Eigentlich wollte ich schon eher darüber schreiben. Aber dann hab ich es gelassen und mir gedacht: Sei nicht so kleinlich. Kann man sich zwar drüber aufregen, aber muss ja jeder selber wissen, was er tut.
Aber jetzt frag ich mich echt, was als nächstes kommt.*
Es fing damit an, dass StudiVZ-Gründer Ehssan Dariani in “Völkischer Beobachter“-Aufmachung im Netz zu einer Party einlud. Gut, das ist daneben. Und peinlich. Aber muss er ja selber wissen.
Dann tauchten Youtube-Videos von ihm auf, wo er u.A. eine Frau ein Chick (das offensichtlich unter Alkohol- und/oder Drogeneinfluss stand) auf der Toilette filmt. Oder ein Video, in dem er Frauen in der U-Bahn belästigt. Bleibt anzuzweifeln, ob er deren Erlaubnis zur Veröffentlichung hat. Das ist wirklich daneben. Und echt peinlich. Findet auch Johnny.
Macht ja nix. Nur weil der Typ anscheinend gestört seltsam bemitleidenswert ist, muss ja nicht unbedingt das Produkt an sich schlecht sein.
Dann tauchen immer wieder neue Sicherheitslücken auf, mit denen Nutzer an beliebige Daten anderer Nutzer kommen können, auch wenn diese als privat eingestellt sind und nur privilegierte Nutzer darauf Zugriff haben sollten (Heise berichtet). Nicht so schön, für all jene, die vom Schutz ihrer Daten ausgehen.
Die simpel auszunutzende Sicherheitslücke wird trotz oder gerade wegen ihres verheerenden Effekts mal schnell als Feature verkauft und das Vorhandensein eines Sicherheitsproblems geleugnet.
Spätestens hier wäre der Punkt, an dem mir meine Daten wichtiger wären und an dem ich meinen Account gekündigt hätte. Wenn ich denn einen hätte.
Ja und dann passiert diese Geschichte. Eine Gruppe von ca. 700 notgeilen perversen Männern versammelt sich, um unter Ausnutzung obiger Sicherheitslücke private Fotos weiblicher Mitglieder für alle Gruppenmitglieder (mit sexistischen Kommentaren versehen) zu veröffentlichen. Und dann verabredet man sich auch noch zur organisierten virtuellen sexuellen Massenbelästigung dieser Frauen.
Was kann StudiVZ dafür? Bis auf die Sicherheitslücke eigentlich nichts.
Wenn da nicht diese eine Mail eines StudiVZ-Mitarbeiters wäre. Irgendjemand außerhalb der Gruppe hat sich wohl über die öffentliche Gruppenbeschreibung beschwert. Und das ruft einen StudiVZ-Mitarbeiter auf den Plan.
Man könnte jetzt denken, der veranlasst die Löschung der Gruppe und stellt Inhalte für evtl. Strafverfolgungen sicher.
Pustekuchen. Stattdessen schreibt er:
[…] Zuerst, okay ich bin ein Mann - also erster Eindruck… Ne ernsthaft, die Inhalte deiner Gruppe sind absolut okay - es geht ja nur um einen Fotocontest und nicht um irgendwelche Beleidigungen, allerdings wirkt die Beschreibung der Gruppe (was ja nun mal das Einzige ist, was jemand sieht, der nicht in der Gruppe ist) doch sehr danach aus.
[…] Kannst du die Beschreibung […] abändern und diese - naja, sagen wir “pornographischen Elemente” - entfernen? Dann gibts wohl auch keine Probleme mehr.
[…] P.S.: Einer der [StudiVZ-]Gründer […] hätte gerne ne Einladung für die Gruppe… - ich würd mich dann da auch anschließen;-)
(siehe hier; alles in eckigen Klammern ist von mir)
Also da bleibt mir die Kinnlade stecken. Ein StudiVZ-Mitarbeiter und ein StudiVZ-Gründer wissen, was in dieser Gruppe geschieht. Aber anstatt etwas dagegen zu unternehmen, will man mitmachen. Die Behandlung der Beschwerde beschränkt man darauf, dass die Gruppenbeschreibung geändert wird. Anscheinend will man beim Stalking ungestört sein.
StudiVZ-Sprecher Bonow dazu:
Auf jedem Uni-Campus ist es normal, dass sich Studentinnen über Studenten und Studenten über Studentinnen unterhalten. So auch bei StudiVZ.
Is klar.
(gefunden beim Johnny; Skandal beim Don; vieles über StudiVZ hier)
* Update [27.11.2006]: Um auch diese Frage zu beantworten: Sowas und vielleicht sogar sowas (keine Ahnung, ob das stimmt). Das gibts echt nicht mehr. Der Laden hat massivste Sicherheitsprobleme und ein unmögliches Management. Von mir aus lass ich mich paranoid nennen, was Datenschutz angeht. Aber Entschuldigung, bei sowas wird mir übel.
Ähnlich sieht das auch Jörg-Olaf Schäfers:
Ich glaube, dass die Probleme im technischen (Bugs, Privacy Issues) und im organisatorischen (Mitarbeiter in Stalking-Gruppen, Nazi-Einladungen, Praktikanten auf Luftmatrazen etc) Bereich ihre Wurzeln tief in der Unternehmenskultur haben. Die schlanken Strukturen und das “einfach mal machen”, die man beim StudiVZ als kreatives Chaos zu kultivieren versucht, führen scheinbar zu Problemen, die bei einem klassischen Projektmanagement so wohl nicht auftreten würden.
Das kann man nicht einfach nachbessern, das ist ein strukturelles Problem und permanentes Pulverfass.
Vielen Dank für alle Deine lieben Worte zu Studivz. Schön, dass Du auch super recherchiert hast und nun Deine Energie dazu nutzt Deine negative Meinung im Internet zu verbreiten. Ich würde mich jedoch freuen, wenn hier ein paar Kommentare erscheinen, die auch die Realität beleuchten. Und dazu gehört auch der folgende Beitrag von jemanden, der mit dem Studivz “eng verbunden” ist. Dort kann man auch nachlesen, was es mit dem ach so schlimmen völkischen Beobachter auf sich hat. Zumindest teilweise. Übrigens steht dann auch weiter oben, dass man mittlerweile Geld für das Aufdecken neuer Sicherheitslücken gibt…
Also hier der Link:
http://www.studivz.net/blog/?p=76
Grüße…
Das Essay zu dieser Völkischer-Beobachter-Geschichte kenne ich. Das ändert aber nichts an meiner Meinung zu der Geschichte. Ich finde sie nachwievor daneben. Sagt Dariani auch selber: “Konkret: Die Party-Einladung in Anspielung auf den Völkischen Beobachter war ein Fehler. Dafür und für die daraus entstandenen Missverständnisse möchte ich mich aufrichtig entschuldigen.” (http://www.studivz.net/blog/?p=78)
Nun, das ist eine Sache zu der man seine Meinung haben kann. Bei den Datenschutz- und Sicherheitsproblemen geht es aber um Fakten. Und die sehen momentan nicht gut aus. Es ist ja nicht eine Sicherheitslücke, die mal entdeckt wurde. Es sind schon jetzt ein geschätztes Dutzend und es werden sicher weitere folgen.
Der Code von StudiVZ ist offensichtlich nie mit Bedacht auf Sicherheit programmiert worden. Das ist ein prinzipielles Problem. Dieses Problem kann man nicht dadurch beheben, dass man nach Schwachstellen sucht und diese dann flickt. Man wird immer neue Schwachstellen finden.
Die einzige Lösung wäre, den Code komplett von vorne neu zu schreiben und dabei ein paar Leute einzustellen, die sich mit sowas auskennen.
Dass man Geld für das Auffinden von Sicherheitslücken bekommt ist so eine Sache. Ist ja PR-mäßig nett gemeint, aber das kann ja nun nicht die Lösung sein.
Wer von mehr als 1 Millionen Studenten teilweise sehr sensible Daten hat, hat auch eine Verantwortung. Und mit mehreren Millionen Euro Venture Capital sollte man es auch schaffen können, dass alles so sicher ist, wie es sein sollte. Selbiges auf Nutzer abzuwälzen, kann da nicht die Lösung sein.
256 Euro für das professionelle Analysieren der Systemsicherheit sind eine Unverschämtheit. Entweder ist man bei StudiVZ extrem geizig oder man geht davon aus, dass noch so viele Lücken gefunden werden, dass man sich keine höheren Prämien leisten kann.
Ich hoffe mal auf den Geiz.