Die Medien schreien nach den jüngsten Ereignissen wieder nach einem stärkeren Datenschutz und schieben den Netzwerkbetreibern mal wieder die große Schuld zu. – Dieser Artikel soll ein klein wenig Aufklärungsarbeit leisten und jedem Nutzer Tipps geben, wie man seine Daten einigermaßen schützen kann.
schuelerVZ: Opfer von Datenklau
Doch zunächst: Was ist eigentlich schon wieder passiert?
Am Nachmittag des 16.10.2009 meldet das “schuelerVZ“, dass bekannt geworden ist, dass ein registrierter Nutzer des Netzwerks eine große Menge von Profildaten mittels einem sog. Crawler ausgelesen hat und an unbefugte Dritte weitergegeben hat. Betroffen sind alle Daten, die auf den Profilen der Nutzer einsehbar sind: Profilbild, Name, Schule, Alter, Registrierungsdatum, Geschlecht, Instant-Messanger-Kontakte, Vorlieben, Lieblingssprüche, Pinnwand. Je nach Einstellungen des einzelnen Nutzers ist der Zugriff auf diese Daten allerdings einem bestimmten Personenkreis vorbehalten, sodass im besten Fall nur Profilbild, Name und Schule in die Hände des Datensammlers gelangen konnten. E-Mailadressen, Fotoalben und Zugangsdaten blieben unberührt!
Große Online- und Printmedien berichten (dank schlechter Recherche) davon, dass Daten wie Telefonnummer und Postadresse nicht vom Klau betroffen seien. – Können sie auch gar nicht, weil sie von der VZnet Netzwerke Ltd. (Betreiber des schuelerVZ) auch gar nicht erhoben werden!
Die Betreiber setzen sofort die Datenschutzbehörden in Kenntnis und ergreift Maßnahmen, die den Zugriff auf Profile weiter einschränken. Weiterhin wird Anzeige gegen “Unbekannt” beim LKA Berlin erstattet. – Die Nutzer des Netzwerkes werden mittels Nachricht in ihrem Account über die Problematik aufgeklärt.
Bisher geht man davon aus, dass es nur eine einzige Liste mit den geklauten Daten gibt, welche sich in den Händen von netzpolitik.org befindet.
Wenig später verkündet man jedoch: “Entegen unserer Annahme bzw. bisherigen Ermittlung gibt es noch weitere Kopien dieser Liste. Den eigentlichen Täter konnten wir aber inzwischen identifizieren und haben bereits mit ihm Kontakt aufgenommen.”
Den Nutzern wird das Prozedere des Datenspions mit einem Vergleich versucht zu erklären. Man könne sich das ganze in etwa so vorstellen, als wenn man ein Telefonbuch nehme und Seite für Seite Name und Telefonnummer abschreibe. – Der Vergleich ist zwar nicht ganz so glücklich, da ein Telefonbuch in der Regel nicht passwortgeschützt und nur mit Einladung eines anderen Nutzers eingesehen werden kann, beschreibt aber doch das angewandte Verfahren.
Inzwischen hat der Täter den Betreibern genaue Angaben darüber gemacht, wie er vorgegangen ist. Am gestrigen Sonntag, 18.10.2009, fand dann die Festnahme eines “dringend Tatverdächtigen” durch das LKA Berlin statt.
Wer nun im Besitz der besagten Listen ist, darüber lässt man die Öffentlichkeit und die Nutzer derzeit noch im Unklaren.
Klar ist jedoch: den Betreibern kann im Grunde kein Vorwurf gemacht werden. Der Datensammler hat keine Sicherheitslücke im System ausgenutzt. Er verfügte über einen korrekt registrierten Account im schuelerVZ, welchen er durch die Einladung eines anderen Nutzers legal einrichten konnte.
Dann begann er, die für jeden Nutzer zugänglichen Profile durchzusehen und die von ihm gewünschten Daten zu kopieren. Bereits hier verstieß er und nicht die VZnet Netzwerke Ltd. gegen die AGB und die Datenschutzbestimmungen. Mit dem Akt der Automatisierung, also dem Einsatz eines selbstgeschriebenen Crawlers, beschleunigte er die ganze Sache und ließ sich alle Daten in eine Datenbank schreiben. – Das ist die eine Sache.
Hätte er diese Daten jedoch nicht an Dritte weitergegeben, wäre sein schweres Vergehen wahrscheinlich gar nicht aufgeflogen. – Aber der Handel mit Daten ist heutzutage ein lukratives Geschäft, welches zigfach legal betrieben wird, solange die Daten mit dem Einverständnis der jeweiligen Personen erhoben wurden. Dies tat der Datensammler im schuelerVZ logischerweise nicht und machte sich somit auch noch des illegalen Datenhandels schuldig.
FAKT: Dieses Problem betrifft nicht nur das schuelerVZ, weshalb die Verurteilung, welche in manchen Medien betrieben wird, so auch nicht gerechtfertigt ist. Es ist ein Problem der ganzen Branche, welches beim schuelerVZ im größeren Stil nun publik geworden ist.
Die Reaktion der Betreiber und das Informationsmanagement ist auf jeden Fall vorbildlich!
Sind meine Daten im Internet überhaupt sicher?
Diese Frage muss ich mit einem deutlichen NEIN! beantworten, so leid mir das auch tut. Der Schutz dieser Daten, sei es im schuelerVZ, studiVZ, meinVZ, bei XING, bei facebook oder in sonst einem der unzähligen Social Networks, ist schlechtweg unmöglich.
Wie sonst soll die Suchfunktion in diesen Portalen funktionieren? Was für einen Sinn hätten dann die Profile, wenn nichts drin steht? – Der Sinn dieser Netzwerke besteht nun einmal darin, sich mit anderen Menschen über seine Persönlichkeit auszutauschen. Was und wie viel man preisgibt, bleibt dabei immer noch jedem selbst überlassen.
Doch nicht nur die Social Networks sind von diesem Problem betroffen. Man kann davon ausgehen, dass immer auf irgendeine Weise jemand an Daten kommt, die online eingegeben und gespeichert werden.
Es gibt zwar Mechanismen, die den Datenklau eindämmen und erschweren können, aber letztendlich ist jedes System umgehbar. Wer sich dessen bewusst ist, kann relativ sicher im Internet surfen, einkaufen und Social Networks nutzen.
Was sollte ich im Umgang mit Social Networks beachten?
- Vor der Anmeldung unbedingt AGB und Datenschutzbestimmungen des Netzwerks durchlesen! Von wem werden meine Daten gespeichert? Werden sie für Werbezwecke an Dritte weitergegeben? etc.
- Vorsicht bei der Abfrage von Telefonnummer und Anschrift! – Hier können Werbefallen lauern.
- Lieblingsspruch & Co. sind zwar schön und gut, können aber auch zum Verhängnis werden! Immer mehr Unternehmen wissen um die Verbreitung dieser Netzwerke und checken was ihre Bewerber dort so von sich geben –> die Fotos vom letzten Alkoholrausch oder derbe Sprüche im Profil kommen da nicht unbedingt gut rüber
- Veröffentliche nichts in deinem Profil, was du nicht auch anderen offen auf der Straße sagen würdest
- Sieh dir die Schutzmöglichkeiten an, die die Netzwerke anbieten.
- Gib dein Profil nur für Personen frei, die du kennst und denen du vertraust.
- Nimm Kontaktanfragen nicht von jedem “dahergesurften” User an. Social Networks sollen zwar Kontakte herstellen, aber du weißt nie wer wirklich hinter einem Profil steckt!
- Telefonnummer, Adresse und E-Mail haben in deinem öffentlichen Profil nichts zu suchen!
- Nutze auf keinen Fall externe Webseiten, die dir z.B. anbieten herauszufinden, wer dich auf seine Ignore-Liste gesetzt hat. – Hier handelt es sich in den allermeisten Fällen hintergründig um Dienste, die deine Zugangsdaten ausspähen wollen.
