Spiegel-Story über SchülerVZ, vorab bei Heise [MiniUpdate]

Heise Online berichtet vorab über einen Artikel im am Montag erscheinenden Spiegel, der die Ereignisse um die „Datenklau-Affäre“ bei SchülerVZ und den tragischen Selbstmord von Matthias L. in einem etwas anderen Licht erscheinen lassen:

  • – Matthias L. und VZnet hätten mehrere Tage über die Rückgabe der Daten verhandelt
  • – Via Chat sei seitens VZnet mehrfach Geld geboten worden
  • – Matthias L. habe ursprünglich keine kommerziellen Interessen verfolgt
  • – VZnet habe Matthias L. das Taxi von Erlangen nach Berlin bezahlt
  • – Matthias L. habe laut Akten unter einer „kombinierten Persönlichkeitsstörung“ gelitten, was seine Unterbringung in einer Einzelzelle in Frage stellt

Klingt sensationell, oder? Muss es ja auch, ist ja eine Spiegel-Story. So funktioniert Magazinjournalismus nunmal. Tatsächlich sind aber nur wenige Aspekte wirklich neu.

Dass Matthias L. im Vorfeld bereits über die – nach der Veröffentlichung in einem Webforum de facto nicht mehr mögliche – „Rückgabe“ der Daten verhandelt hatte, ergibt sich bereits aus dem auch hier bei Netzpolitik dokumentierten zeitlichen Ablauf. Auszüge aus den bei Heise Online/im Spiegel erwähnten Chatprotokollen wurden ebenfalls hier in den Kommentaren veröffentlicht (Siehe auch [1] und [2]).

Durchaus plausibel scheint mir auch, dass Matthias L. im Laufe der Gespräche seitens VZnet eine Honorierung im Fall einer kooperativen Zusammenarbeit in Aussicht gestellt wurde. VZnet hat grundsätzlich ein ebenso valides, wie eben auch kommerzielles Interesse, bekannte Sicherheitslücken zu schließen und die Daten seiner Nutzer zu schützen (ganz unabhängig davon, dass das in der Vergangenheit mitunter nur so mittelgut geklappt hat). Auch die Übernahme der Taxikosten von 530 Euro dürften in diesem Zusammenhang sinnvoll investiert sein.

Bleibt die Frage nach der unterstellten Erpressung. Oder besser, ob man im strafrechtlichen Sinne überhaupt von einer Erpressung reden kann. Nach eigenen Angaben sei Matthias L. laut Spiegel nämlich von VZnet-Mitarbeitern gefragt worden, ob „es ihm um Geld oder Ruhm gehe“:

Der Erlanger erklärte in seiner Vernehmung, die VZ-Leute hätten ihn gefragt, ob es ihm um Geld oder Ruhm gehe. Er habe spontan die Summe 80.000 Euro genannt und sich einverstanden erklärt, die „bei mir befindlichen Daten zu löschen“, wenn er bis Montag 20.000 Euro erhalte. „Wenn die mir Geld anbieten“, so L. zur Kripo, „nehme ich es gern an.“

Ist Matthias L. damit zu einer Erpressung genötigt worden? Hat er Geld verlangt? Wie nachdrücklich? Oder wurde es ihm aufgedrängt?

Laut Medienberichten hatte Matthias L. den Tatvorwurf „im Wesentlichen gestanden“. Auch sonst kann man über die kommerziellen Absichten von Matthias L. spekulieren, unter anderem, da er in seinem Blog (inzwischen offline, Kopie liegt uns vor) bereits vor Wochen einen Verkauf seiner Scripte in Aussicht gestellt hatte:

Da mich releativ viele anschreiben und wissen möchten ob der Bot zu verkaufen ist: Nein ist er zz. noch nicht. Später vll. mal wenn ich ihn komplett fertig habe.

Aber all das scheint mir angesichts des tragischen Selbstmords ohnehin weitgehend irrelevant. Weit wichtiger scheint mir die Frage, welche Ratschläge und Tipps man Hackern und – von mir aus – auch Crackern und Scriptkiddies geben kann, wenn Sie auf eine auf Sicherheitslücken – nun – stoßen. Markus hatte das Thema ja schon einmal angerissen, daher nur ein paar kurze Anmerkungen von mir:

  • – Schätzt eure Position realistisch ein. Mag sein, dass ihr am Gerät mächtig was drauf habt. Draussen in der Realität gelten andere Spielregeln. Wenn überhaupt Spielregeln beachtet werden.
  • – Bittet jemanden um Hilfe, der sich mit sowas auskennt. Das müssen nicht unbedingt wir hier bei Netzpolitik sein, auch wenn wir im Fall des Falles natürlich gerne helfen. Ihr könnt euch zum Beispiel an den Chaos Computer Club wenden, wo ihr Leute findet, die sich nicht nur mit Sicherheitslücken auskennen, sondern auch wissen, wie man mit Unternehmen spricht – oder euch wenigstens gute Anwälte empfehlen können. Kontaktadressen gibt es hier und hier. Frank Rieger und Volker Birk sind, das könnt ihr leicht googeln, schon recht lange dabei. Die wissen, wovon sie reden.
  • – Wenn ihr unbedingt selber „verhandeln“ wollt (Nochmal, das ist, ausser bei Kleinigkeiten, meist eine ziemlich schlechte Idee!), sichert euch ab und nehmt glaubhafte Zeugen mit.

50 Ergänzungen

  1. Nanu, warum wird denn hier der Spiegel für seine Berichterstattung kritisiert und SchülerVZ trotz zweifelhaften Vorgehens in Schutz genommen?

    Läuft da vielleicht ein bisschen was schief mit netzpolitik.org? Oder ist das eine Neupositionierung?

    1. Es wurde doch nur gesagt, das VZnet, ein legitimes Interesse daran hat das Sicherheitslücken gefunden und ihnen mittgeteilt wird.

      Mit Hackern da zu kooperieren und ihnen ggfs. auch Geld anzubieten finde ich auch nicht weiter schlimm. Ihnen danach eine Erpessung zu unterstellen ist aber was ganz anderes.

  2. @sa7yr: Wo nehme ich denn SchülerVZ in Schutz?

    Ich finde es lediglich weniger sensationell als der Spiegel (dem dieser Umstand eine Vorabmeldung wert war), dass Badogg eine Honorierung im Fall einer Kooperation in Aussicht gestellt haben soll. Davon konnte man ausgehen.

    Somit bleibt es erneut bei der Frage, ob man – im strafrechtlichen bzw. moralischen Sinne – von einer Erpressung reden kann. Da werden wir wohl keine befriedigende Antwort erhalten (und jeder glaubt halt, was er mag).

    Die Frage, ob VZnet angesichts der in Aussicht gestellten Honorierung eine Mitschuld am Selbstmord von Matthias L. trägt, finde ich absurd.

    Eigentlich finde ich beide Fragen angesichts des Todes eines jungen Menschen ziemlich banal. Anderen mag es helfen um sich Verschwörungstheorien und ihre eigenen kleine Realität zu stricken. Letzteres ist Teil des Problem.

  3. VZnet wollte das Bekanntwerden der bereits ausgenutzten Sicherheitslücke verhindern, nicht das „Löschen“ der Daten, deren Veröffentlichung zumindest teilweise erfolgte. Die Kunden von VZnet zu schützen klingt sehr edel, dabei war es Angst vor den Konsequenzen nach einem PR GAU. Das nenne ich Schweigegeld.

    Gibt es nicht zudem eine Mitteilungspflicht des Unternehmers bei Abhandenkommen persönlicher Kundendaten? Natüclich kann man VZnet nicht beschuldigen, sich aus dieser Verantwortung frei zu kaufen – schließlich handelte es sich um öffentlich zugängliche Daten. Trotzdem genügt der Begriff „Datendiebstahl“ der Darstellung durch die Medien.

  4. @ Jörg-Olaf Schäfers
    bislang war Deine Theorie, dass an der Erpressung was dran sein muss( sonst wäre er ja nicht so lange in Untersuchungshaft gewesen etc). Und jetzt kommen berechtigte Zweifel auf. Dies als unerhebliche neue Faktenlage abzutun ist etwas eigen.
    Natürlich sind die meisten Fragen im Angesicht des Todes banal. Würden dich diese Fragen interessiern, wemm er noch am Leben wäre? Oder findest du es generell ok wenn eine Firma jemanden mit dem Taxi durch ganz Deutschland chauffieren lässt, und dann überrascht tut, wenn derjenige eine gewisse Erwartungshaltung hat?

  5. @3
    1) Die Chat-Protokolle sind nicht allgemein zugänglich, insofern handelt es sich für die Hauptzielgruppe des Spiegels – zumal der Papierausgabe – um eine Sensation.

    2) Richtig ist, dass es umstritten ist, ob eine Erpressung vorlag. Aber die Polizei ist doch gerufen worden von VZ, richtig? Also ging man dort wohl von einer Erpressung aus. Und was glaubst du wohl haben die vor Ort den Beamten erzählt, damit es überhaupt zu einer Festnahme kommen konnte? Den ganzen Tathergang? Nein, gewiss nicht.

    3) Wer hat je behauptet, die Mitschuld von VZ am Selbstmord gründe im Angebot eines Schweigegeldes? Die Kausalkette geht eher von der Veranlassung der Verhaftung aus.

    4) Immer wieder die Tragik des Todes eines jungen Menschen heraufzubeschwören bringt einen in den Verdacht, über die Tatsachen den Mantel des Schweigens ausbreiten zu wollen.

    5) Wie netzpolitik.org zum Inhalt der Stellungnahme des Strafverteidigers steht, kommt im Beitrag von Markus schon schön rüber, er spricht nämlich vom Vorwurf, den der Anwalt „gegen SchülerVZ in die Öffentlichkeit geschmissen hat“ (Link). Das ist eine völlig unangemessene, unnötig inhaltlich Stellung beziehende Wortwahl.

    6) Ich habe überhaupt keine Einwände gegen jegliche Verschwörungstheorien. Solange nämlich Informationen zurückgehalten werden, können Verschwörungstheorien sehr nützlich sein, den für die Änderung der Schweigehaltung nötigen Druck auf die Personen und Marken aufrecht zu erhalten. Solange mir jemand bewusst die Wahrheit vorenthält, ist es mein gutes Recht, Spekulationen über sie anzustellen (womit ich nicht gesagt habe, dass ich das in diesem Fall auch tue).

  6. Das was VZ da gemacht hat ist in meinen Augen Verarschung der „Kunden“.

    Die wussten schon lange von Sicherheitslücken und haben anscheinend (wie viele andere Firmen) KEIN Interesse daran überhaupt was für den Schutz der Daten zu tun, kostet doch nur Geld.

    Aber den „Kunden“ die sich bei StudiVZ und Co anmelden sind die Daten meist eh sch***egal, denn sie haben ja nix zu verbergen.

    Und zum „Spiegel: Sensationsjournalismus sieht anders aus. Die berichten doch nur noch darüber worüber sie berichten „dürfen/sollen“. Oder wieso erscheinen keine Artikel über die ganzen Zensurgesetze und Aushöhlung der Bürgerrechte?

  7. @Arne:

    VZnet wollte das Bekanntwerden der bereits ausgenutzten Sicherheitslücke verhindern

    Das betreffende Chatlog soll vom 17.09. sein, zu diesem Zeitpunkt war die ausgenutzte Sicherheitslücke bereits bekannt (Unklar ist weiterhin, ob Matthias L. noch weitere Lücken „im Angebot“ hatte).

    a) Durch die Berichterstattung in so ziemlich allen relevanten Medien am Tag zuvor, u.a. bei SpOn und Heise Online
    b) Laut Chatlog sollte die (spätere) VÖ ja kein Problem sein, aber bitte erst nach Beseitigung der Lücken (Kaufe ich so zwar auch nur bedingt, ist aber nicht relevant da wir …
    c) … hier ja bereits Details veröffentlicht hatten und VZnet darüber auch im Vorfeld informiert wurde.

    Die Kunden von VZnet zu schützen klingt sehr edel, dabei war es Angst vor den Konsequenzen nach einem PR GAU.

    Das sind zwei Seiten ein- und derselben Medaille. Kann ich meinen Kunden keine Sicherheit bieten, habe ich einen PR-Gau.

    Das nenne ich Schweigegeld.

    Das würde nur funktionieren, wenn nicht bereits jemand gequatscht hätte. Was der Fall war.

    Gibt es nicht zudem eine Mitteilungspflicht des Unternehmers bei Abhandenkommen persönlicher Kundendaten?

    Afaik nein, leider. Die Feinheiten des Datenschutzsrechts sind aber Markus’s Gebiet, nicht meines ,)

    Was die vermeintliche „Öffentlichkeit der Daten“ betrifft, kann man auch anderer Ansicht sein. Wie auch immer, als Entschuldigung für Datenabsauger ist das als Argument eh schwach. Ganz gleich, welchen Begriff man am Ende wählt (Ich habe mich oben für ein Zitat) entschieden

  8. @Simon:

    Die wussten schon lange von Sicherheitslücken und haben anscheinend (wie viele andere Firmen) KEIN Interesse daran überhaupt was für den Schutz der Daten zu tun, kostet doch nur Geld.

    Auch auf die Gefahr erneut der Kolloboration mit dem Feind beschuldigt zu werden: aber das stimmt so einfach nicht. Natürlich hat VZnet ein Interesse daran, grundsätzlich Sicherheit zu gewährleisten.

    Bis zum Verkauf vor 3 Jahren konnte man tatsächlich den Eindruck haben, Sicherheit sei sekundär und es ginge nur um einen möglichst geilen Exit für die Gründer.

    Zwischenzeitlich ist aber einiges passiert, u.a. ein (oder zwei?) Rewrites, bei denen strukturelle Probleme beseitigt wurden (und kurioserweise bereits beseitigte neu auftraten. Z.B. das Problem mit der Supersuche).

    Letztendlich ist es bei einer Plattform wie SchülerVZ/StudiVZ aber wohl gar nicht möglich, 100% Sicherheit zu bieten. Dafür spielen einfach viel zu viele Hacker/Kiddies mit den Servern. Irgendwer findet immer was.

    Entscheidend ist also die Frage, wie VZnet auf aufgedeckte Sicherheitsprobleme reagiert. Hier gibt es sicher noch Verbesserungsbedarf.

    Aber den “Kunden” die sich bei StudiVZ und Co anmelden sind die Daten meist eh sch***egal, denn sie haben ja nix zu verbergen.

    Auch das ist natürlich überheblicher Blödsinn. Tatsächlich hat da – gerade bei StudiVZ – im Laufe der Jahre ein Bewußtseinswandel auch bei den Kunden stattgefunden.

    Natürlich sind viele Menschen immer noch zu unvorsichtig mit ihren persönlichen Daten. Denen hilft deine Arroganz aber nicht weiter. Wie wäre stattdessen mit Hilfe und Aufklärung?

    Sensationsjournalismus sieht anders aus.

    Daher schrieb ich ja auch Magazinjournalismus. Der arbeitet nicht zuletzt mit Zuspitzung und Personalisierung. Wennn nun ausgerechnet die Mitglieder einer selbsternannten Informationselite Spiegel-Berichte oder Anwaltsschreiben zur Grundlage ihrer Realität machen, nun, lässt mich das doch ziemlich an diesem Medienkompetenzding zweifeln.

  9. @sa7yr: Sorry, ich habe keinen Bock mehr auf deine Spielchen und albernen Unterstellungen.

    Falls es dir noch nicht aufgefallen ist: Ja, wir beziehen hier auch mal Stellung. Unter unserem Klarnamen. Anonym rumpöbeln kann jeder.

  10. Hihi. Wieviel wohl die Qualitätsjournalisten hier abgeschrieben haben. Ich werde es nicht sehen, denn Spiegel hab ich an der Wand.

  11. @12
    Inwiefern ich rumgepöbelt habe, entzieht sich eher dem aufmerksamen Leser. Und der Rückgriff auf solches Vokabular (auch: „Spielchen“, „Unterstellungen“, „anonym“) – ohne noch inhaltlich Stellung zu nehmen – zeigt meistens an, wenn jemandem die Argumente ausgehen. Klingt auch ein bisschen eingeschnappt. Sorry ;-)

  12. Joerg, angesichts der geringen Faktenlage und des Medieninteresses an dem Fall ein schoen zurueckhaltender und differenzierter Artikel. Ich denke auch dass es, da man die genauen Umstaende vermutlich nicht sicher klaeren kann, und Matthias L. in jedem Fall Fehler begangen hat (ob nun als einziger oder nicht), sinnvoll ist, auf den Umgang mit Sicherheitsluecken nochmal hinzuweisen.

    Mit den gegenseitigen Schuldzuweisungen ist keinem geholfen.

  13. – Schätzt eure Position realistisch ein. Mag sein, dass ihr am Gerät mächtig was drauf habt. Draussen in der Realität gelten andere Spielregeln. Wenn überhaupt Spielregeln beachtet werden.

    Der Hinweis trifft den Nagel auf den Kopf.

    Es ist nicht der Datenklau, der hier zum Stein des Anstoßes wird. Selbst die Methode, an diese Daten zu kommen, bedarf keiner Kritik.

    Andere (professionellere) Datendiebe veranstalten Gewinnspiele, sammeln zehntausende von Antwortpostkarten mit Adresse, Telefon- und Handy-Nummer, lassen diese Adressen für 10 Cent/Stück von arbeitslosen Nebenjobbern in den PC eintippen und verhökern den Datenbestand für gutes Geld an zahlungswillige/zahlungsfähige Kunden.Ganz legal. So was nennt man ‚Geschäft‘. Ganz legal. Unsere Wirtschaft braucht gute Geschäfte.

    Die gesammelten Daten aus den Gewinnspielen stammen aus vielen Quellen. Im vorliegenden Fall stammen sie aus einer Quelle. Ein findiger Geschäftsmann könnte nun auf die Idee kommen, diese Mitgliederdaten von einer handvoll Leute einfach abschreiben zulassen. Copy/Paste, 10 Cent/Datensatz. 1000 Euro für 10.000 Datensätze. Kein schlechter Nebenverdienst.

    Was ist bei VZ denn wirklich passiert? Ein cleverer junger Mann hat eine Methode entwickelt, schneller und einfacher an Daten zu kommen, die nach Angaben des Besitzers (Eigentümers?) ohnehin öffentlich zugänglich waren. Dieser kleine, unbekannte Mann hat einem großen, bekannten Unternehmen gezeigt, wie es geht. Er hat auf seine Art die tolle, vorgekaukelte Datensicherheit ad absurdum geführt. Das war sein Fehler. So etwas darf man mit einem großen Unternehmen nicht machen.

    Im darauf folgenden Geschehen hat das Unternehmen alles daran gesetzt, diese Schlappe
    nicht an die große Glocke zu hängen. Ob das nun durch rechtliche Repressalien oder durch angebotene Zahlungen geschah, ist letztendlich nebensächlich.

    Jede Unternehmensreaktion, egal, ob im eigenen Blog, in Presse-Informationen oder durch bekannt gewordene Aktionen trug und trägt zur Verschlimmbesserung des Ansehens bei.

    Was ist von einem Unternehmen, das mit Macht, Pracht und Größe protzt, zu halten, wenn die behauptete Datensicherheit nicht gegeben ist und das Management nicht in der Lage ist, angemessen mit so einer Situation umzugehen?

    Es waren keine vertrauensbildenden Maßnahmen, die der CEO da vom Stapel gelassen hat.

    Hätte am nächsten Tag in der Zeitung gestanden: „Die VZ-Gruppe stellt 50 Informatiker/EDV-Fachleute/Hacker ein, um derartigen Vorfällen vorzubeugen“, hätte man so einen Versuch wohlwollend abwarten können.

    [Anm.d.Verf.: Würde ich für diesen Tipp im Sinne von Unternehmensberatung ein Honorar von sagen wir mal 80.000 Euro verlangen,gäbe es bestimmt einen Anwalt, der mir da was unlauteres unterstellt.]

    Da aber kein Unternehmen gerne zu gibt, unfähiges Personal zu beschäftigen, wird man sich eben weiterhin finanzieller, rechtlicher und sonstiger Mittel bedienen, „um sich am Markt behaupten zu können“.

    Darum, liebe Datenklauer und Kritiker, denkt immer hübsch und artig daran, mit wem ihr euch anlegt. Sein Monatseinkommen könnte über dem BAFÖG oder dem Arbeitslosengeld liegen.

    1. Zitat:
      „Was ist bei VZ denn wirklich passiert? Ein cleverer junger Mann hat eine Methode entwickelt, schneller und einfacher an Daten zu kommen, die nach Angaben des Besitzers (Eigentümers?) ohnehin öffentlich zugänglich waren. Dieser kleine, unbekannte Mann hat einem großen, bekannten Unternehmen gezeigt, wie es geht.“

      Also ganz im Ernst, und ohne damit fuer irgendeine Seite Stellung beziehen zu wollen, aber das kann ich nicht nachvollziehen. Staendig kommt das Argument, er haette doch nichts verbotenes oder illegitimes getan, da die Daten doch ohnehin oeffentlich gewesen seien. Wenn ich auf einer Social Networking Seite beliebige Daten von mir online stelle, dann nehme ich in Kauf, dass die dort oeffentlich zugaenglich sind und akzeptiere, dass sie jeder der will ansehen kann. Ich muss auch akzeptieren, dass mit den Daten mal grundsaetzlich jeder machen kann was er will. Aber ich gebe doch damit nicht mein OK, dass die Daten fuer andere Zwecke benutzt werden. Ich willige doch nicht automatisch mit dem Veroeffentlichen irgendwelcher Daten darin ein, dass mein Profil automatisiert an andere Firmen oder Privatleute verkauft oder weitergereicht wird. Damit muss ich zwar rechnen, aber das macht es doch noch lange nicht legitim / legal. Moralisch finde ich das auch sehr verwerflich. Sicherheitsluecken suchen und Daten sammeln, ok. Aber dann bitteschoen auf die Sicherheitsluecke hinweisen oder von mir aus auch voellig ignorieren, aber doch nicht die Daten in ein Forum stellen. Daran ist nichts aber auch gar nichts ok. Es macht eben schon einen Unterschied, ob die Daten in SchuelerVZ alle oeffentlich sind, oder ob ich mir alle Daten in einer Datei als Datenbank herunterladen kann.

      Nur weil etwas geht und technisch vermutlich sogar sehr einfach ist (von Sicherheitsluecke kann man ja kaum reden) heisst das doch noch lange nicht, dass man das auch darf. Ich darf ja auch nicht beim Nachbarn in die Wohnung filmen und das dann als Live-Stream online stellen, nur weil der ein Fenster zu meiner Terrasse hin hat und da keine Vorhaenge aufhaengt.

      1. @ Fab (20.)

        Es mag sein, dass ich mich an der Stelle etwas oberflächlich/missverständlich ausgedrückt habe.

        Eigentlich wollte ich damit nur den von mir zitierten Absatz unterstreichen, dass man es sich sehr wohl gut überlegen sollte, mit wem man sich anlegt. Egal, wie und womit.

        Die (Un-)Tat wird zur Nebensache, wenn der große Gegner nicht ganz geschickt darauf reagiert.

  14. Für mich klingt das so, also ob Matthias bei SchuelerVZ eine Gehaltsverhandlung geführt hat. Das er hier über die Stränge geschlagen hat, kann Ihm nicht angelastet werden, er hat vielleicht ein bisschen übertrieben. Aber seien wir mal ehrlich. Versetzt euch mal in seine Lage. Wenn Ihr ein Vorstellungstermin habt, und vielleicht ein zu hohes Gehalt verlangt, läuft das ganze dann auch auf einen Erpressungsversuch raus ?

    SchuelerVZ hat hier einen Kollateralschaden angerichtet. Seien wir mal ehrlich, wer wird nun irgendwelchen Firmen guten Gewissens irgendwelche Sicherheitslücken mitteilen. Die meisten werden durch die Aktionen der VZ Gruppe abgeschreckt sein, die Sicherheitslücken bleiben bestehen, von Datenschutz kann keine Rede mehr sein.

  15. NICHTS STEHT IM SPIEGEL!

    Ich habe bereits den neuen Spiegel.
    Von Seite 1 bis Seite 174 durchgeblättert.
    Von einer Story über SchülerVZ stehr da kein Wort. Weder im Inhaltsverzeichnis, noch im Heft.

    Sollte wohl via Heise eine verkaufsfördernde Maßnahme sein…

  16. Merkwürdig finde ich, dass der Artikel es nicht in die gedruckte Spiegel-Ausgabe 46/9.11.09 geschafft hat, die ich mir gerade für 3,70 „gegönnt“ habe. Ein Spiegel kratzt eben einem Holtzbrinck kein Auge aus.

    Immerhin, ich habe das erste Mal in diesem Jahrzehnt wieder eine Zeitschrift gekauft.

  17. DOCH – Auf Seite 16…
    Aber da steht ausser der Taxifahrt nichts neues, was wir nicht schon bei netzpolitik gelesen hätten. Mich hätte das Chat- Protokoll interessiert. Das hat der Spiegel aber nicht veröffentlicht.

  18. Ich verstehe den ganzen Wirbel um diese Aktion nicht. Abgesehen vom tragischen Selbstmord ist doch nichts aufregendes passiert. Der Junge ist nicht der erste, der ein paar Profildaten mit einem Spider ausgelesen hat und wird auch nicht der letzte sein. Mehr als ein paar Zeilen Code, Praktikanten die Fake-Profile anlegen und ein paar IP Adressen braucht es dazu nicht. Und dass ein Unternehmen Geld bietet um ein PR-Desaster zu verhindern halte ich auch für legitim. Hier wird wieder ein Thema aufgepusht und von großen Hacks geredet wo keine sind.

    1. @Malte
      Es geht darum, dass das Unternehmen bestreitet, Geld geboten zu haben und aus Gründen der eigenen Reputation jemanden in den Knast geschickt haben könnte.
      Das wäre das schon eine ziemlich saftige Story.

      Für alle Whistleblower ist es die Warnung, entweder solche Datenlecks nicht mehr zu melden oder nur noch mit Rechtsbeistand ein Unternehmen zu besuchen, auch dann wenn man eingeladen wird. Es könnte eine Falle sein.

  19. Hab mir gerade das Chat-Protokoll angeschaut.
    Was bitte ist denn ein „level-2 bereich“.

    Hat er die gesammelten Daten jetzt veröffentlicht, oder nicht?
    Das ist mir bei der ganzen Diskussion nicht wirklich klar geworden.

  20. @blar: Thx, leider ist das ICQ-Log unvollständig. Allerdings gewinnt man doch einen ganz guten Eindruck von „ex1t“.

  21. Sebastian Kerner: die Daten sind schon längst ohne Zutun des Verstorbenen öffentlich zugänglich, es gab mehrere Personen, die diese Daten gecrawlt haben. Du kannst Sie in verschiedenen Boards runterladen, aber das sagte ich schon.

  22. ZITAT: „SchuelerVZ hat hier einen Kollateralschaden angerichtet. Seien wir mal ehrlich, wer wird nun irgendwelchen Firmen guten Gewissens irgendwelche Sicherheitslücken mitteilen. Die meisten werden durch die Aktionen der VZ Gruppe abgeschreckt sein, die Sicherheitslücken bleiben bestehen, von Datenschutz kann keine Rede mehr sein.“

    Meines Erachtens nach gibt es da bei den Firmen nur 2 Möglichkeiten:

    1. Die Firma ignoriert es und will davon nix wissen. Sicherheitslücken werden nicht geschlossen, bloß keinen Aufwand.

    2. Die Firma ist stinksauer, wie kann sich da jemand einbilden auf sowas hinzuweisen. Natürlich wird er verklagt und fertig gemacht. Eventuell werden die Sicherheitslücken geschlossen, eventuell nicht. Wozu auch, wenn man die Justizkeule schwingen kann und genug Geld hat.

    Das ist so wie bei Lidl. Mitarbeiter haben da ja sowieso keine Rechte und das Beispiel mit dem Ex-Mitarbeiter war auch toll. „Ich hab hier nen paar alte Daten, die könnt ihr euch jederzeit bei mir abholen, natürlich kostenlos.“ – „Nein danke, kein Bedarf“. Und wenig später fällt Lidl ein das sie die Daten doch wollen, natürlich wird dann sofort ne Unterlassungsklage gemacht, obwohl die die Daten nur holen müssten.

    Den Firmen geht es doch nur ums Geld. Sicherheit + Datenschutz kosten nur Geld. Solange keiner was weiss oder sagt ist es doch scheissegal. Was interessiert es die Verantwortlichen bei xyVZ wenn die Userdaten weg sind? Solange es keiner weiss ist das doch sch****egal. Dann kriegen die halt unerwünschte Werbung. Ahnt doch keiner das die Daten von xyVZ geklaut wurden. (Oder von einer anderen Firma wo man sich mal angemeldet hat…)

    Nen seriöser Umgang mit Kundendaten sieht anders aus, ganz anders. Und dazu gehört das erstmal versucht wird das Ganze ohne Polizei und Juristenkeule zu klären, das der Datenschutz ernst genommen wird und das die Lücken dann auch geschlossen werden. Die Firmen können sich doch freuen wenn nen „Hacker“ sich meldet und sagt das da eine ist die ausgenutzt werden kann.

    Ja, klar, er war sehr böse, also machen wir ihn fertig. Die anderen 100 die genau das Gleiche machten und es nur nicht erwähnen lassen wir mal ungeschoren davon kommen, weiss ja keiner was von. <<< DAS ist das was viele Firmen machen und was genau der falsche Weg ist.

  23. @Simon: Ja du hast recht.

    Also ich hätte Matthias als SchuelerVZ Verantwortlicher einen gut dotierten Job gegeben, und hätte Ihn auch positiv im Unternehmensblog dargestellt, und die Lücke auch offen kommuniziert. So leidet nämlich nich die Glaubwürdigkeit eines Unternehmens.

  24. Im übrigen bleibt zu sagen, das SchuelerVZ von Anfang an eine Frickellösung war. Sicherheitsmassnahmen müssen von Beginn an in die Architektur mit rein implementiert werden, es bringt nichts diese Lücken nachträglich zu fixen. Der Aufwand steht in keinem Verhältnis zum Nutzen. Viele Entwickler haben hierfür kein Verständnis und kein Gespür, wo Gefahren lauern. Holtzbrink hat im Grundgenommen ein Flickenteppich für mehrere Millionen von den Gründern übernommen, und haben jetzt zurecht mit solchen Sachen zu kämpfen.

  25. Das größte Problem ist und bleibt leider das viele Menschen sich nicht im Klaren sind wie wertvoll die eigenen Daten sind. Und das es nicht gut ist diese Daten so oft irgendwo anzugeben. Klar, Daten mit Freunden teilen ist toll, Gewinnspiele sind toll, Rabattmarken sind toll, aber ist es auch toll das viele Firmen dann mit den Daten handeln? „Ich hab doch aber nix zu verbergen und auf meinem Konto gibts auch nix zu holen!“

    Jaja, man muss die Menschen leider noch immer vor sich selbst schützen und das wird wohl auch für immer so bleiben. :(

  26. @Michael #34: „Gut dotierter Job bei SchuelerVZ“? Wo denken Sie hin? Haben Sie sich einmal die Arbeitsbedingungen dort angesehen? Ich kenne Mitarbeiter, von denen verlangt wurde, dass sie ihr eigenes Notebook zur Arbeit mitbringen.

  27. Holtzbrink hat im Grundgenommen ein Flickenteppich für mehrere Millionen von den Gründern übernommen, und haben jetzt zurecht mit solchen Sachen zu kämpfen.

    Wie gesagt, Anfang 2008 erfolgte ein kompletter Rewrite der Software. Du kannst davon ausgehen, dass die Software von heute nichts mehr mit dem wirklich üblen Gefrickel aus den Anfangstagen zu tun hat.

  28. @wolf:

    Aber da steht ausser der Taxifahrt nichts neues, was wir nicht schon bei netzpolitik gelesen hätten.

    Toller Service, oder? ,)

    Nun, offenbar hatte der Spiegel schlicht nicht mehr/kaum Neues (für Spiegelleser vielleicht, für Blogleser weniger). Darauf weise ich ja auch dezent zu Beginn meiner freundlichen Kritik hin.

    PS: Die Übernahme der Taxirechnung habe ich auch angesprochen.

  29. @Simon (Kommentar 31)
    Meiner Meinung nach fehlt hier eine wesentliche Möglichkeit: die Unternehmen, die mit sensiblen Nutzerdaten umgehen (und dürften heute mindesten 99% der Firmen sein!) müssen einfach Ihre Konzepte für den Datenschutz komplett überdenken und dafür entsprechende Mitarbeiter einstellen. Ohne konkrete Namen zu nennen kenne ich mehrere Firmen bei denen ich als Hilfskraft tätig war, denen der Datenschutz der Kunden am Ar*** vorbei geht. Das wird einfach nicht ernst genommen von den verantwortlichen Personen.

    Das ist jetzt eine gewagte These, aber: vielleicht wäre es von schülerVZ clever gewesen dem verstorbenen jungen Mann einen Job im Bereich Datensicherheit/-schutz anzubieten. Dann hätten die Ihre Probleme vielleicht mal in den Griff bekommen. Aber wie gesagt, das Ganze zu vertuschen ist natürlich einfacher!

    Und wenn nicht der „Datensammler“, dann eben ein anderer Experte, Hauptsache er/sie bringt mehr Knowhow mit als die Vögel bei schülerVZ…

  30. @Christian2010:

    Und wenn nicht der “Datensammler”, dann eben ein anderer Experte, Hauptsache er/sie bringt mehr Knowhow mit als die Vögel bei schülerVZ…

    Wenn du tatsächlich mal etwas komplexere Systeme administriert haben solltest (und sei es als Hilfskraft) solltest du es besser wissen.

    Je größer/interessanter das Ziel, desto ungünstiger ist das Verhältnis zwischen – mutmaßlich – einer handvoll Administratoren und z.T. mehreren tausend oder gar zehntausend Angreifern mit kreativen Ideen. Da kann ein einzelner Experte wenig ausrichten, er ist immer in der Defensive. Und Oppos^H^H Defensive ist Mist, da gebe ich Franz Müntefering Recht.

    Übrigens hakt an dieser Stelle die Argumentation: Was sollen die „Vögel“ denn mit welchem Knowhow verteidigen, wenn die Daten eh „öffentlich“ sind?

  31. Wenn einer schon OOP „promotet“ und dann auch noch ohne jede Begruendung, sondern nur so „Fanboy-maessig“, ist er mir schon tierisch unsympathisch (gerade das Chat-Log gelesen)…

    Naja. Vielleicht war ich in dem Alter auch so ;)

  32. Auf den Spiegel kann man sich – möchte man hier mit dem Begriff des korrekt recherchierten investigativen Journalismus spielen – schon seit Jahren nicht mehr verlassen. Dies zeigte ganz besonders die polemischen Artikel von SPOL zur Abwrackprämie über das Online Formular, in dem der Geschäftsführer als eloquent bloggend aber E… kratzend dargestellt wurde.

    Genauso schlimm ist heise.de, denen ist nur noch eingeschränkt zu glauben. Zieht man 90% potentiellen Wahrheitsgehalt ab, kommt man ziemlich nahe an die eigentliche Wahrheit heran.

    Viele Grüße.

  33. @Jörg-Oliver Schäfers (Nr. 41)

    Gut, da passte meine Formulierung an mindestens zwei Stellen nicht. „Vögel“ war mit Sicherheit nicht korrekt, dafür sorry von meiner Seite! Obwohl ich noch keine komplexen Systeme als Admin betreut habe, weiß ich natürlich, dass eine einzelne Person wenig ausrichten kann. Gemeint war natürlich eher ein Team für den Bereich Datenschutz/Datensicherheit.

    Den letzten Punkt kann ich aber nicht so stehen lassen. Nur weil Daten ohnehin schon „öffentlich“ sind, brauchen sie definitiv dennoch Schutz. Meiner Meinung nach sogar mehr als Daten, die von Natur aus „nicht-öffentlich“ sind. Wie das Ganze aussehen könnte, weiß ich ehrlich gesagt nicht. Fakt ist nur, dass hier zu wenig Schutz vorliegt.

    Mir ist aber auch klar, dass man in solchen Netzwerken immer irgendwie an Daten kommt. Und wenn man ein ganzes Call-Center damit beschäftigt sich Nächte lang hinzusetzen und die Daten vom Bildschirm abzutippen. Da das aber kaum jemand für mehrere tausend Daten macht (allein vom finanziellen Aspekt her lohnt sich das wohl kaum), muss man dennoch Mittel und Wege finden die öffentlichen Daten zu schützen.

    Daten bzw. Informationen sind eben besondere, weil immaterielle, Güter, die auch besondere Maßnahmen erfordern.

    Es tut mir leid, dass ich mich etwas unglücklich ausgedrückt habe ;-)

  34. Alles in der Online-Welt bekannt, aber das Magazin erscheint immer noch offline. Dass das mit einiger Verzögerung geschieht, hat eben mit den Regeln der Printwelt zu tun. Ich finde es gut, dass überhaupt jemand über die Verschleiung der VurZ-Netze berichtet, die hoffen einfach, dass da in zwei Wochen soviel Gras drüber gewachsen ist, dass keiner mehr unangenehme Fragen stellt.

  35. @Christian:

    Nur weil Daten ohnehin schon “öffentlich” sind, brauchen sie definitiv dennoch Schutz.

    Selbstverständlich. Da sind wir uns total einig. Ich wollte nur kurz auf das Problem der Argumentation „Der hat doch nix gemacht, die Daten waren doch öffentlich“ in diesem Zusammenhang hinweisen.

    @domingos:

    Alles in der Online-Welt bekannt, aber das Magazin erscheint immer noch offline. Dass das mit einiger Verzögerung geschieht, hat eben mit den Regeln der Printwelt zu tun.

    Natürlich. Mein „Tatsächlich sind aber nur wenige Aspekte wirklich neu“ richtig sich daher auch prinzipiell an die Leser und Mitdenker dieses kuscheligen Nischenblogs.

    Letztendlich war mir aber auch klar, dass manche den Artikel dankbar aufnehmen würden, weil er in seiner magazintypischen Art (scheinbar) geeignet ist, ihre Verschwörungstheorien und Feindbilder zu untermauern. Daher der freundliche Hinweis, dass da – für uns Onliner – eigentlich kaum Neues im Spiegel steht.

    D.h. meine Kritik richtet sich nicht gegen den Spiegel (wie tlw. unterstellt), sondern eher gegen die, die sich vielleicht mal einen vorhalten sollten, wenn sie beim nächsten Mal auf Journalisten einbloggen. Irgendwie klappt das mit der Medienkompetenz und Realitätsfindung mitunter nämlich nur so mittelgut.

    Naja, schaun‘ mer mal, was der Stern aus der Sache macht.

  36. @Jörg-Oliver Schäfers:

    Um Gottes Willen, nein! Unschuldig ist/war der junge Mann (wahrscheinlich) auch nicht. Das sehe ich genauso.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.