Handel mit Daten

Skandaljahr 2009: Datenlecks statt Datenschutz

Nicht strafbar: Datenklau bei SchülerVZ

Ganz anders gelagert aber im Prinzip vorhersehbar war der Fall des 20-Jährigen, der sich aus einem sozialen Netz, dem Internet-Netzwerk SchülerVZ in Berlin, bediente und persönliche Daten von angeblich bis zu 1,6 Millionen Nutzern kopiert hatte. Damit wollte er 80.000 Euro von den Betreibern erpressen.

Der junge Mann hatte die Daten über Sicherheitslücken ausgelesen. Darunter befanden sich auch sensible personenbezogene Daten. Die hätten eigentlich nur für Freunde der Mitglieder zugänglich sein sollen.

Bemerkenswert an diesem Datenklau ist, dass sich der Täter mit dieser Form von Datenmissbrauch nicht einmal strafbar gemacht hatte. Denn als Datendiebstahl unter Strafe steht allein, wenn dafür illegal Schutzmaßnahmen ausgehebelt werden. In diesem Fall stand das Tor zum System weit offen. Wie schon im Fall der Bundesagentur waren für den Informationsdiebstahl keine Programmierkenntnisse nötig. Es reichte eine weit verbreitete Software und etwas Kombinationsgeschick. Das Design des Systems habe geradezu dazu eingeladen, Daten abzugreifen, konstatiert die Datenschutz-Spezialistin Hansen. Der 20-Jährige hatte die zum Schutz vor dem Ausspähen genutzten Grafik-Bestandteile, sogenannte Captchas, mühelos auslesen können.

Tragisches Ende des Vorfalls: Der junge Mann beging in Untersuchungshaft Selbstmord.

Sparkassenverlag revisited: Leck bei Libri

Nur wenige Tage nach dem SchülerVZ-Datenklau ging der Reigen der Missbrauchsfälle munter weiter. Über 500.000 Rechnungsdaten von Kunden des Online-Buchhändlers Libri aus Hamburg waren ohne weiteres einsehbar.

Auf der Plattform des Buchhandels-Grossisten Libri ließen sich - wieder ohne Fachexpertise - detaillierte Daten von mehr als 20 000 Kunden auslesen. Zu den Informationen zählten Kundenname, gekaufte Artikel, Art der Zahlung etc. Ironisches Detail: Libri hatte seine Online-Plattform vom TÜV Süd als sicheren Internet-Shop zertifizieren lassen.

Dass solcherlei vermeintliche Vertrauensbeweise kein Garant für sicheres Online-Shopping sind, zeigte eine Untersuchung von "heise security": Danach waren auch andere Websites von Online-Shops gefährdet, obwohl auch sie mit dem vermeintlichen Gütesiegel "Safer-Shopping" warben.