Vorsicht: Xing-Kontaktdaten durch Social OX ausser Kontrolle

Da der User bei diesem Vorgang noch nicht einmal vor möglichen Datenschutzproblemen gewarnt wird, besteht ein hohes Risiko, dass auf diese Weise aus Dummheit, Leichtsinn oder purem Unwissen heraus massenhaft persönliche und geheime Kontaktinformationen öffentlich werden.

Veröffentlichte Kontaktdaten

Da die URLs dieser veröffentlichten Adresslisten auf einem festen Schema basieren, sind die Listen voraussichtlich auch über Google auffindbar. Eine Suchabfrage nach site:ox.io/publications/contacts/ würde alle publizierten Adresslisten preisgeben. Da der Dienst erst vor wenigen Tagen gestartet ist, ergibt diese Suche derzeit aber erfreulicherweise noch keine Treffer.

Fragwürdige Screenscraping-Techniken

Auch technisch gesehen ist Social OX fragwürdig: Der Dienst benutzt sogenanntes Screenscraping zum Auslesen der Daten. Das heißt, ein Script meldet sich mit den Zugangsdaten des jeweiligen Users bei Xing an und liest die Informationen aus den HTML-Seiten bei Xing aus. Bei dieser Methode stehen einem Anbieter wie Xing kaum wirkungsvolle technische Gegenmaßnahmen zur Verfügung, um das Daten-Auslesen zu blockieren.

Nach eigenen Angaben von Social OX wird das Screenscraping vom Standort Schweiz aus betrieben, weil das Verfahren dort nicht als illegal eingestuft wird - während die deutsche Gesetzeslage da wesentlich strikter ist und ein Abgreifen der Daten auf diese Weise juristisch mindestens höchst bedenklich, wahrscheinlich aber unzulässig ist.Lediglich in den FAQs wird derzeit darauf hingewiesen, dass der User sich bei der Veröffentlichung von Daten seiner XING-Kontakte möglicherweise nicht legal verhalte, siehe Screenshot.

Jürgen Geck, CTO von Open-Xchange dazu: "Die Intention und die Innovation in Social OX besteht in der leichten Austauschbarkeit von Daten. Dadurch wird natürlich auch Missbrauch möglich. Wie mit jedem neuen Werkzeug entsteht auch hier Verantwortung bei der Zur-Verfügung-Stellung (...) und bei der Benutzung. (...) Der Ansicht, dass ein hohes Risiko besteht, Daten unbeabsichtigt zu veröffentlichen widersprechen wir entschieden." (ausführliche Stellungnahme von Open-Xchange).

Social OS ist derzeit in der Beta-Phase, kann aber über kostenlose Trial-Accounts bei ox.io bereits voll genutzt werden.

Datenschutz-Vorbild Xing als Opfer

Alles andere als glücklich dürfte Xing über diese Situation sein. Immerhin ist das Business-Netzwerk mit seinen strengen Datenschutzbestimmungen und strikten Privacy Policy vorbildlich beim Schutz der Privatsphäre seiner Kunden. Gegen Screenscraping gibt es technisch aber derzeit keine wirkungsvollen Abwehrmöglichkeiten, weil die Aktivitäten eines gut programmierten Screenscraping-Scripts sich nahezu nicht von den Aktivitäten eines normalen, über den Browser eingeloggten Users unterscheiden.

Dr. Johannes Mainusch, Vice President Operations bei Xing: "Xing bietet seinen Mitgliedern eigene Exportfunktionen wie zum Beispiel Vcards an. Diese Funktionen sind geprüft und gewährleisten, dass nur derjenige Nutzer, dem die Daten freigegeben worden sind, auch Zugriff darauf erhält. Dieser Schutz besteht bei externen Programmen gegebenenfalls nicht. Dazu gehört auch Social OX, bezüglich dessen keine Kooperation zwischen Xing und Open-Xchange besteht." (ausführliche Stellungnahme von Xing).

Was unterscheidet Social OX vom manuellen Kopieren der Kontakt-Daten durch den User?

Entscheidend ist, dass Social OX die Daten komplett, sehr einfach und ohne nennenswert Hürden zur Veröffentlichung bereitstellt. Denn natürlich kann jeder Xing-User Daten seiner Kontakte auch manuell per Copy-and-Paste aus Xing holen und veröffentlichen. Dies müsste er aber Kontakt für Kontakt einzelnen tun, was viel Aufwand bedeutet und ein sehr bewusstes Handeln voraussetzt. Die Möglichkeiten über Social OX jedoch bergen das hohe Risiko, dass Xing-/Social-OX-User leichtfertig, aus Dummheit und sogar ohne wirkliche Absicht Daten offen im Web publizieren, die nicht in die Öffentlichkeit gehören.