© Somo/ZEIT Online

Nicht ohne Grund ist das soziale Netzwerk SchülerVZ – das wie ZEIT ONLINE zur Mediengruppe Holtzbrinck gehört – nur denen zugänglich, die darüber kommunizieren sollen: Schülern zwischen 12 und 18 Jahren. Erwachsene haben keinen Zutritt, und den Betreibern ist wohl bewusst, dass Datenschutz für sie höchste Priorität hat. Immerhin soll SchülerVZ laut Eigenwerbung "ein sicheres Umfeld" bieten.

Doch im Internet ist nichts wirklich sicher. Hackern ist es offenbar gelungen, zumindest Teile der Datenbanken mit Profilinformationen von fast einem Viertel der Nutzer auszulesen. Diese Daten sind nur für Mitglieder des Netzwerkes sichtbar. Dem Blog Netzpolitik liegt ein Teil dieser kopierten Daten vor. Insgesamt treffen sich fünf Millionen minderjährige Schüler in dem sozialen Netzwerk.

Die Quelle der gehackten Daten ist anonym. Doch die Listen, die auch ZEIT ONLINE in Auszügen vorliegen, sind detailliert. Der Datensatz von mehr als einer Million Nutzern soll laut Netzpolitik Profil-ID, Name und dazugehörige Schule samt ID enthalten. Ein zweiter, kleinerer Datensatz soll noch detailliertere Informationen wie Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild umfassen, wobei auch der Link zu dem Bild dazugehören soll.

Damit könnten die Listen beispielsweise sortiert werden nach Merkmalen wie "alle Schüler aus Berlin" oder "alle Schülerinnen im Alter von 13, die in Siegen wohnen, samt Bild und ihrer Schule".

SchülerVZ wurde von ZEIT ONLINE über das Leck informiert, eine direkte Antwort steht noch aus. Auf dem Blog des Unternehmens aber steht inzwischen: "Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen und Kopien einzelner der für alle  schülerVZ-Nutzer sichtbaren Daten angelegt: Name, Schule, Geschlecht, Alter, Profilfoto. Es handelt sich hierbei explizit nicht um Daten wie Postadressen, Email Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten."

Der Eintrag legt nahe, dass jemand einen Account hatte und von diesem aus die Profilseiten anderer Nutzer ansurfte und dann kopierte. Bei der schieren Menge der aufgetauchten Daten ist das sehr unwahrscheinlich. Markus Beckedahl, der Netzpolitik-Blogger, der zuerst darüber berichtet und der Kontakt zu den Hackern hat, schreibt daher auch: "Hier wurden Scripte verwendet und eine sogenannte CSRF-Lücke genutzt (”Cross Site Request Forgery”). Wäre schön, wenn SchülerVZ das korrigieren könnte. Ich habe sie darauf hingewiesen."