Der am Freitag bekanntgewordene Datenskandal der Schülercommunity Haefft.de weitet sich aus. Nachdem der Chaos Computer Club (CCC) auf seiner Webseite von Sicherheitslücken berichtete, die dazu genutzt werden könnten, in den Besitz von Accounts und Nutzerdaten zu gelangen, wurde die Community vollständig vom Netz genommen. Auf der Startseite wird man jetzt von einer kurzen Meldung begrüßt:

“Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert, die es notwendig machen, die Seite vorerst vom Netz zu nehmen. Wir überprüfen diesen Hinweis und arbeiten rund um die Uhr, um Haefft.de wieder an den Start zu bringen. […]
Da uns die Sicherheit Eurer Daten sehr am Herzen liegt, haben wir uns entschlossen, lieber offline zu gehen als das Risiko einzugehen, dass jemand Eure Daten stiehlt.”

Bei genauerer Betrachtung der Sicherheitslücken, deren Details nach der Schließung der Community vom CCC veröffentlicht wurden, scheint diese Aussage kaum der Tragweite der Probleme zu entsprechen. Nach den Angaben des Computer-Clubs habe sich Haefft.de eklatante Programmierfehler geleistet, die höchstens Anfängern passierten. So seien Passwörter in der Datenbank unverschlüsselt im Klartext gespeichert gewesen und direkt ohne Sicherheitsmaßnahmen aus dieser abgefragt worden. Dadurch sei es sogar möglich gewesen, ohne Eingabe eines Passworts in den Besitz von Administratorkonten zu gelangen.

Die erste Stellungnahme der Betreiber nach dem Bekanntwerden dieser Details liest sich kurios. Sie wurde inzwischen wieder aus dem Pressebereich der Community entfernt, lässt sich aber auf dem News-Portal gulli weiterhin nachlesen:

"Der wichtigste Sicherheitsaspekt von Haefft.de ist dem technikorientierten CCC aber vermutlich nicht bekannt. Seit 2000 arbeiten wir mit einem engagierten Netz an Haefft.de-Moderatoren, die sich nach besten Kräften darum kümmern, dass in den Foren und im Chat kein Platz für sexistische, gewaltverrlichende, rassistische oder sonstwie jugendgefährdende Inhalte ist. Diese "Haefft.de-Mods" leisten eine tolle Arbeit und sind unserer Überzeugung als Ergänzung um ein Vielfaches wichtiger als die 100%-Technik-Optimierung, die es vermutlich ohnehin nie geben wird."

Hält man sich die Tragweite der Sicherheitslücken vor Augen, scheint allerdings nicht einmal ein einziges Prozent Technik-Optimierung vorhanden gewesen zu sein, von der sicherheitstechnischen Relevanz des Moderatoren-Netzes einmal ganz abgesehen.

Seit Sonntagmorgen gibt es nun eine neue Pressemitteilung, die schon vernünftiger klingt:

“4.) Der Häfft-Verlag wird eine Security Firma beauftragen, die das Internet Portal vor einer möglichen Freischaltung intensiv und umfassend testet.”

Da die Community bereits seit 1998 existiert und seitdem möglicherweise nicht besonders stark weiterentwickelt wurde, ist es erstaunlich, dass die Sicherheitslücken erst jetzt bekannt wurden. Es bleibt zu hoffen, dass die engagierte Sicherheitsfirma eine gute Arbeit macht und die Community vollständig auf den Kopf stellt, damit die persönlichen Daten tausender Kinder nicht wieder offen im Internet zu finden sind.