Schüler VZ: Datendieb wollte 80.000 Euro erpressen

Berlin -  Zuvor hatte er Daten von über einer Million jugendlichen Nutzern kopiert und illegal weitergegeben. Nun sitzt der offenbar kriminelle Computerfreak aus Erlangen in Berlin in U-Haft

„Der Kern des Vorwurfs gegen den Mann ist derzeit nicht die datenschutzrechtliche Frage, sondern der Erpressungsversuch“, sagte Sprecher der Berliner Staatsanwaltschaft, Martin Steltner, am Dienstag. Der Verdächtige sei der Polizei bereits aus anderen Zusammenhängen bekannt und habe die Tatvorwürfe auch eingeräumt.

Zunächst 20 000 Euro, insgesamt sogar 80 000 Euro hat der Mann laut Staatsanwaltschaft vom SchülerVZ-Betreiber, den VZ-Netzwerken (VZnet), gefordert. Sonst würden die kopierten Daten nach Osteuropa geschafft. VZnet wollte sich am Sonntagabend in seinen Firmenräumen in Pankow mit dem Mann treffen, um die Daten zurückzuerlangen und zu löschen. Die Betreiber hatten am Freitag über den Blog Netzpolitik.org von der Datenklauaktion erfahren. Es stellte sich heraus, dass der 20-Jährige auch Daten von StudiVZ- und MeinVZ-Teilnehmern gesammelt, aber nicht veröffentlicht hatte. Bei dem Treffen forderte der Mann Geld – und VZnet rief die Polizei.

„Der Tatverdächtige ist kein VZ-Mitarbeiter, auch kein Freelancer“, betonte ein Unternehmenssprecher. VZnet bedankte sich ausdrücklich beim Gründer des Blogs Netzpolitik.org, Markus Beckedahl, dem die Daten zugespielt worden waren und der VZnet darüber informiert hatte. Wie Beckedahl in seinem Blog schreibt, ist die Sicherheit der VZ-Netzwerke noch ausbaufähig: „Es sollte zukünftig verhindert werden, dass in solchen Größenmengen Profile automatisiert ausgelesen werden können.“ Bereits im Jahr 2006 sind laut Netzeinträgen StudiVZ-Daten mit ähnlichen Methoden ausgelesen worden.

Auch der Berliner Datenschutzbeauftragte Alexander Dix forderte das Unternehmen auf, seine Sicherheitsvorkehrungen weiter zu verbessern. „Seit einem Hackerangriff im Jahr 2006 weisen wir den Betreiber auf gewisse Sicherheitsmängel hin.“ Einige seien bereits behoben worden. Zusätzlich sollten die Nutzer etwa ermutigt werden, Spitznamen zu wählen.

Bei der VZ-Gruppe gab es zunächst keine Angaben zu künftigen Sicherheitsverbesserungen. „Alle Schutzmaßnahmen zur Privatsphäre haben gegriffen und wurden explizit nicht geknackt“, heißt es im VZnet-Blog. Gesammelt wurden in der Tat nur Daten, die im Netzwerk allgemein zugänglich sind. Auf die Spur des Verdächtigen führte dessen Eitelkeit: Die Daten, die Netzpolitik.org zugespielt worden waren, stammten nicht direkt von ihm. Eine andere Person hatte wohl auf die Sicherheitslücke aufmerksam machen wollen – unklar ist, ob sie über eine Hackerplattform Zugriff auf die Daten des 20-Jährigen hatte oder selbst „recherchierte“. Der Erlanger hatte sich laut RBB-„Abendschau“ in einem Internetforum mit seiner Tat gebrüstet. dpa