Erneut muss sich das Berliner Online-Netzwerk SchülerVZ um eine Sicherheitslücke kümmern. Ein Student hat Daten von rund 1,6 Millionen Mitgliedern der Plattform ausgelesen und gesammelt. Er wollte damit auf Sicherheitsprobleme aufmerksam machen – und einen Leistungsnachweis für die Uni erbringen.

Der Student Florian Strankowski hat rund 1,6 Million Daten aus dem sozialen Teenie-Netzwerk SchülerVZ abgegriffen. Dabei handelt es sich um Daten, die frei verfügbar sind und von den Schülern nicht explizit gesperrt wurden.

Mit einem sogenannten Crawler hat er die Informationen der Minderjährigen massenhaft ausgelesen. Die Ergebnisse präsentierte er auch der Firma. Die Verantwortlichen wiegeln ab: "Aus diesen Daten geht nicht hervor, dass es sich um private Nutzerdaten handelt.“ Die Methode, das Crawling, sei, so die Erklärung, vergleichbar mit dem Kopieren von Daten aus dem Telefonbuch.

Der Student hält dagegen. "Die Daten der Nutzer waren nie sicher und sind derzeit nicht sicher vor Crawlern“, sagte Strankowski dem Online-Portal Netzpolitik.org , dem er das Datenpaket ebenfalls übermittelt hatte. "Das Problem betrifft alle Netzwerke von VZ – denn alle basieren auf dem gleichen Code.“ Dem Firmenchef der VZ-Netzwerke, Clemens Riedl, ist jedoch wichtig, "dass es sich hierbei weder um ein Datenleck noch um einen Angriff auf unsere Server handelt“.

Bereits im vergangenen Herbst hatte SchülerVZ einen Vorfall von Datenklau zu beklagen. Ein Hacker hatte eine Sicherheitslücke genutzt, um einen Datensatz mit mehr als eine Million Einträgen zu entwenden – mit Namen, Alter und Fotos der Schüler und der dazugehörigen Schule.

Daraufhin traf SchülerVZ zahlreiche Maßnahmen und startete die Kampagne "Mein Daten gehören mir“, um Schüler die Bedeutung von Datenschutz vor Augen zu führen.

Als Lohn erhielten die VZ-Netzwerke im Januar vom TÜV-Süd als erste Community das "Prüfzeichen für Datensicherheit und Funktionalität“. Überprüft wurde unter anderem der Umgang mit personenbezogenen Daten und deren Sicherheit gegen unbefugte Zugriffe. Damals hieß es von TÜV-Sprecher Wolf-Rüdiger Heidemann: "Wir sind zu dem Ergebnis gekommen, dass SchülerVZ, StudiVZ und MeinVZ die Anforderungen erfüllen.“

Dem wollte Student Florian Strankoski Lügen strafen: "Auch wollte ich aufzeigen, dass der TÜV in diesem Fall ein Zertifikat ausgestellt hat, das zwar schön aussieht, aber im Endeffekt etwas bestätigt, was so nicht der Fall ist“, sagte er.

Den hier angewendeten Crawler programmierte er für einen Leistungsschein an seiner Universität. "Ich wage es kaum auszusprechen, aber wenn Millionen Daten von Minderjährigen in die falschen Hände geraten, kann schnell mal etwas passieren“, sagte Strankoskwi gegenüber Netzpoltik.org. "Und später will keiner die Schuld haben, auch nicht der TÜV.“

SchülerVZ, das nach eigenen Angaben mit rund 5,8 Millionen Nutzern Europas größtes Online-Netzwerk für Schüler ist, hat nach eigenen Angaben bereits reagiert: "Wir haben Maßnahmen ergriffen und den Sicherheitsstandard auf diesen Aspekt hin, das maschinelle Auslesen von Daten- über mehrere Hunderte bzw. Tausende Accounts, optimiert.“