Interview mit Bram van der Kolk: Wie es mit Mega weitergeht

Nach dem aufsehenerregenden Start des neuen Cloud-Schließfachdienstes musste sich Megaupload-Gründer Kim Schmitz alias Kim Dotcom selbst für die „schlechte Qualität des Dienstes“ entschuldigen. Den Andrang der Nutzer konnte die anfangs schlechte Verfügbarkeit aber offenbar ebensowenig aufhalten, wie die von vielen Experten aufgedeckten Sicherheitsprobleme.

Mega verspricht besser geschützte Cloud-Schließfächer (Screenshot: ZDNet.de)

Bram van der Kolk ist Mitgründer von Mega und bei dem Dienst für Programmierung und Netzwerkstruktur verantwortlich. Er gilt als der zweite Mann hinter Kim Schmitz, drängt sich aber gewöhnlich nicht ins Rampenlicht. Aufgrund seiner Mitarbeit bei Megauplaod ist er ebenso wie Schmitz von einem Auslieferungsantrag der USA betroffen. Das US-Justizministerium wirft ihm, Schmitz und vier weiteren Beteiligten vor, 175 Millionen Dollar mit Piraterie verdient zu haben. Die neuseeländische Justiz hat noch nicht über eine mögliche Auslieferung entschieden.

ZDNets Schwestersite TechWeekEurope befragte van der Kolk zur wechselhaften ersten Woche von Mega und zu den weiteren Plänen. Das Gespräch führte Tom Brewster.

Was will Mega hinsichtlich der Sicherheit ändern, nachdem die Verschlüsselung so stark angezweifelt wurde?

van der Kolk: Es ist eine philosophische Frage, inwieweit es sinnvoll ist, Nutzer zu schützen, die unsichere Passwörter wählen, oder ob es nicht besser ist, sie über die Risiken aufzuklären. Wir neigen zu letzterem und werden unsere Anmeldeprozeduren entsprechend anpassen. Kryptographische Veränderungen sind daher nicht zu erwarten, aber mehr Vorgaben, um starke Passwörter zu erzwingen.

Was sagen Sie zum Vorwurf, mit den Sicherheitsmechanismen lediglich juristischen Anfechtungen ausweichen zu wollen?

van der Kolk: Verschlüsselung macht keinen Unterschied, was unsere Verantwortlichkeit angeht. Es ist uns nicht erlaubt, aus eigener Initiative Dateien auf mögliche Urheberrechtsverletzungen hin zu untersuchen, und wir sind gesetzlich verpflichtet, Löschungsaufforderungen verschlüsselter Dateien nachzukommen.

Wie haben sich die Nutzerzahlen seit dem Start von Mega am letzten Sonntag entwickelt?

van der Kolk: Die Resonanz der Nutzer war überwältigend und ist weiterhin stark, vor allem aus Europa und Südamerika. Sie laden reichlich hoch – manchmal sehen wir das Hochladen von über 500 neuen Dateien in der Sekunde.

Haben sich wegen der neuen Site schon Ermittlungsbehörden gemeldet?

van der Kolk: Noch nicht.

Wie viel wurde in die Schaffung von Mega investiert, ab wann hoffen Sie auf Gewinne?

van der Kolk: Investiert wurde bislang nur in die Server-Infrastruktur. Alle anderen Beteiligten haben ohne Bezahlung gearbeitet, das gilt auch für unsere Rechtsberater.

Wo stehen die Server eigentlich? Gibt es viele in den USA, und mit was für einer Infrastruktur arbeiten Sie in Ihren Rechenzentren?

van der Kolk: Wir verfügen über Server in Deutschland und Neuseeland. Wir werden keine Server in Ländern mit problematischer Gerichtsbarkeit betreiben. Bis jetzt arbeiten wir mit Standard-Hardware.

Was passiert, falls Sie und die anderen wegen Megaupload Angeschuldigten für schuldig befunden werden und die Site nicht mehr verwalten können? Wer übernimmt dann?

van der Kolk: Zur Absicherung steht ein Verwaltungsteam bereit, gegen das keine Anklagen laufen.

Die Benutzerfreundlichkeit soll verbessert werden – was ist diesbezüglich in den kommenden Monaten zu erwarten?

Wir hoffen, wenigstens die Hälfte der Entwicklungsvorgaben umsetzen zu können, wie wir sie in einem Blogeintrag aufgeführt haben.

Es gab schon Bugs und Sicherheitsprobleme, die Site war oft nicht erreichbar. Wie zufrieden sind Sie damit, wie es bisher gelaufen ist?

van der Kolk: Es hätte reibungsloser laufen können. Aber es mussten 50.000 Zeilen Code neu geschrieben werden, alles lief auf einer neuen und kaum getesteten Server-Infrastruktur, innerhalb von Stunden entwickelten sich die Besucherzahlen von null auf Millionen – wenn man das berücksichtigt, ist es gar nicht so schlecht gelaufen.

Was echte und eher virtuelle Sicherheitsprobleme angeht, hatten wir eine wesentliche XSS-Schwachstelle, die innerhalb von 30 Minuten behoben wurde, und dann mit AES-basiertem Hashing eine peinliche, die innerhalb von 24 Stunden beseitigt war. Alles andere waren Unterstellungen, die auf falschen Annahmen hinsichtlich Deduplizierung und einem unspezifischen Rigorismus basierten („Wenn du SSL brichst, dann kannst du Mega brechen!“). Wir hoffen, dass das mit der Zeit besser wird und uns mehr echte Probleme berichtet werden, damit wir sie lösen.

Übersicht über den von ausgewählten Cloud-Speicher-Diensten kostenlos zur Verfügung gestellten Speicherplatz (Grafik: Statista)

[mit Material von Tom Brewster, TechWeekEurope]

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago