![Portrait Jörg Schieb zwischen Computerelementen; Rechte:
WDR/schieb[M]bhm](/joergschieb/images/blogbanner.jpg)
WDR.deComputerJörg SchiebSchülerVZ: Datenklau kein Kunststück
Juli 2010
Schon wieder also eine Datenpanne, diesmal bei SchülerVZ. Es waren keine Hackerkünste nötig, um rund eine Million Datensätze aus dem sozialen Netzwerk zu kopieren, sondern nur eine gute Idee und ein paar flink geschriebene Programmzeilen. So einfach kann das gehen.
Da kommt es schon etwas merkwürdig rüber, wenn SchülerVZ 
behauptet, es habe kein Datenleck gegeben und es wären nur Daten kopiert worden, die ohnehin öffentlich zugänglich sind.
Es waren nur persönliche Daten, die da geklaut und öffentlich angeboten wurden; Name, Vorname, Geschlecht, Alter, besuchte Schule und Profilbilder sind persönlich genug. Einfach so auf Knopfdruck alle Schülerinnen im Alter von 16 aus Bielefeld auskundschaften zu können oder alle männlichen Schüler mit türkischem Nachnamen in Duisburg, das würde ich schon als ernsthaftes Datenleck bezeichnen.
Zwar handelt es sich um kein Sicherheitsleck im technischen Sinne, also nicht um einen Programmierfehler und auch nicht um eine ungestopfte Sicherheitslücke. Wohl aber um einen systemischen Fehler. Denn wenn als einzige Hürde zum massenweisen Auslesen von Schülerprofilen ein sogenannter Captcha-Code genutzt wird, der offensichtlich ohne weiteres von einem OCR-Programm (Texterkennung) gelesen werden kann, ist das sehr wohl eine Datenleck.
Die Fakten werden hier runtergespielt. Eigentlich sollten Web-2.0-Unternehmen wie die VZ-Gruppe besser als alle andere wissen: Das funktioniert heute nicht (mehr). Es ist klüger, den Fehler zuzugeben und das Problem so schnell wie möglich zu beseitigen. Darauf hinzuweisen, dass der Datenklau gegen die AGB verstößt, ist regelrecht lächerlich.
Anbieter sozialer Netzwerke müssen sich ständig ihrer Verantwortung bewusst sein und diese ernst nehmen. Wenn mal was schief läuft, was in einer sich derart rasant verändernden Welt schnell passieren kann, sollte man umgehend handeln und nachbessern. Beschwichtigen ist jedenfalls nicht die richtige Reaktion.
Der aktuelle Blog-Eintrag als Podcast
Zugang zu solchen Daten sollte nur derjenige haben, der - wie bei Facebook - als Freund akzeptiert wurde. Da liegt der Datenhund bei Schüler- und StudiVZ begraben...
George Orwell am 19.10.09 13:36
@ George Orwell - man kann bei SchülerVZ einstellen, dass Nutzer, die man nicht als Freund akzeptiert hat, nur Zugriff auf Profilfoto, Vornamen und Schule haben. Nur leider nutzen einige User diese Funktion nicht.
Yannik Kaisowski am 20.10.09 17:23
Bertelsmann als Hauptanteilseigner der ganzen VZe weiß doch genau, was sie und was sie dort nicht machen. Schließlich hatten sie vor Jahren den Laden übernommen, als die erste große Panne (das Auslesen von Profilen von außerhalb) bekannt wurde und diese Panne wurde ebenso heruntergespielt und mit "Sicherheits"-Placebos überklebt wie heute.
Solange das Geschäftsmodell der SocialNetworks weiter nur darin besteht, möglichst viele Accounts zwecks Werbeeinnahmen mit möglichst wenig Aufwand zu generieren, ist der Sicherheitsaspekt für die Betreiber nur eine lästige Randerscheinung, da er mit den genannten Zielen unvereinbar ist.
vaikl am 20.10.09 18:19
Es liegt meiner Meinung nach tatsächlich ein systemischer Fehler vor: Wenn Erwachsene ihre persönlichen Daten freizügig ins Netz stellen, kann man noch sagen: "Selber schuld. Die Daten sind öffentlich, also darf man sich nicht wundern, dass sie öffentlich genutzt werden". Bei Kindern liegt die Sache ganz anders: Meiner Ansicht dürfen Kinder ihre Daten garnicht ohne Einwilligung der Erziehungsberechtigten in Netz stellen. Können Betroffene auf Schadensersatz gegen SchülerVZ klagen? Kann dazu jemand eine rechtliche Antwort geben?
Christian am 21.10.09 10:44
@Christian
Rechtlich ist ein Nutzungsvertrag zwischen Minderjährigen und SchülerVZ solange ungültig, wie die Erziehungsberechtigten keine ausdrückliche Einwilligung dazu gegeben haben.
Es gilt zwar das Prinzip, dass auch Minderjährige Verträge schließen dürfen, solange sie daraus nur Vorteile erlangen können, aber wenn Datenmissbrauch vorliegt und SchülerVZ sich dann auf seine AGB berufen will, ist das rechtlich nicht haltbar. Auch darf sich SchülerVZ nicht darauf berufen, dass jeder minderjährige Schüler ganz bestimmt seine Eltern informiert oder um Erlaubnis gefragt hat - Jamba ist mit dieser Argumentation ja schon kräftig auf die Fresse geknallt;-)
Die ganzen SocialNetworks sind sich dieser Unwirksamkeit ihrer Zugangsbestimmungen sehr wohl bewusst, aber hoffen, dass "ein paar strittige Einzelfälle" in der Masse ihrer Accounts betriebswirtschaftlich keine Rolle spielen werden.
vaikl am 21.10.09 12:20
Ach so, Thema Schadensersatz: Das spielt nur dann eine Rolle, wenn ein Vertrag auch wirklich rechtlich gültig zustande gekommen ist, trifft also auf die meisten Fälle hier nicht zu.
Insofern sind Eltern keinesfalls von ihrer Pflicht befreit, zu wissen, was ihre Sprößlinge so alles im Netz treiben.
vaikl am 21.10.09 12:27
Schadenersatz?
Wo ist hier der _materielle_ Schaden?
Den müsste erst mal einer Nachweisen.
Kein Schadenersatz am 24.10.09 10:38
Zum Anfang dieses Eintrags
Zum SeitenanfangPermanente URL dieser Seite: http://wdrblog.de/joergschieb/archives/2009/10/schon_wieder_al.html
Der WDR ist nicht für Inhalte fremder Seiten verantwortlich, die über einen Link erreicht werden.