Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

SchülerVZ-Datenklau: Staatsanwalt wirft 20-Jährigem versuchte Erpressung vor

Von

Im Zusammenhang mit den aus der Schüler-Community SchülerVZ entwendeten Datensätzen ist ein Tatverdächtiger verhaftet worden. Tatsächlich haben aber vermutlich mindestens zwei Datensätze aus unterschiedlicher Quelle existiert. Dem nun Verhafteten wird versuchte Erpressung vorgeworfen.

SchülerVZ: Datenklau im Schülernetz Zur Großansicht
dapd

SchülerVZ: Datenklau im Schülernetz

Berlin - Im Zusammenhang mit dem Datenklau beim Schülernetzwerk SchülerVZ ist in Berlin ein 20-Jähriger verhaftet worden. Das bestätigte ein Sprecher des Landeskriminalamtes auf Anfrage von SPIEGEL ONLINE. Noch am Montagabend erließ ein Richter Haftbefehl gegen den aus Erlangen stammenden Mann. Gegen ihn bestehe der Verdacht der versuchten Erpressung, teilte das Landeskriminalamt mit. Der Tatverdächtige soll dem Unternehmen gedroht haben, die Daten ins Ausland, etwa nach Osteuropa, zu verkaufen, falls er kein Geld erhalte.

Das Dilemma, in dem die VZ-Netzwerke derzeit stecken, liegt im Wesen von Online-Communitys im Allgemeinen: Menschen stellen dort persönliche Daten zur Verfügung, die ein mehr oder weniger stark eingeschränkter Personenkreis übers Netz einsehen kann. Gedacht sind diese Datensätze für Freunde oder doch wenigstens Bekannte. Ansehen kann sich vieles aber jeder - zumindest wenn er selbst im entsprechenden Netzwerk angemeldet ist.

Dieser Punkt hat in den vergangenen Jahren immer wieder für heftige Diskussionen gesorgt - könnte nicht etwa ein Pädophiler sich im Schülernetzwerk Informationen über Jugendliche aus seiner Nachbarschaft verschaffen, um sie dann gezielt anzusprechen? Bewaffnet mit Informationen, etwa, welche Musik das potentielle Opfer gerne hört, welche Filme er oder sie mag?

Eingesammelt hat die Datensätze ein Roboter

Genau deshalb warnen Datenschützer schon lange, man müsse sich genau überlegen, welche Informationen über sich man auf diese Weise zumindest halb-öffentlich macht. Bei SchülerVZ dürfen sich nominell nur echte Jugendliche anmelden, hinein kommt man nur auf Einladung eines Mitglieds. Es ist dennoch davon auszugehen, dass im SchülerVZ auch Menschen angemeldet sind, die dem Schulalter längst entwachsen sind.

Was nun aber mit den Daten von vermutlich mehr als einer Million SchülerVZ-Nutzer passiert ist, geht über diese Art von möglichem Datenmissbrauch hinaus: Mit einem Stück Software, einem sogenannten Crawler, wurden die Daten von vielen - vermutlich Hunderttausenden - Profilseiten ausgelesen und einer Datenbank außerhalb von SchülerVZ einverleibt. So ein Crawler tut fast nichts anderes als ein normaler Nutzer auch: Profilseiten öffnen, Informationen auslesen, Fotos anklicken. Nur tut er es sehr viel schneller. Auf ähnlicher Software basieren übrigens auch Suchmaschinen - ohne Crawler wüsste Google nicht, was auf welcher Website zu finden ist. Die Software-Roboter sind ständig im Netz unterwegs und katalogisieren den Inhalt von Seiten.

Allerdings nicht den Inhalt der Seiten von SchülerVZ und anderen geschlossenen Internet-Angeboten - die sperren die Suchmaschinen-Crawler explizit aus. Die beiden vermutlich männlichen und recht jungen Menschen, die nun, offenbar unabhängig voneinander, zahlreiche Datensätze aus SchülerVZ-Profilseiten extrahiert haben, agierten aber von innerhalb des Netzwerkes aus: Sie hatten Zugangsdaten und schickten ihre Datensammelroboter gewissermaßen innerhalb des Zauns auf den Weg.

"Meine Quelle ist nicht verhaftet worden"

Zumindest einer der beiden tat das eigenen Angaben zufolge nur, um auf die seiner Meinung nach unzureichenden Sicherungsmaßnahmen im Schülernetzwerk hinzuweisen. Er spielte "Netzpolitik"-Blogger Markus Beckedahl 1,6 Millionen Datensätze zu, die jeweils einen Namen, die dazugehörige Schule und die Nutzer-ID umfassten. Weitere "zehntausende" Datensätze enthielten laut Beckedahl zusätzlich Angaben zu Alter und Geschlecht sowie die Profilbilder der jeweils ausgelesenen Seiten. Dieser Datensatz sei inzwischen jedoch gelöscht worden, erklärt Beckedahl im Gespräch mit SPIEGEL ONLINE. Seine Quelle sei "auch nicht verhaftet worden", erklärt der Gründer von Netzpolitik.org.

Der zweite Täter hatte sich nach der Veröffentlichung bei Netzpolitik in einem Blogeintrag damit gebrüstet, er habe ebenfalls mit einem Bot massenhaft Daten aus VZ-Netzwerken ausgelesen und zwar einen Satz, der "um einiges 'ausführlicher'" sei: "Hier stehen zusätzlich die Hobbys, die Lieblingsmusik, Lieblingsfilme etc. drin." Beckedahl zufolge enthielt der Datensatz auch die Geburtsdaten der Betroffenen - in Kombination mit dem Namen ein Datum, das nahezu jeden Menschen eindeutig identifizierbar macht und auch einen Abgleich mit anderen Datenbanken erlauben würde.

Im seinem mittlerweile nicht mehr abrufbarem Blog berichtete der Bot-Programmierer weiter, er habe eine Download-Adresse für den Teil der Daten, der aus dem SchülerVZ stammte, in ein passwortgeschütztes geschlossenes Hacker- und Crackerforum gepostet, "und genau von dieser Datenbank dürften im Internet noch einige Kopien rumfliegen, da diese von meinem Server 17x heruntergeladen wurde". Wie groß dieser Datensatz ist, ist derzeit unbekannt.

Was ist eine "Zugangssicherung"?

Ob der Autor des Blogeintrags tatsächlich derjenige ist, der nun in Berlin verhaftet wurde, ist derzeit unklar. Beckedahl bestätigt jedoch, auch mit dem Autor des Eintrags Kontakt gehabt zu haben und auch einen kleinen Probe-Datensatz aus dessen Beute in Augenschein genommen zu haben. Eigenen Angaben im Blog-Impressum zufolge lebt dieser Täter aber in Süddeutschland, auch die Domain des Blogs ist auf einen in Franken ansässigen Mann registriert.

Ob das, was er und der andere Datensammler wohl getan haben, tatsächlich illegal ist, werden nun die Juristen klären müssen. Bei SchülerVZ geht man davon aus, dass es sich "in jedem Fall um einen Gesetzesverstoß handelt". Konkret könne dem Täter beziehungsweise den Tätern der "unbefugte Abruf personenbezogener Daten", das "Ausspähen von Daten" und die "unerlaubte Verwertung einer Datenbank" vorgeworfen werden. Sollte der Täter tatsächlich einen Erpressungsversuch unternommen haben, dürfte dies das juristische Prozedere aber erheblich vereinfachen.

Denn zumindest der Strafrechtsparagraf 202a, der sich auf das Ausspähen von Daten bezieht, betrifft Daten, die nicht für den Täter "bestimmt und die gegen unberechtigten Zugang besonders gesichert sind", die er sich "unter Überwindung der Zugangssicherung verschafft" habe. Ob eine solche Zugangssicherung im SchülerVZ tatsächlich vorhanden war, darüber werden sich Juristen nun die Köpfe zerbrechen müssen - denn um an die Daten zu kommen, mussten weder Passwörter geknackt noch Firewalls durchbrochen zu werden. Den Zugang zum SchülerVZ hatten die Täter ja bereits, und zwar mutmaßlich auf legalem Wege erworben.

Die einzige Hürde, die zwischen einem Crawler und den Profildaten steht, sind sogenannte Captchas: gelegentlich auftauchende Aufforderungen, Abfolgen von schwer lesbaren Buchstaben- und Zahlenkombinationen in ein Fenster hinein abzutippen. An dieser Aufgabe sollen Programme eigentlich scheitern, während Menschen sie in der Regel einfach bewältigen können. Die Art von Captchas aber, die SchülerVZ bislang verwendete, waren wohl unzureichend. "Schon seit einem halben Jahr", erklärte "Netzpolitik"-Blogger Beckedahl SPIEGEL ONLINE, kursierten im Netz Anleitungen, wie man diese spezielle Art der Roboter-Sperre einfach überwinden könne. Beckedahl zufolge warf seine anonyme Quelle den Betreibern vor, sie hätten auf entsprechende Hinweise seinerseits einfach nicht reagiert. Nur deshalb habe er sich mit seiner Beute an Netzpolitik.org gewandt.

VZ-Networks-Chef Markus Berger-de León erklärte nun im Gespräch mit SPIEGEL ONLINE, man habe in Reaktion auf die Vorfälle bereits ein neues, schwieriger zu überwindendes Captcha-System namens Re-Captcha eingeführt. Darüber hinaus habe man weitere Maßnahmen ergriffen, die das automatische Auslesen von Profildaten erschweren sollten, man habe "zusätzliche Hürden" eingebaut, die er aber nicht näher spezifizieren wollte, um möglichen Datendieben die Arbeit nicht zu erleichtern. Außerdem würden die Nutzer-IDs aller StudiVZ-Mitglieder verändert, was diesen Teil der entwendeten Datensätze unbrauchbar machen werde.

Am grundsätzlichen Dilemma aller Netzwerkplattformen aber wird all das nichts ändern: Ihr Wesen erfordert es, dass man dort Daten zur Verfügung stellt - und dass diese Daten unter Umständen auch in falsche Hände geraten können.

Mit Material von ddp und AP

Diesen Artikel...

© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



StudiVZ: Erfolge und Probleme des Studi-Netzwerks
Ehssan Dariani hat die Studenten-Community StudiVZ 2005 gegründet. Zuerst investierten Lukasz Gadowski und Matthias Spiess, später wurde StudiVZ vor allem von den Gebrüdern Samwer finanziert - bekannt für die Klingeltonfirma Jamba - und vom Venture-Capital-Arm des Holtzbrinck-Verlags ("Die Zeit", "Handelsblatt"). Im Januar 2007 übernahm Holtzbrinck StudiVZ. Derzeit haben die Plattformen studiVZ.net, schuelerVZ.net und meinVZ.net nach eigenen Angaben mehr als 15 Millionen Nutzer, (6 Millionen studiVZ, 5,5 Millionen Schüler im schülerVZ, 4 Millionen Nutzer bei meinVZ; Stand: April 2010).
Während die Mitgliederzahl rasant wuchs, kam StudiVZ nicht immer mit der Kontrolle der Inhalte hinterher. Betroffene warfen StudiVZ vor, zu lax gegen die organisierte Belästigung von weiblichen Mitgliedern und antisemitische, links- sowie rechtsextreme Propaganda vorzugehen.
Facebook wächst in Deutschland sehr schnell. Laut einer Auswertung der Facebook-Werbedaten ist die Plattform seit Anfang 2010 um 56 Prozent auf gut neun Millionen deutsche Mitglieder gewachsen - sprich: jeder zehnte Deutsche wäre demnach rein statistisch Facebook-Mitglied.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: