Wenn es um den Diebstahl oder Missbrauch persönlicher Daten geht, lassen sich kriminelle Hacker immer wieder Neues einfallen. Scraping ist der neue Trend und wird aktuell immer beliebter, denn Scraping-Tools bieten eine Alternative zu aufwändigen Attacken.
Wie diese Tools funktionieren, ob Scraping legal oder illegal ist und wie Sie sich schützen können, erfahren Sie bei uns.
Unser Beitrag über Scraping im Überblick:
Problemfall Datenpanne
Datenpannen und damit einhergehend die Veröffentlichung von persönlichen oder relevanten Firmendaten sind fast schon zur Gewohnheit geworden. Wir erinnern nur kurz an die Datenlecks bei Facebook, LinkedIn, Clubhouse, Mastercard, Gastronovi und Klarna. Und während der Corona-Pandemie war es in Testzentren zu Datenpannen gekommen.
Datenpannen kommen also immer wieder vor und vor allem bei großen Diensten ist der Schaden oft immens. Denn die Folge des Datendiebstahls ist, dass sensible Daten öffentlich werden und für Identitätsdiebstahl missbraucht oder verkauft werden.
In den meisten Fällen handelt es sich tatsächlich um eine Datenpanne, die aus einer Sicherheitslücke beim entsprechenden Anbieter resultiert. Aber immer häufiger kommt es vor, dass die Betreiber der Dienste bestreiten, Opfer eines Datenhacks geworden zu sein. Vielmehr sei der Datendiebstahl eine Folge von Scraping.
Beim Scraping werden Daten wortwörtlich abgekratzt. Bild: Pexels/@sora-shimazaki
Was ist Scraping?
Doch was genau ist überhaupt Scraping? Und gibt es einen Unterschied zum Web-Scraping und Screen-Scraping? Diese Fragen klären wir jetzt. Zunächst einmal handelt es sich bei allen drei Formen um ein und dieselbe Methode, um Daten abzugreifen. Scraping ist lediglich die Kurzform. Der Begriff stammt aus dem Englischen („to scrape“) und bedeutet übersetzt „kratzen“ oder „abschürfen“.
Und genau das tun Scraping-Tools: Sie kratzen oder schürfen Informationen ab, indem sie die gewünschten Informationen von einer Website oder einem Online-Dienst auslesen und speichern. Illegal ist das erst einmal nicht, denn die ausgelesenen Daten sind der Öffentlichkeit zugänglich.
Das Auslesen von Informationen übernehmen beispielsweise Webcrawler-Bots von Suchmaschinen wie Google, Bing und anderen. Sie sind kontinuierlich im Internet unterwegs, um Websites zu indizieren. Aber auch Vergleichsportale nutzen die Methode, um Daten zu sammeln und auszuwerten.
Auslesen von Informationen
Für Webseitenbetreiber kann as Auslesen von Informationen durchaus von Interesse sein, da sie dadurch mehr Reichweite generieren. Die unmittelbare Folge sind mehr Kunden und mehr Umsatz.
Aber Scraping kann auch missbräuchlich angewendet werden. Wenn beispielsweise Webshops ihre Konkurrenz automatisiert durchforsten und ihre Preise immer ein wenig günstiger gestalten, ist das nicht im Sinne des Erfinders. Noch schlimmer ist es, wenn sie Produktbeschreibungen und -bilder oder sogar den gesamten Webshop übernehmen, wodurch sie Zeit und Geld sparen, der Konkurrenz aber schaden.
Scrapen kriminelle Hacker Daten aus sozialen Medien wie Facebook oder LinkedIn, können sie die Daten missbrauchen. Die eingesammelten E-Mail-Adressen und Telefonnummern können zweifelsohne mit darauffolgenden Phishing-, Smishing– und Vishing-Wellen in Verbindung gebracht werden – ganz zum Leidwesen der Opfer.
Das Auslesen von Daten ist nicht grundsätzlich illegal. Bild: Pexels/@soumil-kumar-4325
Wie funktioniert Scraping?
Aber wie funktioniert das Auslesen der Daten überhaupt? Der Prozess des Scrapings besteht zusammengefasst aus zwei Teilen: Zunächst rufen die Scraper die gewünschte Webseite auf, um anschließend die Informationen zu extrahieren und zu speichern. Die Einsatzmöglichkeiten sind vielfältig und dementsprechend gibt es eine Vielzahl von Scraping-Tools.
Im oben erwähnten gigantischen Facebook-Datenleck wurden mittels Scraping als privat gekennzeichnete Daten abgegriffen, unter anderem Telefonnummern und E-Mail-Adressen. Der Meta-Konzern als Facebook-Mutter geht davon aus, dass die kriminellen Datensammler eine Ende 2019 geschlossene Lücke in der Kontaktimport-Funktion der Plattform genutzt haben, um ihren Angriff auszuführen.
Diese Funktion ermöglicht es Nutzern, Freunde und Bekannte auf Facebook zu identifizieren, indem sie ihr Telefonbuch hochladen. Laut Facebook nutzten die Angreifer Funktion aus, um eine Vielzahl an Benutzerprofilen abzufragen und Informationen zu erhalten, die in ihren öffentlichen Profilen enthalten sind.
Scraping – legal oder illegal?
So ganz einfach lässt sich die Frage nicht beantworten. Denn, es kommt immer darauf an, wofür die Methode genutzt wird. Gibt es keine technischen Schutzvorrichtungen, die beim Scraping überwunden werden müssen, ist die Handlung an sich nicht illegal: Denn: Es werden nur Informationen eingesammelt, die sowieso öffentlich zugänglich sind.
Illegal kann allerdings sein, was mit den abgegriffenen Daten passiert: Bilder, Artikel und Ähnliches dürfen nicht ohne Erlaubnis anderswo veröffentlicht werden. Das wäre ein Verstoß gegen das Copyright und kann strafrechtliche Konsequenzen nach sich ziehen. Auch für Phishing und Co. dürfen auf diesem Wege erworbenen Datensätze nicht genutzt werden. Passiert das, ist das eindeutig illegal.
Außerdem muss laut DSGVO das Sammeln und Speichern persönlicher Daten einen rechtmäßigen Grund haben, die ausdrückliche Zustimmung oder ein legitimes Interesse am Sammeln und Speichern der personenbezogenen Daten muss vorliegen.
Phishing kann eine Folge vom Scraping sein – die Verwendung der abgekratzten Daten ist dann natürlich illegal. Bild: Pexels/@olly
Anwendungsbereiche von Scraping
Scraping oder Web-Scraping gehört zum Internet dazu und findet in vielen verschiedenen Bereichen Anwendung. Es dient dem Auslesen von Daten. Beispiele sind:
- Webcrawler gehören zu den Bots und diesen dazu, die Funktionalität von Suchmaschinen wie Google oder Bing zu gewährleisten.
- Webservice-Ersatz ist vor allem für Unternehmen interessant, die ihren Kunden auf einer Website bestimmte Auswertungsdaten zur Verfügung stellen wollen. Screen-Scraper, die die Daten extrahieren, bieten dafür eine kostengünstige Möglichkeit.
- Remixing bzw. Mashup dient der Verbindung von Inhalten verschiedener Webdienste zu einem neuen Dienst. Sind keine Schnittstellen vorhanden, wird das Screen-Scraping genutzt.
Ein großes Problem ist der Missbrauch von Scraping oder auch Harvesting zu unterschiedlichen Zwecken. Genannt seien:
- Preis-Grabbing ist eine besondere Form des Web-Scrapings. Ein Shop-Anbieter liest die Produktpreise der Konkurrenten aus und unterbietet sie gezielt, um Kunden zu gewinnen.
- Content-/Product-Grabbing stellt das Auslesen von Website-Inhalten dar. Neben ganzen Produktseiten in Online-Shops kopieren Angreifer den teuer erstellten Content für ihre eigenen Zwecke. Beliebt sind vor allem Online-Marktplätze, Jobbörsen oder Kleinanzeigen.
- Verlängerung der Ladezeiten ist eine Folge von Web-Scraping, weil es Serverkapazitäten verbraucht. Das passiert, indem Bots in großer Anzahl Produktseiten auf der Suche nach neuen Preisangaben durchforsten. Die Ladezeiten für herkömmliche Nutzer steigen.
Das Auslesen von Daten im Internet kann also sinnvoll sein, kann aber genauso zum Schaden der Nutzer passieren.
Schutz vor Datendiebstahl
Vor der Form des Datendiebstahls mittels Scraping gibt es kaum eine Schutzmöglichkeit. Alles, was Nutzer veröffentlichen, kann von Angreifern gelesen und für die eigenen Zwecke missbraucht werden. Und zwar ohne dass man selbst eine Kontrolle darüber hat, wer die Daten kopiert und was damit in den Weiten des Internets Schindluder treibt. Wer das Internet nutzt und private Informationen preisgibt, muss sich darüber bewusst sein. Hier hilft nur, sämtliche Informationen nicht öffentlich einzustellen. Bei einer Sicherheitslücke auf Seiten des Betreibers, ist aber auch dann ein Datenklau möglich.
Die Möglichkeiten für Betreiber von Webseiten, sich vor Scraping zu schützen, sind vielfältiger: Neben dem Einsatz von Captchas sind Web-Application-Firewalls oftmals in der Lage, verdächtige Aktivitäten einer Scraper-Software zu entdecken.
Wenn Sie Zweifel haben, ob die IT-Sicherheit in Ihrem Betrieb dem aktuellsten Stand entspricht, wenden Sie sich gern an PC-SPEZIALIST in Ihrer Nähe. Mit einem IT-Check stellen unsere IT-Experten den Ist-Zustand fest und beraten Sie umfassend zu Verbesserungen. Wollen Sie umfassenden Schutz, ohne selbst Arbeit damit zu haben, dann ist der IT-Basisschutz genau das richtige für Sie. Das Pendant für private Endkunden bietet das Eins-für-Alles-Paket.
_______________________________________________
Andere Stimmen zum Thema: Computerwoche, Facebook, myrasecurity, Wikipedia
Schreiben Sie einen Kommentar