Web-2.0-Blase

19. April 2014

Ist StudiVZ sein Geld wert?

Dieser Beitrag sollte eigentlich schon vor Wochen erscheinen und deutlich ausführlicher werden, doch es gab zu viel wichtigeres zu tun. Bevor das Thema verjährt, poste ich wenigstens den schon geschriebenen Teil:

Die Verlagsgruppe Holtzbrinck hat die Studenten-Community StudiVZ gekauft. Der Holtzbrinck-Verlag war bereits Minderheitseigner bei StudiVZ. Der Verkaufspreis wurde zuerst von Spiegel Online auf über 100 Millionen Euro angegeben. Diese Zahl wurde nicht bestätigt und es ist von einem Preis zwischen 50 und 85 Mill. € auszugehen. Die Summe wurde nicht komplett überwiesen, sondern weitere Zahlungen sind an den zukünftigen Erfolg geknüpft. Das Geld dürfte jedenfalls reichen, ein paar fähige Leute einzustellen und die Serverkapazitäten entsprechend zu erweitern.

Don Alphonso hat viel Zeit investiert, die Kaufsumme zu drücken. Vermutlich hat er es sogar geschafft. Neue Gerüchte sagen, das sogar nur 12 Millionen Euro geflossen sind.

Um einen Eindruck von der Summe zu bekommen, bietet es sich an, den Preis je aktivem Nutzer zu berechnen. StudiVZ selbst spricht von mehr als einer Millionen Nutzern, laut der inoffiziellen Statistik sind jedoch 500.000 aktive Besucher realistisch. Bei einem geschätzten Kaufpreis von 50 Mill. € hätte Holtzbrinck ca. 100 € pro aktivem Nutzer bezahlt. Eine solche Summe wird kaum von den Studenten zu holen sein. Neben klassischer, zielgruppenorientierter Bannerwerbung sind besondere Produktangebote für die StudiVZ-Mitglieder denkbar, die einen deutlich höheren Gewinn abwerfen könnten. Die Kaufsumme relativiert sich erst, wenn die Nutzerzahlen in den nächsten Jahren deutlich steigen. In Deutschland sind knapp 2 Millionen Studenten eingetragen. Hier ist bald die Wachstumsgrenze erreicht und StudiVZ muss in weitere Länder expandieren. Ob die Erfolgsstory dort zu wiederholen ist, wird sich zeigen.

Egal wieviel letztendlich gezahlt wurde: es ist eine Menge Geld für ein Unternehmen, dessen Produktidee kopiert ist, deren Produkt nicht stabil läuft und noch keinen Umsatz gemacht hat. Deshalb von einer Web 2.0 Blase zu sprechen ist zu früh, aber die Tendenzen sind erkennbar. Immerhin investieren jetzt auch deutsche Firmen und wir überlassen die Pre-Blase nicht nur den Amerikanern.

Siehe auch Artikel Wo Spaß und Leichtsinn herrschen in der Telepolis.

StudiVZ Profile frei einsehbar

Daten sind wertvoll. Besonders, wenn man viele davon besitzt und diese von den Nutzern sogar selbst gepflegt werden. Das Studentenportal StudiVZ lebt von solchen Daten. Andere können jetzt auch davon leben.

Die Ursache ist einfach: Jeder angemeldete Benutzer von StudiVZ kann auf die Profile anderer zugreifen. Normalerweise muss sich dazu jeder Benutzer durch die Freundesliste hangeln oder durch die Suche neue Personen finden. Der Zugriff auf jedes Profil ist über eine frei einsehbare ID verknüpft. StudiVZ selbst beschreibt im Artikel „Sicherheitsbedenken sind unbegründet“, das diese IDs sicher sind und das erraten des Codes „viele Millionen Jahre“ benötigt. Auf Blogbar.de wurde gezeigt, wie aus eindeutigen Nummern die komplizierte ID errechnet wird. Nicht in Millionen Jahren, sondern mit dem Taschenrechner. Doch dieser Trick ist gar nicht nötig: Jedes der Profile ist einfach mit einer Zahl erreichbar. Es reicht, von 1 beginnend zu zählen und jeder kann sich die fremden Profile anschauen – in der Reihenfolge, wie sich die Benutzer registriert haben. Zwei der Gründer sind auch dabei: Dennis Bemmann hat die Nummer 4, Ehssan Dariani hat die Nummer 5.

Die Möglichkeiten, die sich daraus ergeben sind beängstigend. Das ist keine Sicherheitslücke, sondern ein offenes Portal. Es sind weder Programmierkenntnisse noch besondere Fähigkeiten nötig, an diese Daten zu kommen. Die Eingabe einer URL reicht. Wer Zugriff auf ein Profil hat, erfährt von derjenigen Person allerhand persönliches: Passbild, Name, Alter, Studienort, Geschlecht, Wohnort, Beziehungsstatus, Interessen, Lieblingsfilme- und bücher, Arbeitsgeber, Position usw. Dieses umfangreiche Bild der Person kann jeder noch erweitern, in dem er sich die Liste der bestellten Gruppen, die Freundesliste und das Gästebuch anschaut.

Das ist alles noch nicht spannend, wenn man nur die Profile der Freunde kennt. Nach StudiVZ-Angaben sind mittlerweile über 1 Millionen Studenten angemeldet. Die Summe dieser Daten dürfte jedoch einiges Wert sein und die persönlichen Daten könnten für die entsprechenden Personen durchaus ein Problem werden, wenn sie in die falschen Hände geraten.

StudiVZ sollte umgehend diese schwere Sicherheitslücke beseitigen oder das Portal vom Netz nehmen. Auf blogbar.de wurde schon angekündigt, dass die Daten gezogen werden.

StudiVZ NeuanmeldungenWas theoretisch möglich wäre, wenn man ein paar Profile hat, zeigt die folgende Grafik mit fiktiven Werten der Anzahl der Neuanmeldungen pro Tag beim Start von StudiVZ. Mit allen oben genannten Daten wäre es möglich, viel persönlichere Dinge auszuwerten und mit fremden Datenbanken zu verknüpfen.

In diesem Artikel sind absichtlich keine weiteren Direktlinks auf mögliche Verfahren gesetzt, um einen möglichen Missbrauch nicht zu unterstützen. Siehe auch den Artikel zur Zukunft von StudiVZ. Einen sachlichen Überblick über die Thematik von StudiVZ liefert auch der Artikel von Falk Lüke.

Die Zukunft von StudiVZ

Die Liste der Skandale und Probleme von StudiVZ ist lang (Zensur, Zensur, Performance, ungeschickte PR, Plagiatvorwürfe, Party-Einladung, Videos eines der Gründer, Kritik an den Arbeitsbedigungen, Eine Sicherheitslücke, Stalking, Weitere Sicherheitsbedenken). So lang, dass es bis in die Top-Liste der Blog-Skandale gereicht hat. Ausführliche Berichte standen auch im Spiegel online („Peinliche Pannen bringen StudiVZ in Verruf“ und „Sex-Stalker im Studentennetz“). Der Heise Newsticker berichtet regelmäßig über StudiVZ (Datenleck beim StudiVZ?, Weiter Wirbel um StudiVZ und StudiVZ unter Beschuss). Gestern wurde von einer neuen Lücke berichtet, die das Einsehen und Ändern aller fremden Profile ermöglichte.

Hervorragende Zusammenfassungen gibt es im Kasi-Blog und bei Falk Lüke.

Das kommentarlose Abschalten der Server gestern und die Kommunikation darüber waren vorerst der Höhepunkt. Don Alphonso hat jedoch weitere „Kugeln im Magazin“ angekündigt

Es ist jedoch ein guter Zeitpunkt, einen Blick nach vorn zu richten. Was kann sich StudiVZ (wenn überhaupt) noch retten?

Kommunikation. Eine offene und ehrliche Kommunikation ist absolute Voraussetzung, um auf Dauer wieder etwas Vertrauen aufbauen zu können. Eine Community lebt vom Vertrauen und StudiVZ ist nur so viel Wert, wie seine Community. Die Kommunikation darf nicht nur Reaktion sein. Ehssan Dariani hat sich erst entschuldigt, als der Druck von außen zu groß wurde. Anstatt auf klare Sicherheitslücken mit der Beseitigung der selbigen zu antworten, werden diese abgewiegelt („Sicherheitsbedenken sind unbegründet“). Wenn Dienst für viele Stunden ohne einen Hinweis auf die Grüne einfach abgeschaltet wird, reicht es nicht, darauf mit „Alles wird gut“ zu antworten. Wenn dann die Gefahren für die Daten der Community komplett unerwähnt bleiben, zeigt das nur, dass der Datenschutz immer noch nicht den Stellenwert hat, den er haben muss. Wenn auf konkrete, nachweisbare Vorwürfe nur ausweichend oder gar nicht reagiert wird, ist das eine Ignoranz, die auf Dauer nicht gut tun wird.

Datenschutz. In einer Community wie StudiVZ geben die Nutzer eine große Menge privater Daten frei. Umso wichtiger ist der bestmögliche Schutz der Privatsphäre der Nutzer. Wenn ein Datenschutzbeauftragter benannt wird, ist das ein Schritt in die richtige Richtung, aber geht komplett nach hinten los, wenn keine Konsequenzen folgen. Die richtige Konsequenz wäre der sofortige Einsatz mehrere fähiger Leute, die sich ausschließlich um dieses Thema kümmern. Da die bis jetzt bekannten Sicherheitslücken simpelste handwerkliche Fehler waren, dürfte eine große Aufgabe vor StudiVZ stehen. Die heute veröffentlichte Lücke wurde zwar innerhalb kurzer Zeit beseitigt – eine Information an die Nutzer von StudiVZ gab es hierzu jedoch bis jetzt nicht.

Performance. Die Geschwindigkeit ist genau genommen nur ein Komfortmerkmal, allerdings ein selbstverständliches. Mangelnder Datenschutz interessiert wohl leider nur einen kleinen Anteil der Studenten, die Reaktionsgeschwindigkeit bemerkt jedoch jeder. Sollte sich die Situation nicht nachhaltig bessern, dürfte eine zunehmende Nutzerzahl entnervt aufgeben. Um eine dauerhafte Beschleunigung des Systems zu erreichen, ist jedoch viel Geld und Erfahrung sowie eine passende Plattform nötig. Alle drei Punkte sind jedoch gar nicht oder nur wenig vorhanden bzw. erfüllt. Zusammen mit dem Datenschutz steht StudiVZ hier vor einer großen Aufgabe, die wohl am besten mit einer Neuentwicklung auf einer passenden Plattform zu lösen wäre. Dies ist jedoch illusorisch, deshalb werden sich beide Probleme nur langfristig lösen lassen. Mit allen negativen Konsequenzen für die User und StudiVZ.

Support der Community. Selbst wenn die Punkte Datenschutz und Performance erledigt sind, können solche Probleme wie mit den 700 Stalkern immer wieder auftreten. Eine Kontrolle der Community ist nötig. Diese sollte sowohl durch sich selbst als durch StudiVZ erfolgen, welches dafür nötige Kommunikationselemente und Features bereitstellen kann. Besonders aktive Nutzer sollten moderieren und administrieren können und somit einen Teil der Verantwortung übernehmen. Eine offizielle Stelle sollte leicht erreichbar sein und sich potentieller Probleme zeitnah annehmen. Ein Identifikations- und Reputationsmanagement würde viele Gefahren im Vorhinein verhindern. Beispielsweise wäre es möglich, dass sich angemeldete Benutzer mit einer Kopie des Studentenausweises identifizieren und erst danach den vollen Zugriff auf die Plattform erhalten (und dann z.B. öffentlichen Gruppen anlegen können).

Mashup. Kaum eine Community im Web 2.0 wird dauerhaft Bestand haben, wenn sie sich nicht mit anderen erfolgreichen Communities vernetzt. Anknüpfungspunkte gibt es viele. Bilder können mit Flickr, Videos mit YouTube verlinkt werden. Wenn der Student ins Berufsleben wechselt, könnte sein Profil mit OpenBC, sorry, Xing verlinkt werden. Der Werdegang als Schüler befindet sich möglicherweise in einem der vielen Schülerportale. Die Möglichkeiten und Gefahren des DataMinings sollten allerdings nicht unterschätzt werden, schließlich könnte man automatisiert einen kompletten Lebenslauf aus diesen Daten entwickeln. Weitere Integrationsmöglichkeiten bestehen für mobile Endgeräte (Handy, PDA) und externe Terminverwaltung sowie SMS (z.B. Geburtstagserinnerunen usw.)

Business-Modell. In der nahen Zukunft muss StudiVZ selbst Geld verdienen. Vermutlich wird Werbung geschaltet. Hier besteht wieder die Gefahr, den Datenschutz zu vernachlässigen. Google AdSense dürfte auf allen Seiten, die privates enthalten zum Beispiel aus Gründen des Datenschutzes wegfallen. Wie die Nutzer die Werbung annehmen wird sich zeigen.

Unternehmenskultur. Die Unternehmenskultur war bis jetzt vom reinen Gründerfieber geprägt. Das Verantwortungsgefühl ist leider nicht mit dem Unternehmen mitgewachsen. StudiVZ sollte das Gefühl eines jungen, dynamischen Unternehmens vermitteln, welches jedoch auch eine Vertrauenswürdigkeit ausstrahlt. Letzteres ist bis jetzt ist das nicht gelungen. Hier ist ein radikaler Umbruch nötig.

Mit Bloggern sprechen. Die Bedeutung der Blogger an der Enthüllung der aktuellen Skandale ist unverkennbar. Um das Image wieder aufzubessern ist eine Zusammenarbeit mit den Bloggern absolut entscheidend. Klassische Medien berichten nur selten, wenn alles positiv verläuft. Blogger hingegen berichten auch über positive Seiten und können damit wieder Vertrauen erzeugen. Wie die aktuelle Kampagne zeigt, können die Blogger den Ruf eines Unternehmens nachhaltig schädigen – solange die Kritik gerechtfertigt ist. Ein Unternehmen, welches von einer Comunity lebt, sollte die Macht der Blogger nie unterschätzen.

Expansion ins Ausland verschieben. StudiVZ expandiert gerade nach Polen, Italien, Spanien und Frankreich. Das sind zweifelsfrei wichtige Märkte, die baldmöglichst erobert werden müssen. Solange aber die grundlegendsten Abläufe des Unternehmens im Heimatland nicht funktionieren, ist eine Expansion ins Ausland gefährlich. Außer dem (schlechten) Ruf und einer instabilen Plattform bringt man nicht viel mit und hat damit wenige Chancen. Zusätzlich werden im Inland dringend benötigte Ressourcen (Gelder, Entwickler und Support) abgezogen.

Um StudiVZ auf den richtigen Weg zu bringen, sind harte Konsequenzen aus den vergangenen Ereignissen nötig. Mit ein paar Absichtserklärungen wird es nicht getan sein. Die Gründer, mindestens jedoch Ehssan Dariani, sollten sich aus dem operativen Geschäft zurückziehen und erfahrene Profis in diesem Bereich heranlassen. Ebenso wäre mindestens ein Datenschutzbeauftragter und ein Pressesprecher nötig, die Erfahrung und Vertrauen aus ihren früheren Aufgaben mitbringen und diese auf StudiVZ transportieren können. Erfahrene Softwareentwickler sollten schnellstmöglich potentielle Sicherheitslöcher erkennen und beseitigen. Ein klares, abgestuftes Konzept der Rechte- und Zugriffsverwaltung sollte entwickelt, kommuniziert und vor allem auch umgesetzt werden. Eine brauchbare Kriesen-PR hilft den Ruf zu retten, wenn doch einmal etwas schief geht. All diese Forderungen wären Selbstverständlichkeiten für ein klassisches Unternehmen. Sie sollten auch für Web 2.0 Unternehmen eine Selbstverständlichkeit sein.

Account bei StudiVZ gelöscht

Meinen Account bei StudiVZ habe ich gelöscht. Der Grund sind die neusten Erkenntnisse von DonAlphonso über StudiVZ. Es sind längst nicht mehr nur ein paar Peinlichkeiten des StudiVZ Gründers Ehssan Dariani, sondern ein Skandal. Vielleicht ist es die erste deutsche Web 2.0 Blase, die auf diese Art zerplatzt – den Verkaufspreis von StudiVZ wird es sicherlich beeinflussen.

Ein weiterer Grund sind die “Datenschutzbestimmungen”. Im folgenden Ausschnitt aus den AGB ist zu entnehmen, wie ernst man es mit dem Datenschutz meint:

StudiVZ behält sich vor, diese Datenschutzbestimmungen jederzeit zu ändern, wenn Änderungen aufgrund von nachträglich erkannten Regelungslücken oder im Hinblick auf neue von StudiVZ bereitgestellte Dienste erforderlich werden.

Unter diesen Umständen kann ich auf das Kontaktnetzwerk StudiVZ gern verzichten. Ich bin weiterhin unter OpenBC erreichbar.