piwik no script img

taz zahl ich

Veröffentlichte NutzerprofileSchülerVZ und das Datenleck

Bei SchülerVZ sollten Daten eigentlich besonders sicher sein, so die Strategie der VZ-Netzwerke. Doch der Datenklau illustriert, dass das nicht gelungen ist. Nun sind Millionen der Nutzerprofile im Umlauf.

Poesiealbum war gestern. Bild: dpa

BERLIN dpa/ap | Gut 5,5 Millionen Nutzer hat SchülerVZ. Für das Netzwerk ist die Sicherheitspanne eine sensible Sache. Am Freitagabend war bekannt geworden, dass ein Täter Schülerdaten kopiert hatte, also Angaben zu Namen, Schulen, Geschlecht und Alter und Profilfotos. Außerdem wurde dem Blog netzpolitik.org ein Satz mit rund einer Million Nutzerdaten von SchülerVZ zugespielt, sagte der Geschäftsführer der VZ-Gruppe Markus Berger-de León.

Aus den Daten konnte man Schüler über bestimmte Merkmale herausfiltern, so der Betreiber von netzpolitik.org, Markus Beckedahl. "Mit den Listen lassen sich einfache Datenabfragen erstellen wie ,alle Schüler aus Berlin', oder ,alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule'", schreibt Beckedahl auf seiner Seite.

Dazu sagte der Sprecher der VZ-Netzwerke, der anonyme Versender dieser Datensätze sei nicht der tatsächliche Verursacher, sondern ein Trittbrettfahrer, der Zugang zu den Daten des eigentlichen Täters gehabt habe.

Der Hacker soll die kopierten Daten in einem geschlossenen, passwortgeschützten Internetforum zum Download bereitgestellt haben, so Berger-de León. Insgesamt siebzehn Nutzer hätten diese dort heruntergeladen. Außerdem habe es mindestens einen zweiten Hacker gegeben, der Sicherheitsabfragen geknackt und automatisiert Daten kopiert habe.

"Wir haben es mit hochkriminellen Leuten zu tun", sagte Geschäftsführer Markus Berger de León. Gleichzeitig versuchte er zu beruhigen: Es gehe nur um Daten, die ohnehin für alle registrierten Nutzer einsehbar waren. Aber eben nur für registrierte Nutzer- und das ist bei SchülerVZ eine größere Hürde als bei anderen Netzwerken.

Denn SchülerVZ ist ein nicht ganz so offenes Netzwerk wie facebook oder StudiVZ. Bei SchülerVZ kann man nur ein Profil eröffnen, wenn man von anderen Nutzern eingeladen wird. Das soll dafür sorgen, dass sich tatsächlich vor allem Schüler und ihre Freunde dort austauschen.

Der Branchenverband Bitkom forderte SchülerVZ auf, eine Wiederholung unmöglich zu machen. Eltern sollten mit ihren Kindern über Datenschutz sprechen.

SchülerVZ betonte, es handele sich nicht um ein Datenleck. Sensible persönliche Daten wie Postadressen, E-Mail-Adressen, Telefonnummern, Fotoalben und Zugangsdaten seien sicher gewesen. VZ-Sprecher Dirk Hensen erklärte, der Datenkopierer habe automatische Leseverfahren – sogenannte Crawler – eingesetzt, um aus dem Netzwerk öffentlich sichtbare Nutzerdaten zu kopieren.

Das Kopieren der Daten sei illegal "und gleichzeitig ein schwerer Verstoß gegen unsere AGB", so Hensen. Man wolle die Abwehrmaßnahmen gegen automatische Leseverfahren verstärken.

SchülerVZ ging eigenen Angaben zufolge umgehend gegen den Missbrauch vor. Man habe die Datenschutzbehörden informiert und werde rechtliche Schritte einleiten. Außerdem sei man dabei, die Personen ausfindig zu machen, an die Datensätze weitergegeben worden seien, um sie über die juristischen Konsequenzen aufzuklären "und dafür zu sorgen, dass die illegal kopierten Nutzerdaten gelöscht werden".

Das Netzwerk hat jetzt die Sicherheitsmechanismen verschärft. So müssten künftig die Anwender viel häufiger als sonst Buchstaben- und Zahlenkombinationen eintippen, um bestimmte Anfragen an das Netzwerk zu stellen, sagte Berger-de León. "Damit wird die Bedienbarkeit von SchülerVZ zwar derzeit weniger schön. Aber die Anwender haben angesichts des aktuellen Vorfalls Verständnis dafür."

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 50.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Überwachung
Feedback Kommentieren Fehlerhinweis

You'll never fight alone

Das FLINTA*UNITED Abo

Zum feministischen Kampftag gibt es unser Test-Abo mit exklusivem FLINTA*UNITED-Schal für nur 22 Euro. Nur so lange der Vorrat reicht!
  • 10 x wochentaz samstags frei Haus + digital in der App
  • Die tägliche taz von Mo-Fr als digitale Ausgabe
  • Exklusiv: der FLINTA*UNITED Fanschal
Jetzt bestellen

5 Kommentare

 / 
  • S
    steppa

    Verstehe die Aufregung nicht. VZ-Netzwerk hat doch auch alle Daten, sogar noch viel mehr als die ohnehin öffentlich einsehbaren, nämlich alle dort eingestellten. Verkauft wurden diese Daten auch schon, nämlich für 100 Millionen Euro an die Holtzbrinck.

    Jetzt kommt einer daher und schaut sich die zugänglichen Profildaten an - nicht weiter schlimm sagt der Sprecher der VZ-Netzwerk, sind ja die öffentlichen Daten, "keine negativen Folgen" für die Nutzer. Im gleichen Atemzug werden aber die Zugriffe für illegal erklärt, da sie nur innerhalb der VZ-Gemeinschaft gestattet sind. Wir reden über 5 Millionen angemeldete Schüler, ist das Gemeinschaft oder Öffentlichkeit?

    Nun wollte der Nutzer, der sich die Daten notiert hat, sie also verkaufen. Eine Idee, auf die die VZ-Netzwerk wie erwähnt auch schon gekommen ist, schließlich lässt sie sich in ihren AGB selbstverständlich auch das Recht auf personalisierte Werbung einräumen. Aber verkaufen, das ist bei dem illegalen Nutzer natürlich ebenfalls illegal.

    Also kurz, die VZ-Netzwerk erklärt das Speichern, Auswerten und Verkaufen der Nutzerdaten für illegal. Zum Schutz von was? Der Privatsphäre der Nutzer, oder zum Schutz des eigenen Geschäftsmodells?

    Insofern, weshalb die Aufregung, wer einer Firma mit den geschilderten Praktiken freiwillig seine Daten gibt, muss eben mit so etwas rechnen. Es illegal zu nennen, so weit waren andere bisher meist noch nicht gegangen, aber danke für den Weitblick.

  • H
    hugo

    Einfache Capchas als Zugangskontrolle sind kein Schutz, sondern nur eine (unwesentliche) Bremse beim automatisierten millionenfachen Auslesen. Wofür gibt es wohl hocheffizientes, feintunebares OCR?

     

    Die taz verwendet übrigens auch Capchas ("Bitte geben Sie hier das Wort ein, das im Bild angezeigt wird."), allerdings sind hier auch keine Millionen von intimsten Nutzerdaten abrufbar.

     

    Ich muss mich immer wieder wundern, wie sorglos mit sehr persönlichen Daten umgegangen wird. Sowohl auf der Seite der Betreiber dieser asozialen Netzwerke (Entschuldigung) als auch seitens der oft erstaunlich unbedarften Netzbürger.

     

    Aus gutem Grund bin ich nicht Mitglied in einem Social Network. Ansonsten bin ich allerdings im Netz mehr als nur zuhause.

  • U
    User

    Einerseits finde ich es richtig wenn die Medien über Datenlecks berichten. Andererseits habe ich den Verdacht dass es die meisten BürgerInnen in keiner Weise interessiert. Meiner Meinung nach wurde in den Medien nun wirklich oft genug und regelmäßig über die Gefahren des zu sorglosen Umgang mit persönlichen Daten, nicht nur im Internet, berichtet und es wurde immer wieder darauf hingewiesen wie man sich schützen sollte und kann.

     

    Im World Wide Web ist es wie im wirklichen Leben. Es gab nie eine 100%ige Sicherheit, es gibt sie nicht und es wird sie nie geben. Dennoch ist es mit wenigen einfachen Mitteln möglich sich so gut es geht zu schützen.

  • FN
    Felix Nagel

    Lächerlich. Öffentlich einsehbare Daten. Hallo???? Öffentlich einsehbar. In einem Portal das einen sehr fein einstellen lässt was sichtbar ist und was nicht.

     

    Die haben den Kerl sogar festgenommen. Als die Telekom und die dutzenden anderen Unternehmen mal wieder Daten VERLOREN haben, wurde da jemand für eingesperrt? Wurde da auch nur ein einziger Verantwortlicher gerügt?

     

    Und nochmal: lächerlich!

  • FF
    Frank F.

    Na klar, und wieder einmal sind es die "hochkriminellen" Hacker, die ja so böse sind. Dass SchülerVZ nicht gerade ein sicherer Ort für persönliche Daten ist, dürfte mittlerweile bekannt sein. Jeder Security-Audit hätte die aktuell genutzt Lücke zu Tage gebracht, was ganz klar zeigt, dass sowas ganz offensichtlich bei SchülerVZ noch nicht oder nicht wirklich professionell gemacht wurde. Anstatt also gegen diese "Hochkriminellen" in's Feld zu ziehen, sollte sich die Firma diese mal in's Boot holen, um ihre Webapplikation sicher zu machen. Security-Auditing ist ein Muss für eine Firma, die so viele persönliche Daten speichert! Die Hochkriminellen sind eher diejenigen, die solche Tests unterlassen oder nicht ernst genug nehmen um echte Profis dafür anzuheuern, auch wenn diese etwas teurer sind als ein Durchschnittsprogrammierer.

meistkommentiert

1

Trumps neue Weltordnung

All hands on deck!

2

Nach dem Eklat im Weißen Haus

Die USA sind nun kein Partner mehr

3

Krach zwischen Selenskyj und Trump

Treffen, versenkt!

4

Nach der Bundestagswahl

Braucht Deutschland Robert Habeck nicht?

5

Ukraines Präsident in Washington

Trump und Vance provozieren Eklat im Weißen Haus

6

Wie raus aus dem Nachwahlkater?

Politische Disruptionen