Datenschutz: Haefft.de schaltet Portal ab

Bei der Jugend-Community Haefft.de sind bedenkliche Sicherheitslücken aufgetaucht: Unbefugte konnten die persönlichen Daten der Jugendlichen einsehen. Der Chaos Computer Club hat den Vorfall publik gemacht und setzt zu einer vernichtenden Kritik an den Betreibern sozialer Netzwerken an.

Die Begriffe "soziales Netzwerk" und "Datenschutzskandal" erklingen immer häufiger in einem Atemzug. Diesen Eindruck kann der Betrachter bekommen, wenn er die Datenschutzskandale des Jahres 2009 Revue passieren lässt. Nach Facebook, SchülerVZ und anderen steht jetzt das Kinder- und Schülerportal Haefft.de in der Kritik. In dem Portal können Kinder neben Fotos, Hobby-Tipps oder Nachrichten auch ihre Adressen austauschen.

Doch der Passwortschutz für die Mitglieder war nach Angaben des Chaos Computer Club nicht sicher: Mit einem kleinen Trick konnte jeder Seitenbesucher die Daten der Schüler einsehen und sich sogar als Mitglied ausgeben. Spezielle Technikkenntnisse waren dafür angeblich nicht nötig. Die Sicherheitslücke betrifft tausende Nutzer, zumeist Kinder und Jugendliche. Der Betreiber hat die Seite jetzt mit einer Entschuldigung vom Netz genommen und verspricht, das Sicherheitskonzept zu überarbeiten.

Scharfe Kritik vom Chaos Computer Club

Aufgedeckt wurde das Problem vom Chaos Computer Club (CCC). Nach Angaben von Haefft.de hatte der CCC herausgefunden, dass in der "Jugendcommunity bei der Passwort-Sicherung ein Programmier-Fehler vorliegt." In der Mitteilung des Chaos Computer Clubs liest sich das allerdings drastischer: Statt eines Programmierfehlers spricht der CCC von einem "Totalversagen der Programmierer, aber auch schon bei der Konzeption der Plattform". Der Club wirft Haefft.de vor, die Entwickler hätten sich "so ziemlich alle Anfänger-Programmierfehler geleistet", das zumindest sagt CCC-Sprecher Dirk Engling.

Beispielsweise seien Kennwörter "nicht wie üblich gehasht, sondern im Klartext gespeichert" worden. Zudem hätte Haefft.de diese Kennwörter mit "dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so dass sich die Passwort-Abfrage mit einfachsten Mitteln umgehen ließ". Außerdem seien "marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS bei haefft.de unbekannt", so die Bilanz der CCC-Experten.

Kleines Trostpflaster für die Betroffenen: Nach Angaben der Erklärung seitens Haefft.de wurde bis dato noch kein Missbrauch der Mitgliederdaten bekannt. Der Betreiber will nun eine Sicherheitsfirma damit beauftragen, das Portal vor der erneuten Freischaltung "intensiv und umfassend zu testen".

Schwache Sicherheitsstandards bei sozialen Netzwerken

Der CCC bemängelt generell die schwachen Sicherheitsstandards der sozialen Netzwerke. Hier sei eine "öffentliche Diskussion seit Langem überfällig". Der Vorfall wirft ein grelles Schlaglicht auf die Risiken, die mit der Nutzung der sozialen Netzwerke verbunden sind. Dazu zählt beispielsweise, dass auch eine hoch entwickelte Sicherheitstechnik nicht verhindern kann, dass einzelne Mitarbeiter eines Betreibers Anwender-Daten weitergeben.

Auch die Frage, was mit den Kundendaten passiert, wenn das Unternehmen pleite geht oder verkauft wird, ist vielfach nicht geklärt. Mitglieder von sozialen Netzwerken sind also gut beraten, sich mindestens die Allgemeinen Geschäftsbedingungen (AGB) ihres Anbieters auf entsprechende Passagen hin zu prüfen und mit persönlichen Angaben so sparsam wie möglich umzugehen.