Journalismus, Medien, Fotografie, Konzerte, Technik und Lokales in Jena und dem Rest der Welt
Passend zum Eingeständnis, dass die heimliche Online-Durchsuchung von Computern schon seit 2005 stattfinden, ist der erste Bundestrojaner-Surfer wohl auch schon bei mir im Weblog vorbeigekommen – sagt zumindest Google Analytics. Da die Software noch Beta ist, brauche ich nichts zu befürchten, oder?
P.S. Da die Browser-Version frei wählbar ist, scheint die Gefahr dann doch ehr virtuell.
Das Bonusprogramm Payback startet sein eigenes Corporate Blog. Bevor das Blog der Öffentlichkeit präsentiert wird, wurden 112 Mitglieder der TRND Community für das Blog Roll-Out-Team bestimmt. Sie dürfen an der Entwicklung mitarbeiten und sollen Kritik und Feedback geben.
Daten sind wertvoll. Besonders, wenn man viele davon besitzt und diese von den Nutzern sogar selbst gepflegt werden. Das Studentenportal StudiVZ lebt von solchen Daten. Andere können jetzt auch davon leben.
Die Ursache ist einfach: Jeder angemeldete Benutzer von StudiVZ kann auf die Profile anderer zugreifen. Normalerweise muss sich dazu jeder Benutzer durch die Freundesliste hangeln oder durch die Suche neue Personen finden. Der Zugriff auf jedes Profil ist über eine frei einsehbare ID verknüpft. StudiVZ selbst beschreibt im Artikel „Sicherheitsbedenken sind unbegründet“, das diese IDs sicher sind und das erraten des Codes „viele Millionen Jahre“ benötigt. Auf Blogbar.de wurde gezeigt, wie aus eindeutigen Nummern die komplizierte ID errechnet wird. Nicht in Millionen Jahren, sondern mit dem Taschenrechner. Doch dieser Trick ist gar nicht nötig: Jedes der Profile ist einfach mit einer Zahl erreichbar. Es reicht, von 1 beginnend zu zählen und jeder kann sich die fremden Profile anschauen – in der Reihenfolge, wie sich die Benutzer registriert haben. Zwei der Gründer sind auch dabei: Dennis Bemmann hat die Nummer 4, Ehssan Dariani hat die Nummer 5.
Die Möglichkeiten, die sich daraus ergeben sind beängstigend. Das ist keine Sicherheitslücke, sondern ein offenes Portal. Es sind weder Programmierkenntnisse noch besondere Fähigkeiten nötig, an diese Daten zu kommen. Die Eingabe einer URL reicht. Wer Zugriff auf ein Profil hat, erfährt von derjenigen Person allerhand persönliches: Passbild, Name, Alter, Studienort, Geschlecht, Wohnort, Beziehungsstatus, Interessen, Lieblingsfilme- und bücher, Arbeitsgeber, Position usw. Dieses umfangreiche Bild der Person kann jeder noch erweitern, in dem er sich die Liste der bestellten Gruppen, die Freundesliste und das Gästebuch anschaut.
Das ist alles noch nicht spannend, wenn man nur die Profile der Freunde kennt. Nach StudiVZ-Angaben sind mittlerweile über 1 Millionen Studenten angemeldet. Die Summe dieser Daten dürfte jedoch einiges Wert sein und die persönlichen Daten könnten für die entsprechenden Personen durchaus ein Problem werden, wenn sie in die falschen Hände geraten.
StudiVZ sollte umgehend diese schwere Sicherheitslücke beseitigen oder das Portal vom Netz nehmen. Auf blogbar.de wurde schon angekündigt, dass die Daten gezogen werden.
Was theoretisch möglich wäre, wenn man ein paar Profile hat, zeigt die folgende Grafik mit fiktiven Werten der Anzahl der Neuanmeldungen pro Tag beim Start von StudiVZ. Mit allen oben genannten Daten wäre es möglich, viel persönlichere Dinge auszuwerten und mit fremden Datenbanken zu verknüpfen.
In diesem Artikel sind absichtlich keine weiteren Direktlinks auf mögliche Verfahren gesetzt, um einen möglichen Missbrauch nicht zu unterstützen. Siehe auch den Artikel zur Zukunft von StudiVZ. Einen sachlichen Überblick über die Thematik von StudiVZ liefert auch der Artikel von Falk Lüke.
Immer wieder wollen die Politiker den Bürgern glauben machen, dass die ganze Erweiterung der Datensammlerei nur einem Zweck dient: dem Bekämpfen des Terrors. Ähnlich wie bei Toll Collect, was toll Daten über jede Bewegung eines Autos in ganz Deutschland dokumentieren kann, sollte auch das Sammeln von Spuren einzelner Nutzer im Internet nur einer strengen strafrechtlichen Kontrolle in Einzelfällen dienen.
Immer wieder machen aber Politiker demokratischer Parteien Vorstöße, diese Zugriffe auf zivilrechtliche Zwecke auszudehnen. Den aktuellen Vorstoß von Günther Krings kann man im Heise Newsticker lesen.
Da braucht man sich nicht mehr wundern, wenn die demokratischen Parteien immer mehr Wähler verlieren und die Glaubwürdigkeit der Regierung immer mehr zum Nichtwählen veranlaßt – gefundenes Fressen für die radikalen Parteien. Da helfen auch Kranzniederlegungen in Polen oder der vorwurfsvolle Blick nach Brandenburg nicht, deren Vormarsch einzudämmen.
Irgendwie ist es erstaunlich, daß die Politiker nicht verstehen, daß man Terrorismus und den Vormarsch radikaler Parteien nicht mit Bomben oder Verboten bekämpfen kann sondern nur mit einem: mit toleranter und zukunftsorientierter Politik.
Update: Darüber hinaus verfehlt die Politik ihre aufklärende Funktion und die kaum vorhandene Nachhaltigkeit der Reformen wird immer wieder schöngeredet. Dass die Wurzeln der demokratischen Parteien ganz woanders liegen, bringt Claus Christian Malzahn im Spiegel Online auf den Punkt.
 |
Letzte Kommentare