Artikel drucken

28.02.2007

StudiVZ - Hacker gruscheln Userdaten

Das Studentenportal StudiVZ ist mir zu keinem Zeitpunkt als besonders sorgsam im Umgang mit Userdaten aufgefallen - allerdings lässt sich dort wunderbar "gruscheln", eine unwiderstehliche Einladung an Hacker und ein Armutszeugnis für die Betreiber.

Es macht kaum Sinn, die Ignoranz (Link: http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=12288997&forum_id=113182) oder gar erschreckenden Dilletantismus (Link: http://www.golem.de/0611/49223.html) der Betreiber der StudiVZ-Plattform im Umgang mit Datensicherheit nochmals durchzukauen; es gab und gibt dort einfach keine Sensibilität für dieses Thema. Diese Tatsache muss ein Hacker als Aufforderung aufgefasst haben (Link: http://www.golem.de/0702/50772.html), die Userdaten zu gruscheln

Wie die Berliner Studierendenplattform studiVZ heute mitteilte, hat eine bislang unbekannte Person während des heutigen Tages Mailadressen, Zugangsdaten und Freundschaftsverbindungen illegal aus der studiVZ-Datenbank auslesen können. Wie viele Profile davon betroffen sind ist zum jetzigen Zeitpunkt noch offen. (Pressemitteilung StudiVZ via Mail)

Angesichts der (sicherheits)technischen Verfehlungen der Vergangenheit und der Lernresistenz der Mannschaft, wundert es mich, dass es so lange gedauert hat, bis die Plattform gehackt wurde.
Juristisch gesehen, steht die StudiVZ-Mannschaft u.U. auf der "sicheren" Seite, denn in den AGB des Studenportals heisst es (Link: http://www.studivz.net/terms.php)

§ 7 Haftung des Betreibers

[...]
(2) Der Betreiber lehnt jede Haftung für wirtschaftliche, körperliche oder immaterielle Schäden ab, die sich aus der Nutzung dieser Networking- und Kommunikations-Plattform ergeben.
[...]
(4) Der Betreiber haftet nicht für die unbefugte Kenntniserlangung von persönlichen Nutzerdaten durch Dritte (z. B. durch einen unbefugten Zugriff von "Hackern" auf die Datenbank). Der Betreiber kann ebenso nicht dafür haftbar gemacht werden, dass Angaben und Informationen, welche die Nutzer selbst Dritten zugänglich gemacht haben, von diesen missbraucht werden.

Wie §7 allerdings mit dem Inhalt der via Mail zugestellten Mitteilung vereinbar ist, steht noch in den Sternen - dort lässt nämlich Ehssan Dariani (Link: http://www.blogbar.de/archiv/2006/11/14/ehssan-dariani-lugen-philosemitismus-und-braunes-bei-studivz/) verkünden: "Der verantwortliche Programmfehler konnte bereits identifiziert und behoben werden." Ein Schuldeingeständnis mit möglichen juristischen Folgen?

Wer stellt solche StudiVZ-Telnehmer Leute ein?
Viel schlimmer als der Umgang des Portalbetreibers mit Userdaten, ist die Ignoranz und mangelhafte Sensibilität der Nutzer - die nicht zum ersten Mal mit derartigen Vorfällen konfrontiert werden - im Umgang mit sensiblen Daten. Bedenkt man, dass diese Menschen erwachsen und mündig sind sein sollten, so stellt sich die Frage, wie gehen solche Menschen später - im Beruf - mit schützenswerten Daten um ?
Angesichts der Tatsache, dass Computer, IT und Internet aus Unternehmen kaum noch wegzudenken sind und somit Mitarbeiter täglich mit IT mehr oder minder konfrontiert werden, sei die Frage erlaubt, wer denn Menschen mit dieser Mentalität einstellen will? Mir sind eine Menge Verantwortliche bekannt, für die, die Sicherheit ihrer Unternehmensdaten wichtiger ist, als Gruscheln.

 
Sämtliche Logos und eingetragene Warenzeichen sind Eigentum der jeweiligen Besitzer.

###