1,6 Millionen Datensätze von SchuelerVZ gesammelt

[c2x]

Erstes:

SchülerVZ droht ein neuer Skandal um eine mögliche Sicherheitslücke: Ein Computerexperte hat nach eigenen Angaben 1,6 Millionen Datensätze von minderjährigen Nutzern des Online-Netzwerkes eingesammelt. Es ist nicht der erste derartige Fall, das Unternehmen wiegelt ab.

Hamburg - Die Schüler-Community SchülerVZ kämpft offenbar mit massiven Problemen im Hinblick auf den Schutz der dort abgelegten Profildaten der meist minderjährigen Mitglieder. Dem Blogger Markus Beckedahl, Betreiber von Netzpolitik.org, wurde erneut ein Datensatz zugespielt, der Informationen über Hunderttausende von SchülerVZ-Nutzern enthält.

Insgesamt handele es sich um 1,6 Millionen Datensätze, erklärte Beckedahl im Gespräch mit SPIEGEL ONLINE. Jeder einzelne enthalte den Namen, die Kennung der Schule und das Profilbild des jeweiligen SchülerVZ-Nutzers. Bei Nutzern, die in ihren Profileinstellungen nicht die Option "privat" ausgewählt haben, sind auch noch alle weiteren vom Nutzer eingegebenen Informationen abrufbar - von Lieblingsbands und Hobbys über Gruppenzugehörigkeiten bis zur politischen Einstellung. SPIEGEL ONLINE wurde eine Stichprobe aus dem Datensatz vorgelegt, die Beckedahls Angaben bestätigt.

SchülerVZ-Sprecher Dirk Hensen bewertet das anders: "Ein Nutzer hat für alle SchülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert. Es handelt sich explizit nicht um ein Datenleck." Hensen beschreibt das Vorgehen so: "Nach unserem Kenntnisstand hat der Nutzer, ein junger Wissenschaftler, Hunderte von künstlichen E-Mail-Accounts verwendet, um den Kopierschutz von öffentlichen Daten zu umgehen." Das sei sogenanntes "Crawling" und "in etwa vergleichbar mit dem Kopieren von Daten aus dem Telefonbuch". Bisher liegt SchülerVZ nur ein sehr kleiner Auszug der Daten vor. Aus diesen Daten gehe "nicht hervor, dass es sich um private Nutzerdaten handelt".

Namen, Fotos, Hobbys und Wohnort

Die Frage, wozu man diese Daten missbrauchen könnte, beantwortet Beckedahl mit einem Beispiel: "Ein Pädophiler könnte sich die elfjährigen Mädchen aus der Schule nebenan heraussuchen, mitsamt ihren Fotos, ihren Musikvorlieben und Hobbys, um sie dann auf der Straße anzusprechen." Der Datensatz sei komplett und invers nach jedem beliebigen Kriterium durchsuchbar - also etwa nach Wohnort oder der angegebenen Lieblingsband. Natürlich ließen sich solche Daten auch für gezieltes Marketing verwenden.

Zusammengestellt hat den Datensatz Beckedahl zufolge kein Krimineller mit finsteren Absichten, sondern ein "junger Wissenschaftler", der nur beweisen wolle, dass derartige Sammlungen weiterhin möglich seien - obwohl die Betreiber der VZ-Netzwerke nach dem Bekanntwerden vergleichbarer Fälle im vergangenen Jahr Veränderungen am eigenen System vorgenommen hatten, die genau solche Sammlungen verhindern sollten.

Zuletzt waren im Oktober 2009 gleich zwei Datensätze aufgetaucht. Einer war offenbar von einem 20-Jährigen zusammengestellt worden, der die Community-Betreiber anschließend zu erpressen versuchte. Bei einem Treffen zur vermeintlichen Geldübergabe wurde er in den Räumen der Betreiber verhaftet. Später nahm sich der Mann in der Untersuchungshaft das Leben.

Der damalige VZ-Networks-Chef Markus Berger-de León erklärte im Oktober 2009 im Gespräch mit SPIEGEL ONLINE, man habe in Reaktion auf die Vorfälle bereits ein neues, schwieriger zu überwindendes Captcha-System eingeführt. Captchas sind Phrasen aus Buchstaben und Ziffern, die Nutzer in einer schwer lesbaren Grafik erkennen und eintippen müssen.

Darüber hinaus habe man weitere Maßnahmen ergriffen, die das automatische Auslesen von Profildaten erschweren sollten, man habe "zusätzliche Hürden" eingebaut, die er aber nicht näher spezifizieren wollte.

Offenbar funktioniert die alte Ausspähmethode noch

Der neue Datensatz ist offenbar trotzdem auf ähnliche Weise zustandegekommen wie die vorangegangenen: Mit Hilfe automatisierter Abfragen seien etwa neun Profile pro Sekunde ausgelesen worden, erklärt Beckedahl.

Gegen derartige automatisierte Massenabfragen hätten die VZ-Betreiber zwar nach den Vorfällen im vergangenen Jahr Maßnahmen ergriffen. So sei die mögliche Abfrage anderer Profile durch jedes VZ-Mitglied pro Tag mit einer Obergrenze versehen worden. Der Wissenschaftler, der den neuen Datensatz zusammenstellte, habe diese Beschränkung jedoch einfach umgangen, indem er - wiederum automatisiert - viele gefälschte Profile innerhalb des Netzwerkes angelegt hätte, um das Abfragelimit jedes einzelnen anschließend auszuschöpfen.

Die Methode lasse sich theoretisch auch auf die anderen Communitys der Gruppe (StudiVZ und MeinVZ) anwenden, sagt Beckedahl. Der Wissenschaftler habe nur SchüerVZ gewählt, weil solche Sicherheitslücken im Zusammenhang mit Minderjährigen besonders kritisch seien.

Für Beckedahl lässt der Fall nur zwei mögliche Schlussfolgerungen zu: "Entweder investiert die VZ-Gruppe nicht genug in Sicherheit, oder die Daten unserer Schüler sind generell nicht sicher im Netz."

Die Stiftung Warentest hatte StudiVZ und SchülerVZ Ende März noch ein besseres Datenschutzniveau als etwa dem Konkurrenten Facebook bescheinigt, warnte aber damals vor einer übertriebenen Auslegung der Testergebnisse: "Nach früheren Problemen mit dem Datenschutz haben die VZ-Netzwerke Softwarequalität Datensicherheit vom Tüv-Süd prüfen lassen. Eine Sicherheitsgarantie bedeutet das aber nicht - denn wichtige Sicherheitsaspekte überprüft der Tüv gar nicht." Auch die eigene Endnote ergänzten die Tester um die Feststellung: "Da im Internet jederzeit Änderungen möglich sind, können Zertifizierungen, wie auch die Testergebnisse der Stiftung Warentest, nur eine Momentaufnahme darstellen."

Die VZ-Gruppe ist in Deutschland Marktführer bei sozialen Netzwerken. Das Unternehmen hat laut eigenen Angaben insgesamt gut 15 Millionen Mitglieder (6 Millionen StudiVZ, 5,5 Millionen Schüler im SchülerVZ, 4 Millionen Nutzer bei MeinVZ).

Der VZ-Netzwerke-Geschäftsführer Clemens Riedl bedankt sich bei dem Datensauger dafür, "dass er uns auf das Defizit aufmerksam gemacht hat". Riedl "Entscheidend ist, dass es sich hierbei weder um ein Datenleck noch einen Angriff auf unsere Server handelt, sondern vielmehr um einen Verstoß gegen unsere AGB." Der Kopierschutz von öffentlich zugänglichen Daten werde immer ein Katz-und-Maus-Spiel bleiben. Man habe aber Maßnahmen ergriffen und den Sicherheitsstandard auf diesen Aspekt hin optimiert.

UPDATE:
1,6 Millionen Datensätze hat ein Student aus der Community SchülerVZ automatisiert abgefragt - jetzt fordert Justizministerin Leutheusser-Schnarrenberger von den VZ-Netzwerken Nachbesserungen. Der TÜV, der den Betreibern Datensicherheit bescheinigt hatte, sieht dagegen kein Problem.

Hamburg - Was nun erneut bei SchülerVZ passiert ist, wirkt auf den ersten Blick nicht einmal überraschend: Jemand hat Datensätze von für Mitglieder des Netzwerkes zugänglichen Seiten eingesammelt und in eine Datenbank gepackt. Also im Grunde nichts anderes als das, was jeder SchülerVZ-Nutzer jederzeit tun kann. Mit einem entscheidenden Unterschied: Der nun zusammengestellte Datensatz umfasst 1,6 Millionen Profile, und er hätte noch viel größer werden können, erklärte der Autor des Sammelprogramms, der Student Florian Strankowski, im Gespräch mit SPIEGEL ONLINE: "Ich hätte den Crawler auch weiterlaufen lassen können, irgendwann wären dann auch die fünf Millionen voll gewesen. Aber ich dachte, 1,6 Millionen reichen ja auch."

Jeder einzelne dieser Datensätze enthält den Namen, die Kennung der Schule und das Profilbild des jeweiligen SchülerVZ-Nutzers. Bei Nutzern, die in ihren Profileinstellungen nicht die Option "privat" ausgewählt haben, sind auch noch alle weiteren vom Nutzer eingegebenen Informationen abrufbar - von Lieblingsbands und Hobbys über Gruppenzugehörigkeiten bis zur politischen Einstellung. Zur Verfügung gestellt haben die Daten aber die Profilinhaber selbst, mit oder ohne Zugriffsbeschränkungen für Fremde. Die durch den Crawler entstandene Datenbank könnte trotzdem für viele eine echte Fundgrube sein - von Vermarktern mit Interesse an punktgenauer Zielgruppenansprache bis hin zu Pädophilen mit dunkleren Absichten. Sie lässt sich nach "Mädchen aus der Grundschule nebenan" ebenso durchsuchen wie nach "Fans von Tokio Hotel".

Clemens Riedl, Geschäftsführer der VZ-Netzwerke, bedankte sich bei Strankowski, "dass er uns auf das Defizit aufmerksam gemacht hat". Entscheidend sei aber, "dass es sich hierbei weder um ein Datenleck noch einen Angriff auf unsere Server handelt, sondern vielmehr um einen Verstoß gegen unsere AGB". Der Kopierschutz von öffentlich zugänglichen Daten werde immer ein Katz-und-Maus-Spiel bleiben. Man habe aber Maßnahmen ergriffen und den Sicherheitsstandard auf diesen Aspekt hin optimiert.

"Datenschutz gerade bei Minderjährigen besonders wichtig"

Justizministerin Sabine Leutheusser-Schnarrenberger (FDP) hält nicht allzu viel von den Versicherungen der Betreiber, man tue alles, um die Datensicherheit zu gewährleisten: "Die VZ-Gruppe hat selbst das größte Interesse, auch wesentlich in die Sicherheit ihrer Netzwerke zu investieren. Die Verweise auf vermeintliche Einzelpannen müssen nun endlich der Vergangenheit angehören", sagte Leutheusser-Schnarrenberger SPIEGEL ONLINE.

Der Mann, der der VZ-Gruppe nun erneut so viel Ärger beschert hat, ist Student der Informatik an der Universität Lüneburg - die Software zum automatisierten Datensammeln war eine Seminararbeit. SchülerVZ habe er für sein Experiment ausgesucht, weil "gerade bei minderjährigen Nutzern der Datenschutz besonders wichtig ist", sagt Florian Strankowski. Natürlich habe er keine Sicherheitslücke im engeren Sinne entdeckt, erklärt er: Schließlich sammelt sein Crawler nur solche Daten ein, die auch angemeldete Nutzer des Netzwerks jederzeit einsehen können. Aber: "Die Schutzfunktionen funktionieren nicht so, wie sie sein sollten."

Auf unmittelbare Jobangebote aus der IT-Branche hofft der Student nun nicht, aber "so etwas macht sich natürlich gut im Lebenslauf". Etwa eineinhalb Monate habe er insgesamt in das Programm investiert, funktioniert habe der Crawler allerdings "schon nach etwa einer Woche".

Mit seiner Demonstration der Schwächen des VZ-Systems hat Strankowski mindestens gegen die Nutzungsbedingungen von SchülerVZ verstoßen, denn die verbieten eine solche automatisierte Abfrage. Deshalb habe er sich für die zunächst anonyme Veröffentlichung auf dem Blog Netzpolitik.org entschieden und sich erst nach der Reaktion der VZ-Netzwerk-Betreiber zu erkennen gegeben: "Netzpolitik wurde versichert, dass es keine rechtlichen Schritte gegen mich geben wird." Er selbst habe die Betreiber der VZ-Netzwerke in den vergangenen Wochen bereits zweimal auf die von ihm ausgenutzten Lücken hingewiesen, er habe jedoch keine Antwort erhalten. Nun - nach der Veröffentlichung - habe er Kontakt zu den Technikern der Gruppe, die sich nun für die Details seiner Software interessieren.

"Offenbar nur halbherzig geprüft"

Kritisch sieht Strankowski nicht zuletzt die Arbeit des TÜV Süd im Zusammenhang mit den VZ-Netzwerken. Der habe SchülerVZ, StudiVZ und MeinVZ ein Datenschutzsiegel erteilt, das Sicherheit vorgaukle, "dem ist aber offenbar nicht so". Wenn schon geprüft werde, "dann sollte ordentlich geprüft werden und nicht nur halbherzig", mahnt der Student. Der TÜV Süd hatte den VZ-Netzwerken "Funktionalität" und "Datensicherheit" bescheinigt.

Ein Sprecher des TÜV Süd sieht auch durch Strankowskis Veröffentlichung keinen Grund, dieses Prüfsiegel zurückzuziehen. Es handele sich "nach unserem Verständnis nicht um eine Sicherheitslücke", sagte TÜV-Sprecher Thomas Oberst SPIEGEL ONLINE. Strankowski habe "es nur geschafft, frei zugängliche Daten zu kopieren", man könne das umgekehrt auch so interpretieren, dass "er an die geschützten Daten offenbar nicht herangekommen ist".

SchülerVZ-Sprecher Dirk Hensen bewertet das ähnlich: "Ein Nutzer hat für alle SchülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert. Es handelt sich explizit nicht um ein Datenleck." Das sei "in etwa vergleichbar mit dem Kopieren von Daten aus dem Telefonbuch". Bisher liegt SchülerVZ nur ein sehr kleiner Auszug der Daten vor. Aus diesen Daten gehe "nicht hervor, dass es sich um private Nutzerdaten handelt".

Klar ist: Ohne die Mithilfe all der Social-Network-Nutzer, die bereit- und freiwillig Daten über sich selbst in ihre Profilseiten eintragen, sind derartige Datensammlungen nicht möglich. Justizministerin Sabine Leutheusser-Schnarrenberger (FDP) sagte SPIEGEL ONLINE: "Ich kann nur allen Schülern raten, möglichst wenig Daten wie den Wohnort online zu stellen." Die Stiftung Warentest habe ja "erst im März auf Probleme bei der Datensicherheit der VZ-Netzwerke hingewiesen und nur die Note 'ausreichend' vergeben".

Quelle: Mögliche Sicherheitslücke: 1,6 Millionen Daten bei SchülerVZ abgegriffen - SPIEGEL ONLINE - Nachrichten - Netzwelt