Sicherheit in sozialen Netzwerken: Leck im SchülerVZ

Die jüngste Datenpanne bei dem Online- Netzwerk SchülerVZ war gravierender als ursprünglich angenommen. Aus den Profilen der Netzwerk-Nutzer konnten bis vor zwei Monaten offenbar nicht nur öffentliche, sondern auch private Daten massenweise ausgelesen werden, berichtet das Blog Netzpolitik.org. Die Betreiber von SchülerVZ hatten das bislang wiederholt bestritten. Dem Blogger Markus Beckedahl waren nun erneut von einem Nutzer 118 000 Datensätze von Berliner Schülern zugespielt worden. Diese enthielten auch Angaben, die die Schüler als nicht öffentlich eingeordnet hatten. „Das belegt, dass es auch möglich war, private Daten auszulesen“, sagte Beckedahl.

Möglich war das Sammeln privater Daten durch die Kombination zweier unterschiedlicher Lücken im VZ. Erstens konnten, wie bereits in der vergangenen Woche bekannt wurde, Sicherheitseinstellungen überwunden werden, die vor dem automatischen Aufrufen von Profilen durch Computerprogramme schützen sollten. Zweitens gab es einen Fehler in der Suchfunktion. Der erlaubte es, durch massenhafte Versuche, etwa aus einer Kombination von Benutzer-ID und möglichen Geburtsdaten, die gewünschten Informationen angezeigt zu bekommen.

Markus Beckedahl gab die Daten an den Verbraucherzentralen-Bundesverband (VZBV) und den Berliner Datenschutzbeauftragten weiter, die die Daten überprüften. „Es ist nicht nachvollziehbar, warum die Systeme ohne Not nicht dem Stand der Technik entsprechen“, sagte Christian Fronczak, Sprecher der Verbraucherzentrale. Auch der Berliner Datenschutzbeauftragte zeigte sich besorgt. „Der Vorwurf hat nun eine völlig neue Qualität“, sagte Alexander Dix. Laut Markus Beckedahl will Dix überprüfen, ob Sanktionen eingeleitet werden müssen.

Dem Betreiber von SchülerVZ, der VZ-Netzwerke-Gruppe, war die Lücke in der Suche offenbar bekannt. In einer Stellungnahme verwies Sprecher Dirk Hensen darauf, dass das Problem bereits vor zwei Monaten behoben worden sei, und kündigte an, dass auch die Transparenz der Sicherheitseinstellungen beim Geburtsdatum verbessert werde. Die Suche nach Geburtsdatum und Alter werde komplett deaktiviert.

Netzpolitik.org hatte bereits vor rund zehn Tagen wie berichtet ein Datenleck bei SchülerVZ öffentlich gemacht, nachdem der Redaktion eine Datei mit 1,6 Millionen Datensätzen von SchülerVZ-Nutzern zugespielt worden war, die zunächst nur öffentlich zugängliche Daten enthielt. Im Zuge der Ermittlungen war ein 20-jähriger Berliner verhaftet worden, der versucht hatte, die Betreiber mit den Daten zu erpressen. dpa/as