Der Verdächtige habe von dem Netzwerk-Betreiber mehr als 20.000 Euro für die Rückgabe gefordert. Es soll gedroht haben, die kopierten SchülerVZ-Daten nach Osteuropa zu verkaufen und sei deswegen verhaftet worden, bestätigte die Berliner Staatsanwaltschaft am Dienstag. Doch der Datenkrimi um das Online-Schülernetzwerk ist damit nicht gelöst. Der 20jährige scheint nämlich nicht der einzige Mensch gewesen zu sein, der sich mit Sicherheitslücken bei den VZ-Netzen intensiv beschäftigt hat.
Ans Licht der Öffentlichkeit gebracht wurde der Datenklau bei SchülerVZ von einem anderen Hacker, der sich an den Blogger Markus Beckedahl wandte. "Diese Person war extrem frustriert, weil der Betreiber von SchülerVZ auf diese Sicherheitslücken mehrfach hingewiesen worden war, die Mahnungen aber irgendwie nicht richtig angekommen sind", sagt Beckedahl.
Der mutmaßliche Erpresser sei mit seinem Informanten nicht identisch. "Der in Berlin verhaftete Tatverdächtige gehört wohl in die Kategorie der Script-Kiddies. Das sind Leute, die sich im Netz ein paar Skripte zusammensuchen, um irgendwo einzubrechen und dann mit ihren Hacks prahlen - ohne wirklich technisch Ahnung zu haben."
Für die These von Beckedahl vom profilsüchtigen "Script-Kiddie" spricht auch das Verhalten des Tatverdächtigen: Der hatte sich bereits am 22. Mai 2009 auf YouTube damit gebrüstet, mit einem sogenannten Crawler massenhaft Daten aus den VZNetzen kopiert zu haben. "In nur 4 Stunden Crawlen hat der Bot bereits ÜBER 48.000 Profile besucht", schrieb er zu einem Video, das den "Bot" (also das Kopierprogramm) bei der Arbeit zeigt.
Die meisten Schwachstellen, die der Hacker ausgenutzt habe, seien nicht neu, sagte Professor Hendrik Speck von der Fachhochschule Kaiserslautern. "Neu ist, dass jemand mit den Daten versucht hat zu schachern." Ein Großteil der Probleme bei den VZ-Netzwerken geht nach Ansicht von Speck auf ein "Fehlverhalten der alten Geschäftsleitung zurück", die sich zu wenig um Sicherheitsfragen gekümmert habe. "Inzwischen sind die Schutzmaßnahmen in SchülerVZ mit die besten, die wir im Datenschutzbereich haben." Aber auch sie seien noch bearbeitungswürdig, sagte der Experte für Soziale Netzwerke.
Für Andy Müller-Maguhn vom Chaos Computer Club (CCC) spielt es bei der Bewertung des Falls eine entscheidende Rolle, ob der 20-Jährige wirklich versucht hat, aus seinem Hack illegal Kapital zu schlagen. "Wenn er tatsächlich versucht hat, den Laden zu erpressen, dann kann das durch keine Hacker-Ethik gerechtfertigt werden."
Die Grenze zwischen "bösem" und "gutem" Hack sei aber oft nicht ganz klar, meint Müller-Maguhn. So habe die VZNet-Gruppe vor zwei Jahren einen mit einem Preisgeld dotierten Sicherheitswettbewerb veranstaltet, bei dem sie selbst Hacker aufforderte, Sicherheitslücken in dem Netzwerk aufzuspüren. In anderen Fällen hätten gehackte Unternehmen mit unhaltbaren Beschuldigungen gegen die Hacker versucht, von ihren eigenen Sicherheitslücken abzulenken.
Bei VZnet arbeiten nun die Informatiker fieberhaft daran, die Hürden für ein massenhaftes Kopieren der Benutzerprofile viel höher zu setzen. "Details können wir dazu nicht sagen, denn wir wollen den Hackern keine Hinweise geben", sagte Firmensprecher Dirk Hensen.
"Entblößungsgesellschaft" schafft Daten-Probleme
Der jüngste Datenklau beim Internet-Netzwerk SchülerVZ kommt für Experten nicht überraschend. Das Thema Datenschutz in Netzwerken explodiere derzeit vor allem, weil sich die Gesellschaft dramatisch zu einer "Entblößungsgesellschaft" wandle sagte der Informatiker und Professor an der Fachhochschule Kaiserslautern, Hendrik Speck. Viele Nutzer im Teenager-Alter verlegten ihr soziales Umfeld mehr und mehr ins Internet, seien aber viel zu nachlässig bei der Frage, welche Daten sie preisgeben.
Dabei befänden sich die genutzten Plattformen noch weitgehend in den Kinderschuhen. "Die Technologien sind im besten Flegelalter." Auch nach der Erfindung des Autos habe es erst nach vielen Jahren erste Verkehrsregeln gegeben, die ein verträgliches Miteinander geregelt hätten, sagte Speck.
Populäre Netzwerke wie die zur Holtzbrinck-Gruppe gehörenden SchülerVZ oder StudiVZ hätten heute "mehr Daten gesammelt als die Einwohnermeldeämter", sagte Speck. Ein großes Problem sei, dass die Daten zentral gespeichert werden und dass es inzwischen auch international viele Kriminelle gibt, die großes Interesse an solchen Beständen hätten. Auch Datenschutzverantwortliche hätten bei der Erkennung des dahinter stehenden Bedrohungspotenzials bislang "komplett versagt". "Unser Datenschutzrecht ist für solche Verhältnisse noch gar nicht eingerichtet", sagte Speck.
Bei den VZ-Netzwerken habe es in den vergangenen Jahren in Sachen Datenschutz massive Fehler gegeben, meinte Speck. "Der Großteil der Probleme geht meines Erachtens auf das Fehlverhalten der alten Geschäftsleitung zurück." Im Jahr 2006 sei zum Beispiel der komplette Datensatz schon einmal abgegriffen worden. Speck lobte allerdings die jüngsten Bemühungen der Betreiber. "Die Schutzmaßnahmen in SchülerVZ sind heute mit die besten, die wir im Datenschutzbereich haben." Es gebe allerdings noch weiteren erheblichen Verbesserungsbedarf.
Die zum Schutz vor dem Ausspähen genutzten Grafik-Bestandteile, sogenannte Captchas, waren von dem am Dienstag verhafteten 20-Jährigen problemlos ausgehebelt worden. Inzwischen gebe es deutlich bessere Verfahren, die nicht so einfach zu knacken seien, sagte Spick. "Je einfacher sie zu erkennen sind, umso einfacher sind sie auch zu knacken." (dpa/tc)