Internetplattformen: Anleitung zum Ausspähen

Frederik (Name geändert) hat bekommen, was er wollte. Mit der Maus klickt er sich am Schreibtisch durch seine Beute. Auf dem Monitor ploppen zuerst Zahlen auf, schwarz auf grau. Eine 9, eine 7, eine 5. Dann rattern endlose Reihen von weiteren Ziffern und Buchstaben über den Bildschirm. "Das hier", erklärt der junge Mann "sind codierte Daten aus Studi- und SchülerVZ-Profilen."

Im künstlichen Licht des Bildschirms verwandeln sich die Zeichen in Bilder, in Angaben zu Alter, Name, Wohnort, Schule oder Uni, Hobbys. Informationen, die jeder sehen könnte, der sich in die VZ-Netzwerke einloggt. Doch Frederik ist nicht eingeloggt. Was der 26-Jährige gerade abruft, kommt von seiner Festplatte. Er hat die Profildaten zuerst massenweise mit einem selbst geschriebenen Programm, einem so genannten Crawler, kopiert und dann gespeichert.

Der Crawler grast die Profile über Freundes- oder Gruppenlisten ab. Hat er einen Nutzer erwischt, hatte er gleichzeitig dessen Freunde dabei. Und die Freunde der Freunde. Und die Freunde der Freunde der Freunde. Mit dieser Methode ergatterte Frederik die Informationen von über einer Million Mitglieder. "Schwierig wird es nur, wenn einer keiner Freunde hat. Dann ist er wie eine Insel und ich erwische ihn nicht."

Die VZ-Netzwerke, zu denen neben SchülerVZ auch StudiVZ und MeinVZ gehören, sind seit 2007 Teil der Verlagsgruppe Holtzbrinck ("Die Zeit"). Das massenhafte Kopieren von Daten aus sozialen Plattformen ist nicht neu. Aber es ist nicht erlaubt, weil die Informationen verkauft und missbraucht werden können. Neben den Allgemeinen Geschäftsbedingungen verbieten es auch die Datenschutzvorschriften.

80.000 Profile in einer Nacht kopiert

In den letzten Wochen kamen drei Fälle von Datenmissbrauch an die Öffentlichkeit. Die erste Person wandte sich mit einem aus SchülerVZ kopierten Datensatz (Größe 1,6 Millionen) anonym an Markus Beckedahl. Er ist Betreiber von netzpolitik.org., einer politische Plattform, die sich nach eigenen Angaben "für Freiheit und Offenheit im digitalen Zeitalter" einsetzt.

Der zweite war Matthias L., jener junge Mann aus Erlangen, der sich am 31. Oktober in der Jugendstrafanstalt Plötzensee erhängt hat. Ihm war Erpressung und Ausspähen von Daten vorgeworfen worden.

Zuletzt ein dritter Anonymus, der Beckedahl 118.000 Berliner SchülerVZ-Profile übergab. "Er hatte es sogar geschafft an die Geburtsdaten zu gelangen, die nur für Freunde sichtbar waren", weiß der Netzpolitik-Administrator. Als Schlupfloch diente dem Hacker eine mittlerweile geschlossene Lücke in der internen Suchfunktion, der "Super-Suche".

Und nun Frederik. Frederik, der ebenfalls anonym bleiben möchte. Insgesamt einen Tag, so berichtet er, habe er für die Programmierung seines Crawlers gebraucht. "Schon in der ersten Nacht kopierte der 80.000 Profile." Frederik, ein junger Mann in Jeans und T-Shirt. Ein Student, für den Programmieren nur ein Hobby neben vielen anderen ist. Als Hacker möchte er nicht bezeichnet werden. "So gut bin ich doch gar nicht", wehrt er ab.

Sicherheitssystem leicht zu überlisten

Ist es wirklich so einfach die Profildaten zu kopieren? Laut Netzpolitik-Betreiber Markus Beckedahl hätte sich "jeder 15-Jährige der sich ein paar Monate damit beschäftigt", die Daten aneignen können. "Besonders schwierig war es nicht", sagt auch Frederik. Die Herausforderung seien nur die so genannten Captchas gewesen. Captchas fordern den Nutzer nach dem Besuch mehrerer Profilseiten auf, per Hand Zahlen- Buchstabenkombinationen einzugeben. So soll sichergestellt werden, dass ein Mensch am Monitor sitzt - kein Programm, kein Crawler. Frederiks Crawler hat dem VZ-Netzwerk erfolgreich vorgemacht, ein Mensch zu sein.

"Ich muss zugeben, dass ich dabei Hilfe hatte", sagt der junge Mann. Die Funktion in seinem Programm, die die Captchas austrickst, hat er gar nicht selbst programmiert. Den so genannten Cracker fand er im Internet. Als so genanntes Open Source Projekt. Open Source, das bedeutet zum einen nicht-kommerziell, also gratis. Zum anderen: für jeden verfügbar. Für jeden auffindbar, der imstande war, die Worte "SchülerVZ" und "Captchas" bei google einzutippen. "Diese Skripte gab es noch bis vor kurzem zuhauf online", bestätigt Markus Beckedahl. Sogar explizit auf Schüler- und StudiVZ zugeschnitten, inklusive Anleitungen.

Das heißt im Klartext, dass es noch bis vor einem Monat für jeden, der die Grundkenntnisse des Programmierens beherrscht, möglich war, an die Profildaten aller VZ-Nutzer zu gelangen. Problemlos. Es ist deshalb davon auszugehen, dass weit mehr Menschen im Besitz der Daten sind, als bisher angenommen.

Den Open Source-Cracker, den Frederik nutzte, stammt von Benjamin L. (Name geändert) "Mich hat es genervt, dass die Benutzer verarscht wurden", sagt der 20-Jährige über seine Intention, mit der er sich auf nicht-legale Pfade begeben hat. Nachdem die ersten StudiVZ-Pannen 2006 ans Licht kamen, wurde das Captcha-System eingeführt. Mit den Worten "zum Schutz ihrer Daten" warben die Betreiber dafür. "Was aber Blödsinn ist, da man es leicht umgehen kann", sagt L. Er hat es bewiesen:18 Monate lang stand sein Programm zum Download bereit, dessen neuste Version laut Projektstatistik 56 Downloads zählte.