Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

May 04 2010

VZ-Sicherheit: Keiner zuhause?

Es kann sicherlich viele Gründe haben, warum SchülerVZ auf die Hinweise von Florian Strankowski bezüglich der Möglichkeit eines massenhaften-maschinellen Auslesens nicht reagiert hat: Man hat die Mails übersehen, man hat bloß vergessen zu antworten (Beste Ausrede des Tages!) oder man dachte, dass man das Problem einfach aussitzen kann. Es könnte aber noch einen anderen Grund geben: Da ist gerade niemand für IT-Sicherheit zuständig. Wie uns zu Ohren kam, war dafür ein freies Team zuständig und das ist nun nicht mehr im Haus. Und eine Stelle für die IT-Sicherheit ist ausgeschrieben und noch unbesetzt. (Klingt für viele fitte Menschen vielleicht auch zu sehr nach Himmelfahrtskommando)

Welcher der Gründe nun zutrifft, ist unklar. Traurig ist aber, dass die VZ-Gruppe erst auf unsere Hinweise und den zu erwartenden öffentlichen Druck reagiert und neue Maßnahmen zur Erhöhung der Datensicherheit ankündigt. Wir wünschen viel Erfolg.

Netzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

netzpolitik.org: Was war Deine Motivation, die Daten zu crawlen?

Florian Strankowski: Die Motivation bestand darin, nach den zig Interviews und Statements von Seiten VZ zu zeigen, dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen. Auch wollte ich aufzeigen, dass der TÜV in diesem Fall ein Zertifikat ausgestellt hat, das zwar schön aussieht, aber im Endeffekt etwas bestätigt, was so nicht der Fall ist. Die Daten der Nutzer waren nie sicher und sind derzeit nicht sicher vor Crawlern.

Ebenfalls haben sich einige meiner Kommilitonen amüsiert, als ich Ihnen meinen Vorschlag für den zu erbringenden Leistungsnachweis vorgestellt habe, einen Crawler zu schreiben. Ich muss hinzufügen, dass das Schreiben von Crawlern, egal für welchen Zweck, eine große Leidenschaft für mich ist, da ich es faszinierend finde, wie man Daten am effektivsten sammelt, verarbeitet und aufbereitet.

netzpolitik.org: Hast Du SchülerVZ kontaktiert?

Florian Strankowski: Ja. In zwei Mails habe ich in den vergangenen Wochen die VZ-Gruppe auf Sicherheitslücken hingewiesen und meine Hilfe angeboten. Auf beide Mails habe ich keine Reaktion erhalten

netzpolitik.org: Was war Deine Motivation, mit netzpolitik.org Kontakt aufzunehmen?

Florian Strankowski: Meine Motivation mit netzpolitik.org in Kontakt zu treten war es, ein Sprachrohr zu finden, welchem auch Gehör geschenkt wird. Auf meine Mails, welche ich im Rahmen der Responsible Disclosure zwei Mal an VZ geschickt habe, wurde ja nicht geantwortet. Bereits mit meinem Professor habe ich versucht, eine Lösung für den Weg der Veröffentlichung zu finden. netzpolitik.org ist und war für mich immer eine gute Anlaufstelle für aktuelle netzpolitische Thematiken (vor allem als es mit den Zensurplänen anfing). Auch wusste ich, dass Du in Deiner Funktion als Journalist die Möglichkeit hat, in diesem Fall zwischen den zwei Fronten zu vermitteln. Denn einerseits wollte ich den VZ-Netzwerken helfen, andererseits mich selbst aber keinem rechtlichen Risiko aussetzen.

Es wäre zu wünschen, wenn VZ sich mehr um seine Nutzer kümmern würde, vor allem um Mails die Problematiken aufzeigen, welche aber ignoriert werden. Es geht hier schließlich auch um den Ruf der VZ-Netzwerke.

netzpolitik.org: Wie bist Du vorgegangen?

Florian Strankowski: Kurz und Knapp: Jeden Schritt protokolliert (Live-HTTP-Header/ Firefox Addon), Sourcecode der Seiten analysiert, Login-, Logout-, Profilaufrufprozeduren analysiert und alles aufgeschrieben. Dann auf dem guten alten Blatt Papier (ich glaube es waren am Ende 10 Seiten) die Vorgehensweise in Form eines PAP (Programmablauf Plans) aufgeschrieben und letztendlich programmiert. Wie im Paper beschrieben, musste ich mich halt immer neu ein- und ausloggen. Das Erstellen der Accounts hat einige Zeit in Anspruch genommen (Habe hier jetzt knapp 800 Accounts). Dann nur noch Programm anschmeißen und abwarten.

netzpolitik.org: War das crawlen der Daten einfach?

Florian Strankowski: Jein. Da der Sourcecode von den VZ-Seiten recht unsauber ist, war es Anfangs eine Qual alle Regular Expressions zu schreiben, denn auch wenn man vermutet, dass der Aufbau einer Profilseite dem einer Anderen gleicht, ist dies leider nicht der Fall. Auch das letztendliche Crawlen war kinderleicht, nicht einer meiner 800 Accounts wurde gesperrt.

netzpolitik.org: SchülerVZ hat im letzten halben Jahr nach eigenen Angaben viel für eine bessere Sicherheit gemacht. War das ausreichend, bzw. was hat SchülerVZ Deiner Meinung nach falsch gemacht?

Florian Strankowski: Ich frage mich, ob das ein PR-Gag war. Es gab vielleicht mehr Informationen wie man die Privatsphäre seines Profils ändern kann (Tutorials & Co), jedoch wurden die temporär eingesetzten Captchas (reCaptcha) wieder entfernt, was ein großer Rückschritt war. Wie man in diesem Fall gut sieht, bringt die Limitierung von Aktionen pro Account nichts, denn man kann sich selbst ja immer wieder neu Einladen und somit unbegrenzt viele Accounts erstellen -> und somit Aktionen durchführen. Somit ist die derzeitige Lösung ungenügend. Warum der TÜV dies nicht bemerkt hat, verstehe ich jedoch nicht.

Falsch ist einfach die Herangehensweise an die Thematik. Wie ich Dir bereits geschildert habe, sind Profile in Gruppen sichtbar, obwohl sie privat sind, auf Bildverlinkungen stehen die Namen von Profilen, welche auch privat sind. Man kann doch einfach überprüfen, wie das Nutzerverhalten ist. Wenn man merkt, dass ein Nutzer am Tag und damit meine ich über Tage immer die knapp 2000 Aktionen damit verschwendet Profile aufzurufen, müssen die Alarmglocken doch mal klingeln.

netzpolitik.org: Warum hast Du nur 1,6 Mio Datensätze gesammelt?

Florian Strankowski: Ich hatte zwischenzeitlich weit über 2 Millionen Datensätze. Nach einer Optimierung des Codes habe ich jedoch einige Verworfen und habe bei einer Million wieder angefangen. Da mein Crawler jetzt “perfekt” ist und rundläuft, habe ich es dabei belassen. Wenn ich mit der Veröffentlichung eine Woche länger gewartet hätte, so hätte ich dann knappe 4-5 Millionen Datensätze – davon keiner doppelt. Eigentlich gab es noch eine Intention, mehr Datensätze zu sammeln als mein Vorgänger, aber nach der Optimierung habe ich das dann wieder verworfen, ich hatte ja schon > 2 Mio.

netzpolitik.org: Betrifft das Problem auch StudiVZ und MeinVZ, bzw. warum hast Du nur SchülerVZ genommen?

Florian Strankowski: Das Problem betrifft alle Netzwerke von VZ – denn alle basieren auf dem gleichen Code. Dies sieht man auch sehr schön im Quelltext! Daher war es so einfach einen Crawler für alle Netzwerke zu schreiben. Auf SchülerVZ traf meine Wahl, weil es hier besonders wichtig ist, die Daten der minderjährigen Nutzer zu schützen. Ich wage es kaum auszusprechen, aber wenn Millionen Daten von Minderjährigen in die falschen Hände geraten, kann schnell man etwas passieren und später will keiner die Schuld haben, auch nicht der TÜV.

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

Hier ist noch ein Video, was den Crawler bei der Arbeit zeigt (Nicht so spektakulär wie ein Hollywood-Film):

SchülerVZ-Crawler from netzpolitik on Vimeo.

Reposted byurfinmondkroete
Sponsored post
feedback2020-admin

Neues Datenleck bei SchülerVZ

Es gibt wieder ein neues Datenleck beim Social-Network SchülerVZ. SchülerVZ ist mit rund fünf Millionen Mitgliedern Marktführer im deutschsprachigen Raum, ein hoher Prozentsatz unserer Schüler ist dort Mitglied und veröffentlicht dort seine/ihre Verlieben und sonstige Informationen. Uns wurden 1,6 Millionen aktuelle Datensätze von dort aktiven Schülern zugeschickt, das sind rund 30% aller Nutzerprofile aus dem Social-Network.

Der Fall reiht sich in die von uns im vergangenen Herbst aufgedeckten Datenlecks ein, die SchülerVZ betrafen und damals für großes Aufsehen sorgten. SchülerVZ hat sich in den vergangenen Monaten bemüht, das verlorene Vertrauen zurück zu gewinnen und mehr in den Datenschutz investiert. Dazu gab es ein TÜV-Prüfzeichen für Datensicherheit und Funktionalität. Damit gewinnt man zwar Vergleichstests in Verbraucherschutz-Magazinen und der Computer-Bild, die Sicherheit der Schüler-Daten steht aber immer noch in Frage, wie der neue Fall zeigt. Eine weitere Parallele zu den Datenlecks im Herbst ist die, dass unser Informant in zwei Mails in den vergangenen Wochen versucht hat, Kontakt mit der VZ-Gruppe aufzunehmen. Auf beide Kontaktversuche erhielt er keine Antwort und wendete sich dann an uns, um eine Beseitigung der Sicherheitslücken zu beschleunigen.

Wie war das massenhafte Auslesen von Schüler-Profilen möglich, wo doch SchülerVZ seit dem Herbst zahlreiche Maßnahmen getroffen hat, die das verhinden sollten?

Eine von SchülerVZ nach den Datenlecks getroffene Maßnahme war die Begrenzung der Profilabrufe. Dies sorgt aber nur gefühlt für mehr Sicherheit, da man gleichzeitig von zahlreichen Accounts parallel Profile abrufen kann, um die Inhalte in einer gemeinsamen Datenbank zu speichern. Im Herbst hat man auch reCaptchas eingeführt, um ein massenhaftes maschinelles Auslesen extrem zu erschweren. Diese reCaptchas hat man aber wieder rausgenommen, vermutlich weil sich viele Nutzer dadurch gestört fühlten. Eine weitere Maßnahme war ein besserer Schutz bei Suchabfragen.

Die uns zugeschickten Daten wurde aber über eine andere Methode gesammelt: Die meisten Nutzer sind in Gruppen angemeldet. Man kann Basisinformationen von Profilen über eine Gruppenmitgliedschaft abrufen, auch wenn die Profile auf privat gestellt sind. Die Basisinformationen enthalten Name, Schule, Schul-ID-Nummer und Link zum Bild. Nachdem diese Methode (nahezu) ausgereizt war, wurden dann weitere Profilen per “Freundesliste” mit einem zweiten Crawler abgegrast.

Viele Schüler nutzen aber nicht die scharfen Datenschutzeinstellungen, die ihre Profile auf privat stellen und deren Daten sind dann alle abgreifbar und man kann sie speichern. Dazu gehören die zusätzlichen Informationen Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus, politische Einstellung, Lieblingsfach, -musik, -filme, -bücher, wie lange man im SchülerVZ aktiv ist und individuelle Selbstbeschreibungstexte.

Doppelungen bei Mitgliedschaften in mehreren Gruppen kann man aussortieren, wenn erstmal alle Daten heruntergeladen sind. In der Regel gibt es nur einen Schüler mit dem gleichen Namen an einer bestimmten Schule.

Wo ist jetzt das Problem – Facebook ist viel schlimmer beim Datenschutz?

Es handelt sich überwiegend um Daten von minderjährigen Schülern, die sich über ihr Handeln und die Konsequenzen oft nicht bewusst sind. Daten von minderjährigen Schülern sollten daher besonderen Schutz genießen und gegen massenhaftes maschinelles Auslesen gesichert sein.

Mit den gesammelten Daten sind Invers-Suchen möglich, die so im System zum Schutz der Privatsphäre von Nutzern nicht funktionieren.

Die VZ-Gruppe bemüht sich zwar, gegenüber der US-Konkurrenz wie Facebook durch mehr Engagement in Datenschutzfragen zu punkten, was im Vergleich zu einem besseren Verbraucherschutz führt. Und dieses Bemühen muss man auch mal loben. Aber offensichtlich wurde noch nicht genug in die Sicherheit der Daten von Schülern investiert. Das ist mittlerweile der vierte uns bekannter Fall von massenhaften Auslesen von Schüler-Daten bei SchülerVZ innerhalb der vergangenen Monate. Man kann davon ausgehen, dass diese vier Fälle nur die Spitze des Eisberges sind und zahlreiche Datenbanken mit diesen sensiblen Daten existieren könnten.

Wir haben SchülerVZ gestern über den Datensatz und die Sicherheitslücken informiert. Und anschließend unsere Daten gelöscht. Unser Informant hat uns dies auch zugesagt.

Update:

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

February 02 2010

Soziale Netzwerke haben Verantwortung – auch wenn es “weh tut”

Die Skandale der letzten Monate haben den Datenschutz in Social Networks ins Blickfeld einer breiteren Öffentlichkeit gerückt. Auf der Social Media Week Conference diskutierte der CTO der VZ-Netzwerke Jodok Batlogg mit Verbraucherschützer Falk Lüke und Alexander Korth über “Plattform- vs. Nutzerverantwortung”. Das Gespräch passte durchaus unter das Motto “Streit”, dass die Veranstalter der SMW Berlin vorgegeben hatten.

Drei Nutzertypen identifiziert Korth: Privatsphäre-Fundamentalisten, Pragmatiker und “vollkommen Unbesorgte”. Die Pragmatiker, die zwischen Privatsphäre und Offenheit abwägen, machen dabei etwa zwei Drittel der Anwender aus. Besonders für sie gilt, dass sie zwischen diesen beiden extremen “hin- und hergerissen” seien, wie Batlogg erklärte.

Auch als Betreiber wolle man einerseits Werbekunden etwas bieten und den Netzwerkeffekt maximieren, andererseits aber auch Anonymität ermöglichen. Es gebe “nicht nur 0 und 1″. Lüke kritisierte allerdings, dass die Betreiber von Social Networks sich allerdings Umsetzung nutzerfreundlicher Veränderungen viel Zeit lassen.

So musste Batlogg eingestehen, dass die Standardeinstellung in SchülerVZ zwar “zähneknirschend ‘unsichtbar’” ist – aber erst seit drei Monaten. In anderen Bereichen zwingt die deutsche Datenschutzgesetzgebung die heimischen Anbieter zu Maßnahmen, mit denen beispielsweise Facebook sich nicht herumschlagen muss. Eine Tatsache, die später noch aus dem Publikum als “Wettbewerbsnachteil” bezeichnet wurde.

Um seine Freundesliste Drittanbietern zugänglich zu machen, müsse man in Deutschland zuvor alle betroffenen Personen um Erlaubnis fragen, schilderte Batlogg einen Fall. Und um OpenSocial nutzen zu können, habe man “Visitenkarten” eingeführt. So könnten Nutzer verschiedenen Identitäten anlegen und sich entscheiden, anstelle ihrer originalen eine “Fake-Identität” weiterzugeben.

Auf die Frage von Falk Lüke, ob Eltern Nutzerdaten ihrer minderjährigen Kinder anfordern könnten, erklärte Batlogg das System von SchülerVZ. Dabei werden den Kindern die Informationen zugesandt, zusammen mit dem Hinweis, dass ihre Eltern diese angefordert haben. So umschifft das Unternehmen die unklare rechtliche Lage auf diesem Gebiet.

Die Betreiber von Social Network tun also etwas – einige mehr als andere, und alle nur auf äußeren Druck. Aber sollten erwachsene Nutzer nicht mündig sein und mit ihren Daten tun können, was sie wollen? – so eine Frage aus dem Publikum. Korth und Lüke erklärten einstimmig, dass auch ältere Nutzer eben nicht mündig seien. Lüke führte exemplarisch das Netzwerk wer-kennt-wen an, dessen (ältere) Zielgruppe ebenfalls “unbedarft” sei.

Aber auch Batlogg gestand eine Verantwortung der Betreiber ein. Es sei ein “Problem, wenn ‘public’ das neue ‘default’ ist und nur ein Drittel der Leute wieder zurückrudern zu einem Punkt, wo sie sich wohlfühlen”, erklärte er mit Bezug auf die neuen Privatsphäre-Einstellungen von Facebook. Zuvor meinte er allerdings, es sei “nicht pragmatisch”, wenn “unsichtbar” die Standardeinstellung sei.

Dafür wurde der VZ.net-CTO allerdings von Lüke zurechtgestutzt, der meinte, pragmatisch sei, wenn Nutzer nach dem Anmeldung zuerst einmal “unsichtbar” seien und dann auch eine Einstellungsseite geleitet werde. Bei den üblichen Opt-in- / Opt-out-Lösungen würden nur wenige Nutzer ihre Einstellungen verändern. Vielleicht, weil es ihnen nicht wichtig sei, eventuell aber auch, weil sie sich nicht auskennen würde. Hier hätten die Betreiber eine Verantwortung, zu informieren.

Obwohl Batlogg verteidigte, dass die VZ-Netzwerke ihre Nutzer dazu auffordern, sich mit Klarnamen anzumelden, erklärte er gleichzeitig, bei SchülerVZ gebe es “einen Erziehungsauftrag”. Lüke hatte zuvor seinen Eindruck geschildert, dass es einen Mentalitätswandel gebe: Immer weniger Nutzer würden in dem Social Network ihre Klarnamen angeben.

Auch wenn sie im Titel der Veranstaltung keinen Platz fand, wurde auch der Politik eine Verantwortung zugeschrieben. Lüke beschrieb die Situation, dass sich die enge europäische und vor allem deutsche Sichtweise des Datenschutzes international weiter ausbreitet. Sogar in den USA sei ein Datenschutzgesetz im Gespräch, was angesichts der dortigen Vertragsfreiheit auffällig sei. Batlogg andererseits wünscht sich eine Anpassung der Datenschutzgesetzgebung, um die Übertragung von Daten an die “Cloud” zu ermöglichen.

Letztlich sind die Interessen von Nutzern und Betreibern nich vollständig zu vereinbaren. Ein (aus Nutzersicht) perfektes Social Network, so Korth, würde den Netzwerk-Effekt derart untergraben, dass “nur ein altruistischer Provider” es online stellen würde.

January 29 2010

Mobile Sicherheitslücke bei SchülerVZ?

Unsere Berichterstattung über Datenlecks bei SchülerVZ ist nun auch wieder drei Monate her. SchülerVZ hat Besserung gelobt, die technischen Hürden für ein massenhaftes Auslesen hoch gesetzt und hat nun auch ein TÜV Süd-Zertifikat für besonders viel Datensicherheit erhalten. Allerdings scheint man bei den ganzen Maßnahmen die mobile Version vergessen zu haben. Die kann man nicht nur vom Handy aus aufrufen, sondern ganz bequem über den Browser über die URL m.schuelervz.net. Dort surft man dann genauso wie bei der “offiziellen” Version über die Profile. Die Profilseiten enthalten die üblichen Angaben wie Foto, Name, Schule, Alter, Wohnort und darüber hinaus auch Hobbys, Vorlieben, etc.

Das kann man wohl auch Scripte sammeln lassen und die Daten aus dem Netzwerk rausziehen. Technische Schutz-Maßnahmen wie Captchas sind uns nicht aufgefallen. Wir haben darauf verzichtet, Scripte zu schreiben, um zu schauen, wie wir über bewährte Angriffsmethoden wie “von Profil zu Profil springen und alles abspeichern” wieviele Daten massenhaft auslesen können. Uns wurde aber berichtet, dass es diese Scripte gibt und dass sie funktionieren. Wir haben die Hinweise nur manuell verifiziert, indem wir schnell hintereinander zahlreich von Profil zu Profil gesprungen sind. Dabei sind uns keinerlei Sicherheitsabfragen aufgefallen, die nach den Datenlecks bei der “richtigen” Version unter schuelervz.net eingeführt worden sind, um dort massenhaftes Auslesen durch Scripte etwas zu unterbinden.

Wir haben heute diese drei Fragen an SchülerVZ geschickt und warten mal auf eine Antwort:

1. Nach den öffentlichen Datenlecks im Herbst 2009, wo Sicherheitslücken bekannt wurden, die das massenhafte Auslesen von Daten ermöglichten, wurden Sicherheitsmaßnahmen gegen das massenhafte Auslesen getroffen. Warum wurde die mobile Version vergessen, bzw. was wurde dort gemacht?

2. Der TÜV-Süd hat aktuell die VZ-Gruppe zertifiziert. Wurde dabei auch die mobile Version überprüft?

3. Wann wird die mobile Version besser gegen massenhaftes Auslesen gesichert?

Auch hier stellt sich natürlich wieder die Frage, wie oft durch fehlende technische Hürden die Daten von wie vielen Kindern und Jugendlichen ausgelesen worden sind?

Update: SchülerVZ kümmert sich darum und checkt das nochmal. Mir wurde erklärt, dass bei der mobilen Version auf Captchas verzichtet wurde, weil nur eine begrenzte Anzahl an Abrufen pro User und Tag möglich sein soll und das die technische Schutzmaßnahme sei.

December 01 2009

Die SchülerVZ-Datenlecks im Rückblick

Die Frankfurter Rundschau hat die SchülerVZ-Geschichte mit den Datenlecks als Rückblick zusammengefasst: Unter Beobachtung.

Das heißt im Klartext, dass es noch bis vor einem Monat für jeden, der die Grundkenntnisse des Programmierens beherrscht, möglich war, an die Profildaten aller VZ-Nutzer zu gelangen. Problemlos. Es ist deshalb davon auszugehen, dass weit mehr Menschen im Besitz der Daten sind, als bisher angenommen.

November 16 2009

Theoretische Phishing-Attacken gegen VZ-Netzwerke

Einen weiteren Beitrag zur Aktion “Die VZs sollen sicherer werden” hat Carsten de Vries geschrieben. Er berichtete uns vor zwei Wochen über eine Sicherheitslücke in der VZ-Software, über die man im Namen der VZ-Gruppe Mails verschicken konnte. Mit Hilfe dieser Sicherheitslücke hätte man Phishing-Attacken starten können. Wir haben die Informationen über die Sicherheitslücke an die VZ-Gruppe vermittelt, sie wurde halb geschlossen, aber die Angriffsmethode funktionierte immer noch. Erst nachdem wir drohten, diesen Artikel mit der konkreten Beschreibung der Lücke und einer Angriffsmethode zu veröffentlichen, wurde die Lücke jetzt von der VZ-Gruppe als Lücke akzeptiert und ganz geschlossen.

November 07 2009

Spiegel-Story über SchülerVZ, vorab bei Heise [MiniUpdate]

Heise Online berichtet vorab über einen Artikel im am Montag erscheinenden Spiegel, der die Ereignisse um die “Datenklau-Affäre” bei SchülerVZ und den tragischen Selbstmord von Matthias L. in einem etwas anderen Licht erscheinen lassen:

  • - Matthias L. und VZnet hätten mehrere Tage über die Rückgabe der Daten verhandelt
  • - Via Chat sei seitens VZnet mehrfach Geld geboten worden
  • - Matthias L. habe ursprünglich keine kommerziellen Interessen verfolgt
  • - VZnet habe Matthias L. das Taxi von Erlangen nach Berlin bezahlt
  • - Matthias L. habe laut Akten unter einer “kombinierten Persönlichkeitsstörung” gelitten, was seine Unterbringung in einer Einzelzelle in Frage stellt

Klingt sensationell, oder? Muss es ja auch, ist ja eine Spiegel-Story. So funktioniert Magazinjournalismus nunmal. Tatsächlich sind aber nur wenige Aspekte wirklich neu.

Dass Matthias L. im Vorfeld bereits über die – nach der Veröffentlichung in einem Webforum de facto nicht mehr mögliche – “Rückgabe” der Daten verhandelt hatte, ergibt sich bereits aus dem auch hier bei Netzpolitik dokumentierten zeitlichen Ablauf. Auszüge aus den bei Heise Online/im Spiegel erwähnten Chatprotokollen wurden ebenfalls hier in den Kommentaren veröffentlicht (Siehe auch [1] und [2]).

Durchaus plausibel scheint mir auch, dass Matthias L. im Laufe der Gespräche seitens VZnet eine Honorierung im Fall einer kooperativen Zusammenarbeit in Aussicht gestellt wurde. VZnet hat grundsätzlich ein ebenso valides, wie eben auch kommerzielles Interesse, bekannte Sicherheitslücken zu schließen und die Daten seiner Nutzer zu schützen (ganz unabhängig davon, dass das in der Vergangenheit mitunter nur so mittelgut geklappt hat). Auch die Übernahme der Taxikosten von 530 Euro dürften in diesem Zusammenhang sinnvoll investiert sein.

Bleibt die Frage nach der unterstellten Erpressung. Oder besser, ob man im strafrechtlichen Sinne überhaupt von einer Erpressung reden kann. Nach eigenen Angaben sei Matthias L. laut Spiegel nämlich von VZnet-Mitarbeitern gefragt worden, ob “es ihm um Geld oder Ruhm gehe”:

Der Erlanger erklärte in seiner Vernehmung, die VZ-Leute hätten ihn gefragt, ob es ihm um Geld oder Ruhm gehe. Er habe spontan die Summe 80.000 Euro genannt und sich einverstanden erklärt, die “bei mir befindlichen Daten zu löschen”, wenn er bis Montag 20.000 Euro erhalte. “Wenn die mir Geld anbieten”, so L. zur Kripo, “nehme ich es gern an.”

Ist Matthias L. damit zu einer Erpressung genötigt worden? Hat er Geld verlangt? Wie nachdrücklich? Oder wurde es ihm aufgedrängt?

Laut Medienberichten hatte Matthias L. den Tatvorwurf “im Wesentlichen gestanden”. Auch sonst kann man über die kommerziellen Absichten von Matthias L. spekulieren, unter anderem, da er in seinem Blog (inzwischen offline, Kopie liegt uns vor) bereits vor Wochen einen Verkauf seiner Scripte in Aussicht gestellt hatte:

Da mich releativ viele anschreiben und wissen möchten ob der Bot zu verkaufen ist: Nein ist er zz. noch nicht. Später vll. mal wenn ich ihn komplett fertig habe.

Aber all das scheint mir angesichts des tragischen Selbstmords ohnehin weitgehend irrelevant. Weit wichtiger scheint mir die Frage, welche Ratschläge und Tipps man Hackern und – von mir aus – auch Crackern und Scriptkiddies geben kann, wenn Sie auf eine auf Sicherheitslücken – nun – stoßen. Markus hatte das Thema ja schon einmal angerissen, daher nur ein paar kurze Anmerkungen von mir:

  • - Schätzt eure Position realistisch ein. Mag sein, dass ihr am Gerät mächtig was drauf habt. Draussen in der Realität gelten andere Spielregeln. Wenn überhaupt Spielregeln beachtet werden.
  • - Bittet jemanden um Hilfe, der sich mit sowas auskennt. Das müssen nicht unbedingt wir hier bei Netzpolitik sein, auch wenn wir im Fall des Falles natürlich gerne helfen. Ihr könnt euch zum Beispiel an den Chaos Computer Club wenden, wo ihr Leute findet, die sich nicht nur mit Sicherheitslücken auskennen, sondern auch wissen, wie man mit Unternehmen spricht – oder euch wenigstens gute Anwälte empfehlen können. Kontaktadressen gibt es hier und hier. Frank Rieger und Volker Birk sind, das könnt ihr leicht googeln, schon recht lange dabei. Die wissen, wovon sie reden.
  • - Wenn ihr unbedingt selber “verhandeln” wollt (Nochmal, das ist, ausser bei Kleinigkeiten, meist eine ziemlich schlechte Idee!), sichert euch ab und nehmt glaubhafte Zeugen mit.

November 04 2009

SchülerVZ-Suizid im Abgeordnetenhaus

Der Rechtsausschuss des Berliner Abgeordnetenhauses hat heute in einer nicht-öffentlichen Sitzung über den Suizid des 20-jährigen diskutiert, der SchülerVZ erpresst haben soll. Nach unseren Informationen kam dabei nur die neue Information heraus, dass es ein psychologisches Betreuungsgutachten vom Jugendamt Erlangen über den Suizidenten gab, von der die Haftanstalt aber nichts wusste. Und man hatte es auch nicht nötig gehalten, da näher zu recherchieren. Das Jugendamt Erlangen hatte in dem Gutachten empfohlen, dass der 20-jährigen in Betreuung kommt. Das lässt Zweifel an der Haftfähigkeit aufkommen. In der Frage eines mutmaßliches Schweigegeldes, was gestern der Anwalt des Suizidenten als Vorwurf gegen SchülerVZ in die Öffentlichkeit geschmissen hat, gab es keine Neuigkeiten.

Reposted byhgn hgn
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.
(PRO)
No Soup for you

Don't be the product, buy the product!

close
YES, I want to SOUP ●UP for ...