Kurze Chronologie des SchülerVZ-Vorfalls

Das ist hier sozusagen ein erweitertes Twitter-Posting, weil dafür 140 Zeichen nicht ausreichen. Es geht um den Fall der mutmaßlichen Erpressung der VZ-Netzwerke durch den 20-jährigen Matthias L., der sich in der Untersuchungshaft das Leben genommen hat. 

Was bisher wenigen aufgefallen zu sein scheint, in diesem Fall der etwas seltsame Schlingerkurs des Anwalts Ulrich Dost, der den mutmaßlichen Erpresser vertritt. Erst zitierte ihn die Nachrichtenagentur DDP mit dem Vorwurf, die VZ-Netzwerke hätten seinem Mandaten ein “Schweigegeld” geboten.

Die Original-DDP-Interview vom 3. November habe ich nicht gefunden, hier aber Auszüge aus einer längeren zusammenfassenden DDP-Nachricht vom 6. November:

Der Berliner Rechtsanwalt Ulrich Dost vertrat den 20-Jährigen bis zu dessen Tod. Der Strafverteidiger will seinen verstorbenen Mandanten nicht heroisieren, das Aufdecken von Sicherheitslücken im sozialen Netzwerk sei “sicher nicht” dessen Anliegen gewesen. Eher habe er das Einsammeln der Daten als “Just-for-Fun-Projekt gesehen”, sagt Dost im ddp-Gespräch. Er sagt, dass es Hinweise darauf gebe, dass keine Erpressung vorlag, sondern das Unternehmen seinem Mandanten von sich aus ein Angebot unterbreitet hätte.

[…]

Der 20-Jährige war inzwischen direkt mit den VZ-Netzwerken in Kontakt getreten, zunächst über einen Chat. Dort erhielt er nach Angaben seines Anwalts ein erstes “unbeziffertes” Angebot vom Unternehmen. Diese räumt auf Nachfrage nur ein, dass es mit L. Gespräche gab. Ein von Dost ins Spiel gebrachtes Schweigegeld sei nicht angeboten worden.

Das ging bei den meisten Nachrichtenportalen unter, nur Meedia entdeckte die Brisanz des Vorwurfs und machte groß damit auf (Text inzwischen geändert, siehe unten). Schnell machte die Nachricht über Netzpolitik.org, Twitter & Co die Runde. Bei den VZ-Netzwerken war kurz darauf im Blog ein hartes Dementi zu lesen. Der Anwalt Ulrich Dost meldete sich daraufhin offenbar in den Kommentaren bei Meedia und behauptete, von DDP falsch zitiert worden zu sein. Man solle lieber die Pressemitteilung von der Website des Anwalts zitieren. Daraufhin schrieb einer der Meedia-Redakteure:

@Ulrich Dost,
ich habe die ddp-Zitate gegen den Wortlaut aus ihrer Pressemitteilung getauscht.

Danke & Gruß
Alexander Becker (MEEDIA)

Nun war plötzlich nichts mehr vom Vorwurf des Bestechungsgeldes zu lesen, lediglich die Erpressung seitens des Mandaten wurde bestritten.

Am 7. Novemver zitiert Spiegel Online dann aus einem Chat-Protokoll, das den zuvor noch von Dost dementierten Vorwurf auf den ersten Blick zu stützen scheint – zumindest interpretiert Spiegel Online das Protokoll in der raugeschickten Pressemitteilung so und sämtliche Medien übernehmen diese Interpretation. Schnell ändert Dost wieder seine Meinung, bestätigt das Chat-Protokoll als echt und unterstreicht seinen zuvor dementierten Vorwurf der versuchten Bestechung.

Gegenüber der FAZ wird der Anwalt nun sogar noch deutlicher:

„Zu keinem Zeitpunkt haben wir dem Tatverdächtigen ein Zahlungsangebot oder gar Schweigegeldangebot für die entsprechenden Daten oder den Crawler unterbreitet“, lässt sich der Geschäftsführer der VZ-Netzwerke Markus Berger-de Léon zitieren. Der Anwalt Dost reagiert drastisch. Diese Stellungnahme sei „gelogen und entspricht nicht den Tatsachen“, sagte er dieser Zeitung – das ergebe sich jedenfalls aus den Ermittlungsakten.

Sicherlich dürfte hier die Interpretation der Medien eine große Rolle spielen, die das Chat-Protokoll fast einhellig als Beweis für den Bestechungs-Vorwurf interpretierten. Ganz so eindeutig ist die Sachlage aber bei weitem nicht. Was einer der VZ-Mitarbeiter wörtlich laut dem Chat-Protokoll offenbar geschrieben hat, ist Folgendes:

“du – und andere können bei uns rumhacken wie sie wollen. ich bezahl euch sogar gerne dafür!” Unter einer Bedingung: “wenn ich jemanden dafür bezahle, möchte ich, dass das nicht public wird”.

Dieses eher flapsig hingeschriebene Satz, der aus einem langen Chat herausgestellt wird, kann durchaus auch anders interpretiert werden: Die VZ-Netzwerke bezahlen Hacker für das Aufspüren von Sicherheitslücken (wie im übrigen alle großen Websites) – aber wenn im Rahmen einer solchen Sicherheitsüberprüfung Lücken aufgedeckt werden, dann dürfen diese natürlich nicht publik werden, das ist Teil des Vertrags.

Was hier allgemein als Bestechung interpretiert wird, könnte man bei freundlicherer Betrachtung auch als Job-Angebot lesen – nicht wenige Hacker sind auf diese Weise von “Back Hats” zu “White Hats” geworden.