Frederik (Name geändert) hat bekommen, was er wollte. Mit der Maus klickt er sich am Schreibtisch durch seine Beute. Auf dem Monitor ploppen zuerst Zahlen auf, schwarz auf grau. Eine 9, eine 7, eine 5. Dann rattern endlose Reihen von weiteren Ziffern und Buchstaben über den Bildschirm. "Das hier", erklärt der junge Mann "sind codierte Daten aus Studi- und SchülerVZ-Profilen."
Im künstlichen Licht des Bildschirms verwandeln sich die Zeichen in Bilder, in Angaben zu Alter, Name, Wohnort, Schule oder Uni, Hobbys. Informationen, die jeder sehen könnte, der sich in die VZ-Netzwerke einloggt. Doch Frederik ist nicht eingeloggt. Was der 26-Jährige gerade abruft, kommt von seiner Festplatte. Er hat die Profildaten zuerst massenweise mit einem selbst geschriebenen Programm, einem so genannten Crawler, kopiert und dann gespeichert. Der Crawler grast die Profile über Freundes- oder Gruppenlisten ab. Hat er einen Nutzer erwischt, hatte er gleichzeitig dessen Freunde dabei. Und die Freunde der Freunde. Und die Freunde der Freunde der Freunde. Mit dieser Methode ergatterte Frederik die Informationen von über einer Million Mitglieder. "Schwierig wird es nur, wenn einer keiner Freunde hat. Dann ist er wie eine Insel und ich erwische ihn nicht."
Die VZ-Netzwerke, zu denen neben SchülerVZ auch StudiVZ und MeinVZ gehören, sind seit 2007 Teil der Verlagsgruppe Holtzbrinck ("Die Zeit"). Das massenhafte Kopieren von Daten aus sozialen Plattformen ist nicht neu. Aber es ist nicht erlaubt, weil die Informationen verkauft und missbraucht werden können. Neben den Allgemeinen Geschäftsbedingungen verbieten es auch die Datenschutzvorschriften.
In den letzten Wochen kamen drei Fälle von Datenmissbrauch an die Öffentlichkeit. Die erste Person wandte sich mit einem aus SchülerVZ kopierten Datensatz (Größe 1,6 Millionen) anonym an Markus Beckedahl. Er ist Betreiber von netzpolitik.org., einer politische Plattform, die sich nach eigenen Angaben "für Freiheit und Offenheit im digitalen Zeitalter" einsetzt.
Der zweite war Matthias L., jener junge Mann aus Erlangen, der sich am 31. Oktober in der Jugendstrafanstalt Plötzensee erhängt hat. Ihm war Erpressung und Ausspähen von Daten vorgeworfen worden.
Zuletzt ein dritter Anonymus, der Beckedahl 118.000 Berliner SchülerVZ-Profile übergab. "Er hatte es sogar geschafft an die Geburtsdaten zu gelangen, die nur für Freunde sichtbar waren", weiß der Netzpolitik-Administrator. Als Schlupfloch diente dem Hacker eine mittlerweile geschlossene Lücke in der internen Suchfunktion, der "Super-Suche".
Und nun Frederik. Frederik, der ebenfalls anonym bleiben möchte. Insgesamt einen Tag, so berichtet er, habe er für die Programmierung seines Crawlers gebraucht. "Schon in der ersten Nacht kopierte der 80.000 Profile." Frederik, ein junger Mann in Jeans und T-Shirt. Ein Student, für den Programmieren nur ein Hobby neben vielen anderen ist. Als Hacker möchte er nicht bezeichnet werden. "So gut bin ich doch gar nicht", wehrt er ab.
Ist es wirklich so einfach die Profildaten zu kopieren? Laut Netzpolitik-Betreiber Markus Beckedahl hätte sich "jeder 15-Jährige der sich ein paar Monate damit beschäftigt", die Daten aneignen können. "Besonders schwierig war es nicht", sagt auch Frederik. Die Herausforderung seien nur die so genannten Captchas gewesen. Captchas fordern den Nutzer nach dem Besuch mehrerer Profilseiten auf, per Hand Zahlen- Buchstabenkombinationen einzugeben. So soll sichergestellt werden, dass ein Mensch am Monitor sitzt - kein Programm, kein Crawler. Frederiks Crawler hat dem VZ-Netzwerk erfolgreich vorgemacht, ein Mensch zu sein.
"Ich muss zugeben, dass ich dabei Hilfe hatte", sagt der junge Mann. Die Funktion in seinem Programm, die die Captchas austrickst, hat er gar nicht selbst programmiert. Den so genannten Cracker fand er im Internet. Als so genanntes Open Source Projekt. Open Source, das bedeutet zum einen nicht-kommerziell, also gratis. Zum anderen: für jeden verfügbar. Für jeden auffindbar, der imstande war, die Worte "SchülerVZ" und "Captchas" bei google einzutippen. "Diese Skripte gab es noch bis vor kurzem zuhauf online", bestätigt Markus Beckedahl. Sogar explizit auf Schüler- und StudiVZ zugeschnitten, inklusive Anleitungen.
Das heißt im Klartext, dass es noch bis vor einem Monat für jeden, der die Grundkenntnisse des Programmierens beherrscht, möglich war, an die Profildaten aller VZ-Nutzer zu gelangen. Problemlos. Es ist deshalb davon auszugehen, dass weit mehr Menschen im Besitz der Daten sind, als bisher angenommen.
Den Open Source-Cracker, den Frederik nutzte, stammt von Benjamin L. (Name geändert) "Mich hat es genervt, dass die Benutzer verarscht wurden", sagt der 20-Jährige über seine Intention, mit der er sich auf nicht-legale Pfade begeben hat. Nachdem die ersten StudiVZ-Pannen 2006 ans Licht kamen, wurde das Captcha-System eingeführt. Mit den Worten "zum Schutz ihrer Daten" warben die Betreiber dafür. "Was aber Blödsinn ist, da man es leicht umgehen kann", sagt L. Er hat es bewiesen:18 Monate lang stand sein Programm zum Download bereit, dessen neuste Version laut Projektstatistik 56 Downloads zählte.
Wie oft der Cracker zum Umgehen der Captchas tatsächlich benutzt oder gar weitergegeben wurde, lässt sich nicht zurückverfolgen. "Aber", wirft der 20-jährige ein, "solche Programme gibt es zuhauf. Und 99 Prozent sind besser als meines." Eine Mitschuld an den massenweise kopierten Datensätzen empfindet L. nicht. "Wenn jemand Böses mit dem Programm anstellt, ist das nicht mein Problem." Benjamin L. hielt es nicht für nötig, sich an das Netzwerk zu wenden, um es auf die veralteten Captchas hinzuweisen. "Sie wussten das, ich bin mir sicher. Sie können das einfach nicht nicht gewusst haben."
Was ist eigentlich so schlimm an den kopierten Profilen, könnte man fragen. Immerhin sind nur die Informationen betroffen, die für angemeldete Personen ohnehin sichtbar sind. "Es ist eine Sache, ob jemand per Hand ein paar Profile kopiert - oder ob sie automatisch millionenfach ausgelesen werden", sagt Beckedahl. Gerade Marktforscher dürften die Vorlieben von Schülern und Studenten interessieren. Mehrere Male, so behauptet Freizeithacker Benjamin L, sei ihm per E-Mail Geld angeboten worden. "Ich sollte ein Programm entwickeln, das Daten ausliest und den Benutzern Werbung unterschiebt."
Viele Studenten fürchten zudem, dass potenzielle Arbeitgeber ihre Fotos auf MySpace, Facebook oder StudiVZ entdecken könnten. Die Alkoholleiche in der hinteren Ecke der Party beeindruckt vielleicht die virtuellen Freunde - den Personaler jedoch sicher nicht.
Dass mit diesen Informationen gezielt nach Personengruppen, wie zum Beispiel alle Schüler im Alter von 13 Jahren einer benachbarten Schule, gesucht werden könne, davor warnt Beckedahl. "Was ist, wenn sich ein Pädophiler dort anmeldet?", fragt er sich. Gerade bei Daten Minderjähriger sei es deshalb die Pflicht des Betreibers, aktiv nach Sicherheitslücken zu fahnden und sie zu schließen. Eine Pflicht, der die VZ-Netzwerke nicht nachgekommen seien.
Ist das Unternehmen nur eine schlimme Ausnahme, ein schwarzes Schaf unter den sozialen Plattformen? Bei weitem nicht. Es scheint gar zum guten Ton der Branche zu gehören, es mit dem Daten ihrer Mitglieder nicht allzu ernst zu nehmen: "Das Geschäftsmodell sozialer Netzbetreiber ist immens gefährlich", sagt padeluun, Netzaktivist und Vorstandsmitglied des Datenschutzvereins FoeBuD. Es würden derart viele Informationen über Einzelpersonen angesammelt, dass fast eine Art gläserner Bürger entstehe. "Auch wenn du dein Profil auf privat stellst - der Betreiber weiß alles über dich."
Durch dieses Wissen könnten Nutzer gezielt kommerziell und politische manipuliert werden. Für padeluun heißen die sozialen Netzwerke deshalb nicht Kommunikations- sondern Datensammelplattformen.
Nicht ohne Grund mahnte die Verbraucherzentrale jüngst sechs soziale Netzwerke, darunter Xing, Facebook, Myspace, Studi- und SchülerVZ, ab, da sie Daten ohne Zustimmung der Nutzer "weit über den eigentlichen Zweck hinaus" verarbeitet und genutzt hätten. Im November unterzeichneten die Betreiber Unterlassungserklärungen. Ab Januar 2010 sollen die Informationen registrierter Mitglieder besser geschützt werden. "Fragt sich nur: vor wem?", so padeluun.
Von der FR mit ihren Recherchen konfrontiert, sagte VZ-Sprecher Dirk Hensen, es seien "explizit keine Daten betroffen, die durch die Privatsphäre-Einstellung geschützt wurden." Kopiert worden seien lediglich Profilinformationen, die für alle registrierten Nutzer einsehbar waren. Auf die Crawler-Angriffe haben die VZ-Netzwerke jetzt reagiert. Man habe sämtliche Sicherheitslücken geschlossen, sagte Hensen.
Ein neues, optimiertes Captcha-System ist seit kurzem in Betrieb. Frederik hat sofort versucht, es zu umgehen. Ohne Erfolg. Zufrieden ist er dennoch nicht. "Die Betreiber werden erst aktiv, wenn etwas passiert. Erst, wenn die Öffentlichkeit Druck macht." Ähnlich äußert sich Benjamin L.: "Komisch, dass sie nur eine Woche für diese neue Funktion gebraucht haben. Aber die Jahre davor wurde nichts getan." Diese Kritik kommt auch von den Verbraucherzentralen.
Die Profilkopien im großen Stil sind aktuell nicht mehr möglich. "Aber es ist eine Frage der Zeit, bis Hacker auch diese Sicherung umgehen", so Internet-Experte Beckedahl. Frederik zumindest hat nicht vor, seine Sammlung in Marktforscher- oder Personalerhände zu legen. "Das war ein Spaß-Projekt, ich wollte nur schauen, ob es funktioniert." Bei ihm hat es funktioniert. Bei anderen vermutlich auch.
Eva Marie Stegmann
Frankfurter Rundschau Online, Frankfurt, 01. Dezember 2009
Original: http://www.fr-online.de/in_und_ausland/wissen_und_bildung/aktuell/2115238_Internetplattformen-Unter-Beobachtung.html