summaryrefslogtreecommitdiff
path: root/updates/2009/haefft-datenloch.md
blob: 437f2bc29affa3fee93a52d82283120f36bf3a0d (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
title: Datenskandal bei haefft.de: Privatleben von tausenden Kindern offen im Netz
date: 2009-12-04 22:48:00 
updated: 2009-12-06 10:11:10 
author: presse
tags: update, pressemitteilung, datenverbrechen

Private Daten von tausenden Kindern und Jugendlichen waren auf dem Kinderportal haefft.de für jeden Interessierten frei zugänglich. haefft.de ist eines von mehreren Social-Network-Unternehmen in Deutschland, deren fragwürdiges Geschäftsmodell die Erfassung, Speicherung und Auswertung intimster Daten von Kindern und Jugendlichen ist. Über die unter Kindern bekannte Plattform sammelt der Betreiber Haefft-Verlag Informationen wie Fotos, Adressen, Freunde, Hobbies, Vorlieben und private Nachrichten von Schülern untereinander. Der Chaos Computer Club (CCC) hat die Betreiber informiert und sie aufgefordert, das Angebot unverzüglich vom Netz zu nehmen. Zum Schutz der Kinder ist dies nun erfolgt.

<!-- TEASER_END -->

Jedes Zugangskonto der Kinder soll durch ein Paßwort geschützt sein.
Jedoch konnten auch ohne Mühe und ohne Kenntnis dieses Paßwortes alle
hinterlegten Daten der Schüler eingesehen werden. Selbst die
Administrationskonten der offenkundig ungesicherten Plattform waren frei
zugänglich. Somit konnten sämtliche gespeicherten Daten aller Nutzer von
jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist.
Darüberhinaus konnte sich jeder als ein angemeldetes Kind ausgeben und
als dieses in der Community agieren. Dafür machte es haefft.de
Neugierigen besonders leicht: Passende und ständig neue Nutzernamen
wurden noch vor dem Einloggen auf der Community-Seite per "Grußkarte"
offenbart – bereit zum Kopieren und Einfügen in das Anmeldefeld.

Nach den jüngsten Datenskandalen bei SchülerVZ und anderen Plattformen
stellt sich durch diese erneute Schwachstelle die Frage immer
eindringlicher, ob man solchen sozialen Netzwerken vertrauen darf. Die
Anbieter können nicht einmal ein Mindestmaß an Sicherheit gewährleisten
und verfügen offenbar nicht über genügend Sachverstand. Erst nach
mehreren Gesprächen wurde dem Schutz der Kinder wegen die löchrige
Plattform vom Netz genommen. Jedoch sollten Datenpannen ausgerechnet in
Systemen, die hauptsächlich Kinder ansprechen, von vornherein
ausgeschlossen sein. Eine öffentliche Diskussion ist lange überfällig.
Der an den Tag gelegte Leichtsinn im Umgang mit persönlichen Daten –
noch dazu mit denen von Kindern – gehört zu den schlimmsten
Datenverbrechen unserer Zeit. Doch nicht nur technische Datenlecks
lassen die Frage nach dem Gefahrenpotential der gehorteten Daten
aufkommen: Was geschieht beispielsweise mit ihnen, wenn der Betreiber
pleitegeht, übernommen oder weiterverkauft wird?

Der Sprecher des CCC, Dirk Engling, faßt das Problem plastisch zusammen:
"Persönliche Daten sind wie Plutonium. Wenn zuviele davon auf einem
Haufen liegen, wird es kritisch." Zu den technischen Details konstatiert
er: "Die Entwickler bei haefft.de haben sich dabei so ziemlich alle
Anfänger-Programmierfehler geleistet." Die Kennwörter waren nicht wie
üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit
dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die
Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten
des Benutzers wurden ungefiltert als Befehl an die Datenbank
weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung
der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt.

"Um die Größenordnung des Problems zu verstehen, muß betont werden, daß
hier von einem Totalversagen der Programmierer, aber auch schon bei der
Konzeption der Plattform auszugehen ist. Dies führte dazu, daß alle
Daten der Kinder zugänglich waren", erläuterte Engling. "Es gab nicht
einmal rudimentäre Sicherungen, die Sorgfaltspflichten für den Umgang
mit derartig sensiblen Daten wurden sträflich verletzt."

Der CCC fordert seit Jahren die Verschärfung der Haftung für derartige
Datenverbrechen sowie umfangreiche Mitteilungspflichten für
datenverarbeitende Unternehmen. Angesichts der sich häufenden Probleme
gerade bei Datensammlern, die Kinder und Jugendliche ansprechen, sind
dringlich straffe gesetzliche Regelungen erforderlich, die derartige
Geschäftsmodelle unterbinden.