Die Koffeinjunkies vom StudiVZ möchten nun doch nicht ihr Produktivsystem mit Millionen privater Datensätze hacken lassen und stellen den “lieben Lückensuchern” für’s preisgünstige Auditing ein Testsystem zur Verfügung. Der Aufruf zum kollektiven Abschuß vom 30. November ist damit widerrufen. Vorausgehende Überlegungen mussten einmal mehr extern erbracht werden. “Klingt hart, ist aber so.”

Nein, hier geht es nicht um den gleichnamigen Film von Fatih Akin, der 2004 auf der Berlinale einen goldenen Bären abstauben konnte. Es geht viel mehr darum, “wie Deutschlands heißestes Start-Up vor die Wand fährt”.

Jörg-Olaf Schäfers beleuchtet in “Die Sache mit den Schlagzeilen” die Entwicklung der öffentlichen Wahrnehmung zur unendlichen Geschichte StudiVZ. Thema des Monats innerhalb der in ihrem Einfluss überschätzten Blogosphäre zu sein, ist die eine (im vorliegenden Fall unschöne) Sache, auch vereinzelte Artikel zu Datenschutzproblemen und Sicherheitslücken lassen sich verkraften, so sie in eher engmaschig zielgruppenden Publikationen erscheinen. Problematischer hingegen ist es, mit Passagen wie der folgenden im reichweitenstarken Nachrichtenmainstream aufzutauchen:

Schließlich berichtet auch Spiegel Online über Sex-Stalker im Studentennetz sowie umstrittene Geschäftspraktiken, Zweifel am Datenschutz, dubiose Nazi-Witze und unflätige Videos. Die bloggenden Netzbürger stellen sich derweil immer häufiger die Frage, ob das junge Berliner Startup an den immer schneller veröffentlichten Schlagzeilen zerbricht oder der stürmischen See trotzen kann. Zumindest Don Alphonso, Mitautor der Blogbar und Rebell ohne Markt, macht aus seinen Intentionen gewohnt martialisch keinen Hehl: er würde dem aktuellen Objekt seiner Obsession am liebsten selbst die letzte Kugel verabreichen.

Das Unternehmen StudiVZ steht folgerichtig unter einigem Zugzwang und versucht es auf dem firmeneigenen Blog mit der lange vermissten Transparenz - bisher waren hier eher unbeholfene Beschwichtigungen und Ablenkungsmanöver zu finden, Nebelkerzen, die nicht zündeten. Während der wandelnde PR-GAU Ehssan Dariani von der externen Unternehmenskommunikation entbunden scheint, versucht man es in Berlin nun mit einem eigens abgestellten Datenschutzbeauftragen und möchte mit der Community einen gemeinsamen Verhaltenskodex erstellen.

Doch wohin man dieser Tage in Berlin tritt: Fettnäpfchen allerorten. “Meldet uns XSS- und CSRF-Lücken”, bittet man die “lieben Lückensucher” und gibt damit die eigene Produktiv-Plattform mitsamt ihres Bestandes an Millionen von persönlichen Datensätzen offiziell zum Abschuß frei. 256 Euro pro erfolgreichem Penetrationstest sind versprochen, mittlerweile scheint selbst internationale Hilfe für den Ernstfall bereit zu stehen - mancherorts verleibt da nichts als schlichte Fassungslosigkeit.

Ob verlorenes Vertrauen auf diesem Weg zurück gewonnen werden kann, darf bezweifelt werden. Auch wenn in den Hallräumen des Netzes vieles heißer gekocht als gegessen wird und nicht jede neu entdeckte Sicherheitslücke sofort den herbeigesehnten Skandal für’s eigene Blog generiert, so überrascht die massive Unprofessionalität der handelnden Sozialnetzwerker doch immer und immer wieder. Die bisher erworbene Nutzerbasis von rund einer Millionen Mitgliedern ist das Kapital, mit dem das Unternehmen StudiVZ noch wuchern kann - doch eine Abmeldung ist nur einen Mausklick entfernt. Sollte dieses Kapital am Ende wirklich verspielt werden? Ich mag es nicht ganz glauben, die Beteiligten haben den “Point of no Return” schließlich schon längst hinter sich gelassen. Man bleibt zum Erfolg verdammt, ohne Rücksicht auf (persönliche) Verluste. Risikokapitalgeber Holtzbrinck macht hier eine klare Ansage: “Die Probleme stehen im Mittelpunkt, nicht das Personal”.

Auch Heise berichtet heute über die neuen Ausfälle des studiVZ. Es war - wie immer - nur Spaß. Selbst Jungakademiker, die sich immerhin die Mühe machten, “geile Schnitten rauszusuchen, damit alle ihre Augenweide daran haben können”, wirken auf einmal seltsam entmännlicht, es fehlen nun sogar Eier und Rückgrat zum Geradestehen. studiVZ-Sprecher Bonow findet das alles gar nicht so schlimm: “Auf jedem Uni-Campus ist es normal, dass sich Studentinnen über Studenten und Studenten über Studentinnen unterhalten.” Die wollen nur spielen, die sabbernden Jungs mit den XXX-Bikini-Pix der Gruftschlampe aus dem Wohnheim von nebenan. Inhaltlich geht das absolut ok.

Manch mentaler Innenausbau bedürfte hier dringend einer umfassenden Totalsanierung, und wer ab hier nur noch Dada versteht, der folge den Links. Gruscheln als Sinnbild geistiger Verwahrlosung?

Es ist, wie es ist: Mit der zunehmenden Frequenz beinahe täglich notwendiger Dementis werden diese kaum gehaltvoller, sondern im Gegenteil immer dünner; die Selbststilisierung manches Verantwortlichen zum eigentlichen Opfer lässt einen regelmäßig vorgenommenen Realitätsabgleich nur noch in homöopathischen Dosen vermuten. Jörg-Olaf Schäfers macht sich einmal mehr seinen eigenen Reim darauf, in der Sache zielgruppengerecht bebildert. Mich erinnert das Bloggen über die Startupper aus Berlin in diesen Tagen irgendwie an Darmgrippe. Möchte man echt nicht haben, aber manches muß einfach raus. Unternehmerische Ethik und Verantwortung, Persönlichkeitsrechte, Datenschutz - es bleibt Raum für eine sachliche Zusammenfassung. Das hier ist therapeutisches Schreiben.

Eigentlich wollte ich mich der wärmenden Gemeinschaft vieler kläffender und neidzerfressener Blogger anschließen, als immatrikulierter Sozialnetzwerker meinen Senf dazu geben, die grausame seelische Zerissenheit zwischen eigenem moralischen Anspruch und vulgärem Nutzwert Spasswert verbal verbildlichen. Doch irgendwie fehlt mir die Zeit, und irgendwie können das andere auch besser. Ob nun Johnny gewohnt zielsicher Töne trifft oder Don Alphonso an etlichen Stellen etwas weniger zimperlich zeigt, warum und wohin sich manche ihr Gruscheln stecken können - im Großen und Ganzen möchte man dem so einfach zustimmen und die eigenen Mundwinkel von Verbaldiarrhoe und Erbrochenem frei halten.

Es mag Menschen geben, die an den Handlungsmaximen eines Ehssan Dariani und seiner Mannen wenig auszusetzen haben. Es mag auch Menschen geben, die weder geschmacklose Entgleisungen Einladungen im Stile nationalsozialistischer Propaganda noch videokamerabewehrtes Stalking in öffentlichen Verkehrsmitteln als besonders reife Leistung anerkennen wollen. Es mag Menschen geben, die dreiste Copycats ein wenig zu hoch bewertet, überführte Wikipediafälscher ziemlich armselig und von Gier zerfressenes Domaingrabbing schlicht asozial finden. Es mag Menschen geben, denen Ehssan Dariani reichlich merkbefreit oder schlicht unglaubwürdig erscheint. Es gibt auch Menschen mit alternativen Ideen. Und es gibt mich, derer ich nicht sicher bin, wohin die Reise gehen soll. Erfolg entschuldigt nicht alles, er entschuldigt nichts.

(noch mehr) Relevante Links:
StudiVZ Encyclopedia - the most complete summary (until now)
Artikel zum Thema StudiVZ auf Basic Thinking
Artikel zum Thema StudiVZ auf yamb.beta²
Peinliche Pannen bringen StudiVZ in Verruf
StudiVZ unter Beschuss

Ein erster, schneller Blick drängt unabwendbar die Frage auf: Wer sind die Macher der sozialen Netzwerke hinter Facebook und studiVZ, und viel mehr: Wie hängen sie zusammen? Nun, hinter ersterem steckt vor allem der ehemalige Harvard-Student Mark Zuckerberg, der bereits im Februar 2004 sein Projekt der Öffentlichkeit zugänglich machte. Mittlerweile befindet sich der erst 22jährige Zuckerberg angeblich in milliardenschweren Verkaufsgesprächen mit Branchenriesen wie Microsoft oder Yahoo - wieviel da dran ist, vermag die Zukunft zu sagen. Seinen Schlaf jedoch lässt sich der jugendliche Entrepreneur davon in keinem Fall rauben.

Hinter dem beeindruckend rasant wachsenden studiVZ hingegen stehen die Studenten Ehssan Dariani (VWL, 25 Jahre), Dennis Bemmann (Informatik, 27 Jahre) und - später hinzugekommen - Michael Brehm (BWL, 26 Jahre). Seit dem Launch der Seite im November 2005 gruschelt sich das Projekt von Höhepunkt zu Höhepunkt - mit nun bereits über 600.000 Mitgliedern ist dort angeblich beinahe jeder vierte deutschsprachige Student vertreten. Unterstützt wird das Berliner Startup übrigens von Oliver Samwer, der vielen noch durch seine Unternehmensgründung Jamba! in zwiespältiger Erinnerung geblieben sein dürfte.

Während Unister wegen mangelnder Kommunikationskompetenz nicht ganz zu Unrecht eine Weile durch’s virtuelle Dorf getrieben wurde, genießt das Studiverzeichnis einen relativ guten Ruf, ungeachtet vieler Plagiatsvorwürfe: Facebook war offenbar nicht nur Vorbild, sondern das Original der - von manchen als zu billig erachteten - Kopie. Auch die Online-Enzyklopädie “Wikipedia” thematisiert diesen Eindruck:

Wer vergleicht, der zweifelt nicht. Das Plagiat ist, selbst mit viel Wohlwollen, ein dreistes. Michael Bumann zeigt so in seinem Beitrag die schnelle Metamorphose des studiVZ zum Facebook mittels weniger Zeilen Javascript auf und spekuliert nicht ganz ohne Grund, dass das auf den deutschen Seiten eingebundene “myfb.css” seinen Ursprung in “myFaceBook” findet. Das Basic Thinking Weblog erspäht folgerichtig Klonschafe auf der Flur des “Web 2.0” und fragt sich, warum es nicht gelingt, “originär eigenständige Anwendungen hier bei uns herauszubringen”.

studiVZ funktioniert, macht Spass und ächzt doch manches Mal unter der Last seines schnellen Aufstiegs. Ein allzu offensichtliches Übernehmen von Idee und Design jedoch hinterläßt einen schalen Beigeschmack - hier wird keine eigene Vision verwirklicht, sondern auf dem Trittbrett mitgefahren. Das Basic Thinking Blog meint:

Unister, neben studiVZ einer der (weniger) großen Namen im studentischen Sozialnetzwerken, stupst Andreas Dittes etwas vehementer als gewohnt in die Seite. Dieser hatte den Betreiber des Portals auf eine - laut eigener Aussage zufällig gefundene - Sicherheitslücke aufmerksam gemacht, die es ihm ermöglichte, etwa 34.000 Datensätze samt E-Mail-Adressen, Fotos und Namen der zugehörigen Personen zu sichern. Verbunden mit dem kostenfreien Auditing war die Ankündigung, wenige Tage später im eigenen Blog über den Fall berichten zu wollen, “damit man sich bemühen würde, die Lücke schnell zu schließen” - eine in mit IT-Security befassten Kreisen nicht unübliche Vorgehensweise, die ein sofortiges Handeln der Betroffenen sicherstellen und das klassische “unter den Teppich kehren” verhindern soll.

Neben dem durch diese Entdeckung veranlaßten Schließen der erheblichen Sicherheitslücken im System von Unister bestand die erste Reaktion der Seitenbetreiber offenbar in der Androhung erheblicher rechtlicher Konsequenzen, sollte Dittes den Fall einer größeren Öffentlichkeit publik machen.

Augenscheinlich also schon wieder ein klassisches Eigentor von Leuten, die es eigentlich besser hätten wissen müssen. Ein einfaches “Dankeschön, wir sind dran!”, vielleicht sogar verbunden mit einem kleinen Dankeschön (es ist die Geste, die zählt), und Unister wäre es gelungen, aus einer ursprünglich negativen Sache positives Kapital zu schlagen. So aber reiht sich die gezeigte Reaktion in die lange Liste derer ein, die das Medium, in dem sie agieren, kaum verstanden zu haben scheinen, denn Vertrauen oder Sympathien gewinnt man so nicht. Das zeigen schon erste Reaktionen. Weitere sind dem verlinkten Artikel in Dittsches Dittes Blog zu enthehmen.

Update 20061004:

Unister hat eine Gegendarstellung veröffentlicht. Das entsprechende PDF enthält ein “Vollzitat” der E-Mail, die Dittes wegen genannter Sicherheitslücke an Unister geschickt hatte, mithin also eine ungefragte Veröffentlichung privater E-Mail-Korrespondenz. Den Inhalt des mit Dittes geführten Telefonats gibt Unister wenig überraschend etwas anders wieder: Herrn Dittes wäre “ausdrücklich für dessen Hinweis auf die Manipulationsmöglichkeit” gedankt worden, Drohungen hätte es keine gegeben, lediglich den Hinweis auf Einleitung rechtlicher Schritte bei Veröffentlichung der kopierten Nutzerdaten. Desweiteren wurde Herr Dittes im Telefonat über weitere “rechtswidrige Handlungen” aufgeklärt, die Unister bisher nicht beanstandet hat, aber wohl beanstanden könnte.

Zweierlei Eindrücke beschleichen den geneigten Rezipienten: Weder Andreas Dittes noch Unister scheinen im Besitz ausreichend ausgebildeter Kommunikationskompetenz zu sein. Während die Wortwahl von Herrn Dittes in dessen ungefragt veröffentlichten E-Mails für sich spricht, verleiht sich Unister mit eben diesen Veröffentlichungen und den sich anschließenden Vermutungen, die ohne allzuviel Böswilligkeit auch als Unterstellungen interpretiert werden können, einen reichlich unprofessionellen Eindruck. Auch hier sprechen Wortwahl und Formulierungen Bände, wiegen jedoch im Falle einer Unternehmensstellungsnahme schwerer als in den - noch schmeichelhaft ausgedrückt - wenig überlegt wirkenden Äußerungen eines jungen Studenten.

Dittes muss sich nun fragen lassen, ob eine solch aggressive Instrumentalisierung der “Blogosphäre” letzlich nicht eher einen Schuß nach hinten darstellt. Unister hingegen bräuchte dringend einen kompetenten Mitarbeiter in Sachen Öffentlichkeitsarbeit und etwas mehr Hintergrundwissen im Umgang mit dem Netz der Netze und seinen Bürgerinnen und Bürgern. Die Wahrheit liegt offenbar, wie so oft, irgendwo in der Mitte.

Andreas Dittes nimmt in seinem oben verlinkten Blogpost Stellung zu der Reaktion von Unister.