News

SchülerVZ-Datenklau: "Script-Kiddie" am Werk

80.000 Euro forderte der festgenommene Erpresser des SchülerVZ-Netzwerks für die kopierten Daten. Dabei nutzte er offenbar nur bekannte Sicherheitslücken aus. Andere Hacker hatten schon früher auf die Schwachstellen hingewiesen - ohne Erfolg.

Internet© Gina Sanders / Fotolia.com
Zum Vorwurf des Datenklaus kommt jetzt auch noch versuchte Erpressung: Insgesamt 80.000 Euro wollte ein 20-jähriger Mann nach Justizangaben vom Internet-Netzwerk SchülerVZ erpressen. Zuvor hatte er Daten von über einer Million jugendlichen Nutzern kopiert und illegal weitergegeben. Nun sitzt der offenbar kriminelle Computerfreak aus Erlangen in Berlin in U-Haft.

80.000 Euro gefordert

"Der Kern des Vorwurfs gegen den Mann ist derzeit nicht die datenschutzrechtliche Frage, sondern der Erpressungsversuch", sagte Sprecher der Berliner Staatsanwaltschaft, Martin Steltner, am Dienstag. Der Festgenommene sei der Polizei bereits aus anderen Zusammenhängen bekannt und habe die Tatvorwürfe eingeräumt. "Der Tatverdächtige ist kein VZ-Mitarbeiter, auch kein Freelancer", betonte zudem ein Unternehmenssprecher der VZ-Netzwerke. Zunächst 20.000 Euro, insgesamt aber sogar 80.000 Euro hat der Mann laut Staatsanwaltschaft vom SchülerVZ-Betreiber, den VZnet-Netzwerken, am Sonntag bei einem Treffen in den Räumen des Unternehmens gefordert. Dabei stellte sich heraus, dass der 20-Jährige auch Daten von StudiVZ- und MeinVZ-Teilnehmern gesammelt, aber noch nicht veröffentlicht hatte. Seine Drohung: Die kopierten Daten würden nach Osteuropa verkauft.

Erpresser und Informant nicht identisch

Ans Licht der Öffentlichkeit gebracht wurde der Datenklau bei SchülerVZ allerdings von einem anderen Hacker, der sich an den Blogger Markus Beckedahl (netzpolitik.org) wandte. "Diese Person war extrem frustriert, weil der Betreiber von SchülerVZ auf diese Sicherheitslücken mehrfach hingewiesen worden war, die Mahnungen aber irgendwie nicht richtig angekommen sind", sagte Beckedahl.

Der mutmaßliche Erpresser sei mit seinem Informanten nicht identisch. "Der in Berlin verhaftete Tatverdächtige gehört wohl in die Kategorie der Script-Kiddies. Das sind Leute, die sich im Netz ein paar Skripte zusammensuchen, um irgendwo einzubrechen und dann mit ihren Hacks prahlen ohne wirklich technisch Ahnung zu haben."

Für die These von Beckedahl vom profilsüchtigen "Script-Kiddie" spricht auch das Verhalten des Tatverdächtigen: Der hatte sich bereits am 22. Mai 2009 auf YouTube damit gebrüstet, mit einem sogenannten Crawler massenhaft Daten aus den VZNetzen kopiert zu haben. "In nur 4 Stunden Crawlen hat der Bot bereits ÜBER 48000 Profile besucht", schrieb er zu einem Video, das den "Bot" - also das Kopierprogramm - bei der Arbeit zeigt.

SchülerVZ um Schutz bemüht

Wie Beckedahl dazu außerdem in seinem Blog schreibt, ist die Sicherheit der VZ-Netzwerke noch ausbaufähig: "Es sollte zukünftig verhindert werden, dass in solchen Größenmengen Profile automatisiert ausgelesen werden können." Die meisten Schwachstellen, die der Hacker ausgenutzt habe, seien nicht neu, sagte auch Prof. Hendrik Speck von der Fachhochschule Kaiserslautern. "Neu ist, dass jemand mit den Daten versucht hat zu schachern." Ein Großteil der Probleme bei den VZ-Netzwerken geht nach Ansicht von Speck aber auf ein "Fehlverhalten der alten Geschäftsleitung zurück", die sich zu wenig um Sicherheitsfragen gekümmert habe. "Inzwischen sind die Schutzmaßnahmen in SchülerVZ mit die besten, die wir im Datenschutzbereich haben." Aber auch sie seien noch bearbeitungswürdig, sagte der Experte für Soziale Netzwerke.

"Durch keine Hackerethik gerechtfertigt"

Für Andy Müller-Maguhn vom Chaos Computer Club (CCC) spielt es bei der Bewertung des Falls eine entscheidende Rolle, ob der 20-Jährige wirklich versucht hat, aus seinem Hack illegal Kapital zu schlagen. "Wenn er tatsächlich versucht hat, den Laden zu erpressen, dann kann das durch keine Hacker-Ethik gerechtfertigt werden." Der Berliner Datenschutzbeauftragte Alexander Dix forderte das Unternehmen auf, seine Sicherheitsvorkehrungen weiter zu verbessern. "Seit einem Hackerangriff im Jahr 2006 weisen wir den Betreiber auf gewisse Sicherheitsmängel hin."

Einige Mängel seien bereits behoben worden. Zusätzlich sollten jedoch die Nutzer ermutigt werden, Spitznamen zu wählen. Auch die automatischen Voreinstellungen sollten restriktiver und nicht - wie derzeit der Fall - gleich für eine große Nutzergemeinde geöffnet sein. Bei VZnet arbeiten nun die Informatiker fieberhaft daran, die Hürden für ein massenhaftes Kopieren der Benutzerprofile viel höher zu setzen. "Details können wir dazu nicht sagen, denn wir wollen den Hackern keine Hinweise geben", sagte Firmensprecher Dirk Hensen.

(Christian Wolf)

Quelle: DPA

Lesen Sie alles Wichtige von onlinekosten.de - auf Wunsch per WhatsApp direkt auf dem Handy. Whatsapp-Newsletter Wöchentlichen Newsletter
Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Weitere Infos zum Thema
Zum Seitenanfang