Ein Student greift mit selbst geschriebenen Programmen mühelos 1,6 Millionen Datensätze beim sozialen Netzwerk SchülerVZ ab. Das vom vom TÜV verliehene Zertifikat für Datensicherheit scheint nicht viel wert zu sein.

Das soziale Netzwerk SchülerVZ schmückt sich seit Januar mit dem TÜV-Zertifikat für Datensicherheit. Dafür hat der TÜV Süd unter anderem untersucht, ob persönliche Informationen vor unbefugten Zugriffen geschützt sind. "Das Zertifikat bestätigt etwas, was nicht der Fall ist", sagt Florian Strankowski von der Lüneburger Leuphana-Universität. "Die Daten der Nutzer sind nicht sicher."

Der Student hat so genannte "Crawler" geschrieben, Programme, die selbstständig Daten einsammeln. Indem er sich immer wieder selbst zur Teilnahme einlud, gelang es Strankowski, 800 SchülerVZ-Konten zu erstellen, mit denen seine Crawler Profildaten abriefen.

Ein Crawler nutzte aus, dass private, also "unsichtbare" Profile in SchülerVZ-Gruppen teilweise doch zu sehen sind. Dazu gehören Basisinformationen wie Name, Schule und Schul-ID-Nummer. Ein zweiter Crawler graste danach Profile über Freundeslisten ab. 1,6 Millionen Datensätze sammelte Strankowski  auf diese Weise, die er dann dem Blog Netzpolitik.org zuspielte. Theoretisch wäre so ein Daten-Fischzug bei allen Netzwerken der VZ-Gruppe möglich gewesen.

SchülerVZ ignoriert E-Mails

Strankowski sah sich zu dem Schritt gezwungen, nachdem er zuvor zwei E-Mails an SchülerVZ geschickt hatte, in denen er auf das Sicherheitsproblem aufmerksam machte und seine Hilfe anbot. "Auf beide habe ich keine Antwort bekommen", sagt er. "Die Motivation bestand darin, nach den zig Interviews und Statements seitens VZ zu zeigen, dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen."

Besorgniserregend ist aber auch, dass laut Netzpolitik viele der minderjährigen Netzwerker ihre Profile gar nicht auf "privat" gestellt haben. Sie gaben damit den Crawlern Informationen wie Alter, Geschlecht, Hobbys, Vorlieben oder Beziehungsstatus preis. Dafür ist nicht SchülerVZ verantwortlich, hier sollten eventuell Schulen und Eltern über die Risiken aufklären.

Ungenügende Sicherheitsmaßnahmen

Netzpolitik.org hatte bereits im vergangenen Herbst Datenlecks bei SchülerVZ aufgedeckt, worauf die VZ-Gruppe versucht hat, mit verschiedenen Maßnahmen für mehr Sicherheit zu sorgen. Zum einen wurden so genannte Captchas eingeführt. Dabei handelt es sich üblicherweise um verzerrte Buchstaben- und Zahlenkombinationen auf einem gemusterten Hintergrund. Nutzer müssen diese Kombination in ein Feld eingeben, bevor sie eine Aktion ausführen können. Programme (Crawlern) können diese Kombinationen nicht lesen. Die VZ-Gruppe hat die Captchas aber nach kurzer Zeit wieder abgeschafft.

Eine zweite Sicherheitsmaßnahme war es, die Anzahl der Profilaufrufe zu begrenzen. Wie Strankowski mit seinen 800 Accounts gezeigt hat, ist diese Hürde einfach zu überwinden.

In einer ersten Stellungnahme teilte SchülerVZ mit, eine Stichprobe der 1,6 Millionen Datensätze habe nicht ergeben, dass es sich um private Nutzerdaten handele. Strankowski und Netzpolitik geben an, alle gesammelten Daten vernichtet zu haben.