Medien

Nur ein wenig „gecrawlt“

Anmerkungen zur „Datenpanne“ bei „SchülerVZ“ und der katastrophalen Informationspolitik des Holtzbrinck-Konzerns.

20. Oktober 2009. Na prima, da können wir Eltern uns ja wieder beruhigt zurücklehnen und uns anderen Dingen zuwenden, von denen die meisten von uns ohnehin mehr verstehen, als von „SchülerVZ“. Da hat es nämlich überhaupt kein „Datenleck“ oder „Datenklau“ durch „Hacker“ gegeben. Nein, da wurde nur ein wenig gecrawlt, werden wir im Blog des sozialen Teenager Netzwerkes beruhigt:

Der Täter hat einen Crawler geschrieben, der sich mit normalen Nutzer Logindaten in die Community einloggt und die angezeigten Daten abgreift. Die bestehenden Sicherheitsmechanismen in Formularen und insbesondere in Form von Captchas wurden dabei geknackt.

Mit dieser „Crawlerei“ wurden immerhin weit über eine Million Datensätze Minderjähriger zusammengetragen und dem Blog Netzpolitik.org aus „anonymer Quelle zugeschickt“. Blogger Markus Beckedahl kann mit diesen Daten nach eigenen Angaben immerhin „einfache Datenabfragen erstellen wie alle Schüler aus Berlin‘, oder alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule“.

Gut, dass der vertrauenswürdige Blogger diese Daten erhielt und nicht etwa ein Porno-Ring. Obwohl – so genau kann niemand sagen, wer bei „SchülerVZ“ Daten einsammelt, auch der Betreiber „VZ-Netzwerke“ nicht. Vermutlich hat ein zweiter „Täter“ ebenfalls in dem Netzwerk „gecrawlt“ und nach Medienberichten versucht, „SchülerVZ“ damit zu erpressen. Er wurde am Montagabend in den Geschäftsräumen des Holtzbrinck-Tochterunternehmens von der Polizei festgenommen.

Es ist schon erstaunlich, wie Holtzbrinck, einer der größten deutschen Medienkonzerne, der unter anderem „Die Zeit“, „Handelsblatt“ und „Tagesspiegel“ in anderen Tochterfirmen herausgibt, mit diesem Vorfall umgeht. Wenn Daten von Minderjährigen in großer Menge eingesammelt werden, ist das wohl Chefsache. Doch die Konzernspitze hat es bislang noch nicht einmal für nötig gehalten, sich „bei den Millionen bestohlener Nutzer von SchülerVZ, Kindern zwischen 12 und 17 Jahren“ zu entschuldigen, wie Karl-Heinz Wenzlaff in seinem „Blog-Trainer“ zu Recht bemängelt:

„Das ist der eigentliche Skandal bei diesem Social Network und in der Verlagsgruppe Georg von Holtzbrinck, die in diesem Fall offenbar weder ihrer Aufsichtpflicht noch den Verpflichtungen zum Schutz personenbezogener Daten nach dem Bundesdatenschutzgesetz nachkommt.“

Die Öffentlichkeitsarbeit in dieser Krisensituation wird stattdessen weitgehend über den SchülerVZ-Blog betrieben. Dort gibt’s zwar auch keine Entschuldigung bei den Nutzern, dafür eigenartige Antworten auf die „die wichtigsten Fragen“ nach Bekanntwerden des Skandals, beispielsweise diese:

Ist es tatsächlich möglich, dass ein einzelner Nutzer eine große Anzahl von Daten ausgelesen hat? Ja, das kann im Grunde jeder machen, wenn er ausreichend Zeit hat, indem er sich die Profile Seite für Seite ansieht und dann kopiert. Das ist quasi das Gleiche, als wenn jemand das Telefonbuch Seite für Seite durchblättert und digital erfasst.

Mit anderen Worten – wer will, hat ohnehin Zugriff auf die von „SchülerVZ“ bereitgestellten Daten Minderjähriger. Aber das „Einsammeln“ soll – zumindest in gro?er Menge – künftig nicht mehr so einfach möglich sein, heißt es in einem weiteren Blog-Eintrag vom vergangenen Freitag:

Wir haben den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum sofort eingeschränkt. Bitte haben Sie Verständnis, dass wir hier nicht n?her ins Detail gehen können.

Vertrauenswürdig klingt das nicht, zumal ich mir als Vater einer – bislang begeisterten – Schüler-VZ-Nutzerin die Frage stelle, warum solche offenbar schnell umsetzbaren erweiterten Datenschutzmaßnahmen erst jetzt nach Bekanntwerden des Skandals getroffen werden? Eine Antwort auf diese simple Frage ist mir bislang nicht bekannt. Dafür gibt’s massenhaft vermeintlich gute Ratschläge in Sachen Umgang mit persönlichen Daten in Sozialen Netzwerken und ähnlichen Konstruktionen. Fazit der Expertentipps: Die Nutzer sind selbst verantwortlich dafür, was sie von sich im Internet preisgeben. Im Fall „SchülerVZ“ sind das jedoch Kinder und Jugendliche ab 12 Jahren, denen die Risiken für Datenklau und Datenmissbrauch zugeschoben werden, während sich die Betreiber solcher Netzwerke selbst als „Opfer“ von „Hackern“ oder Crawlern“ sehen.