"Ich konnte auf jeden Fall sofort - ich musste nichts über Datenschutz lesen, ich konnte mich sofort anmelden, mir meine Seite herstellen, mit nem Profilfoto und meinen Hobbys und allem und konnte Fotos hochladen. Also, ich konnte sozusagen gleich loslegen und musste mir nicht erst irgendwas durchlesen."
Fünfzehn Jahre alt war Lotta vor zwei Jahren, als sie eins der heute mehr als fünfeinhalb Millionen SchülerVZ-Mitglieder wurde. Der unkomplizierte Zugang ist sicherlich ein entscheidender Faktor des heutigen Erfolgs der VZ-Gruppe, doch, wie am letzten Wochenende bekannt wurde, birgt die Einfachheit auch Risiken. Der Betreiber des Blogs "Netzpolitik.org", Markus Beckedahl erhielt eine Datei, mit detaillierten Angaben zu mindestens einer Million SchülerVZ-Nutzern. Angeblich hatte der anonyme Hacker vorher vergeblich versucht, die VZ-Betreiber auf das Datenleck aufmerksam zu machen:
"Als ich den Fall publiziert habe, mit diesen über eine Million Datensätzen, meldeten sich sofort verschiedene andere Personen bei mir, die auch auf Sicherheitslücken bei SchülerVZ hinwiesen, die mir auch teilweise kommunizierten, dass sie auch schon öfters versucht hatten, zu SchülerVZ Kontakt aufzunehmen, dass sie dort überhaupt nicht angehört wurden. Eine dieser Sicherheitslücken war eine sogenannte XSS-Lücke. Damit war es möglich, Profile zu übernehmen, von anderen Nutzern, also quasi Zugang zu deren Back-End zu bekommen und als eine andere Person in StudiVZ oder SchülerVZ navigieren zu können. Ich habe SchülerVZ sofort darauf hingewiesen, dass es diese Lücke gibt. Sie meinten, ihnen wäre darüber nichts bekannt. Ich hab ihnen dann erklärt, sie sollten doch genau in ihren E-Mails nachschauen. Sie haben dann nochmal eine Stunde gebraucht, um in ihren E-Mails nachzuschauen und haben dann festgestellt, dass eine Woche vorher dann tatsächlich so eine E-Mail eingegangen ist. Aber es hat sich anscheinend niemand darum gekümmert. Dieses Problem soll jetzt zwar behoben sein, aber hätte ich da nicht öffentlich Druck ausgeübt, wäre wahrscheinlich immer noch nichts passiert."
Die übersehene E-Mail will der Geschäftsführer der VZ-Gruppe, Markus Berger de Léon, gegenüber dem Deutschlandfunk nicht bestätigen, aber die sofortige Reaktion:
"Wir haben Netzpolitik kontaktiert und haben mit Netzpolitik dafür gesorgt, dass die Daten gelöscht werden und (mit dem), der uns darauf hinweist, wie er es gemacht hat, so dass wir bei uns Maßnahmen einbauen, um in Zukunft zu verhindern, dass dies nochmal passiert. Und die Tatsache, dass wir dann in Anführungsstrichen Freitagabend , gemeinsam mit Netzpolitik Erfolg vermeldet haben, hat wohl den dann auf den Plan gerufen, dass er gesagt hat: ‚Ätsch, ich kann das auch!’. Das hat er dann auch öffentlich in seinem Blog getan und wir haben dann daraufhin Kontakt mit ihm aufgenommen, um zu validieren, dass das, was er da behauptet, Bestand hat und wie er bisher damit umgegangen ist. Das hat sich dann entsprechend entwickelt."
Soweit, dass dieser mutmaßliche Erpresser in den Berliner Räumen der VZ-Gruppe ernst genommen werden konnte. Inzwischen schloss man dort noch weitere technische Sicherheitslücken:
"Berger de Léon: Über nicht alle kann ich öffentlich sprechen. Das eine ist: Wir haben das sogenannte Captcha-System verschärft. Das zweite ist, dass wir... wir beschreiben das mal als "Radarkontrollen", eingeführt haben. Das heißt, wenn es eine erhöhte Anzahl von Zugriffen gibt, dass wir dann erstmal diesen Nutzer, von dem gerade die Zugriffe kommen sperren für 24 Stunden."
Der Berliner Datenschutzbeauftragte Alexander Dix lobt einerseits, dass die VZ-Gruppe sofort an ihn herantrat, sieht andererseits aber seine grundsätzlich gehegten Befürchtungen bestätigt:
"Unsere dringende Empfehlung ist seit längerer Zeit schon gewesen, an die Betreiber, sicherzustellen, dass die Grundeinstellungen zunächst möglichst restriktiv sind, so dass der einzelne Schüler dann erst entscheidet, was er von seinen Daten, wem bekannt geben will. Das wäre eine Datenschutz-freundliche Gestaltung dieser Plattform. Zweite und dringende Empfehlung, die leider bisher auch noch nicht aufgegriffen worden ist: Man sollte zur Nutzung von Spitznamen ermutigen. Die SchülerVZ-Betreiber sagen gerne, Spitznamen sind uncool, man begegnet sich ja auch in der realen Welt mit richtigem Namen, also soll man auch auf der Plattform mit richtigen Namen agieren. Wir sagen: Dieser Fall macht ganz deutlich, dass es viel sinnvoller wäre, wenn man mit einem Spitznamen, einem Pseudonym auftritt. Dann wäre jetzt eine Liste mit einer Million Spitznamen im Umlauf. Die wäre wesentlich weniger sensibel, als die Klarnamen, die man jetzt exportiert hat."
Lotta, inzwischen 17 Jahre alt, will weiterhin unter ihren Klarnamen sichtbar bleiben, aber sie und ihre Freunde reagierten bereits am letzten Montag:
"Also spätestens, als es dann in der Zeitung war, mit diesem Skandal, da bin ich dann drauf aufmerksam geworden, aber vorher noch nicht. Ich hab meine Seite nur sichtbar für meine Freunde gemacht! Also, die anderen Menschen, die mich nicht kennen im Netz, sozusagen mit denen ich nicht vernetzt bin, die können meine Seite nicht sehen."
Fünfzehn Jahre alt war Lotta vor zwei Jahren, als sie eins der heute mehr als fünfeinhalb Millionen SchülerVZ-Mitglieder wurde. Der unkomplizierte Zugang ist sicherlich ein entscheidender Faktor des heutigen Erfolgs der VZ-Gruppe, doch, wie am letzten Wochenende bekannt wurde, birgt die Einfachheit auch Risiken. Der Betreiber des Blogs "Netzpolitik.org", Markus Beckedahl erhielt eine Datei, mit detaillierten Angaben zu mindestens einer Million SchülerVZ-Nutzern. Angeblich hatte der anonyme Hacker vorher vergeblich versucht, die VZ-Betreiber auf das Datenleck aufmerksam zu machen:
"Als ich den Fall publiziert habe, mit diesen über eine Million Datensätzen, meldeten sich sofort verschiedene andere Personen bei mir, die auch auf Sicherheitslücken bei SchülerVZ hinwiesen, die mir auch teilweise kommunizierten, dass sie auch schon öfters versucht hatten, zu SchülerVZ Kontakt aufzunehmen, dass sie dort überhaupt nicht angehört wurden. Eine dieser Sicherheitslücken war eine sogenannte XSS-Lücke. Damit war es möglich, Profile zu übernehmen, von anderen Nutzern, also quasi Zugang zu deren Back-End zu bekommen und als eine andere Person in StudiVZ oder SchülerVZ navigieren zu können. Ich habe SchülerVZ sofort darauf hingewiesen, dass es diese Lücke gibt. Sie meinten, ihnen wäre darüber nichts bekannt. Ich hab ihnen dann erklärt, sie sollten doch genau in ihren E-Mails nachschauen. Sie haben dann nochmal eine Stunde gebraucht, um in ihren E-Mails nachzuschauen und haben dann festgestellt, dass eine Woche vorher dann tatsächlich so eine E-Mail eingegangen ist. Aber es hat sich anscheinend niemand darum gekümmert. Dieses Problem soll jetzt zwar behoben sein, aber hätte ich da nicht öffentlich Druck ausgeübt, wäre wahrscheinlich immer noch nichts passiert."
Die übersehene E-Mail will der Geschäftsführer der VZ-Gruppe, Markus Berger de Léon, gegenüber dem Deutschlandfunk nicht bestätigen, aber die sofortige Reaktion:
"Wir haben Netzpolitik kontaktiert und haben mit Netzpolitik dafür gesorgt, dass die Daten gelöscht werden und (mit dem), der uns darauf hinweist, wie er es gemacht hat, so dass wir bei uns Maßnahmen einbauen, um in Zukunft zu verhindern, dass dies nochmal passiert. Und die Tatsache, dass wir dann in Anführungsstrichen Freitagabend , gemeinsam mit Netzpolitik Erfolg vermeldet haben, hat wohl den dann auf den Plan gerufen, dass er gesagt hat: ‚Ätsch, ich kann das auch!’. Das hat er dann auch öffentlich in seinem Blog getan und wir haben dann daraufhin Kontakt mit ihm aufgenommen, um zu validieren, dass das, was er da behauptet, Bestand hat und wie er bisher damit umgegangen ist. Das hat sich dann entsprechend entwickelt."
Soweit, dass dieser mutmaßliche Erpresser in den Berliner Räumen der VZ-Gruppe ernst genommen werden konnte. Inzwischen schloss man dort noch weitere technische Sicherheitslücken:
"Berger de Léon: Über nicht alle kann ich öffentlich sprechen. Das eine ist: Wir haben das sogenannte Captcha-System verschärft. Das zweite ist, dass wir... wir beschreiben das mal als "Radarkontrollen", eingeführt haben. Das heißt, wenn es eine erhöhte Anzahl von Zugriffen gibt, dass wir dann erstmal diesen Nutzer, von dem gerade die Zugriffe kommen sperren für 24 Stunden."
Der Berliner Datenschutzbeauftragte Alexander Dix lobt einerseits, dass die VZ-Gruppe sofort an ihn herantrat, sieht andererseits aber seine grundsätzlich gehegten Befürchtungen bestätigt:
"Unsere dringende Empfehlung ist seit längerer Zeit schon gewesen, an die Betreiber, sicherzustellen, dass die Grundeinstellungen zunächst möglichst restriktiv sind, so dass der einzelne Schüler dann erst entscheidet, was er von seinen Daten, wem bekannt geben will. Das wäre eine Datenschutz-freundliche Gestaltung dieser Plattform. Zweite und dringende Empfehlung, die leider bisher auch noch nicht aufgegriffen worden ist: Man sollte zur Nutzung von Spitznamen ermutigen. Die SchülerVZ-Betreiber sagen gerne, Spitznamen sind uncool, man begegnet sich ja auch in der realen Welt mit richtigem Namen, also soll man auch auf der Plattform mit richtigen Namen agieren. Wir sagen: Dieser Fall macht ganz deutlich, dass es viel sinnvoller wäre, wenn man mit einem Spitznamen, einem Pseudonym auftritt. Dann wäre jetzt eine Liste mit einer Million Spitznamen im Umlauf. Die wäre wesentlich weniger sensibel, als die Klarnamen, die man jetzt exportiert hat."
Lotta, inzwischen 17 Jahre alt, will weiterhin unter ihren Klarnamen sichtbar bleiben, aber sie und ihre Freunde reagierten bereits am letzten Montag:
"Also spätestens, als es dann in der Zeitung war, mit diesem Skandal, da bin ich dann drauf aufmerksam geworden, aber vorher noch nicht. Ich hab meine Seite nur sichtbar für meine Freunde gemacht! Also, die anderen Menschen, die mich nicht kennen im Netz, sozusagen mit denen ich nicht vernetzt bin, die können meine Seite nicht sehen."