StudiVZ nach Attacken und Umbau wieder online

Nach fünf Tagen Auszeit ist das Studentenportal StudiVZ am Dienstagabend wieder online gegangen. Die Pause war bei der Social-Networking-Site nötig geworden, nachdem in den vergangenen Wochen immer neue Sicherheitslücken bekannt geworden waren.

In einem Blogbeitrag erklärt der StudiVZ-Datenschutzbeauftragte Manfred Friedrich die Umbauarbeiten nur kurz: "Wir haben auch viel Zeit darauf verwendet, Möglichkeiten zu bekämpfen, mit denen die Nutzer und Nutzerinnen von StudiVZ auf bösartige Links gelockt werden können." Am Donnerstag hatte sich ein XSS-Wurm über das interne Nachrichtensystem des Studentenportals verbreitet. Nach Unternehmensangaben wurden dabei 500 Mails mit manipulierten Links verschickt, bevor die Plattform geschlossen wurde.

StudiVZ ist derzeit Deutschlands größtes Studentenportal und konnte nach eigenen Angaben in nur einem Jahr eine Million Mitglieder gewinnen, davon sollen 80 Prozent mindestens einmal pro Woche ihren Account nutzen. Der aufgestaute Mitteilungsdrang der StudiVZ-Kunden entlud sich unter anderem im Unternehmensweblog, wo während der Zwangspause über 5000 Kommentare hinterlassen wurden.

Welche Lücken im Einzelnen geschlossen wurden, teilt das Unternehmen bisher nicht mit. StudiVZ hatte am Wochenende eine Testplattform ohne echte Daten online gestellt, auf der Interessierte nach Fehlern suchen können. Die Firma will jede gemeldete XSS-Lücke mit 256 Euro belohnen.

Die Umbauarbeiten auf der Plattform sind allerdings noch nicht beendet. So kündigt Friedrich an, dass das System der ID-Nummern auf der Plattform überarbeitet werden soll. Bisher sind beispielsweise alle Bilder der Plattform per URL abrufbar, private Fotos werden nur durch eine kryptische URL geschützt. Ist die URL einmal bekannt, können die Bilder problemlos von jedem abgerufen werden. Vor zwei Wochen hatte Friedrich das System noch mit PIN und TAN beim Onlinebanking verglichen. Danach hatten Blogger jedoch den Algorithmus zur Erstellung der Profil-IDs publiziert und damit ernsthafte Zweifel an der Sicherheit des Systems ausgelöst.

Auch Vorwürfen wegen sexistischen Auswüchsen auf der Plattform will das Unternehmen begegnen. So hatte das Unternehmen in der vergangenen Woche einen Dialog mit den Nutzern über einen Verhaltenskodex begonnen. Die viel kritisierte Gruppe mit dem Namen *****, die eine Art wilder Miss-Wahl veranstaltete, wurde während der Wartungspause offenbar gelöscht.

Ob das Berliner Startup mit diesen Maßnahmen das Ruder herumreißen und das Vertrauen der Nutzer zurückgewinnen kann, bleibt abzuwarten. Die Studentenvertretungen der Humboldt Universität und der Freien Universität Berlin hatten öffentlich vor dem Portal gewarnt und zum Boykott aufgerufen. Doch die Skepsis scheint nicht bei allen Studentenvertreten zu bestehen. So berichtet die taz heute von einer geplanten Zusammenarbeit des Dachverband der Studierendenschaften fzs mit der kommerziellen Studentenbörse. Bisher ist das Portal noch anzeigenfrei, in Zukunft soll StudiVZ aber wie das Vorbild Facebook durch Werbung Gewinne machen. (Torsten Kleinz) / (Torsten Kleinz) / (jk/c't)