Scraping
Datenpannen sind durch Unternehmen wie Facebook, LinkedIn und Twitter mittlerweile fast schon so etwas wie eine Gewohnheit geworden. Allen drei Fällen ist allerdings gemein, dass die Hacker eigentlich gar keine waren. Denn sie setzten wahrscheinlich ausschließlich auf das sogenannte Scraping, um die jeweiligen Userdaten abzugreifen. Beim Scraping werden lediglich Sicherheitslücken ausgenutzt, es erfolgt aber kein tatsächlicher Zugriff auf geschützte Systeme.
Was passiert beim Scraping?
„Scraping“ ist die Kurzform von „Web Scraping“ oder „Screen Scraping“. Hinter dem Begriff steckt eine Software oder ein Skript, die oder das die gewünschten Informationen aus bereits vorhandenen Quellen auf der Webseite ausliest. Die jeweiligen Daten werden also einfach „vom Bildschirm gekratzt“, sodass ein tatsächlicher Hack-Angriff gar nicht mehr notwendig ist. Google und andere Suchmaschinen nutzen das vergleichbare Crawling schon viele Jahre, um Webseiten zu indexieren und die Daten für die Suchergebnisse auszuwerten.
Selbstverständlich kann die Technik aber auch missbräuchlich genutzt werden. Beim Facebook Datenleck wurde beispielsweise nach zufällig generierten Handynummern gesucht. Durch eine Sicherheitslücke zeigte Facebook bei einem Treffer den dazugehörigen Namen des Users an, auch wenn dieser seine Telefonnummer gar nicht veröffentlicht hatte. So hatten Kriminelle nicht nur irgendwelche Handynummern, sondern auch die dazugehörigen Namen der User.
Ist Scraping legal?
Ja, grundsätzlich ist Scraping legal. Denn in der Regel werden keine technischen Schutzvorkehrungen überwunden, um an die Daten zu gelangen. Kriminelle nutzen lediglich die Informationen, die ohnehin auf der jeweiligen Seite gespeichert sind, und fügen sie wie ein Puzzle zusammen. Aufgabe des Webseitenbetreibers ist, die Einsehbarkeit dieser Daten zu begrenzen oder gänzlich zu verhindern.
Etwas anderes gilt aber, wenn Schutzvorkehrungen überwunden werden mussten. Denn hier kann eine Straftat vorliegen.
Außerdem ergibt sich beim Scraping in der Regel ein Verstoß gegen die DSGVO. Denn die Kriminellen sammeln die Daten der User ohne entsprechende Einwilligung.
