Manipulation bei den Podcast-Awards: Wie und wie verhindern.

Da hat die Netzwelt ja mal wieder einen schönen Aufhänger: bei der Wahl des Publikumspreises des Podcast-Awards wurde ganz offensichtlich manipuliert. Ich möchte hier mal beschreiben, wie das ging und vor allem, wie man es besser machen kann.
Zuerst mal etwas Hintergrundwissen dazu: Die Podcast-Awards werden seit 2006 vergeben und beinhalten neben diversen Kategorien, in denen die Podcasts ausgezeichnet werden, den Publikumspreis (im letzten Jahr ging der Publikumspreis an den Computerclub2). Hier wird ein Podcast von den Zuhörern vorgeschlagen und anschliessend über eine Wahl entschieden, wer den Preis in dieser Kategorie gewinnt. In den letzten beiden Jahren war es ein einfaches Webskript, das die Wahl entgegennahm und auch keine Rückmeldungen über den derzeitigen Stand gab.
In diesem Jahr war dies nicht mehr der Fall. Man verwendete eine Pollingsystem, das eine direkte Rückmeldung über den aktuellen Stand der Wahl gab und nur anhand der IP Adresse und eines Cookies sicherstellen sollte, dass Stimmen nicht doppelt abgegeben werden. Durch die Rückmeldung konnte man sehen, dass manipuliert wurde, da im Sekundentakt Stimmen für einen Podcast abgegeben wurden. Und hier hakt auch schon das System:

  1. die IP Adresse wird bei den meisten Providern nach spätestens einem Tag ungültig bzw. bei Verwendung eines Anonymisierungsdienstes werden ständig unterschiedliche, neue IPs verwendet
  2. Cookies können in den Browsern abgestellt oder gelöscht werden

Dies hat man beim CC2 erkannt und in einem Blogbeitrag darauf hingewiesen (wobei Wolfgang Back in einem späteren Blogeintrag noch einen Gedankenfehler zum Thema anonymen Proxy berichtigt, denn hier bekommt man nicht unbedingt ständig eine neue IP Adresse), worauf die abgegebenen Stimmen bei unterschiedlichen Teilnehmer (darunter der CC2, Fahrenheit 404 und Happy Shooting) sehr schnell anstiegen, d.h. es wurde offensichtlich manipuliert. Nachdem diverse teilnehmende Podcasts ihre Nominierung dann zurückgezogen haben, hat man bei Podcast-Award gehandelt und die Wahl abgesagt, dabei schob man die Schuld einfach weiter an den CC2, der diese einfache Manipulationsmöglichkeit angeprangert hat. Zu der Stellungnahme aber später noch etwas mehr.

Wie kann man das System sicherer (nein, eine absolute Sicherheit kann es nicht geben) machen? Nun, eigentlich ganz einfach:

  1. Bei dem Wahlformular lässt man einfach den Benutzer ein zusätzliches Captcha eingeben, das stellt schonmal sicher, dass kein einfaches Automatisierungsskript abläuft.
  2. Der Benutzer muss seine Emailadresse eingeben. Nach Abschicken des Formulars erhält er eine Email mit einem Bestätigungslink, den er anklicken muss, um seine Wahl zu bestätigen.

Mit diesen zwei einfachen Mitteln wäre es schwerer und zeitaufwändiger, die Wahl zu manipulieren. Eine Manipulation ist dennoch möglich, indem man ein Programm schreibt, das das Captcha entschlüsseln kann, das Formular ausfüllt, eine temporäre Emailadresse einsetzt und danach die Bestätigungsmail abwartet und den enthaltenen Link aufruft. Der Aufwand ist hierfür aber so hoch, dass es sich einfach nicht lohnt sich diese Mühe zu machen.

So, nun noch mein persönlicher Senf zur Stellungnahme von Podcast-Awards. Georg Schneider sagt in seiner Stellungnahme, dass „sich zwischenzeitlich an mehreren Stellen Quasi-Anleitungen dazu finden, unter anderem auf der Webseite des Vorjahressiegers Computerclub 2, empfinde ich als niederschmetternd. Das hat für mich nichts mit aufklärerischem Journalismus zu tun“.
Ehrlich gesagt ist es genau das, was ich von einem Computerpodcast erwarte und nicht, dass man blauäugig durch die Welt geht und der Meinung ist, dass schon nichts passieren wird. Wenn man ein Votingsystem verwendet, das schon vor 10 Jahren nicht effektiv war, dann sollte man sich nicht wundern, wenn diese Schwachstellen auch ausgenutzt werden. Man sollte dann auch nicht einfach aufhören, sondern diese Warnung sehen und das System verbessern – schwer ist es ja eigentlich nicht, wie ich versucht habe, oben darzustellen. Die beiden Wolfgangs vom CC2 haben jedenfalls das gemacht, was sie sollten, sie haben die Schwachstelle nicht totgeschwiegen, sondern bekannt gemacht, in der Hoffnung, dass man daran was ändert. Irgendwie nicht verwerflich, oder?

Montag Abend, 20 Uhr, CC2 Zeit

CC2 Logo 

Ja, es gibt sie immernoch. Wolfgang Back und Wolfgang Rudolph vom ehemaligen WDR-Computerclub haben im letzten Jahr den ComputerClub 2 im Internet auferstehen lassen und bringen regelmässig Woche für Woche (immer montags 20 Uhr) einen Podcast zum Thema Computer heraus. Der Erfolg, den man damit hat, übersteigt mittlerweile alle Erwartungen und man erreicht sogar mehr Zuhörer im Vergleich zu den Sendungen des WDR-CCs. Auch ins Fernsehen hat man es wieder geschafft und mittlerweile die 5. Folge CC2-TV zusammen mit NRW.tv produziert.
Diesen Montag geht übrigens um folgende Themen:

  • Per Computer über den Atlantik
  • Tonband ist out – Flashrecorder sind angesagt
  • Eine Untersuchung gibt Auskunft über die Netiquette

Bin mal gespannt, was man da wieder so alles zum besten gibt :-). Von mir an dieser Stelle noch ein „EBÜB“ und viel Spass beim Podcast!