Sicherheit? Ist grade aus!

Philibuster: Herr Beckedahl, der aktuelle Datenklau bei SchülerVZ zeigt, dass die Betreiber zwar umfangreiche Nachbesserungen in Sachen Sicherheit angekündigt, aber nicht realisiert haben. Nehmen soziale Netzwerke diese Vorfälle einfach in Kauf?

Beckedahl: Generell kann ich das nicht sagen. Bei SchülerVZ hat es mich aber gewundert. Die gleiche Sache hatten wir schon vergangenen Herbst: Programmierer wie Florian Strankowski melden sich bei mir, weil die Netzwerkbetreiber nicht auf ihre Hinweise zu Sicherheitsproblemen reagieren. Wir veröffentlichen die Geschichte, es wird medialer Druck auf SchülerVZ aufgebaut, die Betreiber reagieren sofort und kündigen Maßnahmen an. Sieben Monate später fängt alles wieder von vorne an.

Philibuster: Investieren soziale Netzwerke nicht genug in die Sicherheit Ihrer Nutzer?

Beckedahl: Nein, sie sollten sich mehr bemühen, ein massenhaft-maschinelles Auslesen der Nutzerprofile von Minderjährigen zu verhindern.

Philibuster: Crawling sei nicht mit einem Datenleck gleichzusetzen, sagt Schüler VZ, sondern "in etwa vergleichbar mit dem Kopieren von Daten aus dem Telefonbuch". Sie haben die Datensätze gesehen. Kann man diesen Vergleich ziehen?

Beckedahl: Nein, das ist eine Ausrede der VZ-PR. SchülerVZ ist eine geschlossene Plattform, wo man nicht so einfach reinkommt. Außerdem findet man in einem – öffentlich zugänglichem - Telefonbuch keine Kinder und Jugendliche mit ihren Hobbys und Vorlieben aufgeführt. Der VZ-Sprecher hätte sich mal seine eigene Datenschutz-Seite durchlesen sollen, wo explizit steht:

Darauf kannst du dich verlassen:

* Deine persönlichen Daten sind auf unseren Servern (den
Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B.
nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit
nicht außerhalb vom schülerVZ auf.

Philibuster: Welche Gefahr besteht wirklich für die Daten? Wenn es bereits einem simplen Crawler gelingt, 1,6 Millionen Profile abzufischen, sollte es für Marketingabteilungen großer Unternehmen, die an den Daten der Jugendlichen für Werbezwecke interessiert sind, keine allzu große Herausforderung darstellen, weitaus komplexere Suchprogramme zu erstellen.

Beckedahl: SchülerVZ ist mit - nach eigenen Angaben - 5,8 Millionen Nutzern Marktführer im deutschsprachigen Raum. Man kann mit einem Crawler eine Datenbank fast aller Schüler in Deutschland erstellen und intelligente Suchen darüber laufen lassen, die innerhalb von SchülerVZ nicht möglich sind.


Der Netzpolitik.org-Blogger und re:publica-Gründer Markus Beckedahl © Flickr Daniel Seiffert

Philibuster: Jetzt wirbt die VZ-Gruppe ja auf ihren Startseiten vollmundig mit dem Spruch "VZ-Datenschutz - Deine Daten gehören Dir". Gleich daneben prangt das Qualitätssiegel des TÜV Süd. Verfügt denn eine Institution wie der TÜV Ihrer Meinung nach überhaupt über die notwendige Expertise, um soziale Netzwerke hinreichend auf Sicherheitsaspekte zu untersuchen?

Beckedahl: Der TÜV überprüft in der Regel nur AGB und interne Abläufe. Den Quelltext der Portale  aber nicht. Er suggeriert damit bei Außenstehenden Sicherheit und das ist Teil des Geschäftsmodells. Es suggeriert Sicherheit, die es aber nicht überall halten kann. Bei Software kann man immer nur Momentaufnahmen überprüfen und zertifizieren. Sobald eine kleine Änderung am System vorgenommen wird, ist eine Zertifizierung obsolet. Trotzdem klebt ein schönes TÜV-Siegel auf der Webseite, das Vertrauen schaffen soll.

Philibuster: Wer haftet im Falle des Datenmissbrauchs? Der User, weil er mit den AGBs einverstanden war/ist oder der Betreiber des Netzwerks, der mit „absoluter“ Sicherheit wirbt?

Beckedahl: Beide stehen in der Verantwortung: Die Nutzer müssen aufpassen, was sie von sich preisgeben. Das Crawlen ist bei vielen Social-Networks möglich. Aber bei Facebook zum Beispiel handelt es sich um ein Angebot für Erwachsene. Bei SchülerVZ trägt der Anbieter eine große Verantwortung, weil seine Nutzer fast ausschließlich Minderjährige sind. Das bedarf einer höheren Verantwortung für den Schutz der Daten.

Philibuster: Facebook-Chef Marc Zuckerberg spielt das Recht auf Privatsphäre gerne herunter. Er meint sogar, alles Private sollt irgendwann in die Öffentlichkeit gelangen. Sollte man die Leute nicht eher wieder zu mehr Sorgfalt im Umgang mit privaten Daten ermutigen? Manch banal erscheinende Information sagt über einen Menschen vielleicht oft mehr aus, als sie auf den ersten Blick verrät.

Beckedahl: Marc Zuckerberg erzählt das gerne in den letzten Monaten, um für die veränderte Geschäftspolitik von Facebook zu werben, die von einer zunehmenden Nutzerüberwachung lebt.

Philibuster: Florian Strankowski behauptet, er habe SchülerVZ mehrfach auf die Sicherheitslücke hingewiesen. Warum reagiert die VZ-Gruppe auf solche Hinweise nicht?

Beckedahl: Da gibt es verschiedene Möglichkeiten: Man hat die Mail übersehen, niemand ist zuständig, man wollte Geld sparen und hoffte, das Problem aussitzen zu können oder man hat intern reagiert und bloß vergessen, den Tipp-Geber zu kontaktieren. Offensichtlich ist aber wohl gerade niemand für IT-Sicherheit zuständig. Wie uns zu Ohren kam, war dafür ein freies Team zuständig und das ist nun nicht mehr im Haus. Wohl nicht ohne Grund hat die VZ-Gruppe aktuell eine Stelle in diesem Bereich ausgeschrieben.

Philibuster: Welche Konsequenzen aus der Datenpanne fordern Sie?

Beckedahl: Man muss sich mehr Gedanken machen, wie man kommerzielle Betreiber von Plattformen für Minderjährige verpflichten kann, mehr für die Datensicherheit zu investieren. Und wir brauchen mehr Investition in Medienkompetenz zur Aufklärung der Nutzer.