Wie auch beim Verlag des Reiseführers "Per Anhalter durch die Galaxis", ist auch die Geschichte unserer Arbeitsgruppe vor allem eine Geschichte von (teils diskussionsintensiven) Mittagessen und Kaffeetrinken. Gestern hatten wir noch einmal der zwei jüngsten Datenschutz- und Informationssicherheits-GAUs des Web 2.0 gedacht.

Es ist immer ein leichtes, in den (Blog-)Kommentaren zu solchen Geschichten auf den dämlichen Entwicklern herumzuhacken, die Sicherheitslücken nicht bedacht oder bewusst in Kauf genommen haben. Ich bin allerdings der Meinung, wir haben es – insbesondere bei Portalen – eher mit dem Problem zu tun, dass Sicherheit ein Thema ist, das bei nahezu allen Gliedern der Informationsverarbeitungskette (das Web-2.0-Äquivalent zur Nahrungskette) mit niedigster Priorität behandelt wird:

• Der Nutzer  will ein schickes Portal mit "Fietschers": Bilder hochladen, ein Blog aufsetzen, Freunde gruscheln^TM, Leute kennenlernen und mehr. Es ist ihm zuerst einmal egal, was mit seinen Daten passiert, solange er das Gefühl hat, er befindet sich nach einer Authentisierung in einem "geschützten Bereich", wo eben nicht jeder hineinkann. Er oder sie wird erst dann vielleicht auf Sicherheitsprobleme aufmerksam, wenn er Mails von seltsamen Firmen bekommt oder sie von irgendwelchen Widerlingen gegruschelt^TM wird. Aber auch in diesem Fall resignieren die meisten und sagen sich, dass im Web eben sowieso nichts sicher ist. Schlimm ist es, wenn dann solche Dinge passieren wie bei Blogg und die über vier Monate angesammelten Kommentare in deinem A-Blog, von denen manche sogar geistreich und/oder witzig sind, verschwinden. Dann ist das Geschrei schon größer.

• Der Portalbetreiber will "Fietschers". Jede zusätzliche Betätigungsmöglichkeit auf so einem Portal generiert mehr Nutzer. Mehr Nutzer führen zu mehr Page Impressions. Mehr Page Impressions verbessern die Reichweite und die Mediadaten. Bessere Mediadaten locken Investoren und Werbetreibende auf dein Portal. Du musst immer ein Feature mehr als die Konkurrenz haben. Du treibst die Entwickler an, noch dies und noch das einzubauen. Wenn irgendjemand mal aufmuckt und sagt "Aber was ist mit Backups" oder "Über diesen URL kommt doch jeder an die persönlichen Profile", wird er mit etwas Vernünftigem wie der Implementierung von Google-Maps-basierten Mashups oder einer Supergruschelfunktion beauftragt. Sicherheit kann warten. Es ist doch alles gut gegangen bis jetzt.
• Der Webentwickler will sich auch nicht wirklich um Sicherheit kümmern. Er baut ein Portal auf bestehenden Komponenten auf, in der Hoffnung, dass sich die Leute, die sich diese Komponenten ausgedacht haben, schon selbst Gedanken über Sicherheit gemacht haben. Er hat nie wirklich etwas über Exploits, Backup-Methoden oder Verschlüsselung gelernt, weil das immer so langweilige Themen waren. Mashups machen mehr Spaß. Und PHP geht schneller als Java. Es ist doch alles gut gegangen bis jetzt.
• Der Investor will sehen, dass sein Geld sich vervielfacht. Er investiert nicht in Sicherheit, sondern in Nutzer und Werbung und eventuell in Premium-Inhalte, die sich die Nutzer etwas kosten lassen. So kommt Geld herein. Sicherheit macht alles nur teurer und bringt keinen direkt ersichtlichen Gewinn. Es ist doch alles gut gegangen bis jetzt.

Und so werden weiter Portale gebaut, Nutzer kommen und melden sich an, Sicherheitslücken werden ausgenutzt, Backups versemmelt und Kleinbloggersdorf hat immer eine Sau, die durchs Dorf getrieben wird.