Wenn der Blogger Markus Beckedahl auf Netzpolitik.org über das Teenager-Netzwerk SchülerVZ schreibt, bedeutet das für die Verantwortlichen des Portals meist nichts Gutes: Im vergangenen Herbst meldete sich der Berliner zu Wort, als ihm zwei Datensätze mit zahlreichen Nutzerprofilen zugespielt worden waren, die massive Lücken beim Datenschutz der Mitglieder von SchülerVZ belegten.
SchülerVZ-Startseite: Hinweise zu Sicherheitsproblem ignoriert
(Foto: Screenshot: schuelervz.de)Nun hat Beckedahl nach eigenen Angaben Kenntnis von einem "neuen Datenleck" bei SchülerVZ erhalten. Ihm seien 1,6 Millionen aktuelle Datensätze mit Informationen über dort aktive Schüler zugeschickt worden, schrieb er in seinem Blog.
Hinter der Aktion steht kein Krimineller, sondern offenbar der Lüneburger Student Florian Strankowski. "Die Motivation bestand darin, nach den zig Interviews und Statements von VZ zu zeigen, dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen", sagte er Netzpolitik.org.
Automatisch ausgelesen
Ähnlich wie die Angreifer im vergangenen Herbst griff Strankowski dabei auf einen Crawler zurück. Dabei handelt es sich um ein Programm, das automatisch Webseiten durchsucht und bestimmte Daten ausliest.
In diesem Fall war der Student mit falschen Profilen verschiedenen Interessengruppen beigetreten: Als Mitglied hat man Einblick in die Basisdaten von anderen Mitgliedern. Dazu gehören Name, Schule, Kennung der Schule und Link zum Bild, bei Profilen mit laxen Datenschutzeinstellungen seien auch weitere Informationen wie Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus, politische Einstellung oder Lieblingsfächer vom Crawler erfasst worden.
Eigentlich wollte SchülerVZ automatisierte Profilabrufe verhindern, indem es die Anzahl der Profilabfragen pro Nutzer begrenzte - allerdings umging Strankowskis Programm die getroffenen Maßnahmen, indem es die Anfragen von 800 unterschiedlichen Profilen gleichzeitig startete.
In einer Stellungnahme erklärte die VZ-Gruppe, die auch die Portale StudiVZ und MeinVZ betreibt, dass es sich ersten Untersuchungen zufolge bei den Daten nicht um private Daten handele. Ein Nutzer habe "für alle SchülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert", hieß es.
Doch auch das Durchsuchen mit Hilfe von Crawlern kann schwerwiegende Folgen haben, da die dort gefundenen Daten nach Stichworten durchsucht werden und zur Profilierung genutzt werden können, argumentiert Beckedahl. "Daten von minderjährigen Schülern sollten daher besonderen Schutz genießen und gegen massenhaftes maschinelles Auslesen gesichert sein", fordert er.
Hinweise blieben unbeachtet
Nach den Vorfällen im Oktober, bei denen die VZ-Gruppe auch erpresst worden war, hatten sich die Netzwerke durch den TÜV zertifizieren lassen - allerdings wies die Stiftung Warentest jüngst darauf hin, dass wichtige Sicherheitsaspekte vom TÜV nicht geprüft wurden. Die VZ-Netzwerke hatten in einem Datenschutz-Test der Stiftung Warentest gute Noten erhalten.
Die Verantwortlichen der VZ-Netzwerke dankten dem Hobby-Crawler Strankowski in ihrem Blogeintrag für den Hinweis und erklärten, Maßnahmen gegen automatisierte Suchabfragen ergriffen zu haben. "Der Kopierschutz von öffentlich zugänglichen Daten wird immer ein Katz-und-Maus-Spiel bleiben", lässt sich VZ-Netzwerke-Chef Clemens Riedl zitieren.
Das Katz-und-Maus-Spiel hätte offenbar allerdings auch ohne Teilnahme der Öffentlichkeit stattfinden können: Nach eigenen Angaben hatte Strankowski die VZ-Gruppe in den vergangenen Wochen zweimal per E-Mail auf die Lücke im System hingewiesen. Eine Antwort habe er nicht erhalten.
