| Datenkrimi bei SchülerVZ mit "guten" und "bösen" Hackern | |
| "Entblößungsgesellschaft" schafft Daten-Probleme |
Der Verdächtige habe von dem Netzwerk-Betreiber mehr als 20.000 Euro für die Rückgabe gefordert. Es soll gedroht haben, die kopierten SchülerVZ-Daten nach Osteuropa zu verkaufen und sei deswegen verhaftet worden, bestätigte die Berliner Staatsanwaltschaft am Dienstag. Doch der Datenkrimi um das Online-Schülernetzwerk ist damit nicht gelöst. Der 20jährige scheint nämlich nicht der einzige Mensch gewesen zu sein, der sich mit Sicherheitslücken bei den VZ-Netzen intensiv beschäftigt hat.
Ans Licht der Öffentlichkeit gebracht wurde der Datenklau bei SchülerVZ von einem anderen Hacker, der sich an den Blogger Markus Beckedahl wandte. "Diese Person war extrem frustriert, weil der Betreiber von SchülerVZ auf diese Sicherheitslücken mehrfach hingewiesen worden war, die Mahnungen aber irgendwie nicht richtig angekommen sind", sagt Beckedahl.
Der mutmaßliche Erpresser sei mit seinem Informanten nicht identisch. "Der in Berlin verhaftete Tatverdächtige gehört wohl in die Kategorie der Script-Kiddies. Das sind Leute, die sich im Netz ein paar Skripte zusammensuchen, um irgendwo einzubrechen und dann mit ihren Hacks prahlen - ohne wirklich technisch Ahnung zu haben."
Für die These von Beckedahl vom profilsüchtigen "Script-Kiddie" spricht auch das Verhalten des Tatverdächtigen: Der hatte sich bereits am 22. Mai 2009 auf YouTube damit gebrüstet, mit einem sogenannten Crawler massenhaft Daten aus den VZNetzen kopiert zu haben. "In nur 4 Stunden Crawlen hat der Bot bereits ÜBER 48.000 Profile besucht", schrieb er zu einem Video, das den "Bot" (also das Kopierprogramm) bei der Arbeit zeigt.
Die meisten Schwachstellen, die der Hacker ausgenutzt habe, seien nicht neu, sagte Professor Hendrik Speck von der Fachhochschule Kaiserslautern. "Neu ist, dass jemand mit den Daten versucht hat zu schachern." Ein Großteil der Probleme bei den VZ-Netzwerken geht nach Ansicht von Speck auf ein "Fehlverhalten der alten Geschäftsleitung zurück", die sich zu wenig um Sicherheitsfragen gekümmert habe. "Inzwischen sind die Schutzmaßnahmen in SchülerVZ mit die besten, die wir im Datenschutzbereich haben." Aber auch sie seien noch bearbeitungswürdig, sagte der Experte für Soziale Netzwerke.
Für Andy Müller-Maguhn vom Chaos Computer Club (CCC) spielt es bei der Bewertung des Falls eine entscheidende Rolle, ob der 20-Jährige wirklich versucht hat, aus seinem Hack illegal Kapital zu schlagen. "Wenn er tatsächlich versucht hat, den Laden zu erpressen, dann kann das durch keine Hacker-Ethik gerechtfertigt werden."
Die Grenze zwischen "bösem" und "gutem" Hack sei aber oft nicht ganz klar, meint Müller-Maguhn. So habe die VZNet-Gruppe vor zwei Jahren einen mit einem Preisgeld dotierten Sicherheitswettbewerb veranstaltet, bei dem sie selbst Hacker aufforderte, Sicherheitslücken in dem Netzwerk aufzuspüren. In anderen Fällen hätten gehackte Unternehmen mit unhaltbaren Beschuldigungen gegen die Hacker versucht, von ihren eigenen Sicherheitslücken abzulenken.
Bei VZnet arbeiten nun die Informatiker fieberhaft daran, die Hürden für ein massenhaftes Kopieren der Benutzerprofile viel höher zu setzen. "Details können wir dazu nicht sagen, denn wir wollen den Hackern keine Hinweise geben", sagte Firmensprecher Dirk Hensen.
