Unister, neben
studiVZ einer der (weniger) großen Namen im studentischen Sozialnetzwerken, stupst Andreas Dittes etwas vehementer als gewohnt in die Seite. Dieser hatte den Betreiber des Portals auf eine - laut eigener Aussage zufällig gefundene - Sicherheitslücke aufmerksam gemacht, die es ihm ermöglichte, etwa 34.000 Datensätze samt E-Mail-Adressen, Fotos und Namen der zugehörigen Personen zu sichern. Verbunden mit dem kostenfreien Auditing war die Ankündigung, wenige Tage später im eigenen Blog über den Fall berichten zu wollen,
“damit man sich bemühen würde, die Lücke schnell zu schließen” - eine in mit IT-Security befassten Kreisen nicht unübliche Vorgehensweise, die ein sofortiges Handeln der Betroffenen sicherstellen und das klassische “unter den Teppich kehren” verhindern soll.
Neben dem durch diese Entdeckung veranlaßten Schließen der erheblichen Sicherheitslücken im System von Unister bestand die erste Reaktion der Seitenbetreiber offenbar in der Androhung erheblicher rechtlicher Konsequenzen, sollte Dittes den Fall einer größeren Öffentlichkeit publik machen.
Augenscheinlich also schon wieder ein klassisches Eigentor von Leuten, die es eigentlich besser hätten wissen müssen. Ein einfaches “Dankeschön, wir sind dran!”, vielleicht sogar verbunden mit einem kleinen Dankeschön (es ist die Geste, die zählt), und Unister wäre es gelungen, aus einer ursprünglich negativen Sache positives Kapital zu schlagen. So aber reiht sich die gezeigte Reaktion in die lange Liste derer ein, die das Medium, in dem sie agieren, kaum verstanden zu haben scheinen, denn Vertrauen oder Sympathien gewinnt man so nicht. Das zeigen schon erste Reaktionen. Weitere sind dem verlinkten Artikel in Dittsches Dittes Blog zu enthehmen.
Update 20061004:
Unister hat eine Gegendarstellung veröffentlicht. Das entsprechende PDF enthält ein “Vollzitat” der E-Mail, die Dittes wegen genannter Sicherheitslücke an Unister geschickt hatte, mithin also eine ungefragte Veröffentlichung privater E-Mail-Korrespondenz. Den Inhalt des mit Dittes geführten Telefonats gibt Unister wenig überraschend etwas anders wieder: Herrn Dittes wäre “ausdrücklich für dessen Hinweis auf die Manipulationsmöglichkeit” gedankt worden, Drohungen hätte es keine gegeben, lediglich den Hinweis auf Einleitung rechtlicher Schritte bei Veröffentlichung der kopierten Nutzerdaten. Desweiteren wurde Herr Dittes im Telefonat über weitere “rechtswidrige Handlungen” aufgeklärt, die Unister bisher nicht beanstandet hat, aber wohl beanstanden könnte.
Zweierlei Eindrücke beschleichen den geneigten Rezipienten: Weder Andreas Dittes noch Unister scheinen im Besitz ausreichend ausgebildeter Kommunikationskompetenz zu sein. Während die Wortwahl von Herrn Dittes in dessen ungefragt veröffentlichten E-Mails für sich spricht, verleiht sich Unister mit eben diesen Veröffentlichungen und den sich anschließenden Vermutungen, die ohne allzuviel Böswilligkeit auch als Unterstellungen interpretiert werden können, einen reichlich unprofessionellen Eindruck. Auch hier sprechen Wortwahl und Formulierungen Bände, wiegen jedoch im Falle einer Unternehmensstellungsnahme schwerer als in den - noch schmeichelhaft ausgedrückt - wenig überlegt wirkenden Äußerungen eines jungen Studenten.
Dittes muss sich nun fragen lassen, ob eine solch aggressive Instrumentalisierung der “Blogosphäre” letzlich nicht eher einen Schuß nach hinten darstellt. Unister hingegen bräuchte dringend einen kompetenten Mitarbeiter in Sachen Öffentlichkeitsarbeit und etwas mehr Hintergrundwissen im Umgang mit dem Netz der Netze und seinen Bürgerinnen und Bürgern. Die Wahrheit liegt offenbar, wie so oft, irgendwo in der Mitte.
Andreas Dittes nimmt in seinem oben verlinkten Blogpost Stellung zu der Reaktion von Unister.
