Kopierte Nutzerinfos Datenpanne drängt SchülerVZ in die Defensive

Im Internet kursiert eine Vielzahl an Datensätzen, die illegal aus SchülerVZ kopiert wurden. Dem Blog netzpolitik.org wurden nach eigenen Angaben mehr als eine Million davon zugespielt. Der Verzeichnis-Betreiber bemüht sich, den Schaden einzudämmen.

Startseite von SchülerVZ: "Über juristische Konsequenzen aufklären"
dapd

Startseite von SchülerVZ: "Über juristische Konsequenzen aufklären"


Berlin - Nach der jüngsten Datenpanne bemüht sich SchülerVZ um kämpferische Töne - und verspricht, den Fall aufzuarbeiten. "Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen", erklärte ein Firmensprecher. Man habe die Datenschutzbehörden informiert und werde rechtliche Schritte einleiten. Inzwischen habe man den Täter identifiziert und Kontakt mit ihm aufgenommen.

Was war geschehen? Am Freitag war bekannt geworden, dass mindestens ein Nutzer in großem Stil Daten von SchülerVZ-Mitgliedern illegal kopiert und weitergegeben hatte - darunter Angaben zu Namen, Schulen, Geschlecht und Alter sowie Profilfotos. Dabei dürfte ihm mit größter Sicherheit ein automatisiertes Datensammelprogramm geholfen haben.

Das Unternehmen mag in diesem Zusammenhang nicht von einem Datenleck sprechen. Schließlich seien nur Daten kopiert worden, die ohnehin für alle registrierten SchülerVZ-Nutzer einsehbar seien, erklärte der Firmensprecher. Speziell geschützte Angaben wie Postadressen, E-Mail-Adressen, Telefonnummern, Fotoalben und Zugangsdaten seien nicht betroffen gewesen.

Dennoch hinterlässt die Angelegenheit einen eigenartigen Nachgeschmack - immerhin tummeln sich bei SchülerVZ Kinder und Jugendliche, die besonders schutzbedürftig sind. Und eigentlich verfügt SchülerVZ auch über einen - einfach gehaltenen - Mechanismus, um ein automatisches Auslesen größerer Datenmengen zu verhindern. Beim Aufruf einer verdächtigen Zahl "fremder" Seiten müssen Nutzer per Hand einen Zeichencode, ein sogenanntes Captcha, eingeben.

Texterkennung hebelte offenbar Schutz aus

Doch offenbar hat das zum Datendiebstahl eingesetzte Programm diesen Captcha-Schutz mühelos ausgehebelt. Eine Texterkennung dürfte zunächst herausgefunden haben, welche Zeichen einzutragen sind. Dann erledigte die Software die Testaufgabe vollautomatisch.

Besonders brisant wird die Angelegenheit dadurch, dass nicht klar ist, wie viele illegal beschaffte Datensätze eigentlich kursieren - und wer darauf Zugriff hat. Der Täter habe die Datensätze auch weiteren Personen zur Verfügung gestellt, "die er uns gegenüber zum jetzigen Zeitpunkt nicht nennen will", erklärte der Firmensprecher. SchülerVZ sei dabei, "diese Personen ausfindig zu machen, um sie über die juristischen Konsequenzen ihres Handelns aufzuklären und dafür zu sorgen, dass die illegal kopierten Nutzerdaten gelöscht werden".

Außerdem wurde dem Blog netzpolitik.org ein Satz mit rund einer Million Nutzerdaten von SchülerVZ zugespielt, wie dessen Betreiber Markus Beckedahl sagte. Aus den Daten könne man Schüler über bestimmte Merkmale herausfiltern: "Mit den Listen lassen sich einfache Datenabfragen erstellen wie 'alle Schüler aus Berlin', oder 'alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule'", schreibt Beckedahl auf seiner Seite: "Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen."

Schüler VZ erklärte auf den Bericht hin, der anonyme Versender dieser Datensätze sei nicht der tatsächliche Datendieb. Es habe sich stattdessen um einen Trittbrettfahrer gehandelt. Er habe Zugang zu den Daten des eigentlichen Täters gehabt. Doch Blogger Beckedahl widerspricht im Gespräch mit SPIEGEL ONLINE: "Ich gehe nicht davon aus, dass das so ist." Sein Kontakt habe ihn bereits vor zwei Wochen informiert und ihm die Daten vor einer Woche zugänglich gemacht. "Es stellt sich die Frage: Wie viele Menschen haben diese Sicherheitslücke genutzt?"

Es gebe allerdings einen einfachen Weg für die jungen Nutzer des Netzwerks, ihre Daten in Zukunft zumindest etwas sicherer zu machen - unabhängig von den Vorkehrungen des Web-Seitenbetreibers: "Man muss seine Daten 'privat' stellen, dann wird öffentlich kaum noch etwas angezeigt."

chs/AP/dpa



Forum - Diskussion über diesen Artikel
insgesamt 32 Beiträge
Alle Kommentare öffnen
Seite 1
Dubbel 18.10.2009
1. Sinn und Unsinn von Catpchas
Eine automatische Texterkennung ist garnicht noetig. Es reicht, eine gut besuchte Website zu betreiben, und die Nutzer aufzufordern, Captchas zu loesen, die von der SchuelerVZ Seite kommen. Die Loesungen der Nutzer gibt das Programm dann einfach dort ein. Oder man verteilt das ganze System über ein Botnetz, jeder infizierte PC speichert die Daten von 100 Nutzer, oder wieviel Seiten man eben nacheinander angucken kann, ohne das Captcha loesen zu müssen, und sendet die Daten an einen Server. Danach loest der Schueler einfach das Captcha, um selber Seiten zu sehen, und weiter gehts. Der Vorteil bei dieser Methode ist, dass der Täter nur sehr schwer identifiziert werden kann, der Nachteil, dass es schwerer zu programmieren ist. Gegen so etwas koennen sich die ganzen VZ'te garnicht richtig schuetzen.
kdshp 18.10.2009
2. aw
Zitat von sysopIm Internet kursiert eine Vielzahl an Datensätzen, die illegal aus SchülerVZ kopiert wurden. Dem Blog "netzpolitik.org" wurden nach eigenen Angaben mehr als eine Million davon zugespielt. Der Netzwerk-Betreiber bemüht sich, den Schaden einzudämmen. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,655820,00.html
Hallo, das ist noch zu toppen ! So dürfen jetzt private firmen auf das vermittlungsnetzwerk der BA (bundesagentur für arbeit) zugreifen (Verbis). Ja das wird erst richtig lustig wenn tausende leute aus privaten firmen auf daten der arbeitslosen zugreifen dürfen. PS spon das ist real habe hier was schriftlich darüber vorliegen also keine fake oder spinnerei !
Hipster 18.10.2009
3. Verstehe ich nicht ..
Zitat von sysopIm Internet kursiert eine Vielzahl an Datensätzen, die illegal aus SchülerVZ kopiert wurden. Dem Blog "netzpolitik.org" wurden nach eigenen Angaben mehr als eine Million davon zugespielt. Der Netzwerk-Betreiber bemüht sich, den Schaden einzudämmen. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,655820,00.html
Was für ein Schaden soll denn da entstanden sein??
clh 18.10.2009
4. Datenpanne
Tja, irgend etwas hat Herr Schäuble nicht begriffen. Ist Weiterbildung für die Politiker und ihre "Experten" nicht auch Pflicht? So wie für die Ärzte pp.? Schließlich regieren die ein ganzes Land in Grund und Boden. Sollen wir einen neuen Threas aufmachen? www.meinungsbaum.de
frubi 18.10.2009
5. .
Zitat von HipsterWas für ein Schaden soll denn da entstanden sein??
Image-Schaden.
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.