Nach dem Datenklau bei SchülerVZ ist gegen einen 20 Jahre alten Mann Haftbefehl wegen versuchter Erpressung erlassen worden. Wie ein Polizeisprecher am Abend sagte, handelt es sich um einen 20-jährigen Mann aus Erlangen. Er sei in den Räumen der VZ-Netzwerke, dem Betreiber von SchülerVZ und StudiVZ, festgenommen worden.
Gegen den Mann werde wegen des Ausspähens von Daten und versuchter Erpressung ermittelt, erklärte ein Sprecher der Berliner Staatsanwaltschaft. Der 20-Jährige soll versucht haben, die Daten zu verkaufen.
Nach dem großangelegten Datenmissbrauch beim Teenager-Portal SchülerVZ stehen soziale Netzwerke inzwischen einmal mehr im Blickpunkt der Öffentlichkeit: So warnt der Bundesdatenschutzbeauftragte Peter Schaar davor, persönliche Daten ins Netz zu stellen. "Der Fall zeigt, dass man sich überlegen muss, wo man Daten preisgibt, speziell im Internet", sagte Schaar der Berliner Zeitung zufolge.
"Daten, die im Internet stehen und von einer großen Zahl von Menschen genutzt werden, können nur schwer gegen Missbrauch geschützt werden", betonte Schaar. Er verwies darauf, dass dies nicht der erste Fall von Datenmissbrauch sei.
Am Freitag war bekannt geworden, dass viele Tausend junge Nutzer von SchülerVZ Opfer eines großangelegten Datendiebstahls geworden sind. Ein inzwischen identifizierter Täter habe nicht nur illegal Daten aus einer Vielzahl zu Nutzerprofilen kopiert, sondern diese auch weiteren Personen zur Verfügung gestellt, "die er uns gegenüber zum jetzigen Zeitpunkt nicht nennen will", teilten die Betreiber des 5,5 Millionen Nutzer starken Netzwerks mit.
Kein Datenleck, sondern Datenkopie
"Wir haben es mit hochkriminellen Leuten zu tun", sagte Geschäftsführer Markus Berger de León. Nach seinen Worten stellte der Hacker die kopierten Daten in einem geschlossenen, passwortgeschützten Internetforum zum Download bereit - insgesamt siebzehn Nutzer hätten diese dort heruntergeladen.
Außerdem habe es mindestens einen zweiten Hacker gegeben, der Sicherheitsabfragen geknackt und automatisiert Daten kopiert habe.
SchülerVZ betonte, es handele sich nicht um ein Datenleck. Vielmehr seien solche Daten kopiert worden, die ohnehin von allen registrierten SchülerVZ-Nutzern einsehbar gewesen seien. Nicht betroffen von der Kopieraktion seien speziell geschützte Daten wie Postadressen, E-Mail-Adressen, Telefonnummern, Fotoalben und Zugangsdaten. Zu keinem Zeit habe der Täter Zugang zu Datenbanken gehabt.
VZ-Sprecher Dirk Hensen erklärte, der Datenkopierer habe automatische Leseverfahren - sogenannte Crawler - eingesetzt, um aus dem Netzwerk öffentlich sichtbare Nutzerdaten zu kopieren. Das Kopieren der Daten sei illegal "und gleichzeitig ein schwerer Verstoß gegen unsere AGB". Man wolle die Abwehrmaßnahmen gegen automatische Leseverfahren verstärken.
Neben Schaar warnt auch der Branchenverband Bitkom vor allzu sorglosem Umgang mit Daten im Internet. Beim Datenschutz von Kindern und Jugendlichen in Online-Netzwerken müsse ein Höchstmaß an Sicherheit gewährleistet sein. "Das muss allerhöchste Priorität genießen", sagte Bitkom-Hauptgeschäftsführer Bernhard Rohleder der Berliner Zeitung. Eltern sollten mit ihren Kindern über Datenschutz sprechen.
Gezielte Suche nach Minderjährigen möglich
Am Freitagabend war zunächst bekanntgeworden, dass ein Täter Schülerdaten - darunter Angaben zu Namen, Schulen, Geschlecht und Alter sowie Profilfotos - kopiert hatte. Zudem wurde dem Blog netzpolitik.org ein Satz mit rund einer Million Nutzerdaten von SchülerVZ zugespielt, wie der Betreiber sagte. Aus diesen Daten könne man Schüler über bestimmte Merkmale herausfiltern und Anfragen erstellen wie "alle Schülerinnern im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule", heißt es auf der Seite.
Dazu sagte der Sprecher der VZ-Netzwerke, der anonyme Versender dieser Datensätze sei nicht der tatsächliche Verursacher, sondern ein Trittbrettfahrer, der Zugang zu den Daten des eigentlichen Täters gehabt habe.
SchülerVZ ging eigenen Angaben zufolge umgehend gegen den Missbrauch vor. Man habe die Datenschutzbehörden informiert und werde rechtliche Schritte einleiten. Außerdem sei man dabei, die Personen ausfindig zu machen, an die Datensätze weitergegeben worden seien, um sie über die juristischen Konsequenzen aufzuklären "und dafür zu sorgen, dass die illegal kopierten Nutzerdaten gelöscht werden".