Frankfurt. Ein Leck bei „SchülerVZ” erschüttert das Web: Mehr als 1,6 Million Profile von Minderjährigen sind ausgespäht worden. Das Pikante daran: Aus den Datensätzen lassen sich gezielt Nutzer mit bestimmten Merkmalen heraussuchen.
Das „SchülerVZ”-Netzwerk möchte eine sichere Diskussionsplattform für seine jugendlichen Nutzer sein. Dass es „keinen geschützten Raum im Internet gibt”, wie NRW-Innenminister Ingo Wolf (FDP) gegenüber der WAZ-Mediengruppe betonte, wurde am Wochenende klar. Weit mehr als eine Million Daten soll ein legal bei „SchülerVZ” registrierter Nutzer mit einem automatischen – verbotenen – Leseverfahren kopiert haben. Und er ist nicht der Einzige.
Das Brisante: Laut Markus Beckedahl, Betreiber der größten deutschen Datenschutzseite „Netzpolitik.org”, dem die Listen auch zugespielt wurden, enthalten sie Namen, Profil-ID und dazugehörige Schule. „Dieser Datensatz enthält etwa 1,6 Millionen Nutzer”, so Beckedahl. Am Samstag wurde dem Datenschützer, dessen Firma nach eigenen Angaben Gutachten unter anderem für den Bundestag und Greenpeace erstellt, ein weiterer, noch sensibelerer Datensatz zugespielt. „Dort waren zudem Alter, Geschlecht, Profil-Bilder und Hobbys der SchülerVZ-Nutzer gespeichert”, sagt Beckedahl. Wieviele der fünf Millionen „SchülerVZ”-Mitglieder insgesamt ausgespäht wurden, sei noch unklar. „Der 20-Jährige hat in einem Blog erklärt, er könne 48 000 Profile in vier Stunden herunterladen”, erklärt Beckedahl.
Das Fatale: Die Listen können sortiert nach Kriterien wie „alle 13-Jährigen aus Dortmund” oder noch konkreter „alle 12-jährigen Mädchen des Max-Planck-Gymnasiums in Gelsenkirchen” sortiert werden. Die Daten des 20-Jährigen sind offen im Web zugänglich. Markus Beckedahl: „Die scheinen nach wie vor unkontrolliert im Umlauf zu sein.”
Automatisierte Auslese von Daten verboten
Das alleine widerspricht den Sicherheitsstandards, die „SchülerVZ” so definiert: „Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom SchülerVZ auf.” Darüber hinaus ist die automatisierte Auslese von Daten bei „SchülerVZ”, wie auch bei den anderen Netzwerken der Holzbrinck-Gruppe, laut den AGB (Allgemeine Geschäftsbedingungen) verboten.
Das Ärgerliche: Vor einigen Jahren gab es bei „StudiVZ” eine ähnliche Panne. „Man hätte eigentlich denken können, die Betreiber hätten daraus gelernt”, sagt Beckedahl. Als Konsequenz hätten sie ein sogenanntes Capture eingebaut – ein Feld, wo Zahlen und Buchstaben eingetragen werden müssen – „dass jeder 15-Jährige mit geringen Programmierkenntnissen knacken kann”, so Beckedahl.
Ein „SchülerVZ”-Sprecher war am Sonntag übrigens nicht erreichbar. Im Internet-Blog des Portals versucht man das Problem herunterzuspielen. Man habe rechtliche Schritte eingeleitet, heißt es dort und: „Das ist quasi das Gleiche, als wenn jemand das Telefonbuch Seite für Seite durchblättert und digital erfasst.”
Datenschützer Beckedahl fordert als Konsequenz mehr Investitionen der VZ-Gruppe in die Sicherheit. NRW-Innenminister Ingo Wolf appelliert an die Nutzer: „Jeder sollte sensibel mit seinen eigenen Daten im Internet umgehen, sollte überlegen, ob das, was dort veröffentlicht wird, wirklich von jedem gesehen werden darf.”