SchülerVZ-Daten: Der florierende Markt für Datensammelprogramme

Die Umstände der Veröffentlichung von vielen Nutzerdaten des sozialen Netzwerkes SchülerVZ werfen eine Reihe von Fragen auf. So sind offenbar mehr Daten im Umlauf als der Datensatz, der dem Blog Netzpolitik.org zugespielt wurde. Derzeit gibt es Hinweise auf mindestens einen weiteren Satz mit Daten des Community-Anbieters VZnet Netzwerke. Die Polizei hat mittlerweile einen Tatverdächtigen verhaftet. Dabei handelt es sich allerdings offenbar nicht um die Quelle von Netzpolitik. Zudem ist unter Juristen umstritten, ob und inwieweit sich der Verdächtige mit dem Auslesen der Daten strafbar gemacht hat.

Nach dem Datenklau ist am Montag in Berlin ein Verdächtiger festgenommen worden. Wie ein Polizeisprecher am Abend erklärte, handelt es sich um einen 20-jährigen Mann aus Erlangen. Er sei in den Räumen der VZnet, dem Betreiber von MeinVZ, SchülerVZ und StudiVZ, festgenommen worden. Ein Sprecher der Berliner Staatsanwaltschaft sagte der dpa, es werde gegen den Mann wegen Ausspähen von Daten und Erpressung ermittelt. Er soll versucht haben, die Daten zu verkaufen. Ob ein Haftbefehl gegen den Mann ergehen soll, werde bis zum Dienstag entschieden.

Offenbar handelt es sich bei dem Verhafteten um einen Blogger, der in einem Blog-Eintrag vom Wochenende zugegeben hatte, SchülerVZ-Daten mit einem Datensammelprogramm (Crawler) im großen Stil abgegriffen und in einem geschlossenen Forum veröffentlicht zu haben. Die Domain seines Blogs, das inzwischen vom Netz genommen und nur noch im Google-Cache abrufbar ist, ist auf eine Adresse in Erlangen registriert. Er widersprach dabei jedoch der Darstellung von VZnet, es seien seine Daten gewesen, die Netzpolitik.org zugespielt wurden. Seine Datenbank habe mehr Datenfelder je Person enthalten.

VZnet legt Wert auf die Feststellung, dass es sich bei dem Vorfall nicht um ein Datenleck handele. Ein unberechtigter Zugang zu Post- und E-Mail-Adressen, Zugangsdaten oder Telefonnummern habe nicht bestanden. Abgegriffen wurden lediglich Informationen, "die für jeden anderen SchülerVZ-Nutzer öffentlich einsehbar sind". Das Unternehmen sei mit dem Verantwortlichen in Kontakt getreten. Er habe auch Daten von den nahezu funktionsgleichen Portalen StudiVZ und MeinVZ gesammelt, diese jedoch noch nicht veröffentlicht.

Dabei ist durchaus plausibel, dass es sich bei den Netzpolitik zugespielten Daten nicht um die des Erlanger Bloggers handelt und entgegen der "Trittbrettfahrer"-Theorie von VZnet verschiedene Datensätze im Umlauf sind. Im Internet existiert ein regelrechter Markt für Datensammelprogramme aller Art. Die Programmierjobbörse GetACoder.com etwa listet bei der Eingabe von bekannten Namen wie Facebook, Xing oder StudiVZ gleich eine ganze Reihe von Aufforderungen zur Entwicklung derartiger Sammelprogramme. In einem konkreten – und inzwischen abgeschlossenen – Auftrag ist sogar beschrieben, wie sich das StudiVZ-Captcha, das das Crawling der Daten erschweren soll, mit Hilfe der Gruppenfunktionen ohne aufwändige Entwicklung einer Captcha-Erkennung umgehen lasse.

Ob es sich bei dem Sammeln der User-Daten allerdings tatsächlich um eine Straftat handelt, ist alles andere als eindeutig. Klar ist nur, dass dadurch sowohl gegen die AGB des Betreibers VZnet als auch gegen Vorschriften des Datenschutzes verstoßen wurde. Ob es sich aber bei den genutzten Crawlern um "Hacker-Tools" im Sinne des § 202c des Strafgesetzbuches (StGB) handelt, ist ebenso wenig eindeutig wie die Einordnung des Abgreifens der Daten als strafbares "Ausspähen von Daten" nach § 202a StGB.

Dabei ist unter Strafrechtsexperten umstritten, ob es sich bei einem Captcha um eine Zugangssperre im Sinne des Gesetzes handelt. Zwar vertritt VZnet den Standpunkt: "Das Crawlen eines Netzwerks unter Umgehung von Zugangssperren (Captchas) ist illegal". Dies wird allerdings bezweifelt, da Captcha zwar den automatisierten Zugriff auf Daten erschweren, die entsprechenden Informationen aber trotzdem öffentlich zugänglich sind.

Siehe dazu auch:

• Verhaftung nach Datenabgriff bei SchülerVZ
• Warnung vor Datenmissbrauch nach Datenabgriff bei SchülerVZ
• Über 1 Million Datensätze bei SchülerVZ abgesaugt

(cr)