Hilmis Holistisches Hirnholzgeraspel

Das StudiVZ ist laut Aussage der Betreiber eine der am stärksten wachsenden “Online-Communities” in Europa.
Vor kurzem hat man dort die Eine-Million-Benutzer-Grenze geknackt.
Hauptverantwortlich für diesen Erfolg ist sicherlich die Zielgruppe: der durchschnittliche Student gilt eher nicht als konservativ bei der Aufnahme von und Teilnahme an neuen Strömungen.
Leider hat er aber auch mit vielen anderen Menschen gemeinsam, dass er sich mit dem Thema Datenschutz in der Regel erst dann beschäftigt, wenn ihm durch Mißbrauch seiner Daten Schaden entstanden ist.
Im Folgenden möchte ich so knapp wie möglich und so ausführlich wie nötig die Gründe nennen, warum ein Account im StudiVZ, vorsichtig ausgedrückt, nicht unbedingt eine gute Idee ist.

Ein kleiner Exkurs vorab: die folgenden Drei hier sind meines Erachtens keine stichhaltigen bzw. überzeugenden Gründe gegen das StudiVZ, sie dienten jedoch in den letzten Wochen der Blogosphäre einigen Bloggern zur Diskreditierung des StudiVZ, daher nenne ich sie hier der Vollständigkeit halber.

Die privaten Fehlleistungen eines der Gründer ([1], [2], [3]) haben sachlich nichts mit dem StudiVZ zu tun.

Das Sponsoring durch die Jamba-Brüder ist trotz ihres Rufes erstmal kein Grund von der illegalen Nutzung der Daten auszugehen.

Die Existenz von “Stalker-Gruppen” ist zwar bedauerlich, aber solcher Mißbrauch ist ein grundsätzliches gesellschaftliches Problem. Der Umgang des StudiVZ mit solchen Problemen soll momentan mit Hilfe der User verbessert werden.

Die eklatanten Sicherheitslücken ([1], [2]), die unter Anderem dazu führten, dass selbst als privat markierte Bilder auch für Außenstehende zugänglich waren, sind schon eher ein Grund.
Sie wurden zum Anlass genommen das StudiVZ für 7 Tage vom Netz zu nehmen und 256 Euro Preisgeld für jede gefundene Schwachstelle auszuloben.
Es gibt jedoch bereits neue Berichte darüber, dass die Lücken zumindest teilweise weiterhin bestehen ([1], [2]).
Besonders vertrauenserweckend sind die Äusserungen des Datenschutzbeauftragen des StudiVZ in Sachen Sicherheit daher nicht.

Dennoch ist der meines Erachtens einzige wirklich triftige Grund, sich nicht beim VZ anzumelden bzw. einen bestehenden Account zu löschen, die Tatsache, dass die im StudiVZ veröffentlichten (ja, sie sind quasi öffentlich) Daten für bestimmte Personen und Firmen sehr wertvoll sein können.
Das Problem ist nämlich, dass die Daten zwar einzeln nicht viel wert sein mögen, in der Kombination, wie sie im StudiVZ von Jedermann abgerufen werden können, aber erheblich an Wert gewinnen:

[A] Scoring durch Personalabteilungen
Es ist wohl im Mittelstand üblich, Bewerber auf eine Stelle “überprüfen” zu lassen, und da bedient man sich auch gerne der neuen Medien. Es kann durchaus von Nachteil sein, wenn bei einer solchen Überprüfung kompromittierende Partybilder, kontroverse Diskussionen in möglicherweise auch noch “politisch unkorrekten” Gruppen und vermeintlich harmlose Kommentare (”Hey, da haben wir uns am Dienstag aber wieder mal den Kopf abgeschraubt, was? Meiner brummt jetzt noch.”) zur Beurteilung des Bewerbers herangezogen werden.
Allerdings teile ich DonAlphonsos schwarzmalerisch getrübten Tunnelblick in dieser Hinsicht nicht - der Personalchef könnte auf diesem Weg auch auf positive Eigenschaften des Bewerbers stossen, die aus der schriftlichen Bewerbung nicht hervorgehen: Soziales Engagement, Durchsetzungsvermögen, Sozialkompetenz, Fachwissen.
Desweiteren halte ich es nicht für ausgeschlossen, dass ein Personalchef sich noch an das eigene Studium erinnert, sowie sich der Bedeutung von Lebensabschnitten bewusst ist.

[B] Datenklau durch Phishing
Dazu zitiere ich einen Kommentar zum bei [A] verlinkten Artikel:

Kommentar von Ralf, 4.12.2006, 23:10
Ein Beispiel möglichen Datenmißbrauchs, das ich letztens gelesen habe, möchte ich hier etwas abgeändert noch anführen. Und zwar werden die wenigsten von uns hier auf konventionelle Phishing-Attacken hereinfallen, doch wie sieht es aus, wenn mithilfe von StudiVZ eine Mail generiert wird mit dem Namen eines Freundes als Absender(idealerweise einer, der häufig Einträge auf die Pinnwand hinterlassen hat, alles eine Sache der Programmierfertigkeiten), in der von wahnsinnig günstigen Konzertkarten erzählt wird und der entsprechende Link gleich mitgeschickt wird. Dort bräuchte man dann nur noch die automatisch eingeleitete Installationsroutine bestätigen und mit etwas Glück würde man noch an eine der letzten günstigen Karten gelangen. Damit ist auch schon eine von zahllosen Programmen zum ausspionieren von Passwörtern auf dem heimischen Rechner installiert, und spätestens nach der nächsten Online-Überweisung ist das eigene Passwort Gemeingut:
Hier

Die möglichen Angriffsszenarien sind schier endlos, der Kreativität sind keine Grenzen gesetzt, vor allem nicht durch StudiVZ.

Das ist definitiv das Killerargument, denn gegen solche Aktionen kann auch das Spicken des StudiVZ mit reichlich Captchas nicht wirklich helfen. Zum Einen lassen sich einige Captchas mittlerweile auch von Maschinen lösen, zum Anderen kann die Qualität der erreichbaren Daten je nach Wertschöpfungspotential den Aufwand für eine (teil-)manuelle Sammlung rechtfertigen.

All diese Überlegungen haben mich dazu veranlasst, meinen Account zu löschen, und jedem meiner im StudiVZ angemeldeten Freunde und Bekannten ebendies zu empfehlen.

Danke, Ringo, für die Diskussion zu diesem Thema - ihr Ergebnis hat mit zu diesem Artikel geführt.