterbrechen, damit die Menschen nicht überflutet werden oder ständig reagieren müssen. Das ist ein guter Anfang – aber sie könnten noch mehr tun.

Soziale Medien-Websites könnten den Nutzern beispielsweise anzeigen, wie viele ihrer Verbindungen über längere Zeiträume inaktiv sind, und ihnen so helfen, ihre Freundesnetzwerke von Zeit zu Zeit zu bereinigen. Sie könnten auch anzeigen, welche Verbindungen plötzlich eine große Anzahl von Freunden gewonnen haben und welche Verbindungen ungewöhnlich viele Freundschaftsanfragen annehmen.

Die Unternehmen der sozialen Medien müssen mehr tun, um den Nutzern zu helfen, potenziell gefälschte Profile zu erkennen und zu melden, und ihre eigenen personellen und automatisierten Bemühungen verstärken. Social-Media-Seiten müssen auch miteinander kommunizieren. Viele gefälschte Profile werden in verschiedenen sozialen Netzwerken wiederverwendet. Aber wenn Facebook einen Fälscher sperrt, tut Twitter das vielleicht nicht. Wenn eine Website ein Profil sperrt, sollte sie Schlüsselinformationen – wie den Namen und die E-Mail-Adresse des Profils – an andere Plattformen weiterleiten, damit diese den Betrug untersuchen und möglicherweise auch dort sperren können.