Kopierte Nutzerinfos Datenpanne drängt SchülerVZ in die Defensive
Startseite von SchülerVZ: "Über juristische Konsequenzen aufklären"
Foto: dapdBerlin - Nach der jüngsten Datenpanne bemüht sich SchülerVZ um kämpferische Töne - und verspricht, den Fall aufzuarbeiten. "Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen", erklärte ein Firmensprecher. Man habe die Datenschutzbehörden informiert und werde rechtliche Schritte einleiten. Inzwischen habe man den Täter identifiziert und Kontakt mit ihm aufgenommen.
Was war geschehen? Am Freitag war bekannt geworden, dass mindestens ein Nutzer in großem Stil Daten von SchülerVZ-Mitgliedern illegal kopiert und weitergegeben hatte - darunter Angaben zu Namen, Schulen, Geschlecht und Alter sowie Profilfotos. Dabei dürfte ihm mit größter Sicherheit ein automatisiertes Datensammelprogramm geholfen haben.
Das Unternehmen mag in diesem Zusammenhang nicht von einem Datenleck sprechen. Schließlich seien nur Daten kopiert worden, die ohnehin für alle registrierten SchülerVZ-Nutzer einsehbar seien, erklärte der Firmensprecher. Speziell geschützte Angaben wie Postadressen, E-Mail-Adressen, Telefonnummern, Fotoalben und Zugangsdaten seien nicht betroffen gewesen.
Dennoch hinterlässt die Angelegenheit einen eigenartigen Nachgeschmack - immerhin tummeln sich bei SchülerVZ Kinder und Jugendliche, die besonders schutzbedürftig sind. Und eigentlich verfügt SchülerVZ auch über einen - einfach gehaltenen - Mechanismus, um ein automatisches Auslesen größerer Datenmengen zu verhindern. Beim Aufruf einer verdächtigen Zahl "fremder" Seiten müssen Nutzer per Hand einen Zeichencode, ein sogenanntes Captcha, eingeben.
Texterkennung hebelte offenbar Schutz aus
Doch offenbar hat das zum Datendiebstahl eingesetzte Programm diesen Captcha-Schutz mühelos ausgehebelt. Eine Texterkennung dürfte zunächst herausgefunden haben, welche Zeichen einzutragen sind. Dann erledigte die Software die Testaufgabe vollautomatisch.
Besonders brisant wird die Angelegenheit dadurch, dass nicht klar ist, wie viele illegal beschaffte Datensätze eigentlich kursieren - und wer darauf Zugriff hat. Der Täter habe die Datensätze auch weiteren Personen zur Verfügung gestellt, "die er uns gegenüber zum jetzigen Zeitpunkt nicht nennen will", erklärte der Firmensprecher. SchülerVZ sei dabei, "diese Personen ausfindig zu machen, um sie über die juristischen Konsequenzen ihres Handelns aufzuklären und dafür zu sorgen, dass die illegal kopierten Nutzerdaten gelöscht werden".
Außerdem wurde dem Blog netzpolitik.org ein Satz mit rund einer Million Nutzerdaten von SchülerVZ zugespielt, wie dessen Betreiber Markus Beckedahl sagte. Aus den Daten könne man Schüler über bestimmte Merkmale herausfiltern: "Mit den Listen lassen sich einfache Datenabfragen erstellen wie 'alle Schüler aus Berlin', oder 'alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule'", schreibt Beckedahl auf seiner Seite: "Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen."
Schüler VZ erklärte auf den Bericht hin, der anonyme Versender dieser Datensätze sei nicht der tatsächliche Datendieb. Es habe sich stattdessen um einen Trittbrettfahrer gehandelt. Er habe Zugang zu den Daten des eigentlichen Täters gehabt. Doch Blogger Beckedahl widerspricht im Gespräch mit SPIEGEL ONLINE: "Ich gehe nicht davon aus, dass das so ist." Sein Kontakt habe ihn bereits vor zwei Wochen informiert und ihm die Daten vor einer Woche zugänglich gemacht. "Es stellt sich die Frage: Wie viele Menschen haben diese Sicherheitslücke genutzt?"
Es gebe allerdings einen einfachen Weg für die jungen Nutzer des Netzwerks, ihre Daten in Zukunft zumindest etwas sicherer zu machen - unabhängig von den Vorkehrungen des Web-Seitenbetreibers: "Man muss seine Daten 'privat' stellen, dann wird öffentlich kaum noch etwas angezeigt."
