Aus dem sozialen Netzwerk SchülerVZ wurden mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (einschließlich Link zum Bild) an. (1)

Es handelt sich um Daten, die allen Nutzern des Netzwerkes zur Verfügung stehen, wenn sie bei ihm registriert und angemeldet sind. Schon die ersten Stellungnahmen äußerten die Vermutung, dass die ausgeforschte Datenmenge dafür spricht, dass ein Crawler zum Einsatz kam, der die Daten automatisch einsammelt.

Crawler werden auch Spider genannt. Sie sind Programme, die Netze automatisch durchsuchen, dabei gefundene Dateien wegen ihrer Inhalte analysieren und zum Beispiel deren Verknüpfungen (Links) nachverfolgen (2). Auf diese Weise verbreiten sie sich auch in Netzen, indem sie nacheinander die verknüpften Seiten aufsuchen.

Crawler werden von allen Suchmaschinen eingesetzt, um ihren Datenbestand aufzufrischen und zu erweitern. Für sie kommt es darauf an, möglichst relevante, viel besuchte und aussagekräftige Seiten zu finden und in die Datenbanken der Suchmaschinen aufzunehmen. Darauf werden die Daten automatisch optimiert und abgestimmt. Für die Suchmaschine kommt es dann besonders darauf an, die gesammelten Daten auszuwerten und wegen ihrer Bedeutung und Beliebtheit zu bewerten. Darauf baut das Ranking auf, also die Reihenfolge der bei der Präsentation der Suchergebnisse.

In der Anfangszeit des Internets gab es journalistisch betreute Suchmaschinen, wo richtige Menschen das Netz durchstöberten und die Suchergebnisse von Crawlern bewerten.

Angesichts der Informationsmenge im Internet lässt sich das längst nicht mehr machen. Crawler sind ein notwendiger Bestandteil der Internettechnik geworden, ohne die sich die Informationsmenge überhaupt nicht mehr beherrschen ließe.
 

 
Fast jede Technik ist erst einmal neutral und birgt die Gefahr in sich, missbraucht zu werden. So auch hier:

Ein heranwachsender Tatverdächtiger wurde jetzt festgenommen, der jedenfalls auch Daten bei SchülerVZ mit einem Crawler ausgespäht haben soll (3).

Gleich wird auch die Frage gestellt, ob der Einsatz von Crawlern überhaupt strafbar ist. Wenn dem so wäre, so könnten sich ja auch die Roboter der Suchmaschinen als rechtswidrig herausstellen.

Die Entwarnung hat das BVerfG im Mai 2009 gegeben. Es hatte über die verfassungsrechtliche Zulässigkeit der Strafbarkeit von Hackertools nach § 202c StGB zu entscheiden. Es hat bestimmt, dass nur die Modifikationen der Dual Use-Software (4) der Strafbarkeit unterliegen, die mit der Absicht entwickelt oder modifiziert (wurden, sie) zur Begehung der genannten Straftaten einzusetzen (5).

Damit ist jedenfalls klar, dass Crawler, die für rechtswidrige Zwecke programmiert oder modifiziert wurden, der Strafbarkeit nach § 202c StGB unterliegen.

Auch die Frage nach der Strafbarkeit des Ausspähens von Daten ( § 202a StGB) stellt sich eigentlich eigentlich nicht. Das Gesetz schützt Daten, die durch Zugangssicherungen besonders geschützt sind. Wer sich - auch berechtigt - in einen zugangsgeschützten Bereich begibt und dort Datensammler einsetzt, missbraucht seine eigene Zugangsberechtigung unbefugt. Das dürfte für ein kräftiges "DuDu" reichen (Höchststrafe: 3 Jahre Freiheitsstrafe).

31.10.2009: Gegen infizierte Webseiten in dem sozialen Netzwerk Twitter setzt das Sicherheitsunternehmen Kaspersky seit August erfolgreich einen Krab Krawler ein, der inzwischen 30 Millionen Webseiten nach verdächtigen Links durchsucht haben soll (6). 1 von 500 Links führe zu Malware-Injektionen. Was auf dem ersten Blick nach wenig klingt, zeigt seine Brisanz in der Summe: 600.000 Treffer.

01.11.2009: Trauriges Ende (7).
 

(1) Über 1 Million Datensätze bei SchülerVZ abgesaugt, Heise Security 17.10.2009

(2) Webcrawler
 

 
(3) SchülerVZ-Daten: Der florierende Markt für Datensammelprogramme, Heise online 19.10.2009

(4) Dual Use

(5) Klarstellungen zum Hackerstrafrecht;
BVerfG, Beschluss vom 18.05.2009 - 2 BvR 2233/07, 1151/08, 1524/08

(6) Krab Krawler findet Malware in Twitter-Links, tecchnnel 30.10.2009

(7) SchülerVZ-Datenklau: Verdächtiger begeht Selbstmord, Heise online 31.10.2009