Facebooks Datenhunger, gefälschte Absagen auf Bewerbungen und Adobes 0-Day-Schwachstelle sind das Thema dieses Standpunkt Sicherheit.

"Meins, meins, alles meins!"

"Alle Daten unserer Benutzer gehören uns!" - diese Fehleinschätzung scheint ein Lieblingsfehler der Betreiber von Web-Angeboten zu sein. Dazu zuerst ein Zitat aus dem Standpunkt Sicherheit vom 8. September 2008:

"Alle ihre hiermit erstellten Daten gehören uns", der Meinung war Adobe Ende März, als bei der Veröffentlichung von Photoshop Express ziemlich "einnehmende" Nutzungsbedingungen verwendet wurden. Es dauerte nicht lange, und Adobe musste zurückrudern: War ja alles gar nicht so gemeint. [...] Nun, wer die Geschichte verpennt, muss sie eben wiederholen - und genau das hat Google mit den Nutzungsbedingungen von Chrome gemacht. Inzwischen rudert auch Google zurück: Das "Alle erstellten Daten gehören uns" wurde aus den Nutzungsbedingungen von Chrome gestrichen, das gilt nur für einige andere Google-Dienste (schlimm genug, oder?).

Jedes Mal, wenn irgend jemand denkt, die Nutzungsbedingungen würde ja sowieso niemand lesen und man könne darin ruhig mal die Hand aufhalten, gibt es meist früher als später ein großes Geschrei, und das zu Recht. Und was macht Facebook? Genau den gleichen Fehler? Man hat das alles nicht so gemeint, wie man es geschrieben hat? Möglich, ein alter Grundsatz lautet ja ungefähr "Erkläre nichts mit Böswilligkeit, wenn Dämlichkeit ausreicht".

Was gibts zu holen?

Aber betrachten wir das doch mal ganz böswillig: Was hat ein Web-2.0-Unternehmen denn zu bieten, ganz allgemein, ohne irgend eines im Blick zu haben? Eine Dienstleistung, die von mehr oder weniger vielen Benutzern genutzt wird. Die dabei angefallenen Daten. Die Software, mit der das ganze abgewickelt wird. Und die Hardware, auf der diese Software läuft. Das wars, mehr gibt es nicht. Was davon hat denn einen Wert? Wir haben eine ausgemachte Wirtschaftskrise, wer da von Banken oder allgemein "Kapitalgebern" Geld sehen möchte, muss schon etwas vorweisen können, was dieses Geld wert wäre. Die Hardware? Hey, das sind Computer, die sind 5 Minuten nach dem Kauf schon nur noch die Hälfte wert. OK, das ist etwas überspitzt, aber im Prinzip richtig: Mit der vorhandenen Hardware ist kein Staat zu machen, dafür bekommt man kein Geld. Die Software? Kann man die verwerten? Eher nicht, also: Ebenfalls mehr oder weniger wertlos. Die Benutzer? Sind im Zweifelsfall schneller weg, als der Investor "Hallo, bitte bleibt doch, ich bin ein ganz lieber!" sagen kann. Bleiben nur noch die angefallenen Daten: Bilder, Artikel, Diskussionen, ..., dazu die sich ergebenden sozialen Verknüpfungen. Damit lässt sich vielleicht was anfangen. Bilder kann man vielleicht verkaufen, aus den Artikeln und Diskussionen zahlungspflichtige Inhalte machen, für die sozialen Verknüpfungen interessiert sich sicher die Werbebranche. Die Daten lassen sich also verwerten. Dafür braucht man aber entsprechende Rechte. Und genau die versuchen die Anbieter, sich immer mal wieder zu beschaffen. Ein Schelm, der Böses dabei denkt?

Also: Das einzige Wertvolle, das Web-2.0-Unternehmen zu bieten haben, sind ihre Daten. Die können sie aber nur mit der Zustimmung ihrer Benutzer gewinnbringend verwerten. Daher wird es immer wieder Versuche geben, diese Zustimmung möglichst umfassend zu bekommen. Das muss nicht einmal "böse" gemeint sein.

Zwei Seiten, eine Medaille

Bei den veröffentlichten Daten bzw. deren Verwendung kann man zwei Fälle unterscheiden: Zum einen sind da die Daten, die man nicht mehr veröffentlicht sehen möchte. Wenn das Bild einer durchzechten Nacht, das man nach dem Ausscheiden aus der Web-2.0-Säufercommunity für gelöscht gehalten hat, irgendwann auf einer Titelseite auftaucht und der Karriere ein Bein stellt, kann man jeden verklagen, dessen man habhaft wird. Dumm nur, dass das Bild dadurch nicht verschwindet. Vor allem: Das Bild kann aus dem Archiv der Web-2.0-Säufercommunity stammen (die inzwischen vielleicht zig mal den Besitzer gewechselt hat), aus einem Internetarchiv, aus einer privaten Sammlung, ... wer weiß schon, wo überall Kopien davon rumfliegen? Und vor allem: Wo das eine herkommt, könnten noch mehr sein... Da hilft nur eins: Von Anfang an aufpassen, was man veröffentlicht.

Zum anderen sind da die Daten, mit denen andere Leute ohne eigene Zustimmung (und evtl. Beteiligung) Geld verdienen. Über die rechtlichem Voraussetzungen für die Verwendung des "User Generated Contents" gibt es einen interessanten Artikel von Dr. Carsten Ulbricht in dessen Blog. Die finanzielle Verwertung der gespeicherten Daten hat man mit der Nutzung des entsprechenden Angebots ja wohl in Kauf genommen und meist auch durch Akzeptieren der Nutzungsbedingungen explizit genehmigt. Nur, weil man für ein Angebot nichts bezahlen muss, bedeutet das noch lange nicht, das es auch kostenlos ist. Um so ärgerlicher sind dann natürlich so nette "Wir wollen ab sofort alles"-Aktionen wie aktuell von Facebook, aber rechnen muss man damit immer.

Ich habe das schon oft hier im Standpunkt Sicherheit geschrieben: Wer Daten im Web 2.0 veröffentlicht, gibt sie damit aus der Hand. Evtl. vorhandene Nutzungsbedingungen kann man in dem Zusammenhang getrost ignorieren, die ändern sich im Zweifelsfall sowieso schneller zu den eigenen Ungunsten, als man gucken kann. Das muss man berücksichtigen - Fertig.

Noch kurz zwei Kommentare zu anderen aktuellen Meldungen:

Trend Micro warnt vor gefälschten Absagen auf Bewerbungen, über die Schadsoftware eingeschleust werden soll. Wer öffnet Absagen auf Bewerbungen, die er gar nicht gemacht hat? So verzweifelt kann man doch gar nicht sein. Wären angebliche Stellenangebote denn nicht ein viel besseres Lockmittel?

Und am Freitag wurde eine 0-Day-Schwachstelle in Adobes Acrobat und Reader bekannt, die Adobe am 11. März in Version 9 beheben will, kurz darauf auch in Version 8 und später auch in Version 7. In der Zwischenzeit ist Adobe mit verschiedenen Antivirus-Herstellern in Kontakt, um die Sicherheit ihrer Kunden sicher zu stellen. Bekommt man dann zu jedem Adobe-Produkt einen kostenlosen Virenscanner nachgeliefert, oder wie soll ich mir das vorstellen?

Die Antivirus-Hersteller können ja wohl nur ihre eigenen Kunden schützen, oder? Gut möglich, das sich beide Kundengruppen teilweise überdecken, aber anzunehmen, jeder Adobe-Kunde hätte auch ein Antivirus-Produkt, und dann noch eines der Hersteller, mit denen Adobe in Kontakt ist, halte ich doch für etwas gewagt.

Carsten Eilers