kalaydo.de Anzeigen

Wissen
Nachrichten aus Wissenschaft und Bildung

02. Dezember 2009

Internetplattformen: Anleitung zum Ausspähen

 Von Eva Marie Stegmann
Persönliche Daten teilt man nicht nur mit guten Freunden, sondern gelegentlich auch mit Menschen, die mit solchen Informationen Geld verdienen. Foto: Bilderberg

Internetplattformen wie Studi- oder SchülerVZ werden immer beliebter - und unsicherer. Ein Hacker berichtet, wie leicht sich Daten massenhaft kopieren lassen. Von Eva Marie Stegmann

Drucken per Mail

Frederik (Name geändert) hat bekommen, was er wollte. Mit der Maus klickt er sich am Schreibtisch durch seine Beute. Auf dem Monitor ploppen zuerst Zahlen auf, schwarz auf grau. Eine 9, eine 7, eine 5. Dann rattern endlose Reihen von weiteren Ziffern und Buchstaben über den Bildschirm. "Das hier", erklärt der junge Mann "sind codierte Daten aus Studi- und SchülerVZ-Profilen."

Im künstlichen Licht des Bildschirms verwandeln sich die Zeichen in Bilder, in Angaben zu Alter, Name, Wohnort, Schule oder Uni, Hobbys. Informationen, die jeder sehen könnte, der sich in die VZ-Netzwerke einloggt. Doch Frederik ist nicht eingeloggt. Was der 26-Jährige gerade abruft, kommt von seiner Festplatte. Er hat die Profildaten zuerst massenweise mit einem selbst geschriebenen Programm, einem so genannten Crawler, kopiert und dann gespeichert.

Der Crawler grast die Profile über Freundes- oder Gruppenlisten ab. Hat er einen Nutzer erwischt, hatte er gleichzeitig dessen Freunde dabei. Und die Freunde der Freunde. Und die Freunde der Freunde der Freunde. Mit dieser Methode ergatterte Frederik die Informationen von über einer Million Mitglieder. "Schwierig wird es nur, wenn einer keiner Freunde hat. Dann ist er wie eine Insel und ich erwische ihn nicht."

Die VZ-Netzwerke, zu denen neben SchülerVZ auch StudiVZ und MeinVZ gehören, sind seit 2007 Teil der Verlagsgruppe Holtzbrinck ("Die Zeit"). Das massenhafte Kopieren von Daten aus sozialen Plattformen ist nicht neu. Aber es ist nicht erlaubt, weil die Informationen verkauft und missbraucht werden können. Neben den Allgemeinen Geschäftsbedingungen verbieten es auch die Datenschutzvorschriften.

80.000 Profile in einer Nacht kopiert

In den letzten Wochen kamen drei Fälle von Datenmissbrauch an die Öffentlichkeit. Die erste Person wandte sich mit einem aus SchülerVZ kopierten Datensatz (Größe 1,6 Millionen) anonym an Markus Beckedahl. Er ist Betreiber von netzpolitik.org., einer politische Plattform, die sich nach eigenen Angaben "für Freiheit und Offenheit im digitalen Zeitalter" einsetzt.

Der zweite war Matthias L., jener junge Mann aus Erlangen, der sich am 31. Oktober in der Jugendstrafanstalt Plötzensee erhängt hat. Ihm war Erpressung und Ausspähen von Daten vorgeworfen worden.

Zuletzt ein dritter Anonymus, der Beckedahl 118.000 Berliner SchülerVZ-Profile übergab. "Er hatte es sogar geschafft an die Geburtsdaten zu gelangen, die nur für Freunde sichtbar waren", weiß der Netzpolitik-Administrator. Als Schlupfloch diente dem Hacker eine mittlerweile geschlossene Lücke in der internen Suchfunktion, der "Super-Suche".

Und nun Frederik. Frederik, der ebenfalls anonym bleiben möchte. Insgesamt einen Tag, so berichtet er, habe er für die Programmierung seines Crawlers gebraucht. "Schon in der ersten Nacht kopierte der 80.000 Profile." Frederik, ein junger Mann in Jeans und T-Shirt. Ein Student, für den Programmieren nur ein Hobby neben vielen anderen ist. Als Hacker möchte er nicht bezeichnet werden. "So gut bin ich doch gar nicht", wehrt er ab.

Sicherheitssystem leicht zu überlisten

Ist es wirklich so einfach die Profildaten zu kopieren? Laut Netzpolitik-Betreiber Markus Beckedahl hätte sich "jeder 15-Jährige der sich ein paar Monate damit beschäftigt", die Daten aneignen können. "Besonders schwierig war es nicht", sagt auch Frederik. Die Herausforderung seien nur die so genannten Captchas gewesen. Captchas fordern den Nutzer nach dem Besuch mehrerer Profilseiten auf, per Hand Zahlen- Buchstabenkombinationen einzugeben. So soll sichergestellt werden, dass ein Mensch am Monitor sitzt - kein Programm, kein Crawler. Frederiks Crawler hat dem VZ-Netzwerk erfolgreich vorgemacht, ein Mensch zu sein.

"Ich muss zugeben, dass ich dabei Hilfe hatte", sagt der junge Mann. Die Funktion in seinem Programm, die die Captchas austrickst, hat er gar nicht selbst programmiert. Den so genannten Cracker fand er im Internet. Als so genanntes Open Source Projekt. Open Source, das bedeutet zum einen nicht-kommerziell, also gratis. Zum anderen: für jeden verfügbar. Für jeden auffindbar, der imstande war, die Worte "SchülerVZ" und "Captchas" bei google einzutippen. "Diese Skripte gab es noch bis vor kurzem zuhauf online", bestätigt Markus Beckedahl. Sogar explizit auf Schüler- und StudiVZ zugeschnitten, inklusive Anleitungen.

Das heißt im Klartext, dass es noch bis vor einem Monat für jeden, der die Grundkenntnisse des Programmierens beherrscht, möglich war, an die Profildaten aller VZ-Nutzer zu gelangen. Problemlos. Es ist deshalb davon auszugehen, dass weit mehr Menschen im Besitz der Daten sind, als bisher angenommen.

Den Open Source-Cracker, den Frederik nutzte, stammt von Benjamin L. (Name geändert) "Mich hat es genervt, dass die Benutzer verarscht wurden", sagt der 20-Jährige über seine Intention, mit der er sich auf nicht-legale Pfade begeben hat. Nachdem die ersten StudiVZ-Pannen 2006 ans Licht kamen, wurde das Captcha-System eingeführt. Mit den Worten "zum Schutz ihrer Daten" warben die Betreiber dafür. "Was aber Blödsinn ist, da man es leicht umgehen kann", sagt L. Er hat es bewiesen:18 Monate lang stand sein Programm zum Download bereit, dessen neuste Version laut Projektstatistik 56 Downloads zählte.

1 von 2
Nächste Seite »

Jetzt kommentieren

Ressort

Nachrichten aus Wissenschaft und Forschung.

Anzeigenmarkt
Videonachrichten Wissen
Interaktive Grafik

Von der Bohne bis ins Regal: So entsteht Kakao für Schokolade und Getränke.

Interaktive Grafik

Über Nacht sterben europaweit in manchen Bienenstöcken 90 Prozent der Bienen-Bevölkerung.

Schutz der Ozonschicht
Das Nasa-Satellitenfoto dokumentiert die Größe des Ozonlochs über der Arktis im Winter 1999/2000. Je dunkler das Blau, desto dünner die Ozonschicht.

Was ist Ozon? Wofür ist Ozon wichtig? Und wie groß ist derzeit das Ozonloch? Antworten auf diese und weitere Fragen gibt es hier.

Interaktive Grafik

Was läuft schief bei Diabetes, was sind die Symptome - eine Animation erläutert die Hintergründe.

Quiz

Wie tief erwärmen sich die Meere - welche Tierart hat nichts zu fressen durch Treibhausgase? Testen Sie Ihr Wissen im FR-Quiz.

Spezial
Kindermund tut Wahrheit kund (FR vom 22. November 2011)

Zeichen für den Klimawandel: Erderwärmung, saure Meere, Treibhauseffekt, Ozonloch, Wetterkapriolen und Naturkatastrophen.

Aurora Borealis

Wie eine gigantische Lasershow aus dem Weltall wirken die außerordentlich spektakulären Polarlichter - Bilder und Videos.

Interaktive Grafik

Indonesiens Wälder verschwinden für neue Plantagen - doch Palmöl ist auch für die Gesundheit relevant.

Spezial
Kindermund tut Wahrheit kund (FR vom 22. November 2011)

Zeichen für den Klimawandel: Erderwärmung, saure Meere, Treibhauseffekt, Ozonloch, Wetterkapriolen und Naturkatastrophen.

Anzeige
Sonnensturm
Hier ist ein Sonnensturm in weiß in der Mitte unten zu sehen.

Derzeit finden heftige Eruptionen auf der Sonne statt. Das verursacht magnetische Stürme auf der Erde.

Rückblick auf 50 Jahre
Der sowjetische Kosmonaut Juri Gagarin in seinem Raumanzug bei Übungen zum ersten bemannten Weltraumflug. Gagarin umkreiste am 12. April 1961 in der Raumkapsel Wostok als erster Mensch die Erde.

Zum fünfzigsten Jahrestag des ersten Starts der Menschheit ins Weltall hat die russische Raumfahrtagentur ein Video veröffentlicht.

Spezial
Blick in die Magellanwolke

Der Blick in den Weltraum auf ISS, Planeten, Sterne, Monde und die Sonne: Hintergründe, interaktive Grafiken, Fotostrecken und Videos.

Spezial

Vor vierzig Jahren brachen mutige Männer auf, um einen Menschheitstraum zu erfüllen - die Landung auf dem Mond.