Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

SchülerVZ: Datenklauber alarmiert Justizministerin

Von und

1,6 Millionen Datensätze hat ein Student aus der Community SchülerVZ automatisiert abgefragt - jetzt fordert Justizministerin Leutheusser-Schnarrenberger von den VZ-Netzwerken Nachbesserungen. Der TÜV, der den Betreibern Datensicherheit bescheinigt hatte, sieht dagegen kein Problem.

Informatik-Student Strankowski: "1,6 Millionen Datensätze reichen ja auch" Zur Großansicht

Informatik-Student Strankowski: "1,6 Millionen Datensätze reichen ja auch"

Hamburg - Was nun erneut bei SchülerVZ passiert ist, wirkt auf den ersten Blick nicht einmal überraschend: Jemand hat Datensätze von für Mitglieder des Netzwerkes zugänglichen Seiten eingesammelt und in eine Datenbank gepackt. Also im Grunde nichts anderes als das, was jeder SchülerVZ-Nutzer jederzeit tun kann. Mit einem entscheidenden Unterschied: Der nun zusammengestellte Datensatz umfasst 1,6 Millionen Profile, und er hätte noch viel größer werden können, erklärte der Autor des Sammelprogramms, der Student Florian Strankowski, im Gespräch mit SPIEGEL ONLINE: "Ich hätte den Crawler auch weiterlaufen lassen können, irgendwann wären dann auch die fünf Millionen voll gewesen. Aber ich dachte, 1,6 Millionen reichen ja auch."

Jeder einzelne dieser Datensätze enthält den Namen, die Kennung der Schule und das Profilbild des jeweiligen SchülerVZ-Nutzers. Bei Nutzern, die in ihren Profileinstellungen nicht die Option "privat" ausgewählt haben, sind auch noch alle weiteren vom Nutzer eingegebenen Informationen abrufbar - von Lieblingsbands und Hobbys über Gruppenzugehörigkeiten bis zur politischen Einstellung. Zur Verfügung gestellt haben die Daten aber die Profilinhaber selbst, mit oder ohne Zugriffsbeschränkungen für Fremde. Die durch den Crawler entstandene Datenbank könnte trotzdem für viele eine echte Fundgrube sein - von Vermarktern mit Interesse an punktgenauer Zielgruppenansprache bis hin zu Pädophilen mit dunkleren Absichten. Sie lässt sich nach "Mädchen aus der Grundschule nebenan" ebenso durchsuchen wie nach "Fans von Tokio Hotel".

Clemens Riedl, Geschäftsführer der VZ-Netzwerke, bedankte sich bei Strankowski, "dass er uns auf das Defizit aufmerksam gemacht hat". Entscheidend sei aber, "dass es sich hierbei weder um ein Datenleck noch einen Angriff auf unsere Server handelt, sondern vielmehr um einen Verstoß gegen unsere AGB". Der Kopierschutz von öffentlich zugänglichen Daten werde immer ein Katz-und-Maus-Spiel bleiben. Man habe aber Maßnahmen ergriffen und den Sicherheitsstandard auf diesen Aspekt hin optimiert.

"Datenschutz gerade bei Minderjährigen besonders wichtig"

Justizministerin Sabine Leutheusser-Schnarrenberger (FDP) hält nicht allzu viel von den Versicherungen der Betreiber, man tue alles, um die Datensicherheit zu gewährleisten: "Die VZ-Gruppe hat selbst das größte Interesse, auch wesentlich in die Sicherheit ihrer Netzwerke zu investieren. Die Verweise auf vermeintliche Einzelpannen müssen nun endlich der Vergangenheit angehören", sagte Leutheusser-Schnarrenberger SPIEGEL ONLINE.

Der Mann, der der VZ-Gruppe nun erneut so viel Ärger beschert hat, ist Student der Informatik an der Universität Lüneburg - die Software zum automatisierten Datensammeln war eine Seminararbeit. SchülerVZ habe er für sein Experiment ausgesucht, weil "gerade bei minderjährigen Nutzern der Datenschutz besonders wichtig ist", sagt Florian Strankowski. Natürlich habe er keine Sicherheitslücke im engeren Sinne entdeckt, erklärt er: Schließlich sammelt sein Crawler nur solche Daten ein, die auch angemeldete Nutzer des Netzwerks jederzeit einsehen können. Aber: "Die Schutzfunktionen funktionieren nicht so, wie sie sein sollten."

Auf unmittelbare Jobangebote aus der IT-Branche hofft der Student nun nicht, aber "so etwas macht sich natürlich gut im Lebenslauf". Etwa eineinhalb Monate habe er insgesamt in das Programm investiert, funktioniert habe der Crawler allerdings "schon nach etwa einer Woche".

Mit seiner Demonstration der Schwächen des VZ-Systems hat Strankowski mindestens gegen die Nutzungsbedingungen von SchülerVZ verstoßen, denn die verbieten eine solche automatisierte Abfrage. Deshalb habe er sich für die zunächst anonyme Veröffentlichung auf dem Blog Netzpolitik.org entschieden und sich erst nach der Reaktion der VZ-Netzwerk-Betreiber zu erkennen gegeben: "Netzpolitik wurde versichert, dass es keine rechtlichen Schritte gegen mich geben wird." Er selbst habe die Betreiber der VZ-Netzwerke in den vergangenen Wochen bereits zweimal auf die von ihm ausgenutzten Lücken hingewiesen, er habe jedoch keine Antwort erhalten. Nun - nach der Veröffentlichung - habe er Kontakt zu den Technikern der Gruppe, die sich nun für die Details seiner Software interessieren.

"Offenbar nur halbherzig geprüft"

Kritisch sieht Strankowski nicht zuletzt die Arbeit des TÜV Süd im Zusammenhang mit den VZ-Netzwerken. Der habe SchülerVZ, StudiVZ und MeinVZ ein Datenschutzsiegel erteilt, das Sicherheit vorgaukle, "dem ist aber offenbar nicht so". Wenn schon geprüft werde, "dann sollte ordentlich geprüft werden und nicht nur halbherzig", mahnt der Student. Der TÜV Süd hatte den VZ-Netzwerken "Funktionalität" und "Datensicherheit" bescheinigt.

Ein Sprecher des TÜV Süd sieht auch durch Strankowskis Veröffentlichung keinen Grund, dieses Prüfsiegel zurückzuziehen. Es handele sich "nach unserem Verständnis nicht um eine Sicherheitslücke", sagte TÜV-Sprecher Thomas Oberst SPIEGEL ONLINE. Strankowski habe "es nur geschafft, frei zugängliche Daten zu kopieren", man könne das umgekehrt auch so interpretieren, dass "er an die geschützten Daten offenbar nicht herangekommen ist".

SchülerVZ-Sprecher Dirk Hensen bewertet das ähnlich: "Ein Nutzer hat für alle SchülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert. Es handelt sich explizit nicht um ein Datenleck." Das sei "in etwa vergleichbar mit dem Kopieren von Daten aus dem Telefonbuch". Bisher liegt SchülerVZ nur ein sehr kleiner Auszug der Daten vor. Aus diesen Daten gehe "nicht hervor, dass es sich um private Nutzerdaten handelt".

Klar ist: Ohne die Mithilfe all der Social-Network-Nutzer, die bereit- und freiwillig Daten über sich selbst in ihre Profilseiten eintragen, sind derartige Datensammlungen nicht möglich. Justizministerin Sabine Leutheusser-Schnarrenberger (FDP) sagte SPIEGEL ONLINE: "Ich kann nur allen Schülern raten, möglichst wenig Daten wie den Wohnort online zu stellen." Die Stiftung Warentest habe ja "erst im März auf Probleme bei der Datensicherheit der VZ-Netzwerke hingewiesen und nur die Note 'ausreichend' vergeben".

Diesen Artikel...
Forum - Diskussion über diesen Artikel
insgesamt 31 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. aw
kdshp 04.05.2010
Zitat von sysop1,6 Millionen Datensätze hat ein Student aus der Community SchülerVZ automatisiert abgefragt - jetzt fordert Justizministerin Leutheusser-Schnarrenberger von den VZ-Netzwerken Nachbesserungen. Der TÜV, der den Betreibern Datensicherheit bescheinigt hatte, sieht dagegen kein Problem. http://www.spiegel.de/netzwelt/web/0,1518,692963,00.html
Hallo, ne ist klar der TÜV sieht kein problem drin ist auch logisch! Hat sich mal wer gefragt warum auch soviele schrott PKW auf deutschen straßen fahren`JA die kommen eben noch durch den TÜV!
2. TUV ade
newsmax, 04.05.2010
Zitat von kdshpHallo, ne ist klar der TÜV sieht kein problem drin ist auch logisch! Hat sich mal wer gefragt warum auch soviele schrott PKW auf deutschen straßen fahren`JA die kommen eben noch durch den TÜV!
Der TÜV ist offensichtlich nicht qualifiziert, vielleicht sollte künftig der CCC für solche Tests angefragt werden.
3. .
StonyBrook 04.05.2010
Zitat von newsmaxDer TÜV ist offensichtlich nicht qualifiziert, vielleicht sollte künftig der CCC für solche Tests angefragt werden.
Die Betreiber werden halt immer dort anfragen, wo keine Kritik zu erwarten ist.
4. lol!
schwarzer Schmetterling, 04.05.2010
Zitat von sysop1,6 Millionen Datensätze hat ein Student aus der Community SchülerVZ automatisiert abgefragt - jetzt fordert Justizministerin Leutheusser-Schnarrenberger von den VZ-Netzwerken Nachbesserungen. Der TÜV, der den Betreibern Datensicherheit bescheinigt hatte, sieht dagegen kein Problem. http://www.spiegel.de/netzwelt/web/0,1518,692963,00.html
solange der staat der größte datensauger ist, wird es wohl mit den gesetzen so ein ding sein. die eigentlich gefährlichen paortale sitzen ja aber den staaten und unterliegen nicht der deutschen gerichtsbarkeit - geht vor lauter aktionismus leider wieder mal unter.
5. ra
hjm, 04.05.2010
Zitat von sysop1,6 Millionen Datensätze hat ein Student aus der Community SchülerVZ automatisiert abgefragt - jetzt fordert Justizministerin Leutheusser-Schnarrenberger von den VZ-Netzwerken Nachbesserungen. Der TÜV, der den Betreibern Datensicherheit bescheinigt hatte, sieht dagegen kein Problem. http://www.spiegel.de/netzwelt/web/0,1518,692963,00.html
Wahnsinn. Welches kriminelle Potential sich da eröffnet: Mit anderen Worten: Mit Hilfe dieser hochgefährlichen Datenbank kann ein Mensch mit bösen Absichten genau das tun, was er als Mitglied von SchülerVZ ohnehin tun könnte.
Alle Kommentare öffnen
    Seite 1    
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Soziale Netzwerke
Facebook
DPA
Facebook ging Anfang 2004 als soziales Netzwerk für Harvard-Studenten online. Zunächst konnten nur Menschen mit E-Mail-Adressen ausgewählter US-Hochschulen Mitglieder werden, seit 2006 ist die Seite für alle Über-13-Jährigen offen. Nach eigenen Angaben hat Facebook 845 Millionen aktive Mitglieder weltweit (Dezember 2011). Mehr zu Facebook auf der Themenseite.
Google+
Google+ ist der Versuch, den sozialen Funktionen von Facebook und Twitter etwas entgegenzusetzen. Das soziale Netzwerk wurde im Juni 2011 gestartet und hat nach Firmenangaben rund 170 Millionen Nutzer (April 2012). Der Funktionsumfang ist rein aus Nutzersicht vergleichbar mit Facebook, Schnittstellen für externe Entwickler sind allerdings eingeschränkt. Google animiert seine Nutzer, das Netzwerk als zentralen Hub für seine Dienste zu nutzen. Mehr zu Google+ auf der Themenseite.
Twitter
DPA
Der auf kurze Textnachrichten spezilalisierte Dienst Twitter wurde im Juli 2006 gegründet. Populär wurde der Dienst als Verteilnetzwerk für Links, Fotos und Videos. Twitter zählt nach eigenen Angaben mehr als 140 Millionen Nutzer (März 2012). Mehr zu Twitter auf der Themenseite.
Xing
Xing (früher OpenBC) wurde 2003 von Lars Hinrichs gegründet. Nach eigenen Angaben hat Xing über 11,7 Millionen Mitglieder (Stand: Dezember 2011), etwa acht Prozent haben einen kostenpflichtigen Premium Account. Bei Xing geht es vor allem um berufliche Kontaktaufnahme. Mehr zu Xing auf der Themenseite...
StudiVZ
Ehssan Dariani hat die Studenten-Community StudiVZ 2005 gegründet. Zuerst investierten Lukasz Gadowski und Matthias Spiess in StudiVZ, später finanzierten es vor allem die Gebrüder Samwer - bekannt für die Klingeltonfirma Jamba - und der Venture-Capital-Arm des Holtzbrinck-Verlags ("Die Zeit", "Handelsblatt"). Im Januar 2007 übernahm Holtzbrinck StudiVZ. Derzeit haben die Plattformen studiVZ.net, schuelerVZ.net und meinVZ.net nach eigenen Angaben rund 17,4 Millionen Nutzer (Stand: Januar 2011). Mehr zu StudiVZ auf der Themenseite...
Lokalisten
Im Mai 2005 gegründet, hat das Netzwerk Lokalisten nach eigenen Angaben (Stand Juli 2010) inzwischen 3,6 Millionen Nutzer. Mehr zu Lokalisten bei Wikipedia...
Spin.de
Das 1996 in Regensburg gegründete Unternehmen Spin betreibt ein eigenes soziales Netzwerk, aber auch integrierte Unter-Communitys mit regionalem Fokus, die mit Partnern vor Ort (Lokalradios vor allem) betrieben werden. Nach eigenen Angaben (Stand Februar 2011) hat Spin.de eine Million aktive Mitglieder. Mehr zu Spin.de bei Wikipedia...
Wer kennt wen
Wer-kennt-wen wurde von den beiden Studenten Fabian Jager und Patrick Ohler gegründet. Seit Februar 2009 gehört das Netzwerk vollständig RTL Interactiv, die Gründer schieden Ende August 2010 aus. Das Netzwerk hat laut Betreiber über 9,5 Millionen Nutzer (Stand: Januar 2012). Mehr zu Wer-kennt-wen bei Wikipedia...
MySpace
MySpace war 2006 das populärste soziale Netzwerk in den USA. Ein Jahr zuvor war es von Rupert Murdochs News Corporation gekauft worden. Bekannt wurde es durch die Möglichkeit, Musik einzubinden. Künstler und Bands nutzten die Plattform als Marketingplattform. Zeitweise hatte MySpace mehr als 220 Millionen Nutzer, nach Berechnungen von Google rund 30 Millionen Nutzer (Dezember 2011). Mehr zu MySpace auf der Themenseite...


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: