Ich mag Unister
Mirrorpost für diesen Artikel: http://dittes.biz/business-blog-archiv/2006/09/ich-mag-unister-2/
—
Update2: Einigung zwischen Unister und Andreas Dittes
Update1: Ich bin raus!
—
Es gibt eine Gegendarstellung: hier (PDF)
Meine kurze Antwort dazu:
Schön, dass sich Unister zu Wort meldet. Leider habe ich selbst noch keine E-Mail darüber von Unitser erhalten.
Sicherheitslücke: hier wird nur kurz erwähnt, dass sie bestanden hat und geschlossen wurde.
Die abgedruckte E-Mail ist nur eine zusätzliche, da ich vermutet hatte, dass die erste E-Mail im System von Unister nicht durchkam. Dass man einige Stellen hervorhebt, ist aus Sicht Unisters nachvollziehbar.
Die Sorge um die Veröffentlichung der Userdaten kam im Telefonat nicht wirklich heraus, denn in den E-Mails und auch während des Telefonat hatte ich ausdrücklich erklärt, dass dies nur zur Dokumentation der Sicherheitslücke dient (ansonsten könnte ich ja auch nur vermuten, dass es eine Lücke gibt) und die Daten vertraulich behandelt werden. “Ausdrücklich” bedankt hat man sich auch nicht, es wurde lediglich erwähnt, dass man über solche Infos generell dankbar sei. Wäre diese Dankbarkeit während des Telefonats so rüber gekommen, dann hätte sich auch kein Sinn für mich ergeben, darüber zu bloggen oder die E-Mails an Unister zu verfassen.
Die “Flut von Klagen”: Auf den Hinweis am Telefon, es könnte sich um Urheberrechtsverletzungen handeln, habe ich die Bilder natürlich entfernt. Allerdings sind verschiedene Rechtsvertreter der Ansicht, dass in dem betreffenden Kontent von einer werbenden Wirkung ausgegangen werden kann.
Dass die Werbemail von Unister bei mir als “Spam” markiert wurde, hat mich dazu verführt, einen ironischen Artikel darüber zu verfassen. Konkrete Rechtsverletzungen dürfte es nicht geben.
Dass ich am fogenden Abend eine E-Mail an herr Wagner und keine Blogbeitrag geschrieben habe, zeugt, wie Unister selbst auch shcon festgestellt hat, davon, dass ich nicht auf einen (Rechts)streit aus bin.
Meine Frage ist nur, warum Unister sich nicht direkt nach der E-Mail an mich gewendet hat. Selbst jetzt geht man nicht auf mich zu. In meinen Augen ist das eine eher schwache Leistung.
Hätte sich Unister shcon im Vorfeld bei mir gemeldet, hätte man die ganze Geschichte wohl auch anderst lösen können.
Ich betone hier nochmals, dass die DDoS Angriffe lediglich erwähnt wurden, weil der Blog dadurch sehr verlangsamt wird. Die Rechtsgeschichte, die mein Provider daraus ableitet, ist Standart, da sowas ja einen Schaden beim Provider entstehen läßt.
Dies ist somit in keinster Weise als Unterstellung gegenüber Unister zu sehen. (Daher auch fett hervorgehoben)
Eine Veröffentlichung der Ergebnisse wird es warscheinlich nicht geben, da es sich nach erster Einschätzung um Botnetze handelt, bei der eine Nachverfolgung äußerst schwierig ist.
Meine weitere E-Mail und der Versuch übre OpenBC Kontakt aufzunehmen, schlugen leider auch fehl. Da sich Unister in der Gegendarstellung so kommunikativ zeigt, frage ich mich, woran das liegen mag.
Es ist korrekt, dass ich von StudiVZ ein Angebot für ein Praktikum erhalten habe, dies ist allerdings schon lange her und wurde von mir auch umgehend abgelehnt, da ich keine Zeit neben dem Studium habe. Wie schon beschrieben, habe ich Kontakt zu den Geschäftsführern fast aller deutscher social networks für Studenten und deren Mitarbeitern. Kooperationen und ähnliches wurden mir von vielen Seiten angeboten, habe ich aber bisher immer abgelehnt. Frau Kessler von Unister hatte ich allerdings ein Angebot für eine Zusammenarbeit gemacht, welches ignoriert wurde.
Das einzigste Interesse, das ich an der ganzen Sache habe, ist, dass ich mir als Blogger und Mensch nicht mein freies Wort, meine freie Meinung verbieten lassen möchte. Da Unister auf die teilweise auch aufgeführten Kontaktversuche nicht eingegangen ist, blieb mir nur mein Blog als Kommunikationsweg. Dass es so eine große Welle gegeben hat, war allerdings auch für mich überraschend.
Hätte ich lediglich Wirbel machen wollen, so wäre ein Gang zu Heise oder ähnlichem sicher das Mittel der Wahl gewesen.
Abschließend möchte ich anmerken, dass ich über die mittlerweile sehr offene Kommunikationspolitik Unisters erfreut bin. Dass man sich allerdings nicht traut, mit mir direkt in Kontakt zu treten, schränkt das ganze leider etwas ein.
Ich hoffe auch weiterhin, dass Unister und ich zu einer für beide Seiten akzeptablen Lösung kommen, da ich wie schon erwähnt nicht an irgendwelchen PR-Spielereien, Rechtsschlachten oder sonstigem interessiert bin.
Vielleicht entschliesst man sich ja doch noch, mich per E-Mail zu kontaktieren, amn weiß ja nie… 
—
Ich mag Unister, denn diese Firma ist wirklich offen für alles. Selbst Umgangsformen, die man normalerweise nur auf der Kinoleinwand sieht oder in guten Krimis liest, sind da möglich.
Wieso ich das vermute?
Nunja, nachdem ich hier, hier und hier schon über die Firma geschrieben hatte, habe ich mich noch eingehender mit den Social Networks für Studenten in Deutschland beschäftigt. Durch Zufall bin ich auf eine Sicherheitslücke aufmerksam geworden, mit der man an ca. 34 000 Userdaten kommen konnte. Darunter E-Mailadresse, Bild und Name.
Daraufhin habe ich eine Kopie der Datensätze erstellt und Unister eine E-Mail geschrieben, in der ich die Sicherheitslücke erklärt habe, wie ich darauf aufmerksam geworden bin und wie man sie beheben könnte. Ich habe auch erwähnt, dass ich 2 Tage später darüber bloggen würde, damit man sich bemühen würde, die Lücke schnell zu schließen. Meine Kontaktdaten habe ich ebenfalls hinterlassen, dass man sich melden könnte, wenn es Probleme gäbe.
Probleme gab es am nächsten Tag dann auch, denn der Geschäftsführer von Unister, Thomas Wagner, hat mich angerufen und mich in einem alles andere als freundlichen Ton darauf aufmerksam gemacht, dass ich mich mehrfach strafbar gemacht hätte und man mich mit Klagen überschütten würde, sobald ich einen Beitrag über die Sicherheitslücke oder in irgendeiner Form negativ über Unister berichten würde. (Die Sicherheitslücke wurde übrigens noch während des Anrufs geschlossen)
Dabei meinte Herr Wagner in den eingangs genannten Beiträgen einige schwere Rechtsverletzungen erkannt zu haben. Man würde aber alle meiner 800+ Beiträge prüfen lassen, um auch dort Rechtsverletzungen aufgreifen zu können. Als Student kann ich mich ja eh nicht wehren, wenn eine Flut von Klagen mir die Augen öffnet.
Man gehe daher davon aus, dass man weder bei mir im Blog noch sonstwo im Web auf einen Beitrag zu der Sicherheitslücke von Unister stoßen wird. Ich könne mir ja überlegen, ob ich mich als kleiner Student auf eine Rechtsstreit einlassen wolle, bei dem ich eh keine Chance habe.
Das alles war am 18. September. Warum ich erst jetzt schreibe?
Nun, zum einen ist es mir wirklich nicht daran, ein paar Klagen zu provozieren; zum anderen war ich wirklich eingeschüchtert. Aber es kann ja nicht sein, dass man als Firma so alle Probleme aus der Welt zu schaffen versucht. Immerhin hatte Unister Tage zuvor eine Presseerklärung herausgegeben, in der man hervorhob, wie wichtig einem Datensicherheit sei. Da würde es gelinde gesagt blöd aussehen, wenn man nun seinen Usern eingestehen müsste, dass die Daten doch nicht ganz so sicher waren, wie man es gerne hätte.
Da ich mir nicht sicher war, ob meine Beiträge über Unister “sauber” waren, habe ich Udo Vetter vom Lawblog gebeten, die Artikel zu überfliegen. Hier ein Auszug aus seiner Antwort:
[…] Beim Überfliegen der Artikel konnte ich viele Tatsachenbehauptungen erkennen. Wenn die stimmen - ok. Ansonsten Meinung, die ist zulässig. Schmähkritik, die verboten wäre, habe ich nicht gefunden.
Über das Sicherheitsloch haben Sie noch nichts geschrieben, richtig? Selbst das wäre aber zulässig, wenn die dortigen Behauptungen belegbar sind. […]
Auch ein anderer Anwalt konnte mir dies so bestätigen.
Dass mir Unister nicht wirklich positiv aufgefallen ist, zeigt auch eine Sache, die schon einige Wochen zurückliegt, die ich damals aber nicht posten wollte, weil ich es für unnötig hielt. Da mir nun aber gedroht wurde, habe ich auch einen kleinen Post darüber verfasst, welche Werbemethoden bei mir nicht gut ankommen. Auch einen Beitrag über Unisters Aussagen zur Datensicherheit habe ich verfasst. Er wäre die Grundlage für den Post über die Sicherheitslücke gewesen.
Ganz interessant ist auch, dass ich seit dem Tag nach dem Anruf von Unister mit DDos-Attacken auf meine Domain belästigt werde. Die Angriffe kommen von Botnetzen. Eine Nachverfolgung ist schwierig, da es sich um Rechner im Ausland handelt; aber Rechtswege werden von Seiten meines Providers eingeleitet, sollten die Angriffe nicht umgehend aufhören.
Eine Verbindung zwischen Unister und den Angriffen gibt es nicht.
Ich gehe hier auch nur darauf ein, weil die Performance des Servers dadurch gestört wird und es zu langen Ladezeiten kommen kann. Hier gibts einen kleinen Bericht über die Angriffe.
Wie ihr helfen könnt?
Hinterlasst einen Kommentar. Schreibt aber bitte nichts böses über Unister.
Oder verlinkt diesen Beitrag am besten auf eurem Blog oder eurer Webseite.
Bitte verlinkt auch den Mirrorpost, da der Server im Moment wieder mit den DDoS-Attacken zu kämpfen hat:
Mirrorpost: http://dittes.biz/business-blog-archiv/2006/09/ich-mag-unister-2/
Trackback-Adresse: http://dittes.info/blog/2006/09/30/ich-mag-unister/trackback/
Vielen Dank an alle, die mich unterstützen!
Nachtrag:
Im Falle eines Rechtsstreits hat sich ein Sponsor gefunden, der für die Anwaltskosten aufkommen würde. 
Absolut krasse Geschichte! Hab leider keinen Blog, aber ich werds weitersagen!
Viel Glück!