blogbar

Sowas habe ich mir immer in Bangalore, Bukarest oder Shenzen vorgestellt – ist aber Berlin Mitte, StudiVZ Ltd., Saarbrücker Str. 38, 10405 Berlin, die Zustände laut Album vom 10.10.2006:

Wir arbeiten im Schnitt 14 Stunden zusammen, gehen danach zusammen die Stadt unsicher machen, schlafen zusammen im Büro oder zu 4 auf einer Matraze und gammeln uns danach gemeinsam vor die Laptpos! What?!
ThatŽs the real world! Wir lieben uns einfach…

Nur ist es zwischen 250-Euro-Praktika und Büropennen – wo ist da eigentlich die Dusche? Und nur zwei Toiletten für alle? iiiiihhhh – leider nicht the real Arbeitsschutzgesetz. Doch, sowas gibt es in Deutschland, wir wollen ja nicht enden wie in ukrainischen Hinterhofcodereien. Es gibt nämlich so bestimmte Verordnungen, an die man sich auch als Startupper zu halten hat. Es sei denn, man will erwischt werden und entsprechende Strafzahlungen in Kauf nehmen, der Berliner Finanzsenator sagt danke. Ãœbrigens, das ist der Fluch fehlenden Datenschutzbewusstseins, wenn man zu den immer noch frei zugänglichen und ungeschützten Bildern auch gleich noch Erklärungen erhält wie:

eine Nacht voller supportmails hinter sich gebracht schlafen die Jungs zusammen im Büro… ne, wie schön […] In jedem Zustand wird gegruschelt!! […] Hmmm… lecker Abendbrot im studiVZ Büro

Nebenbei, ich kenne auch die Namen der Beteiligten, ist ja alles schön mit den Profilen verlinkt. Ja, und ich habe einen Screenshot, und wer mit Jörg-Olaf wegen des reichlich obskuren Datenschutzbeauftragten von StudiVZ schon in Berlin vorstellig wird, kann auch gleich noch eine Mail an das Landesamt für Arbeitsschutz, Gesundheitsschutz und technische Sicherheit Berlin hinterherschicken, inclusive näherer Details zu den Zeugen, steht heute ja alles bei StudiVZ. Sollte man wirklich tun, allein schon, weil es so unhygienisch ist, dass es einen nicht mehr wundert, wenn ein Gründer da drin seinen Pudding mit dem Messer isst. Ja, Freunde der gepflegten Blasmusik, mit etwas mehr Vertuschung, Datenschutz und der Nichtveröffentlichung von Bildern mit problematischen Arbeitsbedingungen ist das Leben am Rande der deutschen Gesetze erheblich einfacher, und die Bussgelder muss man dann auch nicht dem Investor erklären.

Ihr glaubt, dass Privatsphäre egal ist?

Ihr denkt, selber schuld, wenn was hochgeladen wurde?

Ihr gehört zu denen, die mit dem Datenschutz abgeschlossen haben?

Und natürlich profitiert jeder davon, weil man tolle Leute treffen und gruscheln kann?

Und Ihr passt schon auf, dass nichts passiert, Euch kommt schon keiner zu nahe, denn Ihr wisst, wie man sich schützt?

Ihr seid smart. Es gibt da nur ein kleines Problem: Der Weg zur Hölle ist mit smarten Leuten wie Euch gepflastert. Denn es gibt immer einen Idioten, der nicht smart ist.

Und der macht das Tor zur Hölle auf.

schalten wir um zu Jörg-Olaf Schäfers.

Sagt es denen, die es wissen sollen. Erzählt es weiter. Es sind Eure Daten. Es ist deren Teufels Küche, aber Euch wird man darin grillen.

Nachtrag: Auch nett zu lesen:

Moin,
das ist aber ein alter Hut und das habe ich auch schon im Oktober dem Support mitgeteilt. Leider habe ich die Mail nicht mehr, weil ich das Web-Interface verwendet habe. Daraufhin wurde aber intern ein Ticket 2006102910****** (auf Anfrage erhältlich) erzeugt und am 29.10. habe ich eine Antwort erhalten (inhaltlose Textbausteine). Als zweites Problem habe ich in dieser Nachricht auch geschildert, dass es mit der Supersuche möglich war, “Reengineering” der privaten Profile zu betreiben, beispielsweise den Beziehunsstatus zu ermitteln.

Ein kostenloser Ratschlag: StudiVZ braucht jetzt vor allem einen guten Anwalt.

Noi siam venuti al loco ov’i’ t’ho detto
che tu vedrai le genti dolorose
c’hanno perduto il ben de l’intelletto

Wenn mir bei einem Podium der nächste PR-Heini was über den Wert eines Business Blogs für Firmen im Web2.0 erzählt, als Kommunikation auf Augenhöhe mit den Nutzern, als Möglichkeit, sie frühzeitig in Prozesse einzubinden, als Channel für junge Leute und ausserdem als schnell zu bedienende und effektive Krisen-PR-Massnahme, dann werde ich ihm diesen Screenshot zeigen:

So sieht die Startseite von StudiVZ im Moment aus. In dem kleinen, schmalen Kasten ohne Inhalt links stand bis gestern:

Fragen zu StudiVZ?
Antworten im Blog!

Das ist jetzt weg, nachdem über diesen 1-Million-Nutzer-Giganten des Web2.0 ein paar vergleichsweise winzige Blogs (selbst das hier ist dagegen praktisch nichts, StudiVZ hat jeden Tag über 100 mal so viele Nutzer) über ein Problem mit den frei über URLs im Netz stehenden Bildern berichtet haben. Das wird hinten im StudiVZ-Blog alles abgestritten und dann doch bestätigt, aber vorne auf der Hauptseite werden die Tore dicht gemacht. Muss ja keiner merken, dass da ein Loch ist und einige Nutzer der Seite die Sicherheitsbedenken in den Kommentaren teilen. Schotten dicht, Augen zu und durch, als wäre man ein Atomkraftwerk, um das fünfäugige Frösche und drei Meter grosse Ameisen rumlaufen, von denen man nichts gemerkt haben will. Und das bei einem Blog, deren Macher damit noch kostenlose studentische Hilfsleistungen erködert haben, als die Holtzbrinckmillionen schon unterwegs waren. Ein Biusiness-Blog, das mithin mit das grösste in Deutschland sein dürfte.

So ein Blog ist halt auch nur ein mickriges Content Management System, ein Stück Software irgendwo auf einem Server, das vielleicht einen coolen Namen hat, aber genauso letztendlich genauso gut oder miserabel ist wie die Leute, die es betreiben, keine Lüge wird dadurch wahrer, kein Ablenken wird dadurch konkreter, kein Löschen macht irgendwas besser. PR-Blogs sind auch nur ein Schönwettermodell aus der Powerpointwerft, aber ab Windstärke 3 nicht mehr zu gebrauchen, und über die Windstärken, die hier draussen im Netz möglich sind und kommen werden, gibt es bislang keine verlässlichen Aussagen.

Gerade hat sich StudiVZ zu diesem Bericht geäussert:

Die URL besteht aus:
2006-11/20 = Datum
Ev4M21= Code des Albums
Z3uP7KA-5819 = Code des Fotos

Mal angenommen, ich hätte ein Programm, das 1.000 URLs pro Sekunde nach einem Bild durchsucht. Dann würde die Suche nach einem beliebigen Code, wie beispielsweise Ev4M21/Z3uP7KA-5819, der Zahlen und Buchstaben enthält, viele Millionen Jahre benötigen. Die Kombination des von uns verwendeten Codes ist bedeutend komplexer als die Kombination aus PIN und TAN beim Online Banking. Wir finden, dass unsere Bilder deshalb ziemlich sicher sind.

Auf den Umstand, dass dennoch auf die Bilder ohne Zugangsberechtigung zugegriffen werden kann, geht man nicht weiter ein. naja. Dann schaun wir mal, wie beliebig der Code der Bilder von StudiVZ ist. Alle Galerien wurden heute angelegt, alle sind nach Möglichkeit durch die Userin gesichert, und die Bilder wurden dann im Beisein der das Profil besitzenden Juristin (ich kenne eigentlich zu viele von denen, aber manchmal bin ich darüber echt froh) im Fünferpaket hochgeladen – das sieht dann so aus:

http://217.188.35.147/albums/2006-11/20/5V39z0/BxkkLBT-5231.jpg
http://217.188.35.147/albums/2006-11/20/5V39z0/8VSkLBT-6550.jpg
http://217.188.35.147/albums/2006-11/20/5V39z0/gf4kLBT-1864.jpg
http://217.188.35.147/albums/2006-11/20/5V39z0/615kLBT-1028.jpg
http://217.188.35.147/albums/2006-11/20/5V39z0/1x6kLBT-7533.jpg

kurz darauf dann diese Galerie

http://217.188.35.147/albums/2006-11/20/kVSkz0/kXjz0BT-5042.jpg
http://217.188.35.147/albums/2006-11/20/kVSkz0/w6jz0BT-5068.jpg
http://217.188.35.147/albums/2006-11/20/kVSkz0/xXDz0BT-8892.jpg
http://217.188.35.147/albums/2006-11/20/kVSkz0/81pz0BT-5250.jpg
http://217.188.35.147/albums/2006-11/20/kVSkz0/j9fz0BT-3561.jpg

und dann noch eine etwas ältere Galerie (mit den gleichen Bildern wie zuvor und Bildernamen wie im Screenshot):

http://217.188.35.147/albums/2006-11/20/zT2zz0/M1j6gBT-4500.jpg
http://217.188.35.147/albums/2006-11/20/zT2zz0/hYD6gBT-6063.jpg
http://217.188.35.147/albums/2006-11/20/zT2zz0/kxD6gBT-5591.jpg
http://217.188.35.147/albums/2006-11/20/zT2zz0/1xj6gBT-1901.jpg
http://217.188.35.147/albums/2006-11/20/zT2zz0/20D6gBT-8700.jpg

Ich bin kein Profi, aber ich denke, dass Sparstrümpfe, Eisenkasetten und Tresore doch einiges dem Online-Banking nach StudiVZ-Vorstellungen voraus haben.

English Summary. This Article shows how the infamous startup StudiVZ cares about the data of their Users. Even with the highest security standards set in the profile of the users, everyone with a browser and an internet connection can browse all the hidden, maybe extremely private pictures (sex, drugs, rockŽnŽroll orgies noone should see) by simply by typing the URL of the pictures without registring at StudiVZ. This is definitely not a bug or a hack – StudiVZ stored all pictures on a webserver without the slightest securuety meassures.

Gestern Abend war eine Bekannte bei mir, eine Jura-Doktorandin aus München. Zusammen haben wir uns eingehend mit der Frage beschäftigt, wie die Datensicherheit bei der Studentencommunity StudiVZ aussieht. StudiVZ selbst behauptet ja:

Unsere Benutzer vertrauen uns, dass wir
* ihre Daten nie an Dritte weitergeben
* Informationen aus unserer Arbeit nie außerhalb der Tätigkeit bei studiVZ benutzen
* ihre Anliegen bezüglich Privatsphäre respektieren und ernst nehmen
* den Zugang zu den Daten schützen
So steht es in unserem internen Leitfaden für unsere Mitarbeiter.

Aber sonst wohl nirgends. Wir haben nämlich gestern für Juliane ein Profil bei StudiVZ angelegt. Nehmen wir mal an, Juliane wäre lesbisch, und würde dieses Profil auch dazu nutzen, Bilder von der letzten Sexorgie in Schloss Pommersfelden online zu stellen. Natürlich soll das nicht jeder sehen, sonder nur, ausschliesslich Juliane selber. Deshalb legten wir einen Bildordner mit höchster Sicherheit an: Den Ordner “Lesbenspass”, mit der Bemerkung:

sichtbar für: nur mich selbst
Mit dieser Einstellung werden alle Verlinkungen in diesem Album gelöscht.

Dann haben wir ein Bild hochgeladen – Lesbenspass in Pommersfelden eben. Oder was man dafür halten kann – eigentlich sind es Skulpturen am Haupttor des Schlosses, aber die Gesten, die sind doch recht eindeutig. Das sieht dann im geheimen Album so aus:

Natürlich hat unsere Juliane auch Interessen, die man offen herzeigen kann. So ein Lesbenspass kann schnell die Karriere ruinieren, ein Besuch auf einem Trödelmarkt in Berlin dagegen eher nicht. Deshalb gibt es ein weiteres Album mit dem Titel Berlinberlin, das in Julianes Profil offen angezeigt werden kann:

Juliane jedoch ist sehr, sehr vorsichtig, also stellt sie bei ihrem Profil trotz allem, wie schon beim Ordner Lesbenspass, ihre Daten so verborgen und sicher wie möglich ein. Sichtbar ist das Ding generell ausschliesslich für ihre Freunde, noch nicht mal die Suche findet Juliane:

Und so sieht dann von einem anderen StudiVZ-Account aus das fertige Profil aus: Zu, vernagelt, keine Chance, reinzukommen, allein das eine Album mit Berlin ist zugänglich, aber nicht das riskante Album mit dem Lesbenspass in Pommersfelden – von dem ahnt keiner was, also ist das alles sehr, sehr sicher.

Prima, oder? Dann bitte mal aus StudiVZ ausloggen, wer drin ist, und dann diese beiden Links klicken – Hier ist ganz offen im Internet der Flohmarkt in Berlin:

http://217.188.35.147/albums/2006-11/19/5qw5V0/1Dn92LT-2465.jpg

Und hier, vollkommen offen einsehbar für jeden, der nur die richtige URL hat, das streng geheime, ideal abgesicherte Lesbenspassbild, das angeblich allein Juliane sehen kann:

http://217.188.35.147/albums/2006-11/19/jzhYV0/nS182LT-2426.jpg

Frei, ungesichert, vollkommen offen für jedermann mit Browser und URl sichtbar. Wie jedes Bild bei StudiVZ – der Mann, der jetzt die Augen entsetzt aufreisst, auf diesem Bild

http://217.188.35.147/albums/2006-08/25/TzDf0V/wY5049-1386.jpg

ist Dennis Bemmann, der Mitgründer und Chefprogrammierer von StudiVZ. Das ist der Mann, von dem die obige Behauptung kommt, StudiVZ würde Eure “Anliegen bezüglich Privatsphäre respektieren und ernst nehmen”. Sogar seine eigenen Bilder sind nicht geschützt. Es ist offen, die Bilder, egal mit welcher Sicherheitseinstellung von StudiVZ liegen auf dem Server 217.188.35.147, und jeder könnte mit simpelsten Mitteln

EURE BILDER VOM BESÄUFNISS ÜBER DAS KIFFEN BIS ZUM SEX ABGREIFEN.

Und das ist weder ein Hack noch eine “Sicherheitslücke”, es ist einfach so offen wie dieser Blogartikel hier. Tatsächlich wird bei StudiVZ so eine gewisse Datensicherheit vorgetäuscht, weil eine nicht verwertbare Bild-URL in den Eigenschaften erscheint:

Aber das Betrachten der beiden Quellcodes reicht aus, um die wahren URLs der Bilder zu finden. Ãœber das, was man mit den Informationen in der URL anfangen kann, sage ich jetzt nur, dass das Datum offensichtlich ist, aber bitte macht Euch klar:

Alle Eure Bilder liegen in diesem Moment frei im Internet herum, es ist spielend leicht, an sie heranzukommen, und dieser Umstand ist so offensichtlich, dass er bei StudiVZ auch bekannt sein muss. Das ist nicht so, als ob man eine Tür offen stehen lässt und jeder rein kann – hier hat ein Haus einfach keine Wand. Es ist kein Hack, kein Geheimnis, kein Eindringen. Jeder kann hingehen und sich ein paar Millionen Bilder besorgen, vom Nutzerbild bis zum privatesten Photo. Und zumindest teilweise zuordnen.

So sicher nimmt StudiVZ Eure Datensicherheit.

Und wer glaubt, dass es nicht noch schlimmer geht: Es geht schlimmer. Selbst dieses Totalversagen hat StudiVZ offensichtlich noch beim amerikanischen Gegenstück Facebook übernommen.

Dinanzi a me non fuor cose create
se non etterne, e io etterno duro.
Lasciate ogne speranza, voi ch’intrate

ud vier famose Voleserinnen gibt es heute Abend um 18 Uhr in München zu sehen – und oh weh, ich kann leider nicht. Wer aber kann sollte sich das Damenquartett mit der Kaltmamsell, der Klugscheisserin, Miss M. und Martina Kink keinesfalls entgehen lassen – erstklassige Unterhaltung für schlappe drei Euro. Alle Informationen gibt es hier.

Disclaimer: Ich kenne drei der vier Damen, habe mit ihnen schon gelesen und meine sie deshalb besten Gewissens empfehlen zu dürfen.

So. Seit dem letzten gescheiterten Kontaktversuch anfang der Woche hat das Umfeld von StudiVZ – Business Angels, Freunde, sich durch Ansprache toll vorkommende Blogger und ein VC – durch mein näheres Umfeld gebimmelt. Mit nicht so dollem Erfolg, weil die Kontaktdrähte in solchen Fällen ganz natürlich besser zu dem laufen, der die Kugel im Lauf und, sorry für die drastischen Worte, nicht im Hinterteil hat. Vor kurzem nun ereilte mich eine Mail von einer Person, von der ich annehme, dass ihre freundliche Anfrage den Versuch implizierte, mir ein Angebot zu machen. Wie im Journalismus nicht ganz selten, ein Test, um zu schauen, ob da was geht.

Ich denke, wir können das auch öffentlich machen. Mit folgendem Disclaimer: Ich nenne den Namen der Person nicht, weil ich sie kenne und weiss, dass sie tatsächlich zwischen den Fronten steht und persönlich mit drin hängt. Und ich nehme ein derartiges Friedensangebot in Verbindung mit – früher hätte man gesagt – Kontributionszahlungen nicht an, so es denn überhaupt ernst gemeint und jenseits symbolischer Beträge gewesen sein sollte. Die Frage der Mail lautete übersetzt:

Sag, was wir tun können, damit das ein Ende hat, wir werden uns erkenntlich zeigen

Die Antwort ist so einfach, dass ich kein Geld dafür nehmen kann:

NICHTS.

Wenn ich Blogskandale mit von Medien betriebenen Skandalen vergleiche, gibt es drei Dinge, die sie grundsätzlich unterscheiden, und die meines Erachtens kaum wahrgenommen werden. Es gibt kein Lehrbuch im Journalismus für eine Kampagne, aber grob gesagt weiss jeder, wie es geht: Man hat einen Auslöser, man hat in der Regel doppelt so viel Wissen, wie man schreibt, die erste Reaktion des Gegners ist leugnen, und dann brät man ihm die zweite Ladung in seine hässliche Lügenfresse, und alle anderen (ausser seinen Freunden und Lakaien) steigen mit ein, weil man gerne auf einem rumtrampelt, der sich nicht mehr wehren kann. Zwei Monate später sind alle Medienwauwaus dieser Person treue Speichellecker, weil sie glauben, dass es noch eine dritte Ladung gibt, man wird hofiert und nett behandelt und hält dann die Fresse. So weit, so miserabel.

Blogs sind anders.

1. Blogger sind modular. Wenn wir uns die jetzige Krise anschauen, gibt es ein weites Spektrum an Aktionen und Meinungen. Ich weiss, dass momentan ich herausrage, ich bin sowas wie der Stosstrupp, weil ich, salopp gesagt, die meisten Kugeln im Magazin und zwei nicht kleine Blogs habe – und das, was man mal als “Prätorianergarde” bezeichnet hat, eine Gruppe, die bei sowas mitgeht. Und ich kann etwas tun, was ich als Journalist nie könnte – ich kann unabhängig vom Genörgel der Leser ganz nach Belieben das Thema so setzen und entwickeln, wie ich will. Ich gebe zu, dass ich mutmasslich eine Menge über solche Einsätze weiss, aber an diese Freiheiten musste ich mich auch erst mal gewöhnen. Inzwischen, denke ich, weiss ich, wie das geht, und ich kann sowas über zwei, drei, vier Wochen fahren. Medien ginge da längst die Puste aus

2. Aber damit bin ich nicht alleine. Ich glaube, dass es im modularen System der Blogosphäre so eine Art kollektiven Themendruck gibt. Da ist was, das raus muss. Solange ich das vorantreibe, sitzen andere in den Sesseln und nehmen Popcorn. Würde ich von der Bühne gehen, wäre sicher einer da, der aufstehen würde und weitermachen. Einfach, weil es einen gewissen Drive hat, und alle fühlen – da geht noch was. Da muss noch was kommen. Ich habe keine Ahnung, wer das ist, vielleicht sind es mehrere, vielleicht gibt es einen neuen Impuls, eine neue Angriffsfläche, neue Bilder und Informationen – das weiss niemand. Insofern ist es sinnlos darauf zu setzen, die anscheinend zentrale Person rauszunehmen. Das ändert nichts am Druck der ganzen Geschichte, der Druck sucht sich einfach andere Wege. Der Druck ist das Problem, nicht ein einzelner Blogger.

3. Genauso sinnlos ist das Äquivalent zum Lakaien kaufen, das Anheuern und Untertützen von Bloggeria, die rummault, das ginge jetzt zu weit, das kann man so nicht machen, man soll doch etwas netter sein. Wenn so ein Thema mal abhebt, werden diese Leute nach jeder weiteren Enthüllung saudumm aus der Wäsche schauen. Die “nehmt Euch nicht so wichtig ist doch egal kümmert keinen seid nicht so brutal so kann man das nicht sagen Ihr Neider Aber Aber” Appeaser sind ein stetiges Begleitmoment aller bisherigen Fälle gewesen, gebracht hat es nie etwas, die Dynamik hat sie jedesmal überrollt.

Was heisst das? Letztlich: Meine Bloggerhaut ist, wie jede andere, und wie alle Regeln der herkömmlichen PR vollkommen wertlos. Die Haut hätte vielleicht sehr frühzeitig einen Wert gehabt, bevor das Thema seine Eigenresonanz entwickelt und sich aufschaukelt, aber bisher war es noch in allen Fällen von Monigate über Johannsen + Kretschmer, Edelman, Jamba, Dubistdeutschland bis zu StudiVZ so, dass die andere Seite dachte: Ach, die Blogger, die deutsche Winzszene, was kann die schon ausrichten. Diese Klowände. Diese Neider. Auf die hört doch keiner. Was in diesen Fällen einen virtuellen Wert für Betroffene hat, wäre die Blogosphäre an sich, ihren Wert kann man im eigenen Wert- und Imageverlust ausdrücken, aber glücklicherweise kann man diesen Haufen unterschiedlichster Sozialsysteme nicht kaufen. Diesem widersprüchlichen Kosmos, diesem Antikollektiv als Ganzem sind Einladungen, Werbebuchungen und Streicheleinheiten egal.

Die Folge: Freunde der Blasmusik, wenn Ihr in Zukunft auch nur drei Tage Top1 bei Technorati seid, dann ist das ein 100% Volltreffer mitschiffs, dann wird das Thema auch in Deutschland kommen, dann gibt es nichts mehr, was Ihr noch tun könnt.

Nichts-

ausser ehrlich sein, Fehler sofort eingestehen und noch ein wenig mehr, freiwillig und umgehend Konsequenzen ziehen, um Euch von den Gegnern zu lösen. Edelmaner und sonstigen PRoleten und Scharlatane können Euch sagen, welche Probleme anstehen, aber das geht auch ohne deren Hilfe, das fühlt man nach einer Weile. Alles andere ist Volldampf voraus in den Torpedo hinein. Die alte Arroganz und der Glaube an einen möglichen Deal reizt die Leute nur noch weiter. Desto früher man entgegenkommt, desto einfacher ist es.

Ansonsten läuft der Torpedo. Wie gerade jetzt. Und ihr könnt nichts tun.

Ausser hoffen, dass die, die Euch jagen, es nicht ehrlich meinen. Das, keine Frage, ist Eure Chance. Und die rabenschwarze Kehrseite der oben dargestellten “Hautse hautse immer auf die Schnauze”-Einstellung. Jedem Blogger und jedem Kommentator muss klar sein, dass die Torpedos, die man losschickt, irgendwann zurück kommen können, wenn sie nicht wirklich sauber gezielt sind. Bezeichnenderweise waren wir im Fall Dittes vs. Unister, einer Art Vorspiel zu StudiVZ schon mal ganz nah dran am Blogger-GAU, denn da kamen leichtfertig abgefeuerte Torpedos zurück. In solchen Fällen dann zeigt sich, wer wirklich Grösse hat. Und da denke ich, dass es schon Häute hier draussen gibt, die doch was wert sind. Weil sie eben nicht käuflich sind.