Es gibt wieder ein neues Datenleck beim Social-Network SchülerVZ. SchülerVZ ist mit rund fünf Millionen Mitgliedern Marktführer im deutschsprachigen Raum, ein hoher Prozentsatz unserer Schüler ist dort Mitglied und veröffentlicht dort seine/ihre Verlieben und sonstige Informationen. Uns wurden 1,6 Millionen aktuelle Datensätze von dort aktiven Schülern zugeschickt, das sind rund 30% aller Nutzerprofile aus dem Social-Network.

Der Fall reiht sich in die von uns im vergangenen Herbst aufgedeckten Datenlecks ein, die SchülerVZ betrafen und damals für großes Aufsehen sorgten. SchülerVZ hat sich in den vergangenen Monaten bemüht, das verlorene Vertrauen zurück zu gewinnen und mehr in den Datenschutz investiert. Dazu gab es ein TÜV-Prüfzeichen für Datensicherheit und Funktionalität. Damit gewinnt man zwar Vergleichstests in Verbraucherschutz-Magazinen und der Computer-Bild, die Sicherheit der Schüler-Daten steht aber immer noch in Frage, wie der neue Fall zeigt. Eine weitere Parallele zu den Datenlecks im Herbst ist die, dass unser Informant in zwei Mails in den vergangenen Wochen versucht hat, Kontakt mit der VZ-Gruppe aufzunehmen. Auf beide Kontaktversuche erhielt er keine Antwort und wendete sich dann an uns, um eine Beseitigung der Sicherheitslücken zu beschleunigen.

Wie war das massenhafte Auslesen von Schüler-Profilen möglich, wo doch SchülerVZ seit dem Herbst zahlreiche Maßnahmen getroffen hat, die das verhinden sollten?

Eine von SchülerVZ nach den Datenlecks getroffene Maßnahme war die Begrenzung der Profilabrufe. Dies sorgt aber nur gefühlt für mehr Sicherheit, da man gleichzeitig von zahlreichen Accounts parallel Profile abrufen kann, um die Inhalte in einer gemeinsamen Datenbank zu speichern. Im Herbst hat man auch reCaptchas eingeführt, um ein massenhaftes maschinelles Auslesen extrem zu erschweren. Diese reCaptchas hat man aber wieder rausgenommen, vermutlich weil sich viele Nutzer dadurch gestört fühlten. Eine weitere Maßnahme war ein besserer Schutz bei Suchabfragen.

Die uns zugeschickten Daten wurde aber über eine andere Methode gesammelt: Die meisten Nutzer sind in Gruppen angemeldet. Man kann Basisinformationen von Profilen über eine Gruppenmitgliedschaft abrufen, auch wenn die Profile auf privat gestellt sind. Die Basisinformationen enthalten Name, Schule, Schul-ID-Nummer und Link zum Bild. Nachdem diese Methode (nahezu) ausgereizt war, wurden dann weitere Profilen per „Freundesliste“ mit einem zweiten Crawler abgegrast.

Viele Schüler nutzen aber nicht die scharfen Datenschutzeinstellungen, die ihre Profile auf privat stellen und deren Daten sind dann alle abgreifbar und man kann sie speichern. Dazu gehören die zusätzlichen Informationen Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus, politische Einstellung, Lieblingsfach, -musik, -filme, -bücher, wie lange man im SchülerVZ aktiv ist und individuelle Selbstbeschreibungstexte.

Doppelungen bei Mitgliedschaften in mehreren Gruppen kann man aussortieren, wenn erstmal alle Daten heruntergeladen sind. In der Regel gibt es nur einen Schüler mit dem gleichen Namen an einer bestimmten Schule.

Wo ist jetzt das Problem – Facebook ist viel schlimmer beim Datenschutz?

Es handelt sich überwiegend um Daten von minderjährigen Schülern, die sich über ihr Handeln und die Konsequenzen oft nicht bewusst sind. Daten von minderjährigen Schülern sollten daher besonderen Schutz genießen und gegen massenhaftes maschinelles Auslesen gesichert sein.

Mit den gesammelten Daten sind Invers-Suchen möglich, die so im System zum Schutz der Privatsphäre von Nutzern nicht funktionieren.

Die VZ-Gruppe bemüht sich zwar, gegenüber der US-Konkurrenz wie Facebook durch mehr Engagement in Datenschutzfragen zu punkten, was im Vergleich zu einem besseren Verbraucherschutz führt. Und dieses Bemühen muss man auch mal loben. Aber offensichtlich wurde noch nicht genug in die Sicherheit der Daten von Schülern investiert. Das ist mittlerweile der vierte uns bekannter Fall von massenhaften Auslesen von Schüler-Daten bei SchülerVZ innerhalb der vergangenen Monate. Man kann davon ausgehen, dass diese vier Fälle nur die Spitze des Eisberges sind und zahlreiche Datenbanken mit diesen sensiblen Daten existieren könnten.

Wir haben SchülerVZ gestern über den Datensatz und die Sicherheitslücken informiert. Und anschließend unsere Daten gelöscht. Unser Informant hat uns dies auch zugesagt.

Update:

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.