The European: Das ist jetzt der vierte öffentlich bekannt gewordene Fall massenhaften Auslesens von Nutzerdaten bei der VZ-Gruppe. Was ist da los? Wieso passiert das bei denen so häufig?
Beckedahl: Im vergangenen Jahr gab es ja drei bekannt gewordene Fälle innerhalb weniger Tage. Die VZ-Gruppe hat daraufhin Besserung gelobt und mehr Maßnahmen zum besseren technischen Schutz angekündigt. Aber anscheinend haben sie nicht so viel aus den Vorfällen gelernt. Beim aktuellen Fall gab es für mich ein Déjà-vu: Wie im Herbst hat sich diesmal wieder ein junger Entwickler an SchülerVZ gewandt, um sie auf ein Problem hinzuweisen. Und wieder sind die Mails nicht beantwortet worden und erst, als wir darauf aufmerksam machten und öffentlichen Druck erzeugten, wurden schnell neue Maßnahmen angekündigt und Besserung gelobt. Dazu muss man sagen, dass wohl alle Social Networks mit Crawlern massenhaft ausgelesen werden können. Aber SchülerVZ hat eine besondere Verantwortung, weil dort Minderjährige miteinander kommunizieren.
The European: Die Verantwortlichen haben bei der ersten Warnung durch einen Studenten nicht reagiert. Erst als Ihr Blog Netzpolitik.org auf die Sicherheitslücke aufmerksam gemacht hat, reagierte man. Arbeiten die bei der VZ-Gruppe unprofessionell?
Beckedahl: Das kann ich nicht beurteilen, aber die Häufung lässt mich schon wundern. Vielleicht tritt ja jetzt ein Wandel ein: Mails lesen und beantworten ist gut für das Image.
Die VZ-Gruppe verspricht: Deine Daten werden bestmöglich beschützt
The European: Ist es nicht so, dass die betreffenden Daten ohnehin öffentlich zugänglich sind?
Beckedahl: Dass SchülerVZ-Daten frei öffentlich zugänglich sind, ist mir neu. Auf der SchülerVZ-Webseite wird versprochen : “Darauf kannst du dich verlassen: Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z. B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb von SchülerVZ auf.” Bei mir sind 1,6 Millionen Datensätze aufgetaucht, und das hätten auch noch mehr Datensätze werden können.
The European: CEO Clemens Riedl sprach in einer Stellungnahme von einem Verstoß gegen die AGB und dass der Kopierschutz von öffentlich zugänglichen Daten ein Katz-und-Maus-Spiel sei. Wie bewerten Sie diese Erklärungsversuche?
Beckedahl: Offensichtlich hat man nicht genug in die Sicherheit der Daten von meist minderjährigen Nutzern investiert. Nach den Vorfällen im Herbst angekündigte Schutzmaßnahmen sind gar zurückgenommen worden. Natürlich versucht SchülerVZ den Vorfall herunter zu reden und natürlich ist das kein richtiger Hackangriff gewesen, sondern lediglich eine wissenschaftliche Untersuchung. Da kann man von Glück reden, dass der aufdeckende Entwickler ein wissenschaftliches Interesse hatte und keine kriminelle Motivation.
Besser mal Mails lesen
The European: Bei TÜV und auch bei Öko-Test erhielt die VZ-Gruppe in Sachen Datenschutz kürzlich sehr positive Bewertungen – deutlich besser als vergleichsweise der große US-Konkurrent Facebook. Wie erklären Sie sich das?
Beckedahl: Da wurden ja weitgehend nur die Datenschutzbestimmungen untersucht, die die Angebote der VZ-Gruppe von denen der US-Konkurrenz positiv unterschieden. Aber Datenschutzbestimmungen sind das eine, Datensicherheit etwas anderes.
The European: Was muss die VZ-Gruppe tun, um diesem Risiko vorzubeugen?
Beckedahl: Das Mindeste ist, jetzt mehr in Datensicherheit zu investieren und zukünftig mal besser Mails zu lesen und auf gut gemeinte Hinweise zu reagieren.
Hat Ihnen das Interview gefallen? Lesen Sie auch ein Gespräch mit Tom Chatfield: „Originalität ist ein ziemlich absurdes Konzept“
