Heute wurde wieder ein neues „Datenleck” bei einem der VZ-Netzwerke bekannt. Und wiedermal hat es SchülerVZ erwischt: Ein Informatiker aus Lüneburg hat mit einem selbstgeschriebenen Programm 1,6 Millionen für Mitglieder öffentlich einsehbare Datensätze ausgelesen. Bereits im letzten Jahr hatte ein junger Mann mit derselben Methode Datensätze von StudiVZ erfasst und damit angeblich versucht, die Betreiber zu erpressen.
Schon damals wurden für die VZ-Netzwerke neue Sicherungsvorkehrungen eingeführt, die jedoch zum Teil wegen Protesten von Nutzern wieder abgeschaltet wurden. Das Unternehmen ist sichtbar bemüht, die Daten seiner Nutzer zu sichern, schafft es aber nicht den Ruf als Datenschutzsünder loszuwerden. Und das, obwohl es Facebook als größter Konkurrent erklärtermaßen nicht so eng mit dem Datenschutz seiner Nutzer sieht.
Ein Imageproblem
Die VZ-Netzwerke haben nach wie vor ein massives Imageproblem. Alles fing schon im Jahr 2006 mit jugendlich-leichtsinnigen Werbemethoden der StudiVZ-Gründer an, gefolgt von massiven Sicherheitslücken in der Software von StudiVZ und einem PR-Disaster wegen einer umstrittenen AGB-Änderung. Mit dem Kauf des Social Networks durch die Verlagsgruppe Holtzbrinck beruhigte sich die Lage dann Anfang 2007 etwas, bis im letzten Jahr ein 20-Jähriger vorübergehend massenhaft Daten von SchülerVZ auslesen konnte. Es folgten ein möglicher Erpressungsversuch und am Ende der Selbstmord des mutmaßlichen Täters.
Schon jetzt ist die junge Geschichte von StudiVZ & Co. übersäht von Problemen, Fehlschlägen und Skandalen. Das Unternehmen ist in Krisenkommunikation erprobt, möchte man meinen. Doch genau diese ist der Kern des Problems: Ein Großteil des Ärgers hätte sich durch aktivere Kommunikation vermeiden lassen. Auch im aktuellen Fall war StudiVZ im Vorfeld darauf aufmerksam gemacht worden, dass es erneut gelungen sei, massenweise Daten auszulesen. Eine Reaktion erfolgte anscheinend gar nicht, bzw. erst nach Veröffentlichung der Geschichte im Unternehmens-Blog. Und das ist kein Einzelfall: Wir haben schon bei mehreren Anlässten versucht, mit StudiVZ wegen Stellungnahmen in Kontakt zu treten. Über die Pressestelle ist uns das kein einziges Mal gelungen. Und E-Mails an den Support werden erst nach vielen Tagen Wartezeit beantwortet – wenn überhaupt.
Wirklich ein Datenleck?
Auch in diesem Fall hätte eine frühzeitige Reaktion einen Großteil des Imageschadens noch abwenden können. Denn ob es sich wirklich um ein so massives „Datenleck” handelt ist fraglich. Ebenso wie im letzten Jahr wurden die Daten mit Hilfe eines Crawlers ausgelesen. Dieser bildet automatisiert das Verhalten eines normalen Nutzers nach. Folglich kann er auch nur solche Daten auslesen, die auch jeder normale Benutzer einsehen kann.
Gleichzeitig ist die technische Erkennung eines solchen Crawlers alles andere als trivial. Die einzig zuverlässige Methode, das automatisierte Auslesen zu verhindern, wäre der Einsatz von Captchas. StudiVZ hatte diese schon im letzten Jahr kurzzeitig vermehrt eingesetzt, nach Protesten von Nutzern aber wieder abgeschaltet. Das ständige Abtippen von Zeichenfolgen hat sich wohl doch als zu umständlich für den alltäglichen Gebrauch der Plattform herausgestellt.
Sicherheitstechnisch ist StudiVZ also eigentlich kein großer Vorwurf zu machen. Wenn Daten dafür vorgesehen sind, sie angemeldeten Benutzern zugänglich zu machen, sind sie zwangsläufig auch für Crawler auslesbar. Das ist kein „Datenleck”, sondern systemimmanent. Dennoch gibt es natürlich Techniken, um das Auslesen zumindest zu erschweren. Hier hätten die VZ-Netzwerke gut daran getan, frühzeitig mit dem Programmierer des Crawlers zusammenzuarbeiten, um möglicherweise wertvolle Erkenntnisse zur Verbesserung der Sicherheit ziehen zu können. Das hätte man dann – zu recht – als neuen Gewinn für die Sicherheit präsentieren können. Nun stellt sich die Lage aber anders da: Anstatt zu agieren, muss StudiVZ wieder einmal reagieren. Der kurze Hinweis im StudiVZ-Blog, man „danke dem jungen Wissenschaftler”, auf den man von netzpolitik.org aufmerksam gemacht worden sei und habe „Maßnahmen ergriffen und den Sicherheitsstandard optimiert”, macht diesen Eindruck nicht besser.
Datenschutz: Ansprüche und Wirklichkeit
Es gibt wahrscheinlich kein Social Network, das so viel in Datenschutz und Datensicherheit investiert hat, wie StudiVZ es über die letzten Monate hinweg getan hat. Auch der TÜV Süd und Stiftung Warentest waren mit StudiVZ weitestgehend zufrieden. Die Methode, mit Crawlern ein Netzwerk auszulesen, würde wahrscheinlich bei jedem anderen Portal noch deutlich einfacher funktionieren. Es sind jedoch solche Kommunikationsfehler, die dafür sorgen, dass StudiVZ am Ende kaum sein Ansehen verbessern kann. Die Investitionen werden nicht als aktive Maßnahmen wahrgenommen, sondern als Schadensbegrenzung.
Gleichzeitig gingen viele Sicherheits-Features bei StudiVZ auf Kosten der Benutzerfreundlichkeit und der Innovation. Die VZ-Netzwerke sind also ganz besonders darauf angewiesen, aus diesem Datenschutz-Vorteil mittelfristig auch Kapital zu schlagen. Gelingt dies nicht, so wird das nicht nur für die VZ-Netzwerke, sondern auch für den Datenschutz bei Social Networks generell, fatale Folgen haben. Denn mit Schüler-, Studi- und MeinVZ haben wir gleich drei durchaus bedeutende Netzwerke, die der Aufsicht des deutschen Datenschutzes unterstehen. Die einzig ernsthafte Alternative dazu ist Facebook – ein Unternehmen, das sich dem Zugriff deutscher Datenschützer entzieht. Eine Verlagerung der Marktanteile zu Facebook hat also auch eine Verlagerung weg vom deutschen Datenschutz zur Folge.
Das erneute „Datenleck” ist deshalb nicht nur ein herber Rückschlag für die VZ-Netzwerke, sondern birgt auch die Gefahr, langfristig den Einfluss des deutschen Datenschutzregimes auf Social Networks zu verlieren.
Die Hintergründe zum „Datenleck” bei Netzpolitik.
Ein Interview mit der Datenschutzbeauftragten der VZ-Netzwerke bei Telemedicus.