netzpolitik.org

Heise Online berichtet vorab über einen Artikel im am Montag erscheinenden Spiegel, der die Ereignisse um die “Datenklau-Affäre” bei SchülerVZ und den tragischen Selbstmord von Matthias L. in einem etwas anderen Licht erscheinen lassen:

• - Matthias L. und VZnet hätten mehrere Tage über die Rückgabe der Daten verhandelt
• - Via Chat sei seitens VZnet mehrfach Geld geboten worden
• - Matthias L. habe ursprünglich keine kommerziellen Interessen verfolgt
• - VZnet habe Matthias L. das Taxi von Erlangen nach Berlin bezahlt
• - Matthias L. habe laut Akten unter einer “kombinierten Persönlichkeitsstörung” gelitten, was seine Unterbringung in einer Einzelzelle in Frage stellt

Klingt sensationell, oder? Muss es ja auch, ist ja eine Spiegel-Story. So funktioniert Magazinjournalismus nunmal. Tatsächlich sind aber nur wenige Aspekte wirklich neu.

Dass Matthias L. im Vorfeld bereits über die – nach der Veröffentlichung in einem Webforum de facto nicht mehr mögliche – “Rückgabe” der Daten verhandelt hatte, ergibt sich bereits aus dem auch hier bei Netzpolitik dokumentierten zeitlichen Ablauf. Auszüge aus den bei Heise Online/im Spiegel erwähnten Chatprotokollen wurden ebenfalls hier in den Kommentaren veröffentlicht (Siehe auch [1] und [2]).

Durchaus plausibel scheint mir auch, dass Matthias L. im Laufe der Gespräche seitens VZnet eine Honorierung im Fall einer kooperativen Zusammenarbeit in Aussicht gestellt wurde. VZnet hat grundsätzlich ein ebenso valides, wie eben auch kommerzielles Interesse, bekannte Sicherheitslücken zu schließen und die Daten seiner Nutzer zu schützen (ganz unabhängig davon, dass das in der Vergangenheit mitunter nur so mittelgut geklappt hat). Auch die Übernahme der Taxikosten von 530 Euro dürften in diesem Zusammenhang sinnvoll investiert sein.

Bleibt die Frage nach der unterstellten Erpressung. Oder besser, ob man im strafrechtlichen Sinne überhaupt von einer Erpressung reden kann. Nach eigenen Angaben sei Matthias L. laut Spiegel nämlich von VZnet-Mitarbeitern gefragt worden, ob “es ihm um Geld oder Ruhm gehe”:

Der Erlanger erklärte in seiner Vernehmung, die VZ-Leute hätten ihn gefragt, ob es ihm um Geld oder Ruhm gehe. Er habe spontan die Summe 80.000 Euro genannt und sich einverstanden erklärt, die “bei mir befindlichen Daten zu löschen”, wenn er bis Montag 20.000 Euro erhalte. “Wenn die mir Geld anbieten”, so L. zur Kripo, “nehme ich es gern an.”

Ist Matthias L. damit zu einer Erpressung genötigt worden? Hat er Geld verlangt? Wie nachdrücklich? Oder wurde es ihm aufgedrängt?

Laut Medienberichten hatte Matthias L. den Tatvorwurf “im Wesentlichen gestanden”. Auch sonst kann man über die kommerziellen Absichten von Matthias L. spekulieren, unter anderem, da er in seinem Blog (inzwischen offline, Kopie liegt uns vor) bereits vor Wochen einen Verkauf seiner Scripte in Aussicht gestellt hatte:

Da mich releativ viele anschreiben und wissen möchten ob der Bot zu verkaufen ist: Nein ist er zz. noch nicht. Später vll. mal wenn ich ihn komplett fertig habe.

Aber all das scheint mir angesichts des tragischen Selbstmords ohnehin weitgehend irrelevant. Weit wichtiger scheint mir die Frage, welche Ratschläge und Tipps man Hackern und – von mir aus – auch Crackern und Scriptkiddies geben kann, wenn Sie auf eine auf Sicherheitslücken – nun – stoßen. Markus hatte das Thema ja schon einmal angerissen, daher nur ein paar kurze Anmerkungen von mir:

• - Schätzt eure Position realistisch ein. Mag sein, dass ihr am Gerät mächtig was drauf habt. Draussen in der Realität gelten andere Spielregeln. Wenn überhaupt Spielregeln beachtet werden.

• - Bittet jemanden um Hilfe, der sich mit sowas auskennt. Das müssen nicht unbedingt wir hier bei Netzpolitik sein, auch wenn wir im Fall des Falles natürlich gerne helfen. Ihr könnt euch zum Beispiel an den Chaos Computer Club wenden, wo ihr Leute findet, die sich nicht nur mit Sicherheitslücken auskennen, sondern auch wissen, wie man mit Unternehmen spricht – oder euch wenigstens gute Anwälte empfehlen können. Kontaktadressen gibt es hier und hier. Frank Rieger und Volker Birk sind, das könnt ihr leicht googeln, schon recht lange dabei. Die wissen, wovon sie reden.

• - Wenn ihr unbedingt selber “verhandeln” wollt (Nochmal, das ist, ausser bei Kleinigkeiten, meist eine ziemlich schlechte Idee!), sichert euch ab und nehmt glaubhafte Zeugen mit.