(PR-inside.com 06.11.2009 15:08:02) - Vieles ist unklar im Fall der von mehreren Unbekannten unabhängig
voneinander gesammelten Nutzerdaten vom Online-Netzwerk SchülerVZ.
Matthias L., ein 20-jähriger mutmaßlicher Erpresser des Unternehmens
VZnet Netzwerke (SchülerVZ, StudiVZ, MeinVZ), hatte mit einem
Sammelprogramm, einem sogenannten Crawler, Daten erfasst und
gespeichert.
Ausdrucken
Per e-Mail empfehlen
Berlin (ddp). Vieles ist unklar im Fall der von mehreren Unbekannten unabhängig voneinander gesammelten Nutzerdaten vom Online-Netzwerk SchülerVZ. Matthias L., ein 20-jähriger mutmaßlicher Erpresser des Unternehmens VZnet Netzwerke (SchülerVZ, StudiVZ, MeinVZ), hatte mit einem Sammelprogramm, einem sogenannten Crawler, Daten erfasst und gespeichert. Er wurde festgenommen,
nachdem er das Unternehmen zur Zahlung von 80 000 Euro aufgefordert oder andernfalls die Veröffentlichung der zuvor von ihm ausgespähten Nutzerdaten angedroht haben soll.
L. nahm sich am vergangenen Wochenende in der Untersuchungshaft das Leben, wenige Tage später stellte sein Rechtsanwalt den Tatvorwurf der Erpressung infrage. Auch zwei weitere Quellen hatten Daten des Netzwerks gesammelt, von denen noch immer ungeklärt ist, wie sensibel sie tatsächlich sind.
Der Berliner Rechtsanwalt Ulrich Dost vertrat den 20-Jährigen bis zu dessen Tod. Der Strafverteidiger will seinen verstorbenen Mandanten nicht heroisieren, das Aufdecken von Sicherheitslücken im sozialen Netzwerk sei «sicher nicht» dessen Anliegen gewesen. Eher habe er das Einsammeln der Daten als «Just-for-Fun-Projekt gesehen», sagt Dost im ddp-Gespräch. Er sagt, dass es Hinweise darauf gebe, dass keine Erpressung vorlag, sondern das Unternehmen seinem Mandanten von sich aus ein Angebot unterbreitet hätte.
Auslöser des mutmaßlichen Datenskandals bei den VZnet-Netzwerken waren bereits zuvor 1,6 Millionen Datensätze, die dem Internetblog netzpolitik.org von einer ersten Quelle zugespielt wurden. «Das Motiv der Quelle war, Sicherheitslücken aufzudecken», sagt «Netzpolitik»-Chefredakteur Markus Beckedahl auf ddp-Anfrage. Der Nutzer sei frustriert gewesen, dass das Unternehmen über Monate hinweg nicht auf offenkundige Mängel reagiert habe. Unter den gesammelten Daten waren für alle angemeldete Nutzer einsehbare Angaben wie etwa die Namen.
Als der aus dem bayerischen Erlangen stammende L. davon hörte, kontaktierte auch er netzpolitik.org. Für den Grund gibt es verschiedene Angaben: Dost sagt, sein Mandant habe zeigen wollen, dass er schon viel früher einen Weg zur Datensammlung gefunden hatte, die zwar nicht strafbar, laut den Geschäftsbedingungen der Netzwerke aber untersagt ist. Beckedahl sagt, der 20-Jährige habe gemutmaßt, bei den vorliegenden Daten würde es sich um die von ihm gesammelten handeln.
Per Mail tauschte sich Beckedahl ein paar Mal mit L. aus, «sein Motiv für das Sammeln blieb dabei unklar». Der Blogbetreiber trat daraufhin als Vermittler zwischen dem jungen Mann und den VZ-Netzwerken auf, ebenso hatte er es zuvor zwischen dem Unternehmen und seiner ersten Quelle getan. Kurz darauf brach der Kontakt zu L. ab.
Der 20-Jährige war inzwischen direkt mit den VZ-Netzwerken in Kontakt getreten, zunächst über einen Chat. Dort erhielt er nach Angaben seines Anwalts ein erstes «unbeziffertes» Angebot vom Unternehmen. Diese räumt auf Nachfrage nur ein, dass es mit L. Gespräche gab. Ein von Dost ins Spiel gebrachtes Schweigegeld sei nicht angeboten worden.
Für einen abgebrühten Erpresser wäre das Verhalten von L. in der Folge durchaus naiv gewesen. Auf VZ-Kosten fuhr er mit einem Taxi von Erlangen nach Berlin, er verhandelte in den Geschäftsräumen mit Vertretern des Unternehmens. Irgendwann kippte die Stimmung und L. saß nicht mehr als Datensammler, sondern als Erpresser vor den VZ-Vertretern. 80 000 Euro habe er gefordert und andernfalls - so die Darstellung der VZ-Netzwerke - den Verkauf der Daten angedroht.
L. wurde kurz darauf festgenommen. Ein unbeschriebenes Blatt war er zuvor nicht, er erhielt bereits eine Haftstrafe von einem Jahr und drei Monaten auf Bewährung wegen Internetbetrügereien. Auf der Auktionsplattform Ebay hatte er Waren angeboten und sich diese ohne Gegenleistung bezahlen lassen. Die Vorstrafe war nach Angaben von Berlins Justizsenatorin Gisela von der Aue (SPD) auch der Grund, den 20-Jährigen in Untersuchungshaft zu nehmen, um die Fluchtgefahr auszuschließen.
Nach der Festnahme wandte sich eine dritte Quelle an Netzpolitik - dieses Mal mit 118 000 Datensätzen, die auch private, nur für Freunde einsehbare Informationen beinhalteten, darunter E-Mail-Adressen und Geburtstage. Auch diesem Nutzer sei es darum gegangen, Sicherheitslücken aufzudecken, sagt Beckedahl, der die Daten in Absprache mit seinem Informanten dem Verbraucherzentrale Bundesverband und dem Berliner Datenschutzbeauftragten übergab.
Das Unternehmen gibt sich zu allen Details einsilbig. Anfragen werden mit dem Verweis auf den firmeneigenen Blog beantwortet, auf dem die neuesten Entwicklungen kommentiert werden. Auf Nachfragen wollen sich die VZ-Netzwerke nicht äußern.
Dabei könnten die gesammelten Daten für das Unternehmen ein unangenehmes Nachspiel haben: «Wir sind dabei zu prüfen, ob ein Verstoß gegen das Bundesdatenschutzgesetz vorliegt», sagt Anja-Maria Gardain, Sprecherin des Berliner Datenschutzbeauftragten Alexander Dix. Das Gesetz sieht bei Verstößen Bußgelder von bis zu 300 000 Euro vor. Was genau momentan Bestandteil der Prüfung ist und welche Daten dabei ausschlaggebend sind, wird derzeit nicht kommentiert.
Über «Netzpolitik»-Chef Beckedahl versuchten die VZ-Netzwerke, Kontakt mit dessen erster und dritter Quelle aufzunehmen, die jeweils auf Sicherheitslücken aufmerksam machten. Seine Informanten, sagt Beckedahl, seien daran jedoch - trotz schriftlich fixierter Zusage des Unternehmens, sie nicht rechtlich zu belangen - nicht interessiert.
(ddp)
Erklärung:
Das Copyright für sämtliche Nachrichten und Bilder, die mit ddp gekennzeichnet sind und auf PR-inside.com publiziert werden, obliegt der Nachrichtenagentur ddp Deutscher Depeschendienst GmbH. Wenn Sie Fragen zu den veröffentlichten Meldungen haben, kontaktieren Sie bitte ddp.
