Quelle: willdammo.com

Ein Bericht in der kommenden Spiegel-Ausgabe wirft Fragen zum Vorgehen des SchülerVZ-Betreibers VZnet und der Justiz im Zusammenhang mit der Festnahme des SchülerVZ-Hackers auf, der sich in der Untersuchungshaft das Leben nahm . So hatten VZnet und der 20-jährige mehrere Tage lang über die Rückgabe der Daten verhandelt, nachdem das Unternehmen von dem Datenklau informiert worden war.

Nach dem Spiegel-Bericht hat der Technikchef von VZnet den Hacker per Chat kontaktiert. Laut dem Chat-Protokoll, das dem Spiegel offenbar vorliegt, habe die Firma selbst mehrfach das Thema Geld angesprochen. Wenn man es schaffe, die Daten zu lokalisieren und zu löschen, so dürfe "uns das auch was kosten“. An anderer Stelle schrieb der Technikchef "du – und andere können bei uns rumhacken wie sie wollen. ich bezahl euch sogar gerne dafür!“ Unter einer Bedingung: "wenn ich jemanden dafür bezahle, möchte ich, dass das nicht public wird“. Auf die Frage, was der junge Mann mit dem Datensammeln erreichen wolle, antwortete er: "gar nichts, das war’n just4fun projekt“. Dies entspricht auch der Darstellung des Verteidigers, demzufolge es ihm nicht ums Geld gegangen sei.

In einem Chat am 17. Oktober sei der VZnet-Mann dann zur Sache gekommen: "also, was ist sache. kooperation oder krieg?“ Sein Gegenüber entschied sich scheinbar für Kooperation. Er nannte seinen Namen und seine Anschrift und willigte ein, in die Berliner VZnet-Zentrale zu kommen. Am späten Abend des nächsten Tages erreichte er die Geschäftsräume, die Taxirechnung von 530 Euro bezahlte das Unternehmen.

Über den Verlauf der weiteren Verhandlungen gebe es unterschiedliche Versionen. Der VZnet-Technikchef habe der Polizei gegenüber ausgesagt, dass der Hacker sofort 20.000 Euro verlangt habe. Der Erlanger dagegen erklärte, er sein von den VZnet-Mitarbeitern gefragt worden, ob es ihm um Geld oder um Ruhm gehe. "Wenn die mir Geld anbieten“, soll er der Polizei gegenüber ausgesagt haben, "nehme ich es gern an.“ Der Verteidiger des Hackers hält es bei dieser Sachlage für unwahrscheinlich, dass sein Mandant wegen versuchter Erpressung verurteilt worden wäre.

Nach dem Spiegel-Bericht sei aktenkundig gewesen, dass der Hacker unter einer "kombinierten Persönlichkeitsstörung" litt, was Fragen zu seiner Unterbringung in einer Einzelzelle aufwirft. In einer Sitzung des Rechtsausschusses im Berliner Abgeordnetenhaus hatte die Justizsenatorin Gisela von der Aue (SPD) gesagt, dass der Verhaftete keine Hinweise auf etwaige Selbsttötungsabsichten gegeben, sondern einen "lockeren und aufgeschlossenen Eindruck" gemacht habe.

Quelle:   heise.de

Selbstmord von schülerVZ-Hacker

"Kooperation oder Krieg?"

Von Sven Röbel und Marcel Rosenbach

Gab es im Fall schülerVZ wirklich eine Erpressung? Oder wollte Matthias L. mit dem Hackerangriff nur das eigene Ego pflegen? Nach dem Selbstmord des 20-Jährigen zeigt sich: Der Fall wirft weiterhin viele offene Fragen auf. Das Web-Unternehmen und die Justiz geraten in Erklärungsnot.

Für seine Bekannten war Matthias L. einfach nur Matze, der unscheinbare Hauptschulabsolvent, der zwei Ausbildungen abgebrochen hatte und von Hartz IV lebte. Er war erst 20, hatte aber schon eine laufende Bewährungstrafe wegen diverser Betrugsdelikte und hauste in einer "Verfügungswohnung" der Stadt Erlangen. Von dort tauchte er täglich für bis zu zehn Stunden in seine eigentliche Lebenswelt ein, in der er sich nicht als Verlierer fühlte, sondern als Teil der digitalen Untergrund-Elite: ins Internet.

Es war kein Hacker-Angriff im eigentlichen Sinne, denn Exit knackte diesmal nicht die Datenbank, sein Hilfsprogramm sammelte nur die Profildaten ein, die VZ-Nutzer eingegeben hatten und die im Netz frei abrufbar waren. 2,7 Millionen Datensätze, prahlte Exit, habe er so gesammelt: Name, Alter, Schule und sogar Fotos. Ob das alleine strafbar ist, ist rechtlich umstritten - immerhin konnte jeder VZ-Nutzer die Informationen abrufen. Dem Unternehmen zufolge ist das automatisierte "Crawlen unter Umgehung von Zugangssperren illegal". Das sieht L.s Verteidiger Ulrich Dost anders: Sein Mandant habe nämlich gar keine Sperren überwinden müssen.

Mit seinem Scoop hielt Exit nicht hinter dem Berg: Schon im Mai veröffentlichte er ein Video bei YouTube, das sein Programm beim Saugen der Daten zeigte.

Verheerendes "just4fun Projekt"

Es hätte nun so laufen können, wie bei den jüngsten Datenlecks bei Libri oder beim Sparkassen-Shop, wo Unbefugte sogar Online-Zugriff auf Hunderttausende Rechnungen hätten nehmen können: Die Firma schließt die Lücke und verspricht, besser auf den Schutz der Daten zu achten.

Im Fall von Matthias L. lief es dramatisch anders. Der Datenfischzug begann wie ein Krimi und endete in einer Tragödie - mit dem Selbstmord des Erlangers in der Berliner Untersuchungshaft am vorvergangenen Wochenende.

Die Geschichte wirft viele Fragen auf, nicht nur nach seinem Fehlverhalten, sondern auch nach dem Umgang des Unternehmens und der Justiz mit dem Fall. Sie hat sich wie ein Lauffeuer im Internet verbreitet, wo sich schon nach kurzer Zeit wilde Verschwörungstheorien um das Schicksal des Matthias L. zu ranken begannen, das am Vormittag des 17. Oktober seinen Lauf nahm.

An jenem Samstag, um 11.12 Uhr, nahm der Technikchef der VZ-Gruppe, Jodok B., via Internet-Chat Kontakt zu Exit auf. B. stand unter Stress. Am Tag zuvor hatte das renommierte Blog Netzpolitik.org berichtet, dass die VZ-Gruppe ein Sicherheitsleck habe, ausgerechnet im besonders sensiblen Schülerbereich. Für das Unternehmen zeichnete sich ein Imagedesaster ab.

Matthias L. gab sofort zu, der Urheber des Problems zu sein und die Daten zu besitzen. Auf die Frage, was er damit erreichen wolle, antwortete er: "gar nichts, das war'n just4fun Projekt".

"Also, was ist Sache?"

Zwischen dem Firmenvertreter und dem Internet-Freak entspann sich ein stundenlanger Dialog, in dem B. mal lockte, mal drohte - und in dem die Firma selbst mehrfach das Thema Geld ansprach. Wenn man es schaffe, die Daten zu lokalisieren und zu löschen, so B., dürfe "uns das auch was kosten", so der VZ-Mann. An anderer Stelle schrieb er "du - und andere können bei uns rumhacken wie sie wollen. Ich bezahl euch sogar gerne dafür!", allerdings nannte er eine Bedingung: "Wenn ich jemanden dafür bezahle, möchte ich, dass das nicht publik wird."

Das Unternehmen bestritt vorige Woche per Pressemitteilung, dass es zuerst die VZ-Seite gewesen sei, die L. Geld für die Daten oder den Crawler in Aussicht gestellt habe. Vom SPIEGEL mit den entsprechenden Chat-Passagen konfrontiert, sagt VZ-Geschäftsführer Markus Berger-de León, er bleibe bei dieser Darstellung: "Zu Einzelheiten nehme ich keine Stellung." Er spricht aber auch von "einer Tragödie in zwei Kapiteln", er sei immer noch "tief geschockt". Alles, was nach dem Eintreffen der Polizei passiert sei, liege aber in der Verantwortung der zuständigen Behörden und des Strafverteidigers.

Im jenem langen Chat am 17. Oktober bot der VZ-Mann B. seinem Gegenüber auch an, einen Anwalt zu vermitteln. Erst um 17.22 Uhr verlor er die Geduld: "Also, was ist Sache? Kooperation oder Krieg?" Matthias L. entschied sich scheinbar für Kooperation. Er verriet seinen Namen und seine Anschrift und willigte ein, nach Berlin zu kommen.

Geld oder Ruhm

Am Tag darauf, gegen 22.00 Uhr, erreichte Exit die Geschäftsräume von schülerVZ in Berlin-Mitte, die Taxirechnung von 530 Euro beglich das Unternehmen. In einem Besprechungszimmer verhandelte "Exit" mit vier VZ-Leuten. Über den Inhalt gibt es verschiedene Versionen. Der VZ-Technikchef hat gegenüber der Polizei ausgesagt, L. habe behauptet, ein Kaufangebot für seine Daten über 80.000 Euro erhalten zu haben. Für eine weitere Kooperation verlange er 20.000 Euro und zwar sofort. An diesem Punkt habe man die Polizei verständigt, die L. um 23.35 Uhr in den Firmenräumen festnahm.

Der Erlanger behauptete in seiner Vernehmung hingegen, die VZ-Leute hätten ihn gefragt, ob es ihm um Geld oder Ruhm gehe. Daraufhin habe er spontan die Summe 80.000 Euro genannt. Er habe sich einverstanden erklärt, die "bei mir befindlichen Daten zu löschen", wenn er bis Montag 20.000 Euro erhalte. "Wenn die mir Geld anbieten", so L. zur Kripo, "nehme ich es gerne an."

Ob ein Richter das als Erpressungversuch gewertet hätte, wird nicht mehr zu klären sein. Auch wegen seiner Bewährungsstrafe kam L. in Untersuchungshaft, in eine Einzelzelle - obwohl aktenkundig war, dass er an einer "kombinierten Persönlichkeitsstörung" litt, die sich laut psychiatrischem Gutachten bereits "chronifiziert" hatte. Dort, im Haftraum 228 der Jugendstrafanstalt Berlin-Plötzensee, fanden Beamte ihn am 31. Oktober gegen 6.10 Uhr. Der 20-Jährige hatte sich offenbar mit Hilfe eines Bettlakens am Fenster erhängt.

Quelle: spiegel.de

Merkel verspricht High-Speed-Internet für Millionen Deutsche

Eine neue delikate Datenschutz-Lücke erreichte uns am Wochenende. Auf dem Sparkassen-Finanzportal findet sich ein Sparkassen-Shop (”Durchdachte Produkte für Ihre Finanzen”), über den man allerlei Waren kaufen kann. Dazu zählen die Top-Angebote “Star Money 7.0″, das “Update Star Money 7.0″ oder sicherlich besonders begehrte Publikationen wie den “Branchenreport Augenoptiker” als PDF-Ausgabe für 25 Euro. Der Shop wird von der Deutsche Sparkassen Verlag betrieben und auf sparkasse.de eingebunden.

Soweit so gut. Unsere Quelle berichtete, dass man als eingeloggter Nutzer auf alle Rechnungen zugreifen konnte. Möglich machte dies eine Lücke im System. Wenn man sich in der eigenen Bestellhistorie die eigenen Bestellungen anschauen wollte, konnte man über die Änderung einer ID auch jede andere Rechnung im System anschauen. Dazu reichte die Verwendung des Firefox-AddOn Firebug, der den Sourcecode einer Seite anzeigt und damit kann man diesen direkt verändern. Wir brauchten uns nur mit Firebug anzuschauen, welche Zahl hinter dem Button “Details” in der Bestellhistorie übergeben wird und mussten lediglich diese Zahl ändern. Statt “333333″ konnte man sich auch die Rechnung “222222″ anschauen. Das klappte ohne programmieren. Damit hatten wir Zugriff auf fast 350.000 Rechnungen im Sparkassen-Shop!

Wir probierten durch, was wohl die erste Rechnung im System ist. Die niedrigste Zahl war 001000, dann hatten wir keine Lust mehr, denn 000500 war noch offensichtlich ein Test ohne Bestellinhalt. Die Rechnung mit der Nummer 001000 war aus dem Oktober 2006. Jede Rechnungsnummer zwischen 001000 und der aktuellen Zahl (etwas unter 350.000) klappte und war eine eigene Rechnung.

Was konnte man auf der Rechnung sehen?

Die Rechnung enthielt alle relevanten Informationen, die man in der Regel auf einer solchen vorfindet. Name, Anschrift, gekauftes Produkt, Liefer- und Rechnungsadresse, dazu die Einkaufszeit und die Zahlungsweise. Hier konnte man in der Regel davon ausgehen, dass die Kunden alle bei der Sparkasse sind.

Insofern fanden wir die Zahlungsart (Häufig Bankeinzug), Kontoinhaber, Bankleitzahl und den Name der Bank. Die Kontonummern waren bis auf die letzten vier Zahlen zur Sicherheit geschwärzt. Aber wer konnte von den Entwicklern auch ahnen, dass es anscheinend sehr kleine Orts-Sparkassen gibt, die nur vierstellige Kontonummern haben? Die Sparkasse Holstein Eutin scheint so eine zu sein, wie wir mit einer Suchmaschine verifizieren konnten. Also hatten wir auch Zugriff auf manche komplette Bankdaten.

Wir haben es mangels Interesse nicht verifiziert, aber unsere Quelle sprach davon, dass es auch kein Problem sei, mit Hilfe eines Scripts alle Rechnungen nacheinander bequem herunter zu laden. Die im Shop erworbenen Produkte wie der “Branchenreport Augenoptiker” oder “Star Money 7.0″ sind nicht ganz so heikel wie z.B. die gekauften Bücher in den Libri-Stores. Aber man fragt sich doch, wie es um die allgemeine IT-Sicherheit der Sparkassen gestellt ist, bei denen ich Online-Banking mache, wenn wir Zugriff auf 350.000 Rechnungen in ihrem Shop hatten.

Die Deutscher Sparkassen Verlag GmbH sitzt in Stuttgart. Wir haben sie gestern über die Situation informiert und Zeit zur Behebung der Lücke gegeben. Am späten Nachmittag bekamen wir die Antwort, dass die Lücke behoben sei und uns wurde noch ein Statement für heute versprochen.

*Nach Hinweis kleine Änderung am Anfang gemacht, weil das deutsche Finanzportal nicht vom Deutsche Sparkassen Verlag betrieben wird, die nur den Shop dafür liefern.

Quelle: Netzpolitik.org

.