Mögliche Sicherheitslücke: 1,6 Millionen Daten bei SchülerVZ abgegriffen

Von und

SchülerVZ droht ein neuer Skandal um eine mögliche Sicherheitslücke: Ein Computerexperte hat nach eigenen Angaben 1,6 Millionen Datensätze von minderjährigen Nutzern des Online-Netzwerkes eingesammelt. Es ist nicht der erste derartige Fall, das Unternehmen wiegelt ab.

SchülerVZ-Startseite: Ein Forscher hat ein neues Datenleck bei der Plattform entdeckt Zur Großansicht
dpa

SchülerVZ-Startseite: Ein Forscher hat ein neues Datenleck bei der Plattform entdeckt

Hamburg - Die Schüler-Community SchülerVZ kämpft offenbar mit massiven Problemen im Hinblick auf den Schutz der dort abgelegten Profildaten der meist minderjährigen Mitglieder. Dem Blogger Markus Beckedahl, Betreiber von Netzpolitik.org, wurde erneut ein Datensatz zugespielt, der Informationen über Hunderttausende von SchülerVZ-Nutzern enthält.

Insgesamt handele es sich um 1,6 Millionen Datensätze, erklärte Beckedahl im Gespräch mit SPIEGEL ONLINE. Jeder einzelne enthalte den Namen, die Kennung der Schule und das Profilbild des jeweiligen SchülerVZ-Nutzers. Bei Nutzern, die in ihren Profileinstellungen nicht die Option "privat" ausgewählt haben, sind auch noch alle weiteren vom Nutzer eingegebenen Informationen abrufbar - von Lieblingsbands und Hobbys über Gruppenzugehörigkeiten bis zur politischen Einstellung. SPIEGEL ONLINE wurde eine Stichprobe aus dem Datensatz vorgelegt, die Beckedahls Angaben bestätigt.

SchülerVZ-Sprecher Dirk Hensen bewertet das anders: "Ein Nutzer hat für alle SchülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert. Es handelt sich explizit nicht um ein Datenleck." Hensen beschreibt das Vorgehen so: "Nach unserem Kenntnisstand hat der Nutzer, ein junger Wissenschaftler, Hunderte von künstlichen E-Mail-Accounts verwendet, um den Kopierschutz von öffentlichen Daten zu umgehen." Das sei sogenanntes "Crawling" und "in etwa vergleichbar mit dem Kopieren von Daten aus dem Telefonbuch". Bisher liegt SchülerVZ nur ein sehr kleiner Auszug der Daten vor. Aus diesen Daten gehe "nicht hervor, dass es sich um private Nutzerdaten handelt".

Namen, Fotos, Hobbys und Wohnort

Die Frage, wozu man diese Daten missbrauchen könnte, beantwortet Beckedahl mit einem Beispiel: "Ein Pädophiler könnte sich die elfjährigen Mädchen aus der Schule nebenan heraussuchen, mitsamt ihren Fotos, ihren Musikvorlieben und Hobbys, um sie dann auf der Straße anzusprechen." Der Datensatz sei komplett und invers nach jedem beliebigen Kriterium durchsuchbar - also etwa nach Wohnort oder der angegebenen Lieblingsband. Natürlich ließen sich solche Daten auch für gezieltes Marketing verwenden.

Zusammengestellt hat den Datensatz Beckedahl zufolge kein Krimineller mit finsteren Absichten, sondern ein "junger Wissenschaftler", der nur beweisen wolle, dass derartige Sammlungen weiterhin möglich seien - obwohl die Betreiber der VZ-Netzwerke nach dem Bekanntwerden vergleichbarer Fälle im vergangenen Jahr Veränderungen am eigenen System vorgenommen hatten, die genau solche Sammlungen verhindern sollten.

Zuletzt waren im Oktober 2009 gleich zwei Datensätze aufgetaucht. Einer war offenbar von einem 20-Jährigen zusammengestellt worden, der die Community-Betreiber anschließend zu erpressen versuchte. Bei einem Treffen zur vermeintlichen Geldübergabe wurde er in den Räumen der Betreiber verhaftet. Später nahm sich der Mann in der Untersuchungshaft das Leben.

Der damalige VZ-Networks-Chef Markus Berger-de León erklärte im Oktober 2009 im Gespräch mit SPIEGEL ONLINE, man habe in Reaktion auf die Vorfälle bereits ein neues, schwieriger zu überwindendes Captcha-System eingeführt. Captchas sind Phrasen aus Buchstaben und Ziffern, die Nutzer in einer schwer lesbaren Grafik erkennen und eintippen müssen.

Darüber hinaus habe man weitere Maßnahmen ergriffen, die das automatische Auslesen von Profildaten erschweren sollten, man habe "zusätzliche Hürden" eingebaut, die er aber nicht näher spezifizieren wollte.

Offenbar funktioniert die alte Ausspähmethode noch

Der neue Datensatz ist offenbar trotzdem auf ähnliche Weise zustandegekommen wie die vorangegangenen: Mit Hilfe automatisierter Abfragen seien etwa neun Profile pro Sekunde ausgelesen worden, erklärt Beckedahl.

Gegen derartige automatisierte Massenabfragen hätten die VZ-Betreiber zwar nach den Vorfällen im vergangenen Jahr Maßnahmen ergriffen. So sei die mögliche Abfrage anderer Profile durch jedes VZ-Mitglied pro Tag mit einer Obergrenze versehen worden. Der Wissenschaftler, der den neuen Datensatz zusammenstellte, habe diese Beschränkung jedoch einfach umgangen, indem er - wiederum automatisiert - viele gefälschte Profile innerhalb des Netzwerkes angelegt hätte, um das Abfragelimit jedes einzelnen anschließend auszuschöpfen.

Die Methode lasse sich theoretisch auch auf die anderen Communitys der Gruppe (StudiVZ und MeinVZ) anwenden, sagt Beckedahl. Der Wissenschaftler habe nur SchüerVZ gewählt, weil solche Sicherheitslücken im Zusammenhang mit Minderjährigen besonders kritisch seien.

Für Beckedahl lässt der Fall nur zwei mögliche Schlussfolgerungen zu: "Entweder investiert die VZ-Gruppe nicht genug in Sicherheit, oder die Daten unserer Schüler sind generell nicht sicher im Netz."

Die Stiftung Warentest hatte StudiVZ und SchülerVZ Ende März noch ein besseres Datenschutzniveau als etwa dem Konkurrenten Facebook bescheinigt, warnte aber damals vor einer übertriebenen Auslegung der Testergebnisse: "Nach früheren Problemen mit dem Datenschutz haben die VZ-Netzwerke Softwarequalität Datensicherheit vom Tüv-Süd prüfen lassen. Eine Sicherheitsgarantie bedeutet das aber nicht - denn wichtige Sicherheitsaspekte überprüft der Tüv gar nicht." Auch die eigene Endnote ergänzten die Tester um die Feststellung: "Da im Internet jederzeit Änderungen möglich sind, können Zertifizierungen, wie auch die Testergebnisse der Stiftung Warentest, nur eine Momentaufnahme darstellen."

Die VZ-Gruppe ist in Deutschland Marktführer bei sozialen Netzwerken. Das Unternehmen hat laut eigenen Angaben insgesamt gut 15 Millionen Mitglieder (6 Millionen StudiVZ, 5,5 Millionen Schüler im SchülerVZ, 4 Millionen Nutzer bei MeinVZ).

Der VZ-Netzwerke-Geschäftsführer Clemens Riedl bedankt sich bei dem Datensauger dafür, "dass er uns auf das Defizit aufmerksam gemacht hat". Riedl "Entscheidend ist, dass es sich hierbei weder um ein Datenleck noch einen Angriff auf unsere Server handelt, sondern vielmehr um einen Verstoß gegen unsere AGB." Der Kopierschutz von öffentlich zugänglichen Daten werde immer ein Katz-und-Maus-Spiel bleiben. Man habe aber Maßnahmen ergriffen und den Sicherheitsstandard auf diesen Aspekt hin optimiert.

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskussion über diesen Artikel
insgesamt 33 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Das ist keine Sicherheitslücke
th3_j4cka55_r00l5 04.05.2010
Zitat von sysopSchülerVZ droht ein neuer Skandal um eine mögliche Sicherheitslücke: Ein Computerexperte hat nach eigenen Angaben 1,6 Millionen Datensätze von minderjährigen Nutzern des Online-Netzwerkes eingesammelt. Es ist nicht der erste derartige Fall, das Unternehmen wiegelt ab. http://www.spiegel.de/netzwelt/web/0,1518,692822,00.html
sinnlos... Das ist keine sicherheitslücke, das ist das Internet! Jeder der dort Daten preisgibt, muss damit rechnen, das diese von anderen betrachtet werden, das ist ja schließlich auch der Zweck dieser Netzwerke. Angriffe dieser Art sind bei Facebook & co. sogar noch viel einfacher möglich und können nicht verhindert werden. Wie im Beitrag beschrieben wurden ja nur Daten gesammelt, die eh in SchülerVZ an alle preisgegeben werden. Wer das nicht will, muss diese eben privat machen, ganz einfach. Selbst wenn man jetzt die Anmeldung eines neuen Profils irgendwie sicher macht, dann können sich immernoch 20-30 Leute zusammetun und das per Hand erledigen, das crawlen kann man sowieso nicht verhindern, da hier einfach ein Browser simuliert wird, die Gegenseite kann das nicht erkennen, also ob es sich um einen Mensch oder eine Maschine handelt, selbst captchas lassen sich umgehen, oder zu not dann eben gesammelt manuell lösen. Im Extremfall wird die mauelle Arbeit nach Indien outgesourced (kein Witz, das passiert tatsächlich) Entweder wir leben damit, oder wir hören damit auf ....
2. Kommt mir nicht mit Datenschutz
Wicked 04.05.2010
Ich versteh immer diese ganze Aufregung nicht, die Leute die sich und ihr ganzes Privatleben in solchen Foren preisgeben tun das doch ganz bewusst. Was soll also das rumgeheule wenn mehr Daten als vielleicht gewollt preisgegeben werden?
3. Panikmache
Naem 04.05.2010
Kann hier Schülervz nur zustimmen. Diese Daten bekommt man durch eine einzige Anmeldung. Hier wurde nichts geklaut. Was man im Internet preisgibt ist immer noch eigene Sache. Hier von "Datenklau" zu sprechen ist reine Panikmache.
4. Komisch
Cathetel 04.05.2010
Ein Kombjuddaexpärte? Mit PHP-Kenntnissen konte bisher jeder sämtliche Datensätze aus allen VZ's auslesen und in eigene Datenbanken ablegen. Hat doch bisher auch nicht interessiert und jetzt steht das hier ganz oben auf SPON... Mal davon abgesehen das es sich nur um Datensätze handelt die offen von jedem zu sehen sein dürfen (Name, Bild, etc). Anschrift und Mail-Adressen kann man ohnehin nicht auslesen.
5. Bild?
darksystem 04.05.2010
Der Artikel hat das Niveau der Bildzeitung. Stupide Panikmache ohne technisches Hintergrundwissen. Das Problem das beschrieben wird ist nunmal eine Eigenart des Internet welche nicht zu vermeiden ist. Google und Co. funktionieren nicht anders. Der Leser ohne technisches Hintergrundwissen denkt sich "nicht schon wieder, scheiß schüler vz etc." dabei ist das gängige Praxis.
Alle Kommentare öffnen
    Seite 1    
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema StudiVZ
RSS

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 33 Kommentare
Soziale Netzwerke
Facebook
Facebook ging Anfang 2004 als soziales Netzwerk für Harvard-Studenten online. Zunächst konnten nur Menschen mit E-Mail-Adressen ausgewählter US-Hochschulen Mitglieder werden, seit 2006 ist die Seite für alle Über-13-Jährigen offen. Nach eigenen Angaben hat Facebook 845 Millionen aktive Mitglieder weltweit (Dezember 2011). Mehr zu Facebook auf der Themenseite.
Google+
Google+ ist der Versuch, den sozialen Funktionen von Facebook und Twitter etwas entgegenzusetzen. Das soziale Netzwerk wurde im Juni 2011 gestartet und hat nach Firmenangaben rund 170 Millionen Nutzer (April 2012). Der Funktionsumfang ist rein aus Nutzersicht vergleichbar mit Facebook, Schnittstellen für externe Entwickler sind allerdings eingeschränkt. Google animiert seine Nutzer, das Netzwerk als zentralen Hub für seine Dienste zu nutzen. Mehr zu Google+ auf der Themenseite.
Twitter
Der auf kurze Textnachrichten spezilalisierte Dienst Twitter wurde im Juli 2006 gegründet. Populär wurde der Dienst als Verteilnetzwerk für Links, Fotos und Videos. Twitter zählt nach eigenen Angaben mehr als 140 Millionen Nutzer (März 2012). Mehr zu Twitter auf der Themenseite.
Xing
Xing (früher OpenBC) wurde 2003 von Lars Hinrichs gegründet. Nach eigenen Angaben hat Xing über 11,7 Millionen Mitglieder (Stand: Dezember 2011), etwa acht Prozent haben einen kostenpflichtigen Premium Account. Bei Xing geht es vor allem um berufliche Kontaktaufnahme. Mehr zu Xing auf der Themenseite...
StudiVZ
Ehssan Dariani hat die Studenten-Community StudiVZ 2005 gegründet. Zuerst investierten Lukasz Gadowski und Matthias Spiess in StudiVZ, später finanzierten es vor allem die Gebrüder Samwer - bekannt für die Klingeltonfirma Jamba - und der Venture-Capital-Arm des Holtzbrinck-Verlags ("Die Zeit", "Handelsblatt"). Im Januar 2007 übernahm Holtzbrinck StudiVZ. Derzeit haben die Plattformen studiVZ.net, schuelerVZ.net und meinVZ.net nach eigenen Angaben rund 17,4 Millionen Nutzer (Stand: Januar 2011). Mehr zu StudiVZ auf der Themenseite...
Lokalisten
Im Mai 2005 gegründet, hat das Netzwerk Lokalisten nach eigenen Angaben (Stand Juli 2010) inzwischen 3,6 Millionen Nutzer. Mehr zu Lokalisten bei Wikipedia...
Spin.de
Das 1996 in Regensburg gegründete Unternehmen Spin betreibt ein eigenes soziales Netzwerk, aber auch integrierte Unter-Communitys mit regionalem Fokus, die mit Partnern vor Ort (Lokalradios vor allem) betrieben werden. Nach eigenen Angaben (Stand Februar 2011) hat Spin.de eine Million aktive Mitglieder. Mehr zu Spin.de bei Wikipedia...
Wer kennt wen
Wer-kennt-wen wurde von den beiden Studenten Fabian Jager und Patrick Ohler gegründet. Seit Februar 2009 gehört das Netzwerk vollständig RTL Interactiv, die Gründer schieden Ende August 2010 aus. Das Netzwerk hat laut Betreiber über 9,5 Millionen Nutzer (Stand: Januar 2012). Mehr zu Wer-kennt-wen bei Wikipedia...
MySpace
MySpace war 2006 das populärste soziale Netzwerk in den USA. Ein Jahr zuvor war es von Rupert Murdochs News Corporation gekauft worden. Bekannt wurde es durch die Möglichkeit, Musik einzubinden. Künstler und Bands nutzten die Plattform als Marketingplattform. Zeitweise hatte MySpace mehr als 220 Millionen Nutzer, nach Berechnungen von Google rund 30 Millionen Nutzer (Dezember 2011). Mehr zu MySpace auf der Themenseite...


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.