Der Chaos Computer Club (CCC) stellte eklatante Sicherheitslücken bei der Schüler-Communiy haefft.de fest. Offenbar haben die Entwickler nicht mal ein Mindestmaß an Passwortsicherheit gewährleisten können.
Auf der Webseite von haefft.de konnten Schüler Fotos, Adressen, Freunde, Hobbys, Vorlieben angeben, sowie private Nachrichten untereinander verschicken. Die Sicherheitsprobleme auf der Plattform allerdings sollen gravierend gewesen sein, berichtet der Chaos Computer Club. Man konnte auch "ohne Mühe und ohne Kenntnis der Passwörter" alle hinterlegten Schülerdaten einsehen, heißt es. Dabei sollten sogar die Administrationskonten öffentlich zugänglich gewesen seien. "Darüberhinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren. Dafür machte es haefft.de Neugierigen besonders leicht: Passende und ständig neue Nutzernamen wurden noch vor dem Einloggen auf der Community-Seite per "Grußkarte" offenbart - bereit zum Kopieren und Einfügen in das Anmeldefeld." Momentan ist die Webseite nicht mehr erreichbar. Zur Begründung steht auf der offiziellen Seite von haefft.de: "Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert, die es notwendig machen, die Seite vorerst vom Netz zu nehmen. Wir überprüfen diesen Hinweis und arbeiten rund um die Uhr, um Haefft.de wieder an den Start zu bringen."
Folgt man den Argumenten vom CCC, so gibt es im Haeft-Verlag nun einiges zu tun. Denn eine Sicherheit der Daten war scheinbar überhaupt nicht gewährleistet. In der Mitteilung vom CCC erfährt man: "Die Entwickler bei haefft.de haben sich dabei so ziemlich alle Anfänger-Programmierfehler geleistet." So seien die Kennwörter nicht wie üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie nur mit einem ILIKE-Operator auf Ähnlichkeit verglichen, sodass sich die Passwort-Abfrage mit einfachsten Mitteln umgehen ließ. Sollten sich diese Tatsachen bestätigen, so kann hier wirklich von Missständen die Rede sein. Ähnlich argumentiert auch der CCC. Der Dirk Egerlin, der Sprecher des CCC, sagte: "Um die Größenordnung des Problems zu verstehen, muss betont werden, dass hier von einem Totalversagen der Programmierer, aber auch schon bei der Konzeption der Plattform auszugehen ist. Dies führte dazu, dass alle Daten der Kinder zugänglich waren. Es gab nicht einmal rudimentäre Sicherungen, die Sorgfaltspflichten für den Umgang mit derartig sensiblen Daten wurden sträflich verletzt."
Überhaupt wird vom CC der Sinn und Zweck von "Social-Communities" in Frage gestellt, wenn aufgrund fehlender Gesetzgebung und fehlendem Bewusstsein nicht mal ein Mindestmaß an Sicherheit von persönlicher und privater Kommunikation gewährleistet werden kann. "Der CCC fordert seit Jahren die Verschärfung der Haftung für derartige Datenverbrechen sowie umfangreiche Mitteilungspflichten für datenverarbeitende Unternehmen. Angesichts der sich häufenden Probleme gerade bei Datensammlern, die Kinder und Jugendliche ansprechen, sind dringlich straffe gesetzliche Regelungen erforderlich, die derartige Geschäftsmodelle unterbinden."
Update: Häfft hat in einer offiziellen Mitteilung zu den Sicherheitsproblemen nun Stellung bezogen. Dabei schreiben sie unter anderem: "Der wichtigste Sicherheitsaspekt von Haefft.de ist dem technikorientierten CCC aber vermutlich nicht bekannt. Seit 2000 arbeiten wir mit einem engagierten Netz an Haefft.de-Moderatoren, die sich nach besten Kräften darum kümmern, dass in den Foren und im Chat kein Platz für sexistische, gewaltverrlichende, rassistische oder sonstwie jugendgefährdende Inhalte ist. Diese "Haefft.de-Mods" leisten eine tolle Arbeit und sind unserer Überzeugung als Ergänzung um ein Vielfaches wichtiger als die 100%-Technik-Optimierung, die es vermutlich ohnehin nie geben wird."
Datenschutz bei Jugendlichen sei ein wichtiges Thema, jedoch gäbe es Unterschiede, je nachdem, ob man mit Kindern oder Jugendlichen arbeite. Im Gegensatz zu sozialen Netzwerken, in denen mit Realnamen gearbeitet wird, sei ihre Community ein "geradezu verschwiegener Ort". "Wir als Betreiber sind uns unserer Verantwortung gegenüber unseren Usern bewusst und versuchen mit geringen Mitteln eine kleine, sympathische Community zu finanzieren und zu erhalten. Leider ist nicht immer alles finanzierbar, was technisch geboten wäre. Wir würden uns mehr Fairness gegenüber einer kleinen Schüler-Community mit 1,5 Mio. Page Impressions im Monat und deren Agenturen wünschen." Weiter heißt es: "Wir haben verstanden und werden bei der Technik nachrüsten!!"
Quelle :
www.gulli.com
