Andreas Dittes

Kaum gebloggt, schon merke ich, dass ich eine Pressemitteilung im Postfach habe:

Nutzer erhalten neue Passwörter. Unternehmen stellt Strafanzeige.

Berlin, 27.02.2006. Wie die Berliner Studierendenplattform studiVZ heute mitteilte, hat eine bislang unbekannte Person während des heutigen Tages Mailadressen, Zugangsdaten und Freundschaftsverbindungen illegal aus der studiVZ-Datenbank auslesen können. Wie viele Profile davon betroffen sind ist zum jetzigen Zeitpunkt noch offen. schülerVZ und die internationalen Seiten des studiVZ sind nicht betroffen. Die Passwörter in der studiVZ-Datenbank sind verschlüsselt. Um die Nutzer zu schützen, hat das Unternehmen alle Passwörter zurückgesetzt. „Wir gehen nach jetzigem Wissensstand davon aus, dass es dem Angreifer in der kurzen Zeit noch nicht gelungen ist, mit den ausgelesenen Passwörtern Schaden zu verursachen.

Der Programmfehler ist wohl behoben worden und Schritte gegen den Angreifer eingeleitet. Auch werden die Nutzer um Nachsicht gebeten:

„Wir sehen uns gegenüber unseren Nutzern in der Verantwortung und entschuldigen uns deshalb. Der Angriff ist gerade deshalb für uns bitter, weil wir in den letzten Monaten viele Anstrengungen unternommen haben, um den missbräuchlichen Zugriff auf die Daten unserer Nutzerinnen und Nutzer zu erschweren. Wir arbeiten daran kontinuierlich weiter und nehmen den Vorfall zum Anlass, unsere Anstrengungen weiter zu verstärken. studiVZ wird weiter aktiv dafür Sorge tragen, einen kommunikativen und sicheren Service zu bieten“, erklärte Dariani.

Ich finde es in dieser Situation gut, dass man einen Schritt wie das komplette Umstellen aller Userpasswörter umgehend einleitet und mit der Presemitteilung reinen Wein einschenkt. Sicherheitslücken gibt es sicher in fast allen Anwendungen, allerdings wiegen diese bei so großen Portalen wie dem StudiVZ sehr schwer.
Daher muss man um so mehr Aufwand treiben, diese Mängel gleich zu beseitigen. In diesem Sinne war das wohl wieder eine Erinnerung an das StudiVZ.