Die E-Mail-Sicherheitslücke der Uni Bonn

Das Webmail-Interface der Universität Bonn war/ist1 unsicher. Schlechtestenfalls können Dritte2 das Postfach “übernehmen” und alles tun, was man selbst dort tun kann: E-Mails lesen, löschen, versenden, Filter und Weiterleitungen einrichten. Dieser Beitrag soll erläutern, wo genau das Problem liegt und was dagegen getan werden kann. Denn wenn selbst das Studierendenparlament die Universität tadelt, dass ihre Kommunikation in der Angelegenheit unter aller Sau ist, dann ist das schon ein bemerkenswerter Vorgang.

Direkt zu Beginn: Mir liegen keine geheimen Informationen aus dem HRZ vor. Alles was in diesem Artikel steht weiß ich entweder aus dem Vice-Artikel, aus den Mitteilungen des HRZ, oder habe es geraten.

Liebling, ich habe fremde E-Mails gelesen

Für Aufmerksamkeit sorgte in der letzten Woche ein Artikel der Vice vom 18. Mai. Schwere Sicherheitslücke: 42.000 Postfächer der Uni Bonn ließen sich monatelang von außen übernehmen wird da getitelt. Der Artikel wird in sozialen Netzwerken geteilt, oft mit einem Hinweis à la “Huch! Warum weiß ich davon noch nichts?”. Die Reaktion der Universität Bonn: “Ach ja, das. Ist doch ein alter Hut!”.

Die Mitteilung der Universität veweist auf eine ältere Mitteilung des Hochschulrechenzentrums. Bevor wir uns der Frage zuwenden, wer wann was wusste und hätte wen informieren müssen, wollen wir zunächst verstehen, worum es hier überhaupt geht, um die möglichen Auswirkungen des “Problems” abschätzen zu können. Der nächste Teil wird jetzt ein kleines bisschen technisch, aber es sollte trotzdem noch verständlich sein.

Woher weiß der Webmailer, wer ich bin?

Die Wurzel allen Übels liegt darin, dass nicht einfach alle jede E-Mail auf den Mailservern der Universität lesen darf. Nutzerinnen und Nutzer erwarten verständlicherweise, dass nur sie ihre eigenen E-Mails angezeigt bekommen. Wenn ich E-Mails in meinem Postfach habe, die nicht an mich adressiert waren, dann ist das vielleicht noch nervig, aber wenn meine E-Mails in fremdem Postfächern auftauchen und dort gelesen werden, hört der Spaß auf.

Der Webmailer muss also wissen, wer ich bin, damit er mir die richtigen E-Mails heraussuchen und anzeigen kann. Indem ich mich mit Nutzernamen und Passwort anmelde, teile ich dem Webmailer mit, wer ich bin.

Durch die Anmeldung im Webmailer starte ich eine Session. Das hat weder mit Jam noch mit Gespenstern zu tun, sondern ist einfach der englische Begriff für eine Sitzung. Solange die Sitzung läuft / aktiv ist, merkt sich der Webmailer, wer ich bin, und ich muss ihm nicht ständig neu Nutzernamen und Passwort mitschicken. Wenn ich mich schließlich abmelde, vergisst der Webmailer die Session wieder. Das tut er in der Regel auch nach einer bestimmten Zeitspanne, eine Stunde oder so.

Leider sind Webserver etwas beschränkt. Ich muss sie bei jedem Klick den ich mache daran erinnern, in welcher Session ich mich befinde. Zum Glück hat die Session einen eindeutigen “Namen”: Die Session-ID. Nach der Anmeldung im Webmailer taucht sie in der Adresszeile auf:

Die E-Mail-Sicherheitslücke der Uni Bonn

Steht sogar “Session” davor. Nett!

Und alles, was man dann im Webmailer anklickt, führt zu einer Unterseite, die eben diese Session-ID in der Adresse hat.

Die internen Vorgänge in diesem Webmailer hat man sich dann in etwa folgendermaßen vorzustellen:

A: “Yo, da will irgendjemand die Seite https://mail.uni-bonn.de/Session/717825-O8yVqe5Hw1GHgX82Uxq4-aofjcqp/frameset.wssp haben!”

B: “Wat, vun d’r Session 717825-O8yVqe5Hw1GHgX82Uxq4-aofjcqp? Dat es doch *blätter* d’r Zemantek Sven! Däm sing Mails han ich he!”3

Oder so. Die Session-ID ist also mit meinem Account verknüpft. Wer die Session-ID kennt, kann sich als ich ausgeben. Nutzername oder Passwort werden hier nicht benötigt.

Angst bekommen? Dabei fangen wir gerade erst an.

Wer hat uns verraten? Referrer.4

Richtig lustig wird diese Session-ID-Sache, wenn man eine ganz bestimmte Funktion moderner Webbrowser kennt. Klickt man auf einen Link, ruft der Browser die verlinkte Seite ab, schickt aber die Adresse der aktuellen Seite mit, von der der Link stammt. Diese Ursprungsadresse heißt “Referrer”. Wozu man das braucht, weiß wohl niemand. Gut, ein Server kann so sehen, von wo aus auf seine Seiten verlinkt wird, aber mir fällt wirklich keine Funktionalität ein, die nichts mit Tracking zu tun hat und nicht ohne diese Referrer auskäme.

Nun senden Webbrowser die aber zumeist mit, und wir müssen damit klarkommen.

Wisst ihr noch, wie wir oben gesagt haben, dass diese Session-ID niemand außer mir kennen sollte, weil man sich damit gegenüber dem Webmailer als ich ausgeben kann?

Jetzt stellt euch mal vor, ich öffne im Webmailer eine E-Mail und klicke darin auf einen Link.

In diesem Fall zeigt der Link auf meinen eigenen Server, und der schreibt jeden Seitenaufruf in eine Logdatei. Etwa so:

Die E-Mail-Sicherheitslücke der Uni Bonn

Oh, hallöchen! Wir kennen uns doch irgendwoher.

So ein Link zeigt aber nicht zwangsläufig auf meinen eigenen Server. Die übertragenen Informationen sind aber die selben.

FUCK.

Und zwar vor allem, da ich bei fremden Servern nicht weiß, ob sie einer Person gehören, die nur darauf wartet, dass jemand aus dem Uni-Webmailer auf ihre Links klickt. Oder ob auf der Webseite so eine Trafficanalyse-Software läuft. Die zeigen die Referrer aus eingehenden Seitenabrufen nämlich auch gern an.

Nun wissen wir also, wie fremde Personen durch einen Klick auf den falschen Link in mein Postfach kommen.

Schlimmer kommt’s immer

Schaut euch mal diese Nachricht an, die eben in meinem Postfach gelandet ist5.

Die E-Mail-Sicherheitslücke der Uni Bonn

Ah, ein Spongebob-Fan.

Kein Link, also keine Gefahr. Doch halt! Was ist das für ein mysteriöser Eintrag in meiner Webserver-Logdatei?

Die E-Mail-Sicherheitslücke der Uni Bonn

Donnerwetter! Schon wieder diese Session-ID!

Stellt sich raus: Die E-Mail enthält ein eingebettetes Bild. Das wird beim Anzeigen der Nachricht aus dem Internet (sprich, von meinem Server) abgerufen. Und zusammen mit diesem Abruf schickt der Webbrowser – natürlich, warum auch nicht! – die aktuelle Seitenadresse als Referrer mit.

Die E-Mail-Sicherheitslücke der Uni Bonn

Hier ist die Grafik: Ein einzelnes transparentes Pixel. RIP.

Himmelarsch!

Das bedeutet also: Selbst wer nie auf irgendwelche Links geklickt hat, ist nicht sicher. Das Öffnen einer Nachricht reicht.

Gegenmaßnahmen

Es gibt drei Möglichkeiten für den Webmail-Betreiber, das Problem zu beseitigen: Die Session-ID aus der Adresse entfernen, den Versand des Referrers mit der Session-ID verhindern, oder zusätzliche Merkmale mit der Session verknüpfen. Wie würde man das jeweils angehen?

1. Session-ID aus der Adresse entfernen

Kennt ihr diese Cookie-Warnungen auf Webseiten? “Alarm, Alarm, diese Webseite nutzt Cookies! Akzeptieren Sie hier!” Bestimmt schon einmal gesehen.

Ein Cookie ist ein kurzer Text, den der Webbrowser bei jedem Seitenabruf an den Webserver sendet. Hey, wisst ihr, was noch ein kurzer Text ist, der bei jedem Seitenabruf an den Webserver gesendet werden muss? Unsere Session-ID! Wenn wir die in ein Cookie packen, müssen wir sie nicht mehr in die Adresse schreiben. Der Referrer enthält dann auch keine Session-ID mehr. Problem gelöst.

2. Versand des Referrers mit der Session-ID verhindern

Wenn der Webmailer eine E-Mail anzeigt, macht er aus Internetadressen anklickbare Links. Dabei kann er natürlich den einfachen Weg gehen und aus https://example.com den Link auf https://example.com machen. Dann bekommt example.com den Referrer mit der Session-ID wenn geklickt wird, und das ist doof, das wollen wir nicht. Der Webmailer könnte aber auch einen Link auf  (z.B.) https://mail.uni-bonn.de/weiterleitung/https://example.com setzen, und https://mail.uni-bonn.de/weiterleitung/ könnte einfach jeden Aufruf an die Adresse weiterleiten, die dahinter kommt. Wenn man nun so einen Link im Webmailer anklickt, landet man zunächst auf der Weiterleitungsseite, die direkt auf https://example.com weiterleitet. Der Vorteil hierbei: example.com bekommt als Referrer lediglich den Wert https://mail.uni-bonn.de/weiterleitung/https://example.com. Keine Session-ID. Problem gelöst (bis auf dass man dieses Weiterleitungsding implementieren müsste, aber das gibt es sicherlich schon fertig irgendwo).

Facebook nutzt übrigens Vodoo-Magie um den Referer bei angeklickten Links zu setzen. Das könnt ihr zum Beispiel hier ausprobieren. Zum Vergleich.

Gegen das Problem mit den eingebetteten Bildern hilft das natürlich nicht. Da müsste man andere technische Maßnahmen einsetzen, die etwas aufwändiger sind.

3. Zusätzliche Merkmale mit der Session verknüpfen

Problematisch ist, dass “irgendjemand” diesen Referrer-Link aufrufen kann und dann Zugriff auf mein Webmail-Konto bekommt. Dabei sitzt der bestimmt ganz woanders und hat eine andere IP-Adresse als ich. Man könnte bei der Anmeldung die IP-Adresse in der Session “hinterlegen”. Sobald dann eine andere als die hinterlegte IP-Adresse die Session nutzen möchte, ruft der Webmailer “Halt Stopp” und verlangt eine erneute Anmeldung mit Nutzernamen und Passwort bevor es weitergeht. Vorteil: Die Session-ID muss nicht mehr so geheim gehalten werden. Nachteil: Hilft nichts gegen jemanden, der die gleiche IP-Adresse hat. Was das Ganze in der Regel auf im selben Haushalt lebende Personen einschränkt. Dennoch die am wenigsten sichere Variante.

Was hat die Uni nun gemacht?

Zunächst ja offenbar lange gar nichts. Dafür gibt es den Skipper-Kowalski-Rico-Private-lächeln-und-winken-Award. Glückwunsch!

Die Webmail-Anmeldemaske sieht inzwischen folgendermaßen aus. Interessant sind die beiden Checkboxen über dem Anmelden-Button.

Die E-Mail-Sicherheitslücke der Uni Bonn

Viele viele runde Ecken.

Offenbar wurde ein Mischmasch aus 1 und 3 gewählt: Wenn die IP-Adresse sich ändert, wird man aus der Session gekickt. Außerdem wird ein Cookie gesetzt, ohne das man ebenfalls aus der Session gekickt wird. Die Session-ID bleibt aber weiterhin in der Adresse. Interessant sieht das Ganze aus, wenn man die Session-ID aus der Adresse entfernt:

Die E-Mail-Sicherheitslücke der Uni Bonn

Amnesie beim Webmailer. Mal was Neues.

Doch zurück zur Anmeldemaske. Setzt man bei der Anmeldung beide Haken, so besteht das Problem mit dem Referer weiterhin – jeder angeklickte Link, jedes angezeigte Bild öffnet potenziell das Postfach für Dritte. Man muss sich aber im Gegensatz zu vorher aktiv dafür entscheiden, die eingebauten Schutzmechanismen abzuschalten. Ob diese Checkboxen unbedingt nötig sind sei mal dahingestellt.

Kurzzusammenfassung

Wo Problem? Wer im Webmailer der Uni Bonn in einem unbestimmten Zeitraum bis zum 26. April 2017 eine E-Mail mit Bild geöffnet und/oder einen Link in einer E-Mail angeklickt hat, lief Gefahr, dass Dritte kostenlos und einfach6 Zugriff auf das E-Mail-Postfach hatten.

Was konnten diese bösen Dritten alles tun? E-Mails lesen, schreiben, löschen. Einstellungen ändern. Filter einrichten, ändern, löschen. Weiterleitungen einrichten, ändern, löschen. Letztlich alles, wofür man nicht nochmal das Passwort eingeben muss.

Was konnten sie nicht? Das Passwort ändern. Mit der Funktion “Sichere Email” signierte E-Mails verschicken7.

Sollte ich jetzt mein Passwort ändern? Nee. Mit Passwörtern hat die ganze Sache ausnahmsweise gar nichts zu tun.

Ich nutze nie den Webmailer, sondern Outlook/Thunderbird/Handyclient/…. Bin ich betroffen? Nein. Diese Clients schicken nämlich prinzipbedingt keine problematischen Referrer.

Kann man im Nachhinein feststellen, wer auf diese Weise “gehackt” wurde? Schwierig. Verdächtig wären erst einmal alle Sessions, bei denen sich mittendrin die IP-Adresse geändert hat. Um das zu prüfen müsste das Hochschulrechenzentrum aber noch Logdateien mit den Session-IDs und den abrufenden IP-Adressen aus dem zu untersuchenden Zeitraum aufbewahren. Das halte ich für nicht sehr wahrscheinlich. Außerdem kann so etwas auch bei normaler Nutzung passieren, zum Beispiel wenn das Handy vom Mobilnetz ins WLAN wechselt. Falls ihr in euren Einstellungen aber plötzlich eine Filterregel findet, die alle eingehenden E-Mails an totallylegit@nsa.gov weiterleitet, wäre das ein Indiz dafür, dass ihr nicht immer allein in eurem Postfach wart.

Kann ich jetzt behaupten, die E-Mail, in der ich meinen Prof beleidige, habe gar nicht ich im Suff geschickt, sondern ein fieser Hacker? Klar. Ob das allerdings glaubwürdiger ist als “Meine Katze ist über die Tastatur gerollt und das kam dabei raus” möchte ich an dieser Stelle nicht beurteilen.

Worst-Case-Annahme

Falls ihr mal im Uni-Bonn-Webmailer eine E-Mail geöffnet habt, kennt irgend jemand da draußen jetzt den Inhalt all eurer Uni-Mails. gg ez.

Das gilt nicht nur für Studierende: WiMis und Profen, Verwaltungsmenschen, der AStA und auch der SP-Wahlausschuss, alle sind betroffen.

Das klingt ja alles sehr schlimm. Warum hat man da nicht schneller etwas gegen unternommen? Warum hat mich noch niemand informiert?

Tja.

Ist das wirklich eine Sicherheitslücke im Webmailer der Uni Bonn?

Also, technisch betrachtet schickt dein Browser den Referrer an den Server… Dafür kann der Webmailer ja nichts.

Und nun?

  1. Weinen
  2. Das Studierendenparlament hat beim Rektorat nachgehakt8, wie das denn alles sein könne und warum man bitteschön nicht schon längst informiert worden sei. Auf die Reaktion der Universitätsverwaltung darf man gespannt sein.
  1. dazu später mehr
  2. Nachbars Lumpi, Oma Erna, Russische Hacker
  3. Zumindest wenn man dem interaktiven Kölsch-Übersetzer von mingsprooch.de glauben kann.
  4. Referrer sind soweit mir bekannt ist nicht Mitglied der SPD. Die Standardantwort scheidet hier also aus.
  5. Ja, ich schreibe E-Mails an mich selbst. Das ist vollkommen normal!
  6. Mal was anderes: Kennen Sie schon Herrn Wullems?
  7. Vielleicht schon, wenn das Passwort dafür bereits eingegeben wurde? Nutzt aber vermutlich sowieso fast niemand.
  8. Der Link zum Beschluss wird nachgereicht, sobald der Beschluss ausgefertigt wurde und verfügbar ist ist da.

ESC 2017: Jury vs. Publikum

Wie schon 2013, 2014, 2015 und 2016 wollen wir auch dieses Jahr einen Blick auf die detaillierten Ergebnisse des Eurovision Song Contest 2017 werfen und uns zwei Fragen widmen: Wer wurde von den Jurys abgestraft und vom Publikum nach vorn gevotet? Und bei wem ist es umgekehrt?

Die willkürlich gewählte Grenze für “signifikante” Verschiebungen liegt auch in diesem Jahr bei 5 Punkten, denn das haben wir schon immer so gemacht. Zusätzlich werden die Beiträge betrachtet, bei denen auch geringere Verschiebungen Auswirkungen auf ihr Fortkommen im Bewerb hatten.

Zur Erläuterung: Im Abschnitt “Die Jurys” betrachten wir, wie das Juryvoting sich auf die Endplatzierung eines Beitrags im Vergleich zum reinen Publikumsvoting ausgewirkt hat. Im Abschnitt “Das Publikum” hingegen betrachten wir, wie sich die Endplatzierung eines Beitrags durch das Publikumsvoting verbessert/verschlechtert hat im Vergleich zur Platzierung im Juryvoting.

Los geht es mit dem

1. Halbfinale

Die Jurys

up Australien (Isaiah – Don’t Come Easy) gewinnt 9 Plätze (15 ↗ 6)

up Tschechien (Martina Bárta – My Turn) gewinnt 5 Plätze (18 ↗ 13)

down Finnland (Norma John – Blackbird) verliert 2 Plätze (10 ↘ 12)

down Montenegro (Slavko Kalezić – Space) verliert 5 Plätze (11 ↘ 16)

Der kleine Australier in der viel zu großen Kleidung wird von den Juries ins Finale gehievt. Ob sie ihm damit unbedingt eine Freude gemacht haben, sehen wir später noch. Kupferanzug-Martina finden sie auch ganz toll, aber für sie reicht es leider nicht.

Die finnische Amsel mit der Magenverstimmung kann die Juries nicht überzeugen und wird von ihnen aus dem Finale gekickt. Auch der abgespacte Haarzopfhelikoptermann aus Montenegro kann sie irgendwie nicht betören. Unglaublich!

Doch hören wir mal, was

Das Publikum

so meint.

up Belgien (Blanche – City Lights) gewinnt 9 Plätze (13 ↗ 4)

up Polen (Kasia Moś – Flashlight) gewinnt 2 Plätze (11 ↗ 9)

down Georgien (Tamara Gatschetschiladse – Keep the Faith) verliert 3 Plätze (8 ↘ 11)

down Tschechien (Martina Bárta – My Turn) verliert 6 Plätze (7 ↘ 13)

Das Publikum hat offenbar ein sehr großes Herz für verängstigte minderjährige Belgierinnen. Warum sie sie dann zwingen, im Finale noch einmal aufzutreten, versteht wohl niemand. Polen hingegen setzt nach 2014 offenbar zum zweiten Mal auf große Oberweite gepaart mit phallischer Symbolik, um dem Publikum Punkte zu entlocken – erfolgreich genug für den Finaleinzug.

Nicht so gut ergeht es hingegen Georgien und Tschechien: Sie werden vom Publikum unerbittlich in die unteren Ränge gekickt und dürfen das Finale nur von den billigen Plätzen aus mitverfolgen. Und wieder einmal sind sich Juries und Publikum uneins, ob der Tschechische Beitrag ins Finale gehört. Das häuft sich ja, gell.

Blicken wir geschwind auf das

2. Halbfinale

Die Jurys

up Niederlande (O’G3NE – Lights and Shadows) gewinnt 5 Plätze (9 ↗ 4)

up Österreich (Nathan Trent – Running on Air) gewinnt 7 Plätze (14 ↗ 7)

up Dänemark (Anja Nissen – Where I Am) gewinnt 6 Plätze (16 ↗ 10)

down Schweiz (Timebelle – Apollo) verliert 2 Plätze (10 ↘ 12)

down Estland (Koit Toome & Laura – Lost in Verona) verliert 8 Plätze (6 ↘ 14)

Die Juries finden Synchronschnipsen, den Mann im Mond und eine Frau mit kurzen Beinen geil. Dieses seltsame Fetischkonglomerat verschafft immerhin Österreich und Dänemark den Finaleinzug gegen den Willen des Publikums. Gekickt werden hingegen eine Wendeltreppe ins Nichts (knapp) sowie die touristische Erscheinung aus Estland (nicht ganz so knapp).

Das Publikum

up Ungarn (Joci Pápai – Origo) gewinnt 5 Plätze (7 ↗ 2)

up Rumänien (Ilinca feat. Alex Florea – Yodel It!) gewinnt 9 Plätze (15 ↗ 6)

up Kroatien (Jacques Houdek – My Friend) gewinnt 5 Plätze (13 ↗ 8)

down Dänemark (Anja Nissen – Where I Am) verliert 5 Plätze (5 ↘ 10)

down Serbien (Tijana Bogićević – In Too Deep) verliert 1 Plätzle (10 ↘ 11)

down Malta (Claudia Faniello – Breathlessly) verliert 8 Plätze (8 ↘ 16)

Was sagen wir zu Ungarn? Genau:

DIE JURIES WOLLTEN RUMÄNIEN NICHT INS FINALE LASSEN! SCHAFFT DIE SCHÜRIES AB!!! EIN HOCH AUF DAS PUBLIKUM!!!

Oh, die Juries wollten Kroatien nicht ins Finale lassen. Behaltet die Juries! Buuh, Publikum!

Kurzbeinige Austro-Däninnen, pardon, Australio-Däninnen sind beim Publikum dagegen nicht so angesagt. Und weiße Kleider werden gnadenlos aus den Finalrängen gekickt, egal ob mit oberkörperfreiem Tänzer (Serbien) oder ohne oberkörperfreiem Tänzer (Malta).

Finalööö, Oh-oh!

Die Jurys

up Australien (Isaiah – Don’t Come Easy) gewinnt 16 Plätze (25 ↗ 9)

up Norwegen (Jowst feat. Aleksander Walmann – Grab the Moment) gewinnt 5 Plätze (15 ↗ 10)

up Niederlande (O’G3NE – Lights and Shadows) gewinnt 8 Plätze (19 ↗ 11)

up Vereinigtes Königreich (Lucie Jones – Never Give Up on You) gewinnt 5 Plätze (20 ↗ 15)

up Österreich (Nathan Trent – Running on Air) gewinnt 10 Plätze (26 ↗ 16)

down Zypern (Hovig – Gravity) verliert 7 Plätze (14 ↘ 21)

down Polen (Kasia Moś – Flashlight) verliert 10 Plätze (12 ↘ 22)

down Ukraine (O.Torwald – Time) verliert 7 Plätze (17 ↘ 24)

Erneut schieben die Juries den Jungen mit der Mundharmonika mit den viel zu großen Schuhen gegen den Willen des Publikums in die Top 10. Selbiges passiert mit den Kill-kill-kill-kill-Cyber-Norwegern.

Wer ist eigentlich dieser Wilson Philips, von dem alle Kommentatoren reden? Der erklärt jedenfalls offenbar, warum die Niederlande so gepusht werden. Oder liegt es doch an einer Vorliebe für Gold und Glitzer? Davon profitierte auch das Vereinigte Königreich. Die Österreichische Urheberrechtsverletzung schließlich bekommt von den Juries 93 Punkte und schiebt sich damit vor auf einen soliden Platz 16 – mehr Punkte gab es dann aber an jenem Abend nicht mehr für die Alpenrepublik1. Laterne, Laterne!

Nicht so geil finden die Juries offenbar eine neue Interpretation von Linedance (Zypern), Polinnen mit Hunden und einen

Höhöhöhö. Sie alle leiden unter der Jurywertung.

Doch kommen wir nun zum wichtigsten Akteur des gesamten Bewerbs: Menschen des Eurovisionsgebiets.

Das Publikum

up Moldawien (SunStroke Project – Hey Mamma) gewinnt 5 Plätze (8 ↗ 3)

up Belgien (Blanche – City Lights) gewinnt 5 Plätze (9 ↗ 4)

up Rumänien (Ilinca feat. Alex Florea – Yodel It!) gewinnt 7 Plätze (14 ↗ 7)

up Ungarn (Joci Pápai – Origo) gewinnt 9 Plätze (17 ↗ 8)

up Frankreich (Alma – Requiem) gewinnt 7 Plätze (19 ↗ 12)

up Kroatien (Jacques Houdek – My Friend) gewinnt 9 Plätze (22 ↗ 13)

down Australien (Isaiah – Don’t Come Easy verliert 5 Plätze (4 ↘ 9)

down Niederlande (O’G3NE – Lights and Shadows verliert 6 Plätze (5 ↘ 11)

down Vereinigtes Königreich (Lucie Jones – Never Give Up on You verliert 5 Plätze (10 ↘ 15)

down Österreich (Nathan Trent – Running on Air verliert 5 Plätze (11 ↘ 16)

down Dänemark (Anja Nissen – Where I Am verliert 7 Plätze (13 ↘ 20)

Die Juries haben zwar etwas gegen gute Laune, aber das Publikum lässt sich davon nicht beirren und schiebt Moldawien in die Top 3! Darauf ein Party-GIF.

ESC 2017: Jury vs. Publikum

In Eurovision Moldova, sax plays you!

Von der Partystimmung profitiert ebenfalls Belgien… OK, nein, aber das Publikum hat immer noch ein Herz für verängstigte Minderjährige. Party aber bei Jodel-Rumänien (Yodele yodeleioo), dem Ungarn, der sich extra fürs Finale mal ein anderes Jäckschen angezogen hat, der Französin mit Eiffelturm im Hintergrund (wenn auch nicht durchgehend) und dem Kroaten, dessen Frosch im Hals auch noch halbwegs singen kann. Bei den beiden erstgenannten reicht es sogar für eine Top-10-Platzierung. Yay! Yodel-yay.

In der Reihe der Beiträge, die durch das Publikum abgestraft werden, finden wir vor allem alte Bekannte. Australien, Niederlande und Vereinigtes Königreich haben Beiträge, bei denen die Meinungen von Jury und Publikum so stark divergieren, dass sie direkt in beiden Aufzählungen auftauchen – an dieser Stelle als Verlierer. Dass 0 Publikumspunkte Österreich nur 5 Ränge abstürzen lassen, ist ja eigentlich skandalös, gell. Und die australische Dänin hat es immer noch nicht in die Publikumsgunst geschafft, landet aber unfairerweise noch weit hinter ihrem Landsmann.

Fazit

Kommen wir zur Gretchenfrage:

Sven, was hältst du vom Gewinner?

Lassen wir hier eine Teilnehmerin sprechen:

ESC 2017: Jury vs. Publikum

Gut, das ist jetzt auch fies, auf einzelnen Frames sieht man selten gut aus.
Quelle: Internet

Es ist ja folgendermaßen: Lordi fand ich damals schrecklich, Loreen fand ich damals schrecklich, Måns Zelmerlöw fand ich damals schrecklich schleimig, Jamala fand ich damals schrecklich. An alle habe ich mich gewöhnt. Über den Sieg von Salvador Sobral mit diesem 30er-Jahre-Disney-Hintergrundgedudel habe ich mich ebenfalls herrlich aufgeregt. Aber auch daran werde ich mich voraussichtlich gewöhnen.

Bis zum nächsten Jahr läuft jedoch das hier in Dauerschleife:

  1. Ich sollte mal mein Synonymwörterbuch durch eine neuere Ausgabe ersetzen.

ESC-Plotmania 2017

Wäre ich einer dieser ominösen russischen Hacker, von denen man in letzter Zeit überall liest, hätte ich gemacht, dass der Trollbeitrag von Portugal gewinnt. Ich sag’s nur.

Auch in diesem Jahr hat die EBU direkt nach dem Finale die detaillierten Wertungen der beiden Halbfinals sowie des Finales veröffentlicht. Dabei haben sie das ganze in ein neues dynamisches shiny sparkling Interface gepackt. Leider haben sie dabei vergessen, dass Rohdaten das einzig Wahre sind. So durfte ich mir die Daten für meine Balkendiagramm-Skripte mühsam über eine komische API abfragen. Als dann auch noch die API meinte, Sonntags einen Ruhetag einlegen zu müssen, habe ich entnervt manuell die Tabellen aus dem shiny sparkling Interface kopiert.

ESC-Plotmania 2017

Ey nerv nicht!

Positiver Nebeneffekt der ganzen Angelegenheit: Die Daten waren nun wieder im selben Format wie in den letzten Jahren. Die nächtlichen Skriptanpassungen hätte ich mir also sparen können.

Nun denn. Was sagen uns die Zahlen?

Blicken wir zunächst auf die Punkteverteilung im Finale, getrennt nach Jury- und Publikumspunkten.

ESC-Plotmania 2017

Punkte im Finale, getrennt nach Televoting und Juries, sortiert nach Televoting.

Es fällt auf, das die ersten vier Plätze denen der reinen Televote-Reihung entsprechen. Während Portugal und Bulgarien etwa gleich viele Jury- wie Publikumspunkte erhalten haben, konnte bei Moldawien und Belgien die eher maue Jurywertung die gute Platzierung zum Glück nicht verhindern. Sehr oft sind sich Jury und Publikum aber nicht einig.

Spaßfakt: Nach dem bis 2015 eingesetzten System zur Punkteberechnung hätte Portugal 417 von 492 erreichbaren Punkten 84,7 % der maximal erreichbaren Punkte bekommen – und wäre damit in der ewigen Bestenliste nach maximal erreichbaren Punkten auf Platz 1 statt 10.

Das ist so, weil sich bei diesem Beitrag Juries und Publikum oft einig über eine hohe Punktzahl waren, was im alten System der Schlüssel zum Erfolg war.

Anderswo sieht es anders aus: Australien und Österreich, im Englischen gern verwechselt, machen hier auch noch ähnliche Dinge:

Nun sind wir auch seelisch bereit für einen Blick auf die Schlusslichternden dieses Abends: Deutschland und Spanien.

An mehreren Jurypunkten ist Deutschland ganz knapp vorbeigeschrammt – nicht einmal das kann man bei Spanien sagen. Die haben lediglich die Mitleidspunkte von Sieger und Nachbarstaat Portugal.

Apropos Mitleidspunkte: San Marino im 2. Halbfinale.

ESC-Plotmania 2017

Ist das der Siegelbonus? Man weiß es nicht.

 

Was auch noch geht: Vergleichen, wie die sich die Einsortierung eines Beitrags durch die einzelnen Jurymitglieder vom Halbfinale zum Finale hin verändert. Belgien scheint da großflächig einen Schub verpasst bekommen zu haben. Wenn man mal Albanien D ignoriert.

ESC-Plotmania 2017

(Irgend ein Wortwitz mit City Lights)

In der nächsten Woche folgt dann sicher noch die Analyse, welche Beiträge von Jury- oder Publikumswertungen profitiert haben. Bis dahin gibt es hier schon einmal die geballte Ladung Grafiken:

escplots2017.zip

Viel Spaß damit.