Internetplattformen: Anleitung zum Ausspähen

Persönliche Daten sehr begehrt

Wie oft der Cracker zum Umgehen der Captchas tatsächlich benutzt oder gar weitergegeben wurde, lässt sich nicht zurückverfolgen. "Aber", wirft der 20-jährige ein, "solche Programme gibt es zuhauf. Und 99 Prozent sind besser als meines." Eine Mitschuld an den massenweise kopierten Datensätzen empfindet L. nicht. "Wenn jemand Böses mit dem Programm anstellt, ist das nicht mein Problem." Benjamin L. hielt es nicht für nötig, sich an das Netzwerk zu wenden, um es auf die veralteten Captchas hinzuweisen. "Sie wussten das, ich bin mir sicher. Sie können das einfach nicht nicht gewusst haben."

Was ist eigentlich so schlimm an den kopierten Profilen, könnte man fragen. Immerhin sind nur die Informationen betroffen, die für angemeldete Personen ohnehin sichtbar sind. "Es ist eine Sache, ob jemand per Hand ein paar Profile kopiert - oder ob sie automatisch millionenfach ausgelesen werden", sagt Beckedahl. Gerade Marktforscher dürften die Vorlieben von Schülern und Studenten interessieren. Mehrere Male, so behauptet Freizeithacker Benjamin L, sei ihm per E-Mail Geld angeboten worden. "Ich sollte ein Programm entwickeln, das Daten ausliest und den Benutzern Werbung unterschiebt."

Viele Studenten fürchten zudem, dass potenzielle Arbeitgeber ihre Fotos auf MySpace, Facebook oder StudiVZ entdecken könnten. Die Alkoholleiche in der hinteren Ecke der Party beeindruckt vielleicht die virtuellen Freunde - den Personaler jedoch sicher nicht.

Dass mit diesen Informationen gezielt nach Personengruppen, wie zum Beispiel alle Schüler im Alter von 13 Jahren einer benachbarten Schule, gesucht werden könne, davor warnt Beckedahl. "Was ist, wenn sich ein Pädophiler dort anmeldet?", fragt er sich. Gerade bei Daten Minderjähriger sei es deshalb die Pflicht des Betreibers, aktiv nach Sicherheitslücken zu fahnden und sie zu schließen. Eine Pflicht, der die VZ-Netzwerke nicht nachgekommen seien.

Ist das Unternehmen nur eine schlimme Ausnahme, ein schwarzes Schaf unter den sozialen Plattformen? Bei weitem nicht. Es scheint gar zum guten Ton der Branche zu gehören, es mit dem Daten ihrer Mitglieder nicht allzu ernst zu nehmen: "Das Geschäftsmodell sozialer Netzbetreiber ist immens gefährlich", sagt padeluun, Netzaktivist und Vorstandsmitglied des Datenschutzvereins FoeBuD. Es würden derart viele Informationen über Einzelpersonen angesammelt, dass fast eine Art gläserner Bürger entstehe. "Auch wenn du dein Profil auf privat stellst - der Betreiber weiß alles über dich."

Nutzer gezielt kommerziell und politisch manipulierbar

Durch dieses Wissen könnten Nutzer gezielt kommerziell und politische manipuliert werden. Für padeluun heißen die sozialen Netzwerke deshalb nicht Kommunikations- sondern Datensammelplattformen.

Nicht ohne Grund mahnte die Verbraucherzentrale jüngst sechs soziale Netzwerke, darunter Xing, Facebook, Myspace, Studi- und SchülerVZ, ab, da sie Daten ohne Zustimmung der Nutzer "weit über den eigentlichen Zweck hinaus" verarbeitet und genutzt hätten. Im November unterzeichneten die Betreiber Unterlassungserklärungen. Ab Januar 2010 sollen die Informationen registrierter Mitglieder besser geschützt werden. "Fragt sich nur: vor wem?", so padeluun.

Von der FR mit ihren Recherchen konfrontiert, sagte VZ-Sprecher Dirk Hensen, es seien "explizit keine Daten betroffen, die durch die Privatsphäre-Einstellung geschützt wurden." Kopiert worden seien lediglich Profilinformationen, die für alle registrierten Nutzer einsehbar waren. Auf die Crawler-Angriffe haben die VZ-Netzwerke jetzt reagiert. Man habe sämtliche Sicherheitslücken geschlossen, sagte Hensen.

Ein neues, optimiertes Captcha-System ist seit kurzem in Betrieb. Frederik hat sofort versucht, es zu umgehen. Ohne Erfolg. Zufrieden ist er dennoch nicht. "Die Betreiber werden erst aktiv, wenn etwas passiert. Erst, wenn die Öffentlichkeit Druck macht." Ähnlich äußert sich Benjamin L.: "Komisch, dass sie nur eine Woche für diese neue Funktion gebraucht haben. Aber die Jahre davor wurde nichts getan." Diese Kritik kommt auch von den Verbraucherzentralen.

Die Profilkopien im großen Stil sind aktuell nicht mehr möglich. "Aber es ist eine Frage der Zeit, bis Hacker auch diese Sicherung umgehen", so Internet-Experte Beckedahl. Frederik zumindest hat nicht vor, seine Sammlung in Marktforscher- oder Personalerhände zu legen. "Das war ein Spaß-Projekt, ich wollte nur schauen, ob es funktioniert." Bei ihm hat es funktioniert. Bei anderen vermutlich auch.