Es war eine siebzehnstündige seelische Qual für die gesamte Gründerszene-Redaktion: von 1.00 Uhr Dienstag Nacht bis 18.00 Uhr des selben Tages war die Gründerszene-Homepage „Als attackierend gemeldete Webseite“ praktisch offline. Zwar konnten Nutzer die Seite entgegen der Warnung betreten, doch ein unbeschwerter Zugang sieht wohl anders aus.

Was war passiert? Google hatte Gründerszene als eine Malware-Seite markiert und auf seine schwarze Liste gesetzt, auf welche nahezu alle Browser wie Firefox, Internet Explorer oder Safari zurückgreifen, um anschließend die betroffenen Seiten mit einer groß angelegten Warnung zu versehen. Nutzer können diese Seiten dennoch betreten, geben sich aber womöglich einem Viren- oder Malwarebefall preis.

Um es vorweg zu nehmen: die Kernfunktionen von Gründerszene waren überhaupt nicht betroffen. Für die Einblendung seiner Sponsorenanzeigen in der Sidebar setzt die Redaktion auf einen AdServer, genauer gesagt auf die Open-Source-Lösung OpenX. Möglichst dezent und für seine Leser den Textfluss nicht störend, sollen die handverlesenen Sponsoren präsentiert werden, weshalb Gründerszene auf OpenX zurückgreift und alle Kampagnen selbst steuert.

Vor kurzem lieferte OpenX ein automatisches Update aus, welches jedoch eine Sicherheitslücke enthielt das eine Sicherheitslücke schließen sollte, die in der von Gründerszene genutzten älteren Version noch bestand. Diese Sicherheitslücke wurde ausgenutzt und führte dazu, dass anstelle der ausgewählten Sponsoren ein IFrame geöffnet wurde. Dass dieser IFrame tatsächlich Malware öffnete oder sogar bei den Nutzern einschleuste, konnte Gründerszene nicht bestätigen. Bei Google reichte es dennoch für eine Warnung.

Fatal! Trotz rechtzeitiger Fehlerkorrektur blieb die Warnung bestehen

Noch um 1.00 Uhr nachts schrieb der erste Nutzer einen Hinweis, dass die Gründerszene-Seite ein Problem zu haben scheint – an dieser Stelle übrigens herzlichen Dank an all die Nachrichten unserer treuen Leser! Die Redaktion bemerkte das Problem um 2.00 Uhr morgens und machte sich sofort an die Fehlersuche und -behebung. Fünf Stunden später war das Problem gefixt und das System wieder einhundert Prozent sicher, wofür die Redaktion seinem fleißigen ITler Christoph Seydel herzlich dankt. Doch das Fatale: Die Seite blieb dennoch als attackierend markiert.

Wie kann Google also darauf aufmerksam gemacht werden, dass das Problem behoben ist? Eine Telefonnummer für Nachfragen sucht man wie so oft bei dem Kalifornischen Suchmaschinenriesen ebenso vergebens, wie ein Kontakt-Formular oder einen E-Mailkontakt. Nach deutschen Standards eigentlich ein Unding: Der Weltkonzern, der sich als Sprachrohr der Nutzerbedürfnisse versteht bietet praktisch keine Möglichkeit zur Kontaktaufnahme, sondern kommuniziert allenfalls im Einbahnstraßenformat mit der beliebten No-Reply-Mailadresse.

Doch Google wäre nicht Google, gäbe es keine automatisierte Lösung: In seinen Google Mastertools bietet das Unternehmen die Möglichkeit, über einen Button das Crawlen der eigenen Seite anzuregen, wodurch die Suchmaschine schnell feststellen kann, ob das Problem noch besteht. „Schnell“ ist in diesem Falle allerdings relativ. Ein Vorgang der laut Google-Message bis zu ein paar Wochen in Anspruch nehmen kann.

Morgens um sieben – noch bevor die Hauptbesucherströme eintrudelten – übersandte Gründerszene also den notwendigen Hinweis an Google, dass doch alles wieder in Ordnung sein sollte. Doch es passierte nichts. Die Chefredaktion telefonierte mit den kompetentesten und bestverdrahteten Köpfen der deutschen Webwirtschaft, doch keiner wusste näheres, Informationen ließen sich nur puzzleweise zusammentragen. So stellte sich etwa heraus, dass auch Twitter ganz schnell Profile sperrt, die auf eine als attackierend markierte Webseite verweisen – ein Umstand, der bei Gründerszene dank Phil von Sassen rechtzeitig verhindert werden konnte. Erst um 18.00 Uhr, fast zwölf Stunden nachdem alle Probleme behoben waren, war Gründerszene wieder all seinen Lesern zugänglich.

Eine fragliche Praxis, die breite Frustration auslöst

Gründerszene war beileibe nicht die einzige betroffene Seite. Heise berichtete, dass auch andere Seiten wie die Heidenheimer Zeitung oder der Sauerlandkurier betroffen waren, um nur mal die jedem Bürger bekannten zu nennen. Auch hier baute die bösartige Anzeige einen IFrame in die ursprünglich geladene Web-Seite so ein, dass dieser ohne weiteres Zutun des Besuchers automatisch geladen wurde und dann die Sicherheitslücken ausnutzte.

Frustriert sind die Betroffenen vom Modus, mit dem Seiten, denen dieses Problem begegnete, verarbeitet werden: „Der Schutz unserer Leser und dass diese unsere Inhalte unbeschwert konsumieren können, steht an oberste Stelle“, betont Gründerszene-Chefredakteur Joel Kaczmarek. „Doch was uns massiv ärgert, ist die Tatsache, dass zur Warnung der Nutzer auf einen Modus zurückgegriffen wird, der nicht verlässlich auf die getroffene Abhilfe reagiert. Es werden Seiten stigmatisiert, die Imageschäden davontragen, obwohl womöglich gar kein Grund mehr für eine Warnung besteht.“ Hans-Jörg Wilhelm, Verleger der ebenfalls in der Vergangenheit betroffenen Heidenheimer Zeitung, beklagte bei Heise in ähnlicher Weise diese Praktik: „Ich betrachte es als ungeheuerlich, dass Google – mit denen wir keine Geschäftsbeziehung unterhalten, uns einfach vom Netz abhängt. Das wäre „fast wie […] wenn Google bei Nacht alle unsere Zeitungsträger kasernieren würde und keine Zeitungen mehr ausgetragen würden“.

Verschiedene Aspekte sind an der aktuellen Praxis zur Warnung der Nutzer vor attackierenden Webseiten fragwürdig. Zunächst: Wer hat Google zur Internet-Polizei auserkoren? Es mag sinnvoll erscheinen, jenen Akteur auszuwählen, der den weitesten Überblick über das Netz und die offensichtlich verlässlichste Technik zu haben scheint. Doch wenn dieser Akteur nicht in der Lage ist, entsprechende Markierungen wieder zeitnah zu entfernen, ist es inakzeptabel, dass die betroffenen Seiten wie Aussätzige behandelt werden, obwohl keine Probleme vorliegen. Die Seiten werden zwar nicht gesperrt, aber wer übertritt schon gerne knallrote Konterminationsschilder. Dass es für Google praktisch unmöglich ist, bei seiner Masse an Daten schneller zu reagieren (eine Aufhebung nach zwölf Stunden ist da womöglich gar nicht mal so schlecht), liegt nahe, aber die Frage sei erlaubt: Wollen wir Google wirklich so viel Macht über unser Internet geben, gerade wenn es nicht für die Aktualität seiner Informationen garantieren kann?

Die Antwort auf diese Frage ist wohl eher von Browserbetreibern wie Mozilla zu erwarten, die blind auf die Kennzeichnungen der Suchmaschine vertrauen. Strebte man eine Klage an, so wie es die Heidenheimer Zeitung (und durchaus auch die Redaktion von Gründerszene in einem ersten Wutanfall) überlegt hatte, wäre es wohl wesentlich sinnvoller, sich Internet Explorer, Opera und Co. vor die Brust zu nehmen, die auf Dienste von Drittanbietern vertrauen, die offensichtlich nicht gut genug performen um betroffene Webseiten vor Schaden zu bewahren. Als wären diese nicht mit der Hackingattacke schon hart genug bestraft, folgt auch noch eine Post-Vorfall-Verbannung. Natürlich wird Gründerszene weder Google noch Mozilla verklagen, dazu liebt es die Freiheit und Brüderlichkeit des Webs zu sehr, um diese zu gefährden, aber eine kritische Diskussion dieser Praktik muss erlaubt sein und ist nur angebracht.

Ebenfalls fragwürdig – und hier ist der Kritik der Bundesregierung Recht zu geben, so abartig einem das als Webunternehmer im ersten Moment auch erscheinen mag – ist die Kommunikationspolitik US-amerikanischer Großkonzerne, die im Ausland Services anbieten, für deren Qualität sie nicht immer bürgen können. Zu den schwärzesten Schafen zählen hier Google und Twitter, was primär mit der Größe der von diesen Unternehmen angebotenen Services zu tun hat. Die Nutzerbetreuung bei Twitter ist altbekannt dafür, dass sie praktisch nicht existent ist, sodass es teilweise Wochen dauert, den eigenen Twitter-Account wieder online zu kriegen, wenn er einmal gesperrt wurde.

„Was würde Google tun?“ lautet er Titel von Jeff Jarvis erfolgreichem Buch, dessen Thesen als aufgeschlossener Webunternehmer nur zugestimmt werden kann. Im Falle der Nutzerbetreuung fällt die Antwort auf diese Frage wohl aber leider leicht: Was würde Google tun? Nischt. Denn Google schreibt ein fettes Beta auf seine Services und gibt sie dann für die Nutzer frei, ohne die Möglichkeit, mit Google selbst Kontakt aufzunehmen. Ganz im Stile der Firmenpolitik, dass das Web sich selbst reguliert, werden nur automatisierte Lösungen geboten. „Hat ihnen diese Information geholfen?“ steht dann auf den Informationsseiten des Konzerns. Nee! Vermutlich handelt es sich dabei um die Online-Interpretation des alten Don’t call us, we call you. Dennoch macht es einen als Freund der Internet-Offenheit traurig, wenn man nicht mal im Web mehr gehört wird.