Hacker greift 1,6 Millionen Daten von SchülerVZ ab

Eine Schuelerin oeffnet am Mittwoch, 28. Oktober 2009, in Frankfurt am Main, Hessen, die Seite des Netzwerks Schueler VZ. Beim Internet-Netzwerk SchuelerVZ hat es offenbar eine neue Panne gegeben. Dem Verbraucherzentrale Bundesverband (vzbv) sind mehr 100.000 Datensaetze aus der Online-Plattform zugespielt worden, wie der Verband am Mittwoch in Berlin meldete. Enthalten sind demnach auch sensible personenbezogene Daten auch solcher Teilnehmer, die ihre Daten nur fuer Freunde sichtbar eingestellt haben. (AP Photo/Michael Probst) ---A girl opens the pupil's website of "Schueler VZ" in Frankfurt, central Germany, Wednesday, Oct. 28, 2009. (AP Photo/Michael Probst) © AP | AP

Ein Computerexperte hat Infos über Hobbys und politische Einstellung minderjähriger Schüler kopiert. Unternehmen: Kein Datenleck.

Berlin. Das Online-Netzwerk SchülerVZ hat offenbar erneut mit einer Sicherheitslücke zu kämpfen: Ein Computerexperte griff laut einem Bericht der Internetseite Netzpolitik.org vom Dienstag 1,6 Millionen Datensätze von überwiegend minderjährigen Schülern ab. Die VZ-Netzwerke hoben allerdings hervor, es handele sich „explizit nicht um ein Datenleck“.

Bei sozialen Netzwerken wie SchülerVZ können Nutzer ein eigenes Profil anlegen und sich mit Freunden und Bekannten vernetzen. Auch können sie auf den Internetportalen etwa Fotos, Videos oder persönliche Informationen veröffentlichen. Laut Netzpolitik.org enthalten die nun aufgetauchten SchülerVZ-Datensätze Basisinformationen der Nutzer wie Name, Schule und einen Link zu dem Bild des Angemeldeten. Viele der Schüler hätten jedoch bei ihrem Profil nicht die Option „privat“ eingestellt – in diesem Fall seien auch Angaben wie Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus, politische Einstellung sowie Angaben zu Lieblingsfächern, -büchern und -bands abgegriffen worden.

Dazu erklärte das Unternehmen, aus der SchülerVZ vorliegenden Stichprobe aus den abgegriffenen Daten gehe „nicht hervor, dass es sich um private Nutzerdaten handelt“. Im aktuellen Fall wurden die Daten erlangt, indem über eine Vielzahl von angelegten Zugangskonten die Obergrenze für erlaubte Datenabfragen umgangen wurde und dann eine automatisierte Massenabfrage die Schüler-Profile abgegrast hat. Dem Unternehmen zufolge handelte es sich um ein sogenanntes „Crawling“, das in etwa vergleichbar sei mit dem Kopieren von Daten aus dem Telefonbuch.

Der für die Aktion verantwortliche Computerexperte gab gegenüber Netzpolitik.org an, er habe zeigen wollen, dass SchülerVZ weder seinen Datenschutz verbessert habe, noch positive Bewertungen des Netzwerks in dieser Hinsicht berechtigt seien.

Der Chef der VZ-Netzwerke, Clemens Riedl , zeigte sich dem Urheber der Aktion gegenüber „dankbar, dass er uns auf das Defizit aufmerksam gemacht hat“. „Entscheidend ist, dass es sich hierbei weder um ein Datenleck noch um einen Angriff auf unsere Server handelt, sondern vielmehr um einen Verstoß gegen unsere AGB.“ Der Kopierschutz von öffentlich zugänglichen Daten werde „immer ein Katz-und-Maus-Spiel bleiben, deshalb sind wir für jeden Hinweis unserer Nutzer dankbar“. Weiter erklärte das Unternehmen: „Wir haben Maßnahmen ergriffen und den Sicherheitsstandard auf diesen Aspekt hin, das maschinelle Auslesen von Daten- über mehrere hunderte beziehungsweise tausende Accounts, optimiert.“

Kritik am Verhalten der VZ-Netzwerke übte allerdings der Bundesverband der Verbraucherzentralen (vzbv). „Da wird offenbar nach wie vor nicht genügend für die Datensicherheit getan“, sagte der Referent des vzbv-Projekts „Verbraucherrecht in der digitalen Welt“, Falk Lüke, in Berlin der Nachrichtenagentur AFP. „Wir gehen allerdings davon aus, dass SchülerVZ nicht die einzige Plattform ist, bei der eine solche Attacke möglich ist.“

In der Vergangenheit war SchülerVZ wiederholt in die Kritik von Daten- und Verbraucherschützern geraten, weil Daten aus dem Netzwerk in Umlauf gekommen waren. Im März hatte SchülerVZ jedoch bei einer Bewertung der Stiftung Warentest eine gute Note für den Datenschutz erhalten.