5154096

Veröffentlichte Nutzerprofile: SchülerVZ und das Datenleck

Bei SchülerVZ sollten Daten eigentlich besonders sicher sein, so die Strategie der VZ-Netzwerke. Doch der Datenklau illustriert, dass das nicht gelungen ist. Nun sind Millionen der Nutzerprofile im Umlauf.

Poesiealbum war gestern. Bild: dpa

BERLIN dpa/ap | Gut 5,5 Millionen Nutzer hat SchülerVZ. Für das Netzwerk ist die Sicherheitspanne eine sensible Sache. Am Freitagabend war bekannt geworden, dass ein Täter Schülerdaten kopiert hatte, also Angaben zu Namen, Schulen, Geschlecht und Alter und Profilfotos. Außerdem wurde dem Blog netzpolitik.org ein Satz mit rund einer Million Nutzerdaten von SchülerVZ zugespielt, sagte der Geschäftsführer der VZ-Gruppe Markus Berger-de León.

Aus den Daten konnte man Schüler über bestimmte Merkmale herausfiltern, so der Betreiber von netzpolitik.org, Markus Beckedahl. "Mit den Listen lassen sich einfache Datenabfragen erstellen wie ,alle Schüler aus Berlin', oder ,alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule'", schreibt Beckedahl auf seiner Seite.

Dazu sagte der Sprecher der VZ-Netzwerke, der anonyme Versender dieser Datensätze sei nicht der tatsächliche Verursacher, sondern ein Trittbrettfahrer, der Zugang zu den Daten des eigentlichen Täters gehabt habe.

Der Hacker soll die kopierten Daten in einem geschlossenen, passwortgeschützten Internetforum zum Download bereitgestellt haben, so Berger-de León. Insgesamt siebzehn Nutzer hätten diese dort heruntergeladen. Außerdem habe es mindestens einen zweiten Hacker gegeben, der Sicherheitsabfragen geknackt und automatisiert Daten kopiert habe.

"Wir haben es mit hochkriminellen Leuten zu tun", sagte Geschäftsführer Markus Berger de León. Gleichzeitig versuchte er zu beruhigen: Es gehe nur um Daten, die ohnehin für alle registrierten Nutzer einsehbar waren. Aber eben nur für registrierte Nutzer- und das ist bei SchülerVZ eine größere Hürde als bei anderen Netzwerken.

Denn SchülerVZ ist ein nicht ganz so offenes Netzwerk wie facebook oder StudiVZ. Bei SchülerVZ kann man nur ein Profil eröffnen, wenn man von anderen Nutzern eingeladen wird. Das soll dafür sorgen, dass sich tatsächlich vor allem Schüler und ihre Freunde dort austauschen.

Der Branchenverband Bitkom forderte SchülerVZ auf, eine Wiederholung unmöglich zu machen. Eltern sollten mit ihren Kindern über Datenschutz sprechen.

SchülerVZ betonte, es handele sich nicht um ein Datenleck. Sensible persönliche Daten wie Postadressen, E-Mail-Adressen, Telefonnummern, Fotoalben und Zugangsdaten seien sicher gewesen. VZ-Sprecher Dirk Hensen erklärte, der Datenkopierer habe automatische Leseverfahren – sogenannte Crawler – eingesetzt, um aus dem Netzwerk öffentlich sichtbare Nutzerdaten zu kopieren.

Das Kopieren der Daten sei illegal "und gleichzeitig ein schwerer Verstoß gegen unsere AGB", so Hensen. Man wolle die Abwehrmaßnahmen gegen automatische Leseverfahren verstärken.

SchülerVZ ging eigenen Angaben zufolge umgehend gegen den Missbrauch vor. Man habe die Datenschutzbehörden informiert und werde rechtliche Schritte einleiten. Außerdem sei man dabei, die Personen ausfindig zu machen, an die Datensätze weitergegeben worden seien, um sie über die juristischen Konsequenzen aufzuklären "und dafür zu sorgen, dass die illegal kopierten Nutzerdaten gelöscht werden".

Das Netzwerk hat jetzt die Sicherheitsmechanismen verschärft. So müssten künftig die Anwender viel häufiger als sonst Buchstaben- und Zahlenkombinationen eintippen, um bestimmte Anfragen an das Netzwerk zu stellen, sagte Berger-de León. "Damit wird die Bedienbarkeit von SchülerVZ zwar derzeit weniger schön. Aber die Anwender haben angesichts des aktuellen Vorfalls Verständnis dafür."

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Schwerpunkt Überwachung

Themen

    Die Kommentarfunktion unter diesem Artikel ist geschlossen.

    So können Sie kommentieren:

    Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

    Haben Sie Probleme beim Kommentieren oder Registrieren?

    Dann mailen Sie uns bitte an kommune@taz.de.

    Leser*innenkommentare

    • steppa

      Gast

      Verstehe die Aufregung nicht. VZ-Netzwerk hat doch auch alle Daten, sogar noch viel mehr als die ohnehin öffentlich einsehbaren, nämlich alle dort eingestellten. Verkauft wurden diese Daten auch schon, nämlich für 100 Millionen Euro an die Holtzbrinck.

      Jetzt kommt einer daher und schaut sich die zugänglichen Profildaten an - nicht weiter schlimm sagt der Sprecher der VZ-Netzwerk, sind ja die öffentlichen Daten, "keine negativen Folgen" für die Nutzer. Im gleichen Atemzug werden aber die Zugriffe für illegal erklärt, da sie nur innerhalb der VZ-Gemeinschaft gestattet sind. Wir reden über 5 Millionen angemeldete Schüler, ist das Gemeinschaft oder Öffentlichkeit?

      Nun wollte der Nutzer, der sich die Daten notiert hat, sie also verkaufen. Eine Idee, auf die die VZ-Netzwerk wie erwähnt auch schon gekommen ist, schließlich lässt sie sich in ihren AGB selbstverständlich auch das Recht auf personalisierte Werbung einräumen. Aber verkaufen, das ist bei dem illegalen Nutzer natürlich ebenfalls illegal.

      Also kurz, die VZ-Netzwerk erklärt das Speichern, Auswerten und Verkaufen der Nutzerdaten für illegal. Zum Schutz von was? Der Privatsphäre der Nutzer, oder zum Schutz des eigenen Geschäftsmodells?

      Insofern, weshalb die Aufregung, wer einer Firma mit den geschilderten Praktiken freiwillig seine Daten gibt, muss eben mit so etwas rechnen. Es illegal zu nennen, so weit waren andere bisher meist noch nicht gegangen, aber danke für den Weitblick.

    • hugo

      Gast

      Einfache Capchas als Zugangskontrolle sind kein Schutz, sondern nur eine (unwesentliche) Bremse beim automatisierten millionenfachen Auslesen. Wofür gibt es wohl hocheffizientes, feintunebares OCR?

      Die taz verwendet übrigens auch Capchas ("Bitte geben Sie hier das Wort ein, das im Bild angezeigt wird."), allerdings sind hier auch keine Millionen von intimsten Nutzerdaten abrufbar.

      Ich muss mich immer wieder wundern, wie sorglos mit sehr persönlichen Daten umgegangen wird. Sowohl auf der Seite der Betreiber dieser asozialen Netzwerke (Entschuldigung) als auch seitens der oft erstaunlich unbedarften Netzbürger.

      Aus gutem Grund bin ich nicht Mitglied in einem Social Network. Ansonsten bin ich allerdings im Netz mehr als nur zuhause.

    • User

      Gast

      Einerseits finde ich es richtig wenn die Medien über Datenlecks berichten. Andererseits habe ich den Verdacht dass es die meisten BürgerInnen in keiner Weise interessiert. Meiner Meinung nach wurde in den Medien nun wirklich oft genug und regelmäßig über die Gefahren des zu sorglosen Umgang mit persönlichen Daten, nicht nur im Internet, berichtet und es wurde immer wieder darauf hingewiesen wie man sich schützen sollte und kann.

      Im World Wide Web ist es wie im wirklichen Leben. Es gab nie eine 100%ige Sicherheit, es gibt sie nicht und es wird sie nie geben. Dennoch ist es mit wenigen einfachen Mitteln möglich sich so gut es geht zu schützen.

    • Felix Nagel

      Gast

      Lächerlich. Öffentlich einsehbare Daten. Hallo???? Öffentlich einsehbar. In einem Portal das einen sehr fein einstellen lässt was sichtbar ist und was nicht.

      Die haben den Kerl sogar festgenommen. Als die Telekom und die dutzenden anderen Unternehmen mal wieder Daten VERLOREN haben, wurde da jemand für eingesperrt? Wurde da auch nur ein einziger Verantwortlicher gerügt?

      Und nochmal: lächerlich!

    • Frank F.

      Gast

      Na klar, und wieder einmal sind es die "hochkriminellen" Hacker, die ja so böse sind. Dass SchülerVZ nicht gerade ein sicherer Ort für persönliche Daten ist, dürfte mittlerweile bekannt sein. Jeder Security-Audit hätte die aktuell genutzt Lücke zu Tage gebracht, was ganz klar zeigt, dass sowas ganz offensichtlich bei SchülerVZ noch nicht oder nicht wirklich professionell gemacht wurde. Anstatt also gegen diese "Hochkriminellen" in's Feld zu ziehen, sollte sich die Firma diese mal in's Boot holen, um ihre Webapplikation sicher zu machen. Security-Auditing ist ein Muss für eine Firma, die so viele persönliche Daten speichert! Die Hochkriminellen sind eher diejenigen, die solche Tests unterlassen oder nicht ernst genug nehmen um echte Profis dafür anzuheuern, auch wenn diese etwas teurer sind als ein Durchschnittsprogrammierer.