Weiter Wirbel um StudiVZ

Das Studentennetzwerk StudiVZ sorgt weiter für Wirbel. Nach der Auseinandersetzung um Sicherheitslücken werfen Kritiker dem Portal nun eine Begünstigung des Stalkings vor, das Unternehmen weist die Vorwürfe zurück.

In Pocket speichern vorlesen Druckansicht 196 Kommentare lesen
Lesezeit: 5 Min.
Von
  • Torsten Kleinz

Das Studentennetzwerk StudiVZ sorgt weiter für Wirbel. Nach der Auseinandersetzung um Sicherheitslücken werfen Kritiker dem Portal nun eine Begünstigung des Stalkings vor, das Unternehmen weist die Vorwürfe zurück.

Für Diskussionen sorgten in dieser Woche schon Sicherheitslücken bei dem Studentenportal, die es ermöglichten, die Freundeslisten und privaten Gästebücher von Mitgliedern anzusehen, die ihr Benutzerprofil vor fremden Zugriffen schützen wollten. Auf Anfrage von heise online verneint ein StudiVZ-Sprecher nun die Existenz einer Sicherheitslücke: "Die Freundesliste (auch von geschützten Profilen) ist seit jeher an vielen Stellen der Plattform verlinkt und war schon immer für jeden einsehbar. Dass man durch Modifikation der URL eine Seite erreicht, die man auch durch einfaches Klicken auf einen Link erreichen kann, ist kein Hack, sondern trivial." Nach den Berichten über die Sicherheitslücke am Wochenende und am Mittwoch wurden die Profilseiten angepasst, sodass jetzt die Freundeslisten von allen Mitgliedern per Mausklick erreichbar sind.

Die "Pinnwand" genannten Gästebücher wurden hingegen vor einem unautorisierten Zugriff geschützt. Auch hier sieht der StudiVZ-Sprecher keine Sicherheitslücke, räumt aber Besserungsbedarf ein: "Hier ist der Wunsch aufgekommen, diese mit in den schützbaren Bereich mit aufzunehmen. Wir haben auf die Anfragen unserer Nutzer reagiert und dies vorgenommen." Die Gästebücher sind nun nicht mehr durch einfache Manipulation der URL erreichbar, der Text in den StudiVZ-FAQ soll verbessert werden, um die User in Zukunft zu informieren, welche Informationen vertraulich behandelt werden und welche für jedermann abrufbar sind.

Geführt wird das StudiVZ von einem Berliner Startup-Unternehmen, das mittlerweile nach eigenen Angaben 50 Mitarbeiter beschäftigt. Im November gab das Unternehmen die Registrierung des millionsten Accounts auf der Plattform bekannt. Nachdem das Unternehmen wegen fragwürdiger Veröffentlichungen des Mit-Gründer Ehssan Dariani ins Gerede gekommen war, hatte der sich in einem offenen Brief entschuldigt und "proaktiven" Datenschutz für die Mitglieder der Plattform versprochen.

Dennoch sorgt der Umgang des Unternehmens mit der Privatsphäre seiner Mitglieder für weiteren Streit. Das Weblog Blogbar dokumentiert eine Diskussionsgruppe auf der Studentenplattform, die es sich zum Ziel gesetzt hat, Bilder möglichst attraktiver Studentinnen auf der Plattform zu finden und die besten Bilder in einer Art Schönheitswettbewerb zu wählen – freilich ohne die Kandidatinnen zu informieren. Blogbar-Blogger Don Alphonso bezeichnet das Verhalten der 700 rein männlichen Gruppenmitglieder als "gemeinschaftlichen Stalking und Belästigung” – die Siegerinnen dieses zweifelhaften Schönheitswettbewerbs hätten die Studentenplattform verlassen, nachdem in dem Männer-Forum Details über sie veröffentlicht worden seien. Don Alphonso dokumentiert auch eine Mail, bei der die Gruppenmoderatoren von einem StudiVZ-Mitarbeiter zu einer Änderungen der Gruppenrichtlinien aufgefordert wurden. Danach hätten der Mitarbeiter selbst und einer der StudiVZ-Gründer um die Aufnahme in die Gruppe gebeten.

Die Bewertung des Bloggers kann der StudiVZ-Sprecher nicht teilen: "Auf jedem Uni-Campus ist es normal, dass sich Studentinnen über Studenten und Studenten über Studentinnen unterhalten. So auch bei StudivVZ." Auf Initiative eines StudiVZ-Mitarbeiters sei die inhaltliche Ausrichtung der Gruppe geändert worden. Zur Firmenpolitik stellt der Firmensprecher klar: "Im StudiVZ dulden wir keine Gruppen, die andere Mitglieder belästigen. Solche werden uns von den Nutzern gemeldet und wir gehen den Hinweisen nach. Wenn sich die Vorwürfe erhärten, werden die Gruppen von uns gelöscht." Auch die Moderatoren der Gruppe sehen sich ungerecht behandelt. In der Gruppenbeschreibung sprechen sie nun von einer Kampagne: "Beträge hier wurden aus dem Zusammenhang gerissen und sehr negativ dargestellt, die Autoren wurden so schlecht verschleiert, dass man diese mühelos erkennen kann." Dieser Vorwurf verwundert freilich, da nach den Screenshots auf Blogbar Namen und weitere Details der Studentinnen in der Gruppe wie selbstverständlich herumgereicht wurden.

Auch das Büro des Berliner Datenschutzbeauftragten ist auf die Sicherheitslücken bei der Studentenbörse aufmerksam geworden. "Wir werden StudiVZ um Stellungnahme bitten", sagte eine Sprecherin auf Anfrage von heise online. In mehreren Blogs wurden gestern Zweifel an dem ordnungsgemäßen Umgang der Firma mit datenschutzrechtlichen Vorschriften veröffentlicht. Dies hatte das Unternehmen in einem Blogbeitrag verneint.

Momentan hat StudiVZ offenbar noch mit einigen technischen Schwierigkeiten zu kämpfen. Nachdem das Portal in der letzten Nacht offline ging, um Verbesserungen an der Infrastruktur und der Perfomance und Skalierbarkeit des Gesamtsystems vorzunehmmen, beschweren sich zahlreiche Nutzer über verlorengegangenen Nachrichten und Forenbeiträge. In den letzten Monaten hatte StudiVZ mit zahlreichen Performance-Problemen zu kämpfen, die nun durch eine neue IT-Infrastruktur behoben werden sollen. (Torsten Kleinz) / (jk)