Es ist verständlich, dass viele Unternehmen bei Skandalen dem Versuch erliegen, der Öffentlichkeit so viel wie möglich vorzuenthalten. Die Sorge um das eigene Image bestimmt dann das Handeln. In einigen Fällen geht diese Taktik auf - im Fall der VZ-Netzwerke macht sie vieles nur schlimmer. Häppchenweise dringen erneut Informationen über das wirkliche Ausmaß des
Datendiebstahls bei SchülerVZ an die Öffentlichkeit. Der Verbraucherzentrale Bundesverband (vzbv) erhielt fast 120.000 Datensätze aus dem
sozialen Netzwerk, deren Inhalte aus eigentlich geschützten Bereichen stammen und nicht öffentlich zugänglich sein sollten. Neben Geburtsdaten und dem Geschlecht seien auch Angaben zur politischen Einstellung sowie die individuelle SchülerVZ-ID ausgelesen worden. SchülerVZ beteuerte in einer ersten Stellungnahme, die entsprechende Sicherheitslücke sei bereits im Juli geschlossen worden.
Ein dritter Informant mit Daten
Absender der brisanten Sammlung ist der Betreiber des Blogs netzpolitik.org, Markus Beckedahl, der sie nach eigener Aussage von einem Informanten zugespielt bekam. Die Daten sollen beweisen, dass die Sicherheitsprobleme bei SchülerVZ doch größer waren, als bisher durch das Unternehmen zugegeben. Bislang behaupteten die Betreiber der VZ-Netzwerke stets, private Daten seien nur für Freunde sichtbar und vor unbefugtem Zugriff geschützt. Der vzbv übergab die Datensätze sowie das Programm, mit dem die Sicherheitslücke ausgenutzt wurde, nach Prüfung am Mittwoch an den Berliner Datenschutzbeauftragten Alexander Dix.
"Weitere private Daten waren problemlos auslesbar"
Nach Angaben von Beckedahl waren die kopierten Daten nur die Spitze des Eisberges - weitere private Angaben hätten sich problemlos sammeln lassen. Zudem seien die Sicherheitslücken bei allen VZ-Netzwerken identisch gewesen. Der nicht näher bezeichnete Informant habe allerdings ein Interesse daran gehabt, diese aufzudecken und sich daher nur auf bestimmte Daten konzentriert. "Es war aber problemlos möglich, dazu noch von allen Schülern Schule, Wohnort, Beziehungsstatus, Foto und weitere Informationen zu ermitteln", so Beckedahl auf seinem Blog. Auch war das Auslesen offenbar einfacher als gedacht. "Möglich war das Identifizieren des Geburtsdatums über die Suchfunktion. Man musste nur ein Programm schreiben, was massenhaft Suchanfragen erzeugt und dann die Ergebnisse einer Nutzer-ID zuordnet und zusammenrechnet", schrieb Beckedahl zur Methodik.
Der vzbv forderte alle Anbieter sozialer Netzwerke unterdessen auf, mehr für die Sicherheit ihrer Nutzer zu tun. "Statt zu versprechen, dass ihre Daten gut aufgehoben sind, müssen die Anbieter die technisch höchste Sicherheit bieten - wenn nötig auch zu Lasten des Nutzerkomforts", sagte vzbv-Vorstand Gerd Billen. Potentielle Risiken müssten klar benannt werden. Der vzbv bietet dafür unter
www.surfer-haben-rechte.de weitere Informationen zu Sozialen Netzwerken und Datenschutz.
Update:
Die VZ-Netzwerke haben inzwischen ausführlicher zu den Sicherheitsproblemen Stellung genommen und Fehler eingeräumt. VZ-Pressesprecher Dirk Hensen teilte mit, die fraglichen Daten seien mittlerweile intern überprüft worden. Es handele sich dabei um einen älteren Datensatz mit Informationen zu Geburtsdaten und Geschlecht. Die Sicherheitslücke sei zudem bereits Ende Juli 2009 behoben worden. Warum erst jetzt Informationen darüber an die Öffentlichkeit drangen, sagte der Pressesprecher nicht.
Hensen kündigte allerdings weitere Maßnahmen an. So sei bei einer internen Prüfung festgestellt worden, dass die Einstellmöglichkeiten bezüglich der Suchbarkeit nach Geburtsdaten missverstanden werden könnten. "Diese missverständlichen Einstellmöglichkeiten werden wir im Laufe des Tages beheben. Zusätzlich werden wir auch die Suche nach Geburtsdatum und Alter komplett deaktivieren", sagte Hensen. In den nächsten 24 Stunden sollen auch alle Nutzer-IDs erneuert werden. Temporäre Einschränkungen für die Nutzer seien daher zu erwarten, so Hensen.
Meldung empfehlen
News
