Press  »  Erpressungsversuch. Der SchülerVZ-Dieb und die Daten der Kinder.

Clauß, Ulrich. Erpressungsversuch. Der SchülerVZ-Dieb und die Daten der Kinder. Die Welt. October 20, 2009.

Erpressungsversuch. Der SchülerVZ-Dieb und die Daten der Kinder.

Der SchülerVZ-Datendieb ist gefasst, doch der Fall schlägt weiter Wellen. Die Profile von mehr als einer Million Schülern sind offenbar noch immer im Umlauf. Experten fürchten die Weitergabe an Pädophile oder „Cybermobber". Zudem wirft der Fall auch ein Licht auf unsere Gesellschaft.

Es ist der erste, aber auch gleich recht voluminöse Fall von Datenklau in der erst zweijährigen Geschichte von SchülerVZ (Umsatz 2008: 10,5 Millionen Euro, 5,5 Millionen Nutzer). Das Online-Netzwerk für Schüler ab zwölf Jahre war am Freitag Opfer einer Erpressung geworden. Ein mittlerweile inhaftierter 20-jähriger Computerfreak aus Erlangen hatte Millionen von Nutzerdaten aus dem Netzwerk abgezogen und anschließend versucht, bis zu 80.000 Euro für die Nichtweitergabe der Daten von der Geschäftsleitung zu erpressen. Anderenfalls drohte er mit der Weitergabe der Daten „nach Osteuropa“, wie die Staatsanwaltschaft mitteilte.

„Wir versuchen noch genau herauszufinden, was geschehen ist. Die Sicherheitsmaßnahmen wurden umgehend verschärft“, sagte Schüler-VZ-Unternehmenssprecher Dirk Hensen im Gespräch mit dieser Zeitung. „Fest steht, dass es sich bei dem Inhaftierten nicht um einen Mitarbeiter unserer Firma handelt, auch nicht um einen freien Mitarbeiter“, so Hensen weiter.

Wie Hensen bestätigte, benutzte der 20-jährige Erlanger für seine Datensammelei einen selbst geschriebenen „Crawler“. Dabei handelt es sich um ein kleines Softwareprogramm, das sich in diesem Fall mit den normalen Logindaten des mutmaßlichen Täters in SchülerVZ einloggte und die angezeigten Daten einsammelte.

VZ hatte selbst Kontakt mit dem 20-Jährigen aufgenommen. „Diese Kontakte dienten dem Ziel, die Daten schnellstmöglich zu sichern beziehungsweise zu löschen.“ Die Übergabe der Daten „sollte am Sonntagabend in unserem Büro erfolgen“. Dabei kam es zu einem Erpressungsversuch, „in dessen Folge wir die Polizei riefen“, heißt es in einer Erklärung auf der Internetseite des Unternehmens.

Für die Strafverfolgungsbehörden geht es dabei nicht in erster Linie um eine Verletzung des Datenschutzes. „Der Kern des Vorwurfs gegen den Mann ist derzeit nicht die datenschutzrechtliche Frage, sondern der Erpressungsversuch“, so war von der Berliner Staatsanwaltschaft gestern zu hören. Der 20-Jährige sei bereits in anderem Zusammenhängen auffällig geworden, und was den Vorwurf der Erpressung angehe, sei er geständig.

Dieser jüngste Fall von Verletzung der Datenintegrität eines sozialen Netzwerkes hat zu einer breiten Diskussion über die Datensicherheit in solchen Netzwerken und die Gefährdung Jugendlicher durch Datenschutzverletzungen in einschlägigen Internetforen geführt. So zitiert das Online-Portal datensicherheit.de einen Mitarbeiter der hannoverschen Datenschutzfirma Praemandatum, Diplomingenieur Peter Lepelt, für den „Pädophile“ und „Cybermobber“ als Interessenten für gestohlene Datensätze aus sozialen Netzwerken infrage kommen. Häufig weiteten sich Konflikte im Internet auch auf die Welt außerhalb des Netzes aus – das könne bis zu mit Farbe beworfenen Häuserwänden oder körperlicher Bedrohung reichen.

In diesem Zusammenhang wird auf eine repräsentative Studie der Universitäten Hamburg und Salzburg aus diesem Jahr verwiesen, derzufolge 28 Prozent aller Jugendlichen und jungen Erwachsenen im Alter von zwölf bis 24 Jahren bereits mindestens einmal im Internet belästigt worden seien. Der Fall werfe ein Schlaglicht auf zwei Probleme, heißt es dort weiter: mangelhafte Sicherheitssysteme bei sozialen Netzwerken und eine besonders bei Jugendlichen und Kindern verbreitete Freigebigkeit mit Daten.

Gegen diese beide Vorwürfe wehrt sich Dirk Hensen von SchülerVZ vehement: „Ich kann den Eindruck mangelnden Datenschutzbewusstseins bei Jugendlichen nicht bestätigen“, sagt er. Auch wenn für Eltern und Lehrer nur schwer nachvollziehbar sei, was die Jugendlichen in den sozialen Netzwerken treiben, seien entsprechende Vorbehalte pauschal keinesfalls angemessen. Natürlich sei 100-prozentige Sicherheit nicht möglich, und das sei den Jugendlichen in den allermeisten Fällen auch bewusst. SchülerVZ biete den Jugendlichen als bestmöglichen Schutz beim Erstellen eines Kommunikationsprofils bei SchülerVZ im Internet eine sehr restriktive Einstellung an, was die Veröffentlichung ihrer Profildaten angehe. Dennoch kommt dieser Datenklau für Experten nicht überraschend. Das Thema Datenschutz in Netzwerken explodiere derzeit vor allem, weil sich die Gesellschaft dramatisch zu einer „Entblößungsgesellschaft“ wandle, sagte gestern der Informatiker an der Fachhochschule Kaiserslautern, Hendrik Speck. Viele Nutzer im Teenageralter verlegten ihr soziales Umfeld mehr und mehr ins Internet, seien aber viel zu nachlässig bei der Frage, welche Daten sie preisgeben.

In dem öffentlich zugänglichen Diskussionsforum von SchülerVZ schlagen seit dem Wochenende die Wellen hoch. Auffallend sind eine zum Teile hohe technische Kompetenz der Diskussionsteilnehmer und eine durchweg hohe Sensibilität für Datenschutzfragen, was die Einschätzung von SchülerVZ-Unternehmenssprecher Hensen, das Datenschutzbewusstsein Jugendlicher betreffend, zu bestätigen scheint. Im vielstimmigen Chor der Reaktionen auf SchülerVZ klingt zudem vielfach Anerkennung für die Art und Weise durch, wie das Unternehmen mit dem Fall umgegangen ist – Beispiel: „Ein User“ resümiert: „Bisher wurde das Ganze transparent von euch durchgezogen, Respekt, bitte bleibt dabei!“

Die VZ-Netzwerke betreiben die Portale SchülerVZ, StudiVZ und MeinVZ. Nach Angaben der Firma sind dort insgesamt über 15 Millionen Mitglieder aktiv. Jeden Tag werden mehr als eine Million Fotos hochgeladen und neun Millionen Nachrichten an Freunde, Kollegen und Bekannte versendet. Der Verdächtige soll nicht nur illegal Daten aus vielen Nutzerprofilen kopiert, sondern diese auch anderen zur Verfügung gestellt haben. Nach Firmenangaben stellte der Hacker die kopierten Daten in einem geschlossenen, passwortgeschützten Internetforum zum Download bereit – insgesamt 17 Nutzer hätten diese dort heruntergeladen, hieß es.

Contact

Professor Hendrik Speck. 2007.

Prof. Hendrik Speck
University of Applied Sciences Kaiserslautern
Department of Computer Sciences
Amerikastrasse 1
66482 Zweibrücken
Germany

Office: Building O, Room O 017

E-Mail: Hendrik.Speck  (at) hs-kl (dot) de
Phone: +49 631 3724 5360

Call Prof. Hendrik Speck with Sykpe Chat with Prof. Hendrik Speck

See Xing Profile of Prof. Hendrik Speck See Projects and Programs of Prof. Hendrik Speck

* Click here to View larger map.