Sex-Website lässt Nacktfotos Tausender Frauen offen im Netz

Illustration: Carly Jean Andrews

Update 03.02.2017, 10:40: Nachdem die Skirt-Club-Homepage am 27.01. offline ging, ist sie knapp eine Woche später am Donnerstag den 02.02. wieder erreichbar. Skirt Club hat inzwischen außerdem erstmals seine Mitglieder über die Sicherheitslücke in Kenntnis gesetzt (technische Details dazu finden sich im Text in dem entsprechenden Abschnitt).

Auf den drei Riesenbetten sind goldene Blüten verstreut, das Wasser in der Badewanne ist mit rosa Badesalz gefärbt. Im Wohnzimmer sitzen auf dem Boden etwa 50 Frauen in goldenen und weißen Kleidern, hier und da blitzen Strapse hervor. Das Motto der "Play Party": vergoldete Engel. Es ist eine Samstagnacht im Dezember und alle hängen an den roten Lippen der Veranstalterin Renée Nyx. Skirt Club, sagt sie in ihrer Begrüßungsrede, "ist ein sicherer Ort, an dem Frauen miteinander spielen können". Als Nyx fertig ist, klatschen alle. Es dauert keine zwei Stunden, bis die ersten nackten Frauen zu zweit, zu dritt, zu viert, zu fünft auf den Betten miteinander verschmelzen.

Diskretion ist eins der wichtigsten Werbeversprechen von Skirt Club, einer Plattform, die seit 2014 Frauen, die auf Frauen stehen, zusammenbringt. Die Plattform hat weltweit an die 5.000 Mitglieder, seit der Launchparty in Berlin im Oktober auch immer mehr Frauen aus Deutschland. Auf den Partys von Skirt Club können sie sich kennenlernen und Sex miteinander haben – "weit weg von den Spannerblicken der Männer", heißt es auf der dazugehörigen Website. Dort können sich Userinnen vernetzen und private Nachrichten verschicken. Mit "Keine Konsequenzen. Keine Fragen" wirbt die Seite. In den Sicherheitsrichtlinien steht: "Eure Informationen werden privat und anonym bleiben. Wir sind bemüht, alle angemessenen Schritte zu unternehmen, um eure Daten zu schützen."

Recherchen von VICE und Motherboard zeigen: Das Gegenteil ist der Fall. Ein Blick auf den Server und die Sicherheitseinstellungen der Website genügt, um zu erkennen, dass Skirt Club grob fahrlässig mit den Daten seiner Nutzerinnen umgegangen ist. Tausende persönliche Bilder waren wochenlang für jeden anklickbar: Fotos, die unter anderem die Namen der Frauen verraten, Nacktbilder, Fotos von Vulven. Fahrlässiger kann eine Seite, die auf Diskretion basiert, nicht mit den Daten ihrer Nutzer umgehen.

Von all dem wissen die Frauen nichts, die sich im Dezember in Berlin-Schöneberg zur ersten deutschen "Play Party" treffen, für die Skirt Club extra eine Vierzimmerwohnung gemietet hat. Sie lecken Schnaps von einer halbnackten Hostess, knutschen beim Flaschendrehen, nach Mitternacht fallen die sorgfältig ausgesuchten Kleider.

Keine Männer sind im Raum. Selbst an der Bar arbeiten Frauen in schwarzen Dessous. Während sie hier in einem geschützten Raum sind, wissen sie nicht, dass zeitgleich jeder die Fotos sehen kann, die sie als Bewerbung hochladen mussten, um mitmachen zu dürfen. Man muss kein Hacker sein, noch nicht mal ein Informatikstudent. Die Fotos sind durch kein Passwort geschützt und jeder Neugierige könnte sie sich anschauen und runterladen.

Noch beunruhigender als das Datenleck selbst ist, wie Skirt Club mit dem Problem umgeht. Unsere Recherchen zeigen, dass die Seitenbetreiber zum Zeitpunkt der Party Mitte Dezember bereits seit Wochen von einem Problem wussten. Gewarnt haben sie die Userinnen bis heute nicht. Und selbst nachdem VICE sie im Zuge der Recherchen auf das Datenleck hingewiesen hat, brauchte Skirt Club drei Wochen, um die Lücke zu schließen. Ganz behoben ist das Problem aber immer noch nicht. Update 03.02.2017, 10:40 Uhr: Skirt Club hat inzwischen seine Mitglieder über die Sicherheitslücke in Kenntnis gesetzt. In der E-Mail, die Motherboard vorliegt, heißt es, dass die Lücke "innerhalb von Tagen behoben" wurde und "bereits Wochen" vor unserer Veröffentlichung bearbeitet. Die Darstellung in der E-Mail deckt sich nicht mit unseren Recherchen.

Datenleaks bei Sex-Websites können Leben ruinieren. Der prominenteste Fall der vergangenen Jahre ist der Hack von Ashley Madison – einer Seite, die Seitensprünge vermittelte: "100% diskret", warb die Plattform mit über 40 Millionen Nutzern. Nachdem eine Hackergruppe über 29 Gigabyte privater Daten wie Mailadressen, Kreditkartendaten und Passwörter der Fremdgeher veröffentlicht hatte, gingen Ehen und Karrieren kaputt. Ein Priester, der ein Profil auf der Seite hatte, beging Suizid. Der Fall Skirt Club zeigt ein Dilemma: Das Internet hat es zwar einfacher gemacht, Sexpartner zu finden. Um die Seiten nutzen zu können, zahlen User allerdings mit einem Vertrauensvorschuss. Ob das Vertrauen wirklich gerechtfertigt ist, wissen sie nicht, wenn sie sich anmelden.

Um bei Skirt Club mitzumachen, muss man sich mit einem Profil- und Ganzkörperbild bewerben. Nur wer von einem "Gremium" als heiß genug eingestuft wird, darf mitmachen: Tickets für eine Sexparty kaufen, anderen Userinnen Privatnachrichten schreiben und ihnen Fotos schicken – die, wie in der Natur jeder Sexseite liegt, die Nutzerinnen oft nackt zeigen.

Jana*, 39, hat ihren Mut zusammenkratzen müssen, um sich bei Skirt Club anzumelden und im Dezember zur Party zu kommen. "In meiner Umgebung weiß so gut wie niemand Bescheid, dass ich bi bin", sagt sie. "Weder meine Kinder noch Freunde noch Kunden." Jana ist zierlich, selbstbewusst, lacht viel. Dass sie nervös ist, merkt man nur daran, wie schnell sie an ihrem Rum nippt. Jana ist Unternehmerin, hat drei Kinder und einen Ehemann. Als sie jung war, hat sie noch mit Frauen geschlafen, seit sie verheiratet ist, nicht mehr. "Wir haben seit 15 Jahren eine klassische monogame Ehe mit Haus am Stadtrand", sagt sie. Erst vor ein paar Monaten hat sie mit ihrem Mann darüber gesprochen, dass sie sich nach Frauen sehnt. Als sie bei VICE über Skirt Club gelesen hat, beschloss sie, sich anzumelden und ein Ticket für diese Party zu kaufen. "Das scheint ein sicherer Raum, um sich auszuprobieren. Genau, was ich gesucht habe", sagt sie.

Als Skirt Club Ende Oktober seine erste Veranstaltung in Deutschland hatte, waren wir zwiegespalten: Einerseits ist es gut, wenn es selbstverständlicher akzeptiert wird, dass auch Frauen auf unverbindlichen Sex stehen. Aber dass Frauen selbst eine Plattform schufen, bei der sich nur scharfe Schnitten unter 40 für Sex qualifizierten, ist nicht wirklich fortschrittlich. Die sexuelle Befreiung als VIP-Party für die lucky few mit Gesichtskontrolle und Dresscode.

Jana ist nicht die einzige Userin, die gute Gründe hat, unerkannt bleiben zu wollen. Skirt Club schreibt auf der eigenen Website, dass die meisten ihrer Mitglieder männliche Partner haben. Viele der Mitglieder, mit denen wir gesprochen haben, sind nicht offen bisexuell. Weil es das Umfeld nicht zulässt. Oder weil sie sich ihrer sexuellen Orientierung schlicht und einfach nicht sicher sind. Manche sind neugierig auf andere Frauen, haben aber noch nie zuvor eine geküsst. Skirt Club verkauft sich als der Ort, der solche Erfahrungen vertraulich möglich macht.

Skirt Club benutzt für seine Website die Software Wordpress und das Plug-in Buddypress. Dass die Sex-Plattform auf kostenlosen und simplen Tools basiert, die auch Millionen privater Blogs nutzen, ist zunächst kein Problem. Wordpress bietet theoretisch alle wichtigen Funktionen, um eine Seite vor Hacking-Angriffen und Sicherheitslücken zu schützen. Eingestellt werden sie mit wenigen Klicks.

Doch eine kleine, aber wichtige Datei, die die Zugriffsrechte auf Bilder, Inhalte und Daten der Wordpress-Seite regelt, ist im Fall von Skirt Club vollkommen falsch eingestellt: Die sogenannte htaccess-Datei ist eigentlich nur acht Zeilen lang, doch irgendwann müssen sich in den Code fatale Fehler eingeschlichen haben. Die Datei gehört zum Standardrepertoire jedes Webshops, jeder Wordpress-Seite. Normalerweise ist sie automatisch installiert und so konfiguriert, dass niemand ohne entsprechende Rechte von außen auf den Server zugreifen kann – bei Skirt Club jedoch muss die Datei irgendwann falsch eingestellt worden sein. "Auf einer Skala von 1 bis 10 der Fahrlässigkeit ist das eine 11", sagt Aktivist Stephan Urbach, der die Sicherheitslücke zusammen mit VICE untersucht hat. Urbach hat schon zahlreiche Websites auf ihre Sicherheit geprüft. "Das Problem wäre von Anfang an vermeidbar gewesen. Das ist ja schon keine Lücke mehr, das wirkt ja wie ein bewusstes Offenhalten."

Die Folgen: Über mehrere Wochen konnte jeder von außen auf die Server-Daten zugreifen – ob die Lücke noch länger bestand und wer sie missbraucht haben könnte, lässt sich nicht nachvollziehen. Dass es bei Skirt Club ein Sicherheitsproblem gibt, erfahren wir erstmals, als wir im Dezember durch Quellen davon hören, was auch der Auftakt unserer Recherchen ist.

Um das Problem auszunutzen, genügt es, die reguläre Web-Adresse von Skirt Club in einen Browser einzugeben und dazu den Namen des Unterordners, in dem Wordpress-Seiten standardmäßig alle Inhalte speichern. Von diesem zentralen Serververzeichnis aus lassen sich bequem alle Ordner durchforsten, in denen sämtliche Fotos liegen, die jemals auf Skirt Club hochgeladen wurden – fein säuberlich sortiert in einzelne Unterordner.

So gab es für jede Nutzerin einen eigenen Ordner mit allen Bildern, die sie je auf ihrem Profil hochgeladen hat. Die oft sehr intimen Fotos aus privaten Nachrichten waren in einem Unterordner gespeichert, leicht auffindbar unter dem Namen "mail attachments". Einmal hochgeladen können die Userinnen ihre Fotos nicht mehr vom Server nehmen. Auch Bewerbungsfotos von Nutzerrinnen, die abgelehnt wurden und im Skirt Club gar nicht mitmachen dürfen, finden sich auf dem Server.

All das wäre leicht zu verhindern: Um die fehlerhafte htaccess-Datei zu reparieren, müssten nur wenigen Code-Zeilen hinzugefügt werden – für Informatiker eine Aufgabe von maximal zwei Stunden Arbeit und Recherche. Skirt Club hat es dennoch bis heute nicht geschafft, die Sicherheitslücke vollständig zu schließen. Inzwischen lassen sich zwar keine Ordner mehr durchsuchen und keine Bilddateien mehr aufrufen, aber auf manch andere Dateitypen ist der Zugriff noch heute möglich. Für jemanden, der die Details der ursprünglichen Sicherheitslücke nicht kennt, ist es heute allerdings unmöglich, diese Dateien aufzuspüren. Daher haben wir uns nun dazu entschieden, unsere Recherchen zu veröffentlichen.

Medien und Sicherheitsexperten sollten über solche Datenlecks nicht einfach berichten. Zuerst müssen sie der betroffenen Firma von dem Problem berichten, damit sie es beheben kann. Und sie müssen sicherstellen, dass keine Gefahr für die Nutzer besteht. Im Falle der Wordpress-Panne bei Skirt Club war für uns klar: Die Tausenden Frauen, die ihr Vertrauen in diesen angeblichen Safe Place gesetzt haben, müssen endlich sicher sein – und sie haben ein Recht darauf zu wissen, dass Skirt Club ihre intimen Fotos nach dem Upload nicht so schützt wie behauptet. Nachdem wir die Betreiber von Skirt Club auf das Leck hingewiesen haben, antworten sie: "Im Interesse meiner Nutzer muss ich euch bitten, diese Angelegenheit als geklärt anzusehen." Das Problem: Nichts ist zu diesem Zeitpunkt geklärt. Nichts ist repariert. Die privaten Fotos sind weiterhin nur einen Klick entfernt – obwohl Skirt Club uns gegenüber zu dem Zeitpunkt behauptet, mit Hilfe von ungenannten Experten die Lücke geschlossen zu haben.

Das Datenleck bei Skirt Club ermöglichten es zwar nicht, Kreditkartendaten zu ermitteln oder jedem Bild den Namen der Benutzerin zuzuordnen. Doch einige der Fotos verraten auch so schon mehr über die bürgerliche Identität der Userinnen, als ihnen lieb sein kann. Wenn eine Nutzerin ein Bild bei Skirt Club hochgeladen hat, das sie auf einer anderen Seite zusammen mit ihrem echten Namen nutzt, lässt sich ihre Identität mit wenigen Klicks per Google-Bildersuche ermitteln. So führte zum Beispiel das Foto einer Anwältin direkt auf die Seite ihrer Kanzlei. Ein weiteres Problem: Skirt Club speicherte immer die Originalbilder, auch wenn die Benutzerinnen sie später noch zugeschnitten haben. So lässt sich auf dem Originalfoto einer Ärztin das eigentlich weggeschnittene Namensschild auf ihrem Kittel erkennen. Wenn es jemand darauf anlegen würde, sie zu erpressen, wäre es ein Leichtes, sie zu finden.

"Oh Gott", sagt Jana, als wir sie anrufen und von der Sicherheitslücke erzählen. Dann sagt sie lange nichts, und wieder: "Oh Gott." Die Stimme am Telefon ist nicht mehr die selbstbewusste, ironische Stimme von der Party. Die Jana am anderen Ende der Leitung ist nicht mehr die kokette Jana im tief ausgeschnittenen Seidenkleid, sondern eine Familienmutter, die gerade vom Brunch kommt. "Unsere Kinder wissen nichts davon. Unser Freundeskreis sind Mittvierziger mit Familien aus dem Umland – sie hätten kein Verständnis." Als Ganzkörper-Bewerbungsfoto hat sie ein sexy Unterwäschebild hochgeladen.

Genauso erschrocken reagiert Lucia, 32. "Es wäre furchtbar, wenn es rauskommt", sagt sie. Ihr Partner weiß zwar, dass sie seit Oktober ein Profil bei Skirt Club hat – ihre Eltern und Geschwister haben aber keine Ahnung, genauso wie die Kollegen in dem Konzern, in dem sie arbeitet. "Ich arbeite in einer ziemlich konservativen Umgebung", sagt sie. "Ich halte meine Sexualität nicht ohne Grund geheim. Meinen Account werde ich sofort löschen."

Das Problem ist, dass niemand weiß, ob jemand die Bilder vielleicht schon heruntergeladen hat – und was er damit plant. Anders als im Fall von Ashley Madison brauchte es nicht einmal eine Hackergruppe. Die Bilder so offen im Netz zu lassen, ist ungefähr so, als ließe man ein Profirennrad unangeschlossen am Kottbusser Tor stehen. Einen Monat lang.

Vier Tage nachdem wir Skirt Club mit unseren Recherchen konfrontiert haben, reagierten sie und versuchten, die Lücke zu schließen – erfolglos. Nachdem wir sie erneut darauf aufmerksam machen, folgt einen Tag später ein Update, das zwar dafür sorgt, dass nur noch wenige Fotos zugänglich sind. Doch bis heute, über fünf Wochen nach unserem ersten Hinweis, sind die Probleme nicht vollständig behoben. Wer aber nicht alle Details der ursprünglichen Lücke kennt, kann heute unmöglich auf die Dateien zugreifen.

Sollte eine Frau Schaden durch die Lücke erfahren haben, ist nicht ganz klar, an wen sie sich wenden kann. Denn wer für die Seite von Skirt Club verantwortlich ist, ist öffentlich nicht bekannt. Laut dem Webverzeichnis-Dienst Domaintools.com war sie bis vor einigen Tagen auf eine in London lebende Kate C. registriert, inzwischen ist der Domain-Name verschleiert. Auf unsere Anfragen antwortet die Gründerin von Skirt Club, die das Pseudonym Genevieve LeJeune benutzt. Sie bestreitet, Kate C. zu sein, und möchte ihre bürgerliche Identität nicht verraten. Ihre Antwort, wie es überhaupt zu der Panne kommen konnte: Als eine junge Organisation habe Skirt Club nicht die Ressourcen und die Expertise von großen Unternehmen. Stephan Urbach braucht allerdings gerade einmal eine Minute, um zu erkennen, welche Datei falsch konfiguriert ist. Nach 45 Minuten Online-Recherche kennt er den genauen Code, den er in die Datei schreiben müsste.

In den nächsten Monaten werden die Skirt-Club-Partys in immer weitere Städte expandieren: San Francisco, Chicago, für Berlin sind zwei weitere Events angekündigt. Der Erfolg der Plattform zeigt, wie schwer es für bisexuelle Frauen noch ist, Gleichgesinnte zu treffen, und dass sie sich immer noch im Geheimen ausleben. Es wäre schön, wenn wir in einer Welt leben würden, in der es kein Widerspruch wäre, Familienmutter zu sein und auf Frauen-Sexpartys zu gehen. Solange es nicht so ist, müssen sich Frauen wie Jana auf die Versprechen von Seiten wie Skirt Club verlassen. Was man vom Fall Skirt Club lernt: Jeder, der Intimes ins Netz lädt, setzt sich einem Risiko aus. Plattform-Betreibern wie LeJeune sollte klar sein, dass durch Fehler nicht nur ein "Business" auf dem Spiel steht, sondern sie auch Leben zerstören können. "Und wenn man schon keine Sicherheit garantieren kann, dann wenigstens Ehrlichkeit", sagt Jana.

*Namen geändert

Folge VICE auf Facebook, Instagram und Snapchat.