Its not a Sicherheitslücke, its a feature!

1,6 Millionen Datensätze der meist minderjährigen Nutzer konnten maschinell aus den Datenbanken des sozialen Netzwerkes SchuelerVZ ausgelesen werden. Das entspricht etwa einem Drittel der angemeldeten Nutzer. Damit dürfte der TÜV Süd recht dumm da stehen, hatte man doch erst vor kurzer Zeit die VZ-Netzwerke überprüft. Die VZ-Netzwerke machte mit dem Prüfsiegel auch entsprechend große Werbung:

Markus Berger-de León, CEO der VZ-Netzwerke: „Wir freuen uns sehr, dass nun auch eine unabhängige Stelle bestätigt hat, dass die Daten unserer Nutzer sicher sind und sich unsere Nutzer zudem auf zentrale Funktionalitäten wie die Privatsphäre-Einstellungen verlassen können. Dies entspricht unserem Versprechen, welches wir anlässlich der Kampagne „Meine Daten gehören mir“ ausgesprochen haben. “

Von sicheren Daten kann wohl keine Rede mehr sein wenn es keinen Schutz gegen maschinelles Auslesen gibt. Eventuell hätte man den Satz beim Testbericht der Stiftung Warentest lesen sollen. Hier schreibt man über das TÜV-Prüfsiegel:

Eine Sicherheitsgarantie bedeutet das aber nicht – denn wichtige Sicherheitsaspekte überprüft der Tüv gar nicht.

Entsprechend interessant sind die Erklärungsversuche der VZ-Gruppe und des TÜVs mit denen man versucht das Siegel doch noch zu rechtfertigen. Beim TÜV sieht man die Sache pragmatisch:

“Es handelt sich nach unserem Verständnis nicht um eine Sicherheitslücke”, sagte TÜV-Sprecher Thomas Oberst. Der Informatikstudent habe es nur geschafft, frei zugängliche Daten zu kopieren”, man könne das umgekehrt auch so interpretieren, dass “er an die geschützten Daten offenbar nicht herangekommen ist”.

Im Klartext heißt dass, man hat wohl gar nicht geprüft ob es Möglichkeiten gibt aus den öffentlichen VZ-Datensätzen schöne maschinelle Listen zu erstellen. Das ist merkwürdig, denn genau weil es bereits im Vorfeld solche Fälle gab hatte die VZ-Gruppe das TÜV Siegel beauftragt. Und die VZ-Netzwerke leben davon, dass Nutzer auffindbar sind. Nur wenn genug Daten öffentlich sind um Freunde erkennen wiederzufinden sind die Netzwerke sinnvoll. Es müssen also bestimmte Infos öffentlich sein, aber diese sollten doch bitte geschützt sein und eben nicht frei zugänglich für jeden maschinellen Adress-Sammler. Eventuell sollte der TÜV hier seine Zertifizierungsrichtlinien auch nochmal überdenken.

3 Kommentare zu "Its not a Sicherheitslücke, its a feature!"

  1. Ich weiß nicht warum da immer so ein Wind gemacht wird, wenn FREI ZUGÄNGLICHE Daten ausgelesen werden?! Wenn ich was öffentlich irgendwo einstell muss ich ganz einfach wissen was ich da mach.

  2. Bastian | Mai 5, 2010 um 15:39 |

    Das mag zutreffen wenn es um Erwachsene gilt. SchuleerVZ hat aber in erster Linie Kinder und Jugendliche als Zielgruppe – da kann man nicht voraussetzen, dass die mit der Problematik des Datenschutzes (die viele Erwachsene bereits überfordert) vertraut sind.

  3. Eventuell sollte der TÜV seine Zertifizierungsrichtlinien nochmal überdenken.

    ~d3wd

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*