Datenklau durch Scraping

Wie Hacker Informationen einsammeln und missbrauchen

Kriminelle lesen Webinhalte maschinell aus

© DenPhoto / stock.adobe.com

Es gehört mittlerweile schon zur Normalität des Internets, dass immer wieder Fälle von Datendiebstahl bekannt werden. Doch nicht immer werden Online-Plattformen, Datenbanken oder Socialmedia-Konten Opfer eines Hackerangriffs. Eine andere Möglichkeit, wie Kriminelle an persönliche Daten kommen, ist das Scraping. Dabei werden die Inhalte von öffentlich zugänglichen Webangeboten wie etwa Socialmedia-Plattformen maschinell ausgelesen.

Scraping ist nicht illegal

Als 2021 die Daten von 553 Millionen Facebook-Nutzern und 500 Millionen LinkedIn-Accounts im Internet auftauchten, bestritten die Betreiber dieser Socialmedia-Plattformen, dass sie Opfer eines Hackerangriffs geworden waren. Tatsächlich soll es sich um Scraping gehandelt haben, bei dem die Daten von Nutzern, die sie selbst veröffentlicht hatten, massenhaft heruntergeladen wurden. Die Nutzer hatten es versäumt, den Zugriff auf ihre Daten nur für bestimmte Gruppen – etwa Freunde – einzuschränken, so dass jeder darauf zugreifen konnte. Bei solchen frei verfügbaren Daten setzt Scraping an. Dahinter verbirgt sich eine Methode, bei der automatisierte Programme oder Bots Webseiten durchsuchen und Informationen auslesen und speichern. Mit Scraping können ganze Webseiten, einzelne Texte, Bilder oder Datenbankinhalte heruntergeladen bzw. „geschabt“ werden. Bekannte und legale Anwendungsfällte sind die Bots von Suchmaschinen wie Google oder Preisvergleichsportale, die ständig zu Recherchezwecken das Internet durchsuchen und indizieren. Dieses Vorgehen wird „Crawling“ genannt und wird von den meisten Webseitenbetreibern begrüßt, denn es erhöht ihre Reichweite im Internet, was wiederum zu mehr Umsatz bei den eigenen Produkten oder Services führen kann. Die meisten Webseiten stellen deshalb ihre Daten für Scraper, Crawler und andere Formen der automatischen Datenerfassung zur Verfügung. Scraping und Crawling sind deshalb nicht grundsätzlich illegal. Denn wenn die Daten öffentlich frei zugänglich sind, können sie auch gescannt werden. Ein Beispiel sind zum Beispiel die Produktpreise von Webshops wie Amazon oder Zalando, die über Suchmaschinen öffentlich zugänglich gemacht werden und so den Nutzern einen Preisvergleich ermöglichen.

Captcha-Abfragen sollen den Zugriff für Bots verhindern

© MclittleStock / stock.adobe.com

Datensparsamkeit beachten

Kriminelle nutzen Scraping jedoch auch für illegale Zwecke. Sie suchen gezielt nach sensiblen persönlichen Daten wie Nutzernamen, Kreditkartendaten, Passwörter oder Kontoinformationen auf den Webseiten. Diese laden sie herunter, um sie für betrügerische Aktivitäten zu verwenden. Dazu gehört etwa das Sammeln von E-Mail-Adressen für Spam-Kampagnen oder Phishing-Attacken. In manchen Fällen werden komplette Webshops mittels Scraping durchforstet. Etwa um einen Fake-Shop zu erstellen oder um Produktbeschreibungen und -bilder für den eigenen Webshop zu übernehmen. Das ist eine klare Verletzung des Urheberrechts. Viele Webseitenanbieter versuchen sich deshalb vor den Gefahren von Scraping zu schützen, indem sie etwa sogenannte Captcha-Abfragen im Anmeldebereich einer Seite integrieren. Diese sind für automatisierte Bots schwer zu überwinden und können so erfolgreich den Zugriff auf die Seite blockieren. Auch Nutzer können sich schützen. Es gilt das Prinzip der Datensparsamkeit. Man sollte sich bewusst sein, dass es unmöglich ist, die Kontrolle über alle im Internet veröffentlichten Daten zu behalten. Die Socialmedia-Plattformen empfehlen deshalb ständig ihren Nutzern, die Datenschutzeinstellungen zu überprüfen. So kann der Zugriff auf persönliche Daten wie etwa Fotos oder Mailadressen auf enge Freunde begrenzt werden. Scraping-Vorfälle etwa bei Facebook begründen übrigens keinen Schadensersatz nach DGSVO. Das hat das Oberlandesgericht Hamm letztmalig im Januar 2024 festgestellt. Die Tatsache allein, dass Daten des Klägers von seinem Socialmedia-Account heruntergeladen werden konnten, rechtfertigt zunächst keinen Schadensersatz. Der Kläger hätte nachweisen müssen, dass die Daten missbräuchlich verwendet wurden und ihm so ein konkreter Schaden entstanden ist.

TE (28.03.2024)