Wer sich den Teufel ins Haus holt, braucht sich später über ungebetene Gäste nicht zu wundern. Schon 2006 hatte das soziale Netzwerk Studi-VZ Hacker eingeladen, die Plattform auf Sicherheitslücken zu testen. Für jeden gemeldeten Fehler gab es 256 Euro. Nun hat ein 20-jähriger Nutzer des Studi-VZ-Ablegers Schüler-VZ mithilfe eines automatisierten Leseverfahrens rund 1,6 Millionen Profile kopiert. Dazu bediente sich der Datendieb eines sogenannten „Crawlers“. Dabei gibt sich eine Software gegenüber dem Server als Browser aus, loggt sich als registrierter Nutzer in das soziale Netzwerk ein und speichert den Inhalt der einzelnen Seiten in einer Datei. Zwar fragt die Plattform nach 50 aufgerufenen Profilen in der Regel nach einem sogenannten Captcha-Code, doch inzwischen gibt es auch dafür Programme, die den Code vollautomatisch eingeben können. So konnte sich der inzwischen verhaftete Täter sehr leicht Zugang zu Nutzerdaten wie Name, Geschlecht, Alter, Schulzugehörigkeit und Profilfotos verschaffen. Sensible persönliche Daten wie Post- und E-Mail-Adressen waren laut Studi-VZ nicht betroffen.
Publik wurde der Skandal, weil die Datensätze Markus Beckedahls Blog netzpolitik.org zugespielt wurden. Beckedahls Recherchen legen nahe, dass es mindestens noch einen weiteren Fall von Datenklau im großen Stil gegeben hat, und man dem Versprechen von Studi-VZ, persönliche Daten seien auf den firmeneigenen Servern „bestmöglich geschützt“, eher nicht glauben sollte. Betroffen waren offenbar sowohl Studi-VZ als auch die Ableger Schüler-VZ und Mein-VZ. Wie einfach der bisherige Captcha-Code zu cracken war, zeigt eine Anleitung, die schon seit Monaten im Internet kursiert.
Wer die ganze Aufregung nicht versteht, weil doch „nur“ allgemeine Daten wie Name, Schule und Geschlecht kopiert worden seien, sollte freilich bedenken, dass sich Pädophile „auf diese Art sehr bequem automatisiert eine Liste potentieller Missbrauchs-Opfer zusammenstellen können“, wie ein Kommentator auf netzpolitik.org zu Recht bemerkt. Aus demselben gutem Grund, so Beckedahl, ständen solche Daten „ja auch nicht auf den Webseiten der Kultusminister zum Download online“. Die Taz zitiert eine Studie der Landesmedienanstalt NRW, nach der soziale Netzwerke von den Jugendlichen „vor allem ‚als eigener und selbstbestimmt angeeigneter Raum‘ und nicht als etwas, das eine Vielzahl fremder Menschen einsehen könne“ gesehen würden. Warnungen von Eltern oder Lehrern nähmen die Nutzer zwar zur Kenntnis, doch diese „erscheinen ihnen vielfach als unverständlich, da die Warnungen nicht mit der eigenen Wahrnehmung der Kommunikationssituation korrespondieren“.
