Michael Friedrichs

Das VZ-Netzwerk hat es in diesen Tagen nicht leicht. Hauptkonkurrent Facebook ist den Holtzbrinck-Portalen MeinVZ, SchülerVZ und StudiVZ in puncto Mitgliederzahlen hierzulande dicht auf den Fersen und auch mit dem Datenschutz scheinen die Betreiber so ihre Mühe zu haben.

Abseits des ganzen Trubels – vor Bekanntwerden der Sicherheitslücken um genau zu sein – habe ich für teltarif.de mit CEO Markus Berger-de Léon gesprochen. Thema des Interviews war die mobile Nutzung seiner Kontaktplattformen sowie die Pläne für ein eigenes Mobilfunk-Angebot.

Herr Berger-de Léon, die mobile Nutzung von sozialen Netzwerken nimmt immer stärker zu. Wie sehen Sie die Entwicklung?

Ich habe vor sieben Monaten als Geschäftsführer das Ruder der VZ-Netzwerke übernommen. Einer meiner ersten Amtshandlungen war es, zu sagen, dass wir so schnell wie möglich mobil werden müssen und dass wir dafür sehr viel investieren müssen. Gesagt, getan. Der Erfolg gibt es uns recht. Die Mobilportale der VZ-Gruppe nutzen derzeit rund 1,5 Millionen Menschen im Monat. Sie erzeugen mehr als eine Million Seitenaufrufe pro Tag. Laut unseren Statistiken bleibt jeder Nutzer pro Tag rund zehn Minuten auf unseren mobilen Seiten. Das sind für diesen frühen Zeitpunkt schon ganz ordentliche Zahlen, wie ich finde.

Seit der Internationalen Funkausstellung (IFA) in Berlin Anfang September haben neben den iPhone-Besitzern auch Blackberry- und Android-Nutzer die Möglichkeit, mit ihrem Smartphone die mobilen Portale von meinVZ, SchülerVZ und StudiVZ zu nutzen. Wie wurde dieses Angebot bisher angenommen?

Wir konnten die Zugriffe weiter steigern. Unsere Entwickler arbeiten derzeit fleißig daran, Applikationen für weitere Handys zu schreiben, damit noch mehr VZ-Mitglieder mobil kommunizieren können. Zusätzlich bauen wir die Funktionalitäten für die bestehenden Anwendungen weiter aus. Für das iPhone planen wir beispielsweise alle vier Wochen ein Update. Neben allgemeinen Programmverbesserungen wird es auch neue Funktionen geben. In Kürze dürfen sich unsere Mitglieder auf einen neuen Push-Dienst freuen, der die Nutzer jederzeit darüber informieren wird, sobald es bei den Freunden Neuigkeiten gibt. Damit sind wir meines Wissens das erste soziale Netzwerk, das diese Funktion anbietet. Auch der Plauderkasten wird Bestandteil einer der nächsten Updates werden.

Es tut sich also eine ganze Menge hinter den Kulissen. Haben Sie einen Überblick, welche Funktionen von den mobilen VZ-Mitgliedern am häufigsten genutzt werden?

Diese Frage kann ich Ihnen sogar ziemlich genau beantworten. Die Status-Updates haben hier ganz klar die Nase vorne, dicht gefolgt vom Empfangen und Schreiben von Nachrichten. Ebenfalls beliebt sind das Betrachten von Nutzerprofilen sowie das Anschauen von Fotoalben. Sobald der Plauderkasten verfügbar ist, wird diese Funktion sicherlich ebenfalls an Bedeutung gewinnen.

Ebenfalls seit September gibt es eine Kooperation mit Vodafone. Mitglieder können sich beispielsweise Benachrichtigungen über neue Nachrichten und Freundschaftseinladungen per SMS auf ihre Handys schicken lassen. Bis Ende des Jahres soll der Service kostenlos sein. Was erwartet die Nutzer nach diesem Zeitraum und wie viele Mitglieder nutzen den SMS-Service bereits?

In den letzten vier Wochen haben wird rund 5,5 Millionen Kurznachrichten in alle Netze verschickt. Das ist ein deutliches Indiz, wie gut dieses Angebot von den VZ-Mitgliedern angenommen wird. Zur Fortsetzung der Kooperation mit Vodafone kann ich Ihnen leider noch nicht viel verraten. Wir sind im Moment dabei, die Details einer Fortsetzung des SMS-Dienstes mit unseren Partnern auszuarbeiten. Daneben steht auch das Thema Datentraffic auf unserer Agenda. Aus diesem Grund werden wir unseren Mitgliedern – egal bei welchem Netzbetreiber sie unter Vertrag sind – schon bald eine sehr kostengünstige Lösung anbieten, um das mobile Angebot der VZ-Netzwerke nutzen zu können. Um Ihre nächste Frage gleich vorweg zu nehmen: um einen eigenen Handy-Tarif wird es sich dabei nicht handeln, sondern eher um eine Daten-Option, die jedes Mitglied zu seinem bestehenden Handyvertrag hinzu buchen kann. Damit wollen wir die mobile Nutzung unserer Portale noch weiter ausbauen.

Können Sie schon einen Starttermin nennen?

Wir wollen noch in diesem Jahr damit auf den Markt. Mehr kann ich Ihnen noch nicht verraten. Wir stecken derzeit noch in der Entwicklung. Auch die Verhandlungen mit den Netzbetreibern sind noch nicht abgeschlossen.

Ein eigener Handy-Tarif wie ihre beiden Konkurrenten “Wer-Kennt-Wen” und “Die Lokalisten” ihn seit kurzem anbieten, steht bei Ihnen also nicht auf der ToDo-Liste – oder habe ich Sie da falsch verstanden?

Das möchte ich nicht ausschließen. Ganz im Gegenteil – wir arbeiten bereits an einem Angebot, aber wir wollen ein Produkt entwickeln, was der Community-Nutzung zuträglich ist und was unsere Mitglieder in unseren Netzwerken auch unterstützt. Die mobile Erfahrung muss weiter verbessert werden. Bei den Angeboten unserer Mitstreiter sehe ich diese Verbesserung aber nicht. Die Betreiber haben dort gesehen, da ist eine Community und der kann ich jetzt einen Mobilfunk-Tarif verkaufen, der noch nicht einmal richtig attraktiv ist. Warum soll ich dann einen „Wer-Kennt-Wen“ – oder „Lokalisten“-Tarif buchen? Einen richtigen Grund konnte mir bisher noch niemand nennen. Ich finde, ein Netzwerkbetreiber sollte etwas anbieten, das der Nutzung der Netzwerke entspricht und das Nutzererlebnis noch besser macht. Das sehe ich noch bei keinem der beiden Tarife.

Die mobile Nutzung der sozialen Netzwerke steht ja quasi erst am Anfang. Wie sehen Sie die weitere Entwicklung?

Ein wesentlicher Teil unserer Plattform schreit förmlich danach, mobil stattzufinden. Geschriebene Kommunikation findet heute auf dem Handy statt. Es ist kein Geheimnis, dass unsere nächste Herausforderung Open Social heißt – und die Öffnung der VZ-Netzwerke für Applikationen von Drittentwicklern. Der nächste logische Schritt ist demnach die Umsetzung dieser Inhalte. Eine Herausforderung ist aber auch das große Spektrum der unterschiedlichen Handys, die es auf dem Markt gibt und welche Applikationen man auf ihnen abbilden kann. Es bleibt also spannend und vor allem unsere Mitglieder können sich auf viele Neuheiten freuen.

Vielen Dank für das Interview.

Irgendwie scheint das Auffinden von Sicherheitslücken der neue Volkssport unter Datenhackern zu werden. Jedenfalls steht das Portal SchülerVZ erneut ungewollt im Rampenlicht der Öffentlichkeit und der zuständigen Datenschutzbehörden. Neuster Fall: Dem Verbraucherzentrale-Bundesverband (vzbv) wurden mehr als 100.000 Datensätze zugespielt, die auch personenbezogene Informationen enthalten sollen. Ziel der Aktion sei, so der unbekannte Hacker, über mangelnde technische Sicherheitsvorkehrungen und die grundsätzliche Unsicherheit von Daten in Social Networks aufzuklären. Eine Veröffentlichung der Daten komme daher nicht in Frage.

Inzwischen gibt es auch ein Statement aus der Berliner VZ-Zentrale:

Der Verbraucherzentrale Bundesverband (vzbv) hat heute in einer Pressemitteilung bekannt gegeben, dass ihm Datensätze aus schülerVZ zugespielt worden sind. Wie der Verband mitteilte, seien personenbezogene Daten auch solcher Nutzer enthalten, die ihre Daten nur für Freunde sichtbar eingestellt haben.

Dieser Datensatz liegt uns inzwischen vor und wurde bereits überprüft. Es handelt sich hierbei um einen älteren Datensatz mit Informationen zu Geburtsdaten und Geschlecht. Die Sicherheitslücke, die das Abrufen dieser Information möglich machte, wurde bereits Ende Juli 2009 behoben. Zudem stehen wir in einem engen Kontakt und Austausch mit dem vzbv und dem Berliner Datenschutzbeauftragten.

Darüber hinaus haben wir bei einer internen Prüfung festgestellt, dass die Einstellmöglichkeiten bzgl. der Suchbarkeit nach Geburtsdaten missverstanden werden können. Diese missverständlichen Einstellmöglichkeiten werden wir im Laufe des Tages beheben. Zusätzlich werden wir auch die Suche nach Geburtsdatum und Alter komplett deaktivieren.

Im Zuge einer weiteren Verschärfung unserer Sicherheitsmaßnahmen werden wir auch in den nächsten 24 Stunden die Nutzer IDs neu setzen. Hierdurch kann es zu temporären Einschränkungen für unsere Nutzer kommen.

Obwohl in diesem Fall ein vergleichsweise “harmloser” Hacker am Werk war, bleibt dennoch die Frage im Raum stehen, wie sicher meine Daten in einem sozialen Netzwerk eigentlich sind. Zu sehr wiegen die Mitglieder ihren Daten in Sicherheit. Wenn diese dann aber an die Öffentlichkeit gelangen, ist der Aufschrei verständlicherweise groß. Doch die wenigsten Mitglieder überprüfen nach so einem Vorfall ihre Sicherheitseinstellungen ihres Profils oder ändern gar sensible Inhalte. Selbst das Passwort wird in den seltensten Fällen geändert. Auch das Löschen des eigenen Nutzeraccounts als konsequente Lehre aus den Datenpannen kommt für die meisten Mitglieder nicht in Betracht. Das Netzwerk-Leben geht ganz normal weiter, als wenn nichts passiert wäre.

Der Diebstahl von rund einer Millionen Nutzerdaten bei SchülerVZ sorgt immer noch für reichlich Gesprächsstoff. Neue Gerüchte und wilde Spekulationen machen seit Tagen die Runde. Sehr zum Leidwesen der VZ-Netzwerke, denen der Wirbel eigentlich gar nicht so recht ins Image passt. Verständlich, dass sie momentan alles versuchen, um die hohen Wogen der letzte Tage etwas zu glätten.

In ihrem Unternehmensblog haben sie deshalb eine Sammlung mit den “wichtigsten Fragen und Antworten” veröffentlicht. Viele Neuigkeiten erfährt der gut informierte Leser allerdings nicht. Demnach gab es zwei Datendiebe, von denen einer vom Landeskriminalamt Berlin am Sonntag festgenommen wurde. Zudem sind entgegen anders lautenden Behauptungen keine privaten Daten von Mitgliedern ausgelesen worden.

Was gab es noch für Fragen?

Wie kann der Nutzer Anzeige erstatten?

Wir haben bereits Anzeige gegen den mutmaßlichen Täter erstattet. Mit dieser Anzeige sind die Nutzer abgedeckt.

Was wird getan, um einen erneuten Vorfall zu verhindern?

Ab sofort setzen wir für unsere zwischengeschalteten Sicherheits-Abfragen das System reCaptcha ein. Statt wie bisher einen Code aus 5 Buchstaben abzufragen, arbeitet reCaptcha mit mehreren, für Crawler-Programme besonders schwer auszulesenden Begriffen. Zu finden ist der neue Captcha–Code in der Registrierung, bei der Suche, bei Profilaufrufen sowie beim Gruppengründen und beim Einladen neuer Gruppenmitglieder.

Auf der Login-Seite haben wir das neue Sicherheitsfeature “Sitzung sichern” eingebaut. Damit stellen wir technisch sicher, dass wirklich nur Du von Deiner aktuellen IP-Adresse auf Dein Profil zugreifen kannst. Sollte jemand versuchen, sich von einem anderen Rechner aus in Deine Sitzung “einzuklinken”, erkennt unser Feature das und kann es verhindern. Bisher haben wir darauf verzichtet, da diese Funktion bei einer kleinen Anzahl von Nutzern dazu führen kann, dass sie sich plötzlich mitten in der Sitzung neu einloggen müssen. Aber auch hier gilt: Sicherheit geht vor!

Ist das VZ überhaut noch sicher?

Ja das VZ ist sicher. Der Täter konnte die Privatsphäre nicht überwinden, hatte nie Zugang zu unserer Datenbank. Er hat lediglich Daten gesehen, die jeder andere registrierte Nutzer auch sehen kann, das aber leider automatisiert. Wir verschärfen die Maßnahmen, die diese automatisierten Zugriffe weiter erschweren, einen wirklichen Schutz stellen aber nur die Privatsphäreeinstellungen dar: wenn es Daten gibt, die nur deine Freunde sehen sollen und nicht jedes Mitglied des Netzwerkes, dann kannst du das einstellen Bitte überprüfe diese Einstellungen regelmäßig.

Ein paar Fragen hat sich die PR-Abteilung von SchülerVZ allerdings noch nicht selbst gestellt. Ich habe meine Fragen deshalb an Pressesprecher Dirk Hensen weiter geleitet.

Warum hat SchülerVZ nach entsprechenden Hinweisen auf die jetzt bekannt gewordenen Sicherheitslücken nicht sofort reagiert? Warum ist das Netzwerk erst aktiv geworden, als das Kind schon in den Brunnen gefallen war und ist es nicht die Aufgabe einer gut funktionieren IT-Abteilung sicherzustellen, dass alle Sicherheitsvorkehrungen auf den Portalen immer wieder auf ihre Wirkungsweise hin überprüft werden?

Den Schutz der Nutzerdaten und die Sicherheit unserer Systeme nehmen wir sehr ernst, deshalb gehen wir jedem Hinweis nach und verifizieren regelmäßig unsere Systeme. Wir sind sogar noch einen Schritt weiter gegangen und lassen uns aktuell von TÜV und ULD zertifizieren.

Wurden die betroffenen VZ-Mitglieder informiert, dass ihre Daten kopiert und im Internet zum Download angeboten wurden?

Bisher liegen uns die kopierten Daten nicht vollständig vor – daher ist es uns auch nicht möglich die Betroffenen zu informieren.

Um Ruhm und Anerkennung ging es dem Datendieb, der die VZ-Netzwerke in den vergangenen Wochen um unzählige Nutzerdaten erleichtert haben soll, offenbar nicht. Wie ein Sprecher der Berliner Staatsanwaltschaft nun bestätigt hat, sitzt der 20-jährige Täter aus Erlangen derzeit in Untersuchungshaft – weil er versucht haben soll, das VZ-Netzwerk zu erpressen. Demnach wollte der junge Mann als Gegenleistung für die Rückgabe der gesammelten Datensätze zunächst 20.000 Euro haben. Die Summe soll sich im Verlauf der Verhandlungen mit dem Netzwerk noch weiter erhöht haben. Die Rede ist sogar von einem Betrag von 80.000 Euro. Zudem sei die Drohung im Raum gestanden, die Daten im Falle einer Nichtzahlung auf Nimmerwiedersehen nach Osteuropa zu schicken.

Pech für den kriminellen Computerfreak, die Polizei wurde eingeschaltet und wenig später klickten in den Büroräumen von SchülerVZ die Handschellen. Und welche Überraschung: Der Datendieb war für die Ermittler kein Unbekannter. In der Vergangenheit soll er wohl schon mal wegen ähnlichen Delikten aufgefallen sein. Autsch.

Zum Schluss noch ein Lesetipp: Netzpolitik-Blogger Markus Beckedahl hat heute Nachmittag ein interessantes Interview zum Thema Sicherheitslücke bei den VZ-Portalen veröffentlicht.

Der Datendiebstahl bei der VZ-Gruppe hat am Freitagabend hohe Wellen geschlagen. Immer mehr Details werden seit dem bekannt. Darunter ist auch dieses YouTube-Video aus der Kategorie Wissenschaft und Technik. Das Filmchen ist zwar schon ein paar Monate alt und dauert nur 22 Sekunden. Es zeigt aber dennoch die Funktionsweise des selbst programmierten Bots, der angeblich nicht nur SchülerVZ um hunderttausende Nutzerdaten erleichtert haben soll, sondern auch bei den beiden anderen Social Networking-Plattformen MeinVZ und StudiVZ zum Einsatz gekommen sein soll.

Doch lest selbst, was der Autor, ein Typ namens matt56444, über sein Daten-Crawler schreibt:

Ein von mir entwickelter Bot für das sVZ bzw. mVZ.. Basiert auf PHP, JS, AJAX und diversen shell scripten die von PHP via shell_exec() aufgerufen werden. Leider noch etwas verbuggt da teilweise Profile doppelt und dreifach gecrawlt werden.. Gesammelt werden die Bilder sowie ALLE zugängliche Profildaten. Die Profildaten werden dann in eine ORACLE Datenbank geschrieben und können später ausgewertet werden. In nur 4 Stunden Crawlen hat der Bot bereits ÜBER 48000 Profile besucht..

Ich probiere das gesammte VZ zu crawlen und werde dann eine grafische Auflistung generieren lassen wer wen kennt über welche Ecken..

Bereits eingebaut ist eine Funktion die die Benutzer “verkuppelt”. Der Bot sucht jeweils ein weibliches und ein männliches Profil und schreibt beiden eine Pinnwand MSG. Leider können aufgrund des Spamschutzes pro Tag nur maximal 20 Einträge auf Fremde Pinnwände geschrieben werden. Ach und die Captchas werden auch automatisch ausgelesen und gecracked

Die Homepage des Datensammlers ist seit heute Morgen übrigens nicht mehr erreichbar. Dort konntet ihr gestern noch weitere Details über den Crawler lesen. Ob das damit zusammenhängt, dass die VZ-Gruppe den vermeintlichen Täter gestern identifiziert und mit ihm Kontakt aufgenommen hat, kann ich nicht sagen. Es wäre allerdings nahe liegend, insofern es sich bei beiden “Tätern” um dieselbe Person handelt.

Hier ein paar Infos darüber aus dem VZ-Blog:

der Täter hat einen Crawler geschrieben, der sich mit normalen Nutzer Logindaten in die Community einloggt und die angezeigten Daten abgreift. Die bestehenden Sicherheitsmechanismen in Formularen und insbesondere in Form von Captchas wurden dabei geknackt.

der Täter behauptet weiterhin, auch meinVZ und studiVZ Daten gesammelt zu haben. Diese wurden nicht veröffentlicht. Wir versuchen mit allen Mitteln die Veröffentlichung dieser Daten zu verhindern.

der Täter hat die Daten weiter konkretisiert: es handelt sich wie bisher angegeben, um für alle Nutzer der Netzwerke einsehbare Daten. Jeder Nutzer in den VZs kann einstellen, welche Daten “von allen” einsehbar sein sollen und nur solche Daten konnte der Täter sehen und sammeln. Alle Schutzmaßnahmen zur Privatsphäre haben gegriffen und wurden explizit NICHT geknackt.

Der Aufschrei in der Netzwelt ist groß und die VZ-Netzwerke sind um einen weiteren Datenschutz-Skandal reicher. Was ist passiert? Laut Netzpolitik sollen bei SchülerVZ Mitgliederdaten im großen Stil gesammelt worden sein. Von Millionen von Datensätzen ist die Rede. Neben Alter, Geschlecht, Name, Wohnort und Schule enthalten die Listen, die dem Blogger auszugsweise zugespielt wurden, auch Profilfotos der Mitglieder – übrigens alles Kinder und Jugendliche.

Inzwischen hat sich auch PR-Abteilung zu Wort gemeldet und ist um Schadensbegrenzung bemüht. Demnach seien nur Daten, die öffentlich in Profilen einsehbar seien, kopiert worden. Sensible Informationen wie Passwörter, E-Mail-Adressen und Telefonnummern seien nicht betroffen. Das Portal habe bereits die Datenschutzbehörden informiert und rechtliche Schritte gegen Unbekannt eingeleitet. Man gehe davon, dass ein SchülerVZ-Nutzer eine Vielzahl von Profilen aufgerufen habe und Kopien der sichtbaren Daten angelegt hat.

Ein paar Dinge an der ganzen Geschichte sind jedoch seltsam. Wenn ein Nutzer öffentlich einsehbare Daten archiviert hat, ist das sicherlich nicht strafbar. Komisch ist dann allerdings, dass gegen dieses unbekannte Mitglied rechtliche Schritte eingeleitet wurden. Widerspricht sich das nicht? Seltsam ist auch, dass es sich bei der Liste laut Netzpolitik um mehr als eine Million Datensätze handeln soll. Immerhin tummeln sich auch SchülerVZ derzeit rund fünf Millionen Mitglieder. Der unbekannte Datensammler muss also ziemlich fleißig gewesen sein. Gar nicht auszudenken, wie oft der oder die Täter die CTRL+C-Taste gedrückt haben muss …

Zeit Online hingegen spricht von einem Datenbank-Hack. Demnach sei es findigen Hackern offenbar gelungen, in die Datenbanken des Netzwerkes einzubrechen und die Profilinformationen von fast einem Viertel der Nutzer zu stehlen. Auch ein Beispiel, wie nützlich die gesammelten Daten für gewisse Kreise sein könnten, gibt es. So könnten die Listen beispielsweise nach Merkmalen wie “alle Schüler aus Berlin” oder “alle Schülerinnen im Alter von 13, die in Siegen wohnen, samt Bild und ihrer Schule”, sortiert werden.