Aus dem Rechenzentrum

Zugegeben: Es war eine schwere Geburt. Das Kontaktformular der Lexmark-Rewards-Website erlaubt zwar die Eingabe beliebig vieler Zeichen, schneidet dann aber nach 2.000 Zeichen alles ab. Die erste wirklich auf meine Anfrage eingehende Antwort war dann eine Aufstellung dreier übermittelter Werte, was mich zur Reaktion veranlasste, das könne ja kaum alles sein; schon in der Online-FAQ stünde schließlich mehr. Stimmt, erhielt ich die überraschende Antwort: Das seien nur die Werte, die über das hinausgingen, was auf der Website genannt würden. Irritiert merkte ich an, dass jene drei genannten Werte durchaus zu jenen gehörten, die bereits auf der Website stehen würden, und dass dort sogar noch viel mehr stehen würden – die Auflistung aus der Mail also doch keineswegs vollständig sein könnte. Wie schon gesagt.

Nach einigem Hin und Her – die Betreffzeile ist inzwischen bei „Re 7: Lexmark Rewards KONTAKT“ angekommen – erreichte mich nun eine Mail, die auch wirklich den Eindruck macht, den Umfang der Datenübermittlung vollständig zu nennen. Nun also, bitteschön:

Sehr geehrter Her Pasche,

ich habe soeben Nachricht vom rewards team erhalten:

Bei Übermittlung der Daten über die Toner-Kartusche werden automatisch die

1. Seriennummer des Druckers
2. Seriennummer der Kartusche
3. SID (Sicherheits-ID)
4. Anzahl der gedruckten Seiten
5. Tonerabdeckung pro Seite in Prozent (%)
6. Abnutzungsgrad des Imaging Kits (%)
7. Info über die ausschließliche Verwendung von Original Lexmark Tonerkassetten (ja/nein)

gespeichert.

Es werden keinerlei Informationen gespeichert über:

1. was gedruckt wurde
2. wann etwas gedruckt wurde
3. von wem etwas gedruckt wurde
4. von wo etwas gedruckt wurde
5. irgendwelche persönlichen Informationen

Dafür reicht die Größe des Speichers auf dem Chip (wenige K) ohnehin auch nicht aus.

Persönliche Daten werden ausschließlich durch die Verbindung der Online-Registrierung mit der Seriennummer des Druckers, gespeichert auf der Kartusche, hergestellt bzw. umgesetzt, um die Zusendung der kostenlosen Kartuschen bzw. Imaging Kits vornehmen zu können.

Herzlichen Dank an Lexmark, es hier letzten Endes zu einer sachlichen Antwort zu bringen und sich nicht hinter „Das ist ein Geschäftsgeheimnis“ zu verstecken. Auf dieser Basis kann ich nun auch eine verantwortliche Entscheidung treffen, ob ich der Übermittlung der gespeicherten Daten zustimme oder nicht.

Eins muss man o2 lassen: Die Verarbeitung von Anfragen funktioniert sauber und zuverlässig. Es kommt eine SMS, sobald ein Schreiben eingegangen ist (auch wenn’s auf dem traditionellen Postweg geschickt wurde), und Rückrufe kommen zuverlässig. So auch heute morgen, als mein Handy klingelte und die Kundenberatung dran war.

Nur inhaltlich, da brachte mich der Rückruf kein Stück weiter. Es ging noch einmal um das inzwischen aktiv gewordene Verbot der Nutzung des Internet Pack M mit Net-/Notebooks bei Neuverträgen. Natürlich wurde mir ausdrücklich nochmal bestätigt, dass das nicht meinen laufenden Vertrag betreffen würde; auch nicht bei einer Verlängerung. Gut, soweit klar, das wurde ja schon vorher kommuniziert. Jetzt ist es mir gegenüber aber auch nochmal persönlich geäußert worden; schön.

Was die Begründung für das Nutzungsverbot mit Net-/Notebooks anging, zog’s mir allerdings die Schuhe aus: Sehr viele Kunden hätten das Internet Pack M mit Netbooks benutzt, und dann sei nach 200 MB die (vertragsgemäße!) Drosselung auf GRPS erfolgt, und das habe Kunden verärgert, was o2 „viel Schaden zugefügt“ habe. Jetzt würde man die Kunden zum Internet Pack L (mit mehr UMTS-Volumen inklusive) oder zum Internet Pack M+ (neu, mit so einer Zwischengröße an UMTS-Volumen) bringen, und damit hätte man eine viel größere Zufriedenheit. Ich merkte an, dass man die Kunden, die wegen der Überschreitung des UMTS-Volumen meckern würde, doch einfach darauf hinweisen könnte, dass sie gedrosselt wurden, weil das Volumen des Vertrags überschritten sei, dessen Umfang sie sich selbst ausgesucht hätten, und Ihnen bei der Gelegenheit dann das M+ oder das L ans Herz legen könne – deswegen müssen man aber ja noch lange nicht die Nutzung von Net-/Notebooks beim M-Tarif verbieten.

„Das tun wir zur deutlichen Verbesserung unseres Service“, „Glauben Sie mir, das haben sich bei uns ganz schlaue Köpfe ausgedacht“ (WTF?!), aber auch ein „Ich weiß leider auch nicht im Detail, was genau sich unser Marketing dabei gedacht hat“. Mehr kam da nicht – kein technisches Argument; keine Begründung. „Natürlich“ habe man das nicht gemacht, um die Kunden in ein größeres Paket zu zwingen (d’oh!). Das sei wirklich nur zur Erhöhung der Kundenzufriedenheit. Auch mein Hinweis, dass man durch den Zwang zu M+ oder L das Problem, dass Kunden offensichtlich nicht begreifen, was „Volumen“ oder „Drosselung“ bedeutet, lediglich verschiebt (denn auch M+ und L sind natürlich volumenbegrenzt und werden danach gedrosselt), verhallte ungehört. „Ich kann Sie ja verstehen, aber Sie müssen auch unsere Lage verstehen“ – nein, ehrlich gesagt verstehe ich die nicht, und die Einschränkung eines Tarifs als „Verbesserung des Service“ zu bezeichnen, weil man Netbook-Nutzer jetzt in einen höheren Tarif zwingt, scheint mir schon ein harter Fall von kognitiver Dissonanz zu sein. Nur weil man, überspitzt ausdrückt, auch einige Kunden der etwas tumberen Sorte hat, die nicht begreifen, dass sich die gebotenen Tarife schlicht durch die Inklusivvolumina unterscheiden, sondern schon beim kleinsten Paket „Boah, Flatrate! Geilomat!“ grunzen, kann das ja schlecht ein Grund sein, den Kunden, die den Unterschied zwischen den Tarifen verstanden haben (was ja nun kein Geheimwissen ist), zwangsweise Verträge aufs Auge zu drücken, die mehr beinhalten und mehr kosten, als man eigentlich braucht und will. Ich für meinen Teil nutze zum Beispiel das Netbook nur auf Reisen. Mit 200 MB Volumen komme ich locker aus; das reicht auch noch für ein wenig Handy-Surfen nebenher. Und genau auf der Basis habe ich das Internet Pack M auch schon vielen empfohlen: Günstig, und reicht.

Damit ist jetzt Schluss, wie nun auch der freundliche Mann an der Hotline zerknirscht zur Kenntnis genommen hat. Keine Empfehlung mehr für o2. Eher noch eine Warnung. Nicht etwa, weil das Internet Pack M+ oder L schlechte Produkte wären – das sind sie gewiss nicht. Aber von Unternehmen, die ihre Kunden mit sachlich unbegründeten Verboten für die Nutzung bestimmter Geräte bevormunden, will man eben auch nichts kaufen.

Übrigens ist die Neuigkeit auch bei o2 noch nicht überall angekommen. So findet sich unter dem Titel „Mobiles Internet auf Ihrem Netbook“ immer noch dieser Text auf der o2-eigenen Website:

[…] In Verbindung mit einem der Surf Packs von o2 ist Mobiles Internet über ein Netbook auch ganz einfach umsetzbar.

Die günstigen Datentarife beginnen bei einer minutengenauen Abrechnung – orientiert am tatsächlichen Bedarf – bis hin zu einer Mobile Internet Flatrate in den Tarifen o2 Internet-Pack-M und o2 Internet-Pack-L. […]

Vielleicht sind aber ja die schlauen Köpfe bei o2 auch schlau genug, um mitzubekommen, dass das hauseigene Twitter-Team sich seit Tagen den zig Anfragen von Leuten widmen muss, die genausowenig glauben können wie ich, was o2 da tut. Und damit nicht der Eindruck entsteht, die Leute fragten, nur um anschließend „ach so, wollte ich nur mal wissen“ zu sagen, sondern sich tatsächlich aufregen, braucht man nur mal ein bisschen durch die einschlägigen Foren zu klicken.

Wollen wir doch mal sehen, ob sich die neue Regelung dauerhaft hält. Ich kann mir kaum vorstellen, dass die Unzufriedenheit der Kunden, die von der 200-MB-Drossel kalt erwischt wurden, so groß ist wie die der Leute, deren Welle der Empörung jetzt gerade auf o2 zuschwappt. Wirklich schlaue Köpfe würden sich da sicherlich fragen, ob man da wirklich das Richtige getan hat.

Am Wochenende hatten wir den Fall das bei einer Xen-Instanz das Dateisystem geprüft und ggf. repariert werden musste. Die Xen-Instanz liegt in diesem Fall in einem Image (gast.img)  welches mit Hilfe des Block-Tap-Mechanismus (blktap) zur Verfügung gestellt wird.

Inhalt des Images gast.img:

 Partition 1     -> /boot
 Physical Volume -> VolumeGroup00 -> LogVol00 (/)  [80 GB]

                                  -> LogVol01 (swap)

Jetzt ist es so, das durch die damals vorgenommene Defaultinstallation das Dateisystem des Wirtes (xenwirt) ebenso aufgebaut ist wie das des Gastsystems:

 Partition 1     -> /boot
 Physical Volume -> VolumeGroup00 -> LogVol00 (/)   [320 GB]
                                  -> LogVol01 (swap)

Ok, zurück zum Thema. Wir wollen das Dateisystem des Gastes checken (fsck) und anschließend einbinden (mounten). Nachfolgend alle notwendigen Schritte:

Mit Hilfe von kpartx alle Partitionen des Images erkennen und die dazugehörige device-map (/dev/mapper/loop<Loopbackdevice>p<Partitions>) erstellen

kpartx -a /xen/gast.img

Angenommen kpartx verwendet jetzt das Loopbackdevice /dev/loop7, dann findet man jetzt die Partitionen des Images unter /dev/mapper/loop7p*. Die erste Partition (/boot) kann man jetzt schon direkt ansprechen und z.B. einbinden (mount /dev/mapper/loop7p1 /mnt/tmp). Durch das Ausführen von vgscan werden jetzt die neu hinzugekommenen VolumeGroups gefunden und diese könnten jetzt sogar eingebunden und verwendet werden. Hier stoßen wir jetzt leider nur auf unser kleines o.a. Problem: Beide VolumeGroups haben den gleichen Namen, nämlich VolGroup00. Damit wir nun die „richtigen“ LogicalVolumes ansprechen können müssen wir die neu hinzugekommene VolumeGroup umbenennen.  Dazu kopieren wir uns die UUID der VG (die mit der Größe von 80GB) die uns das Kommando vgs liefert und nutzen die ID als Identifikationsmerkmal.

vgscan

vgs -v

Als neuen Namen verwenden wir nun etwas Eindeutiges.

vgrename H3sOYJ-ywTE-vNTf-pm0i-De3zXU VolGroupGuest01

Jetzt können wir die umbenannte VolumeGroup aktivieren damit uns (endlich) unter /dev/VolGroupGuest01/ die Logical Volumes bereitstehen. Einer Überprüfung der  root-Partition des Gastes steht nun nichts mehr im Weg.

vgchange -ay VolGroupGuest01

fsck.ext3 -C -f /dev/VolGroupGuest01/LogVol00

Da wir den Namen der VolumeGroup nach dem fsck jetzt nicht wieder in VolGroup00 umbenennen können (da es diese VG ja schon gibt!), ist es Notwendig das Gastsystem anzupassen. Wir binden das Gastsystem unter /mnt/guest1 ein und ändern die Grubkonfiguration /boot/grub/grub.conf, die /etc/fstab und die initrd folgendermaßen ab:

Einbinden des Gastsystems:

mount /dev/VolGroupGuest01/LogVol00 /mnt/guest1

mount /dev/mapper/loop7p1 /mnt/guest1/boot

Anpassen /etc/fstab

perl -pi -e „s/VolGroup00/VolGroupGuest01/“ /mnt/guest1/etc/fstab

Anpassen /boot/grub/grub.conf

perl -pi -e „s/VolGroup00/VolGroupGuest01/“ /mnt/guest1/boot/grub/grub.conf

Anpassen /boot/initrd-*

mkdir ~/tmp
cd ~/tmp
cp /mnt/guest1/boot/initrd-<KERNELVERSION>.img ./initrd.gz
gunzip initrd.gz
mkdir content
cd content
cpio -id < ../initrd

perl -pi -e "s/VolGroup00/VolGroupGuest01/" ./init

cd ~/tmp/content
find . | cpio --create --format='newc' > ~/tmp/newinitrd
cd ~/tmp
gzip newinitrd
mv newinitrd.gz /mnt/guest1/boot/initrd-<KERNELVERSION>.img

Jetzt können wir das Dateisystem wieder aushängen, die VolumeGroup deaktivieren, das Devicemapping entfernen und das Loop-Device aushängen.

umount /mnt/guest1/boot

umount /mnt/guest1

vgchange -an VolGroupGuest01

kpartx -d /dev/loop7

Das Image steht jetzt wieder wie gewohnt für xen zur Verfügung. In unserem Fall ist der Gast ohne weitere Probleme gebootet.

Zynismus liegt mir selten, aber in diesem Fall kann ich mir ein kopfschüttelndes „Unsere Steuergelder bei der Arbeit“ nicht verkneifen.

Ein Küchenhändler lässt sich per Vorkasse bezahlen und liefert nicht. Die genauen Details sind mir nicht bekannt, aber die einschlägigen Foren sind voll davon; die Liste der Geschädigten umfangreich. Man spricht von Betrug, Insolvenzverschleppung; die Stichhaltigkeit der Vorwürfe entzieht sich meiner Kenntnis.

Darum soll es auch gar nicht gehen. Es geht darum, dass der Küchenhändler auch eine Website hat. Die hat er sich mitsamt Domain bei einem meiner Kunden bestellt und auf dessen Server gehostet, der seinen Platz in einem unserer Racks im Rechenzentrum hat.

Die Ermittlungen ziehen sich seit Monaten hin. Mitte Januar erhielt ich eine Anfrage der Hamburger Polizei mit einem Auskunftsersuchen zur IP-Adresse der fraglichen Website, in der auch der Domainname genannt wurde. Ich konnte daher nicht nur die gewünschte Auskunft erteilen, sondern aufgrund der Nennung des Domainnamens auch gleich Details ergänzen, da mir der Vorgang aufgrund von Beschwerden von Geschädigten bereits bekannt war. Ich nutzte daher die Gelegenheit, um auch gleich aufzuklären, welche Rollen ich (Serverhosting-Provider) sowie mein Kunde (Webhosting-Provider) hierbei spielen – nämlich gar keine, so wie ja auch der Vermieter des Küchenhändlers nichts für dessen Nichtlieferung kann, genausowenig wie, sagen wir, dessen Telefonanbieter. Ich schloss mit dem ausdrücklichen Hinweis darauf, dass sowohl ich als auch mein Kunde unsere weitergehende Kooperation anbieten, wenn es beispielsweise noch um Protokollauszüge von FTP- oder E-Mail-Logins ginge.

Monatelang hörte ich nichts mehr von diesem Verfahren. Bis ich Ende April eine Vorladung von der Polizei Mainz erhielt. Als Beschuldigter. Wegen Warenbetrugs. Ich fiel aus allen Wolken. Nachdem ich über meinen Rechtsanwalt Akteneinsicht gefordert hatte, war klar: Es geht um diesen Küchenhändler.

Mein erster Gedanke war: Könnte die Mainzer Polizei nicht freundlicherweise mal mit der Hamburger Polizei reden, der ich ja nun schon umfangreich Auskunft erteilt hatte? Von meinem Kunden wusste ich zudem, dass er bereits drei weiteren Polizeistellen ebenfalls Auskünfte erteilt hatte – was nebenbei kein besonders gutes Licht auf die interne Kommunikationsfähigkeit der Polizeistellen wirft.

Bei Durchsicht der Akte gemeinsam mit meinem Rechtsanwalt stellten wir dann überrascht fest: Meine Stellungnahme befindet sich bereits in der Akte. Sie wurde auch zur Kenntnis genommen; finden sich doch mehrere handschriftliche Markierungen und Unterstreichungen darauf.

Was sich in der Akte hingegen nicht fand, war irgendein Versuch einer Kontaktaufnahme mit meinem Kunden, um weiter zu ermitteln. Er hätte ihnen dann vermutlich als vierter Polizeistelle die gleiche detaillierte Auskunft mit allen Kontaktdaten des Küchenhändlers erteilt wie schon den drei Polizeistellen davor. Namen und Kontaktdaten aller ihm bekannten beteiligten Personen; in Deutschland, Schweiz, Luxemburg. Kurz: Wertvolle Informationen für die Ermittlungen, nicht zuletzt, da er auch mitteilen konnte, bei welchen anderen Polizeistellen sonst noch in dieser Sache ermittelt wird, womit er genau die Vernetzung hätte herstellen können, die die Polizei alleine offensichtlich nicht auf die Reihe bekommt.

Stattdessen ist der nächste Vorgang in der Akte etwas, was ich nur kopfschüttelnd zur Kenntnis nehmen kann: Die Hamburger Polizei übergibt die Akte an die Staatsanwaltschaft Koblenz. Wieso, das frage nicht nur ich mich, sondern auch die Koblenzer Staatsanwaltschaft: Sie sendet die Akte an die Staatsanwaltschaft Hamburg, mit dem Vermerk, die Tatortzuständigkeit nach § 7 StPO läge nun mal eben dort – und mit dem Seitenhieb, dass nebenbei für den Beteiligten „Pasche“ die Staatsanwaltschaft Mainz zuständig wäre und somit in Koblenz keine Zuständigkeit erkennbar sei.

Am 30. April 2010 – über vier Monate nach meiner Auskunft; vier Monate, in denen nichts Weiteres ermittelt wurde – trifft die Akte bei der Polizei in Mainz ein. Die Hamburger Staatsanwaltschaft weist an, die Ermittlungen abzuschließen und mich als Beschuldigten zu vernehmen.

Die Antwort meines Anwalts wird knapp ausfallen. Ein Verweis auf Seite 17 der Akte. Mit meiner detaillierten Stellungnahme zur Sache. Er habe selten einen Fall gesehen, in dem derartig schlampig ermittelt worden sei. Einem Strafverfahren sehe ich von daher gelassen entgegen. Im Grunde wäre es sogar wünschenswert, wenn es dazu käme: Im Fall eines Freispruchs – wovon angesichts der Sachlage zweifellos ausgegangen werden muss – bekäme ich so nämlich zumindest noch die Kosten für meine rechtsanwaltliche Verteidigung erstattet. Soweit wird es aber sicher nicht kommen. Ich kann mir nämlich nicht vorstellen, dass ein Richter angesichts dieser offenkundigen Sachlage ein Verfahren überhaupt eröffnen würde.

Insbesondere angesichts der massiv gestiegenen Begehrlichkeiten zum Beispiel in Sachen Internetsperren oder der Vorratsdatenspeicherung wird mir – und das ist durchaus nicht zynisch gemeint, sondern bitter ernst – Angst und Bange, wenn in Zukunft noch machtvollere Instrumente in die Hände von inkompetenten Beamten gelegt werden sollen. Mir scheint, ein gehöriges Maß an Fortbildung wäre hier wesentlich angemessener. Und es ist beileibe nicht so, dass ich im Laufe der letzten Jahre nicht schon wiederholt Polizeibeamten im Zuge von Ermittlungen nicht nur kurze Auskünfte erteilt hätte, sondern auch detaillierte Erklärungen über technische Zusammenhänge, die durch die Bank weg interessiert, dankbar und oft sogar überrascht zur Kenntnis genommen wurden. Ich weiß nicht, ob es die Regel ist, nach einer Auskunft Tage später nochmal ein ausdrückliches Dankeschön für die hilfreichen Erklärungen zu bekommen – ich nehme an, eher nicht, und freue mich um so mehr über entsprechende Rückmeldungen der letzten Zeit.

Jene Beamten hatten aber eben zumindest soviel Sachverstand, mich als Zeuge zu befragen. Wer mich als Beschuldigten vorlädt, kann dann auch entsprechend nur mit knappen Antworten und nur einem Minimum an Kooperation rechnen. Dass die Polizei erstmal ihre eigenen Hausaufgaben macht, kann ja nun wohl nicht zuviel verlangt sein.

Seit einiger Zeit benutze ich einen Farblaserdrucker von Lexmark. Nun ist es ja so, dass insbesondere im unteren und mittleren Preissegment die Druckerhersteller ihre Umsätze in erster Linie mit Verbrauchsmaterial machen (vor allem im Bereich der Tintenstrahler, die inzwischen schon für zweistellige Summen über den Ladentisch gehen und einzelne Patronen zum Teil teurer sind als der ganze Drucker). Es ist also durchaus ein Umsatzproblem für die Hersteller, wenn sich ein Kunde einen Drucker zum billigen Preis zulegt und dann aber das Verbrauchsmaterial lieber von wesentlich günstigeren Alternativherstellern bezieht statt die teuren Originalprodukte vom Hersteller.

Lexmark hat sich nun etwas Interessantes ausgedacht: Man kann seinen Drucker bei einem Reward-Programm anmelden, dann sendet man seine leeren Tonerkartuschen zurück, und diese werden auf einem Konto gesammelt. Pro einer gewissen Anzahl von Rücksendungen gibt’s dann eine kostenlos eine neue Tonerkartusche sowie Imaging Kits bei Bedarf. Natürlich werden ausschließlich Rücksendungen von Originalkartuschen berücksichtigt. Man mag nun natürlich einwenden, dass Lexmark die Kosten für dieses Programm natürlich irgendwie in den Drucker-/Tonerpreis eingerechnet haben wird, aber der Schachzug ist geschickt: Sie schaffen es nämlich, ein Gefühl beim Käufer dafür zu wecken, dass Loyalität gegenüber dem Hersteller sich lohnt. (Ob das tatsächlich der Fall ist, sei mal dahingestellt; allein über die Qualitätsunterschiede zwischen Hersteller- und Fremdtoner ließen sich hässliche Diskussionen vom Zaun brechen.)

Da man fürs Recycling einfach nur seine leere Tonerkartusche zurücksenden muss und nichts weiter, stellte sich mir die Frage: Wie machen die das? Irgendwie muss die Kartusche ja mir bzw. meinem Drucker zugeordnet werden, damit das mit dem Rewards-Programm funktioniert. Am wahrscheinlichsten dürfte daher sein, dass sich der Drucker selbst bei Nutzung der Kartusche irgendwie mit seiner Seriennummer „verewigt“. Also habe ich mich auf die Suche nach weiteren Informationen gemacht, was so eine Tonerkartusche sonst noch weiß.

Um es kurz zu machen: Die Datenschutzbestimmungen des Reward-Programms schweigen sich interessanterweise schon mal darüber aus – diese beziehen sich nur auf die persönlichen Daten, nicht auf die Daten der Tonerkartusche. Die Nutzungsbedingungen formulieren schon etwas konkreter:

Durch Ihre Teilnahme an dem Programm stimmen Sie darüber hinaus der Sammlung und Nutzung der durch die Rückgabe der leeren Druckkassetten erworbenen Daten (z. B. Seriennummer von C540/X540, Anzahl der gedruckten Seiten) zu.

Das einschränkende „z. B.“ lässt schon vermuten, dass das nicht alles ist. Die FAQ verrät dann schließlich mehr dazu, aber nicht in einer handlichen Übersicht, sondern nur hier und da häppchenweise, und auch wiederum nur als exemplarische Beispiele. Aber auch die haben es schon in sich. Zusammengestellt geht es – mindestens! – um folgende Dinge, die auf der Tonerkartusche gespeichert werden und die von Lexmark nach der Rücksendung ausgelesen und ausgewertet werden und die blumig mit dem Satz „Jede Gerätenutzung wird individuell aufgezeichnet“ zusammengefasst werden:

• Seriennummer des Druckers
• Anzahl der gedruckten Seiten
• Tonerabdeckung pro Seite in Prozent
• Abnutzung des Imaging Kits

… und als besonderes Schmankerl:

[…] gibt jede zurückgeschickte Tonerkassette Auskunft […] und überprüft, ob Sie seit der Erst-Installation Ihres Druckers ausschließlich Original Tonerkassetten von Lexmark verwendet haben.

Das ist wie gesagt das Minimum dessen, was Lexmark in den Tonerkartuschen erfasst. Damit kann man natürlich durchaus einverstanden sein – man bekommt ja immerhin auch etwas dafür. Aber zumindest für diejenigen, die nicht genauer nachgelesen haben, wollte ich zumindest mal erwähnt haben, dass man Lexmark weit mehr zurückschickt als nur einen hohlen Kunststoffblock.

Zum Schluss noch ein Blick in die Geräte-Patentlizenz:

Der patentierte Drucker ist lizenziert für und funktioniert nur mit echten Lexmark Druckkassetten und Entwicklerkomponenten während der Lebensdauer des patentierten Druckers. Sie verpflichten sich: (1) nur Lexmark Druckkassetten und Entwicklerkomponenten mit diesem Drucker zu verwenden […]

Wer also nicht gerade dazu bereit ist, auf seine Garantie zu pfeifen, wenn mal was am Drucker kaputt ist, der sollte sich hüten: Zurückgesendete Tonerkartuschen verraten Lexmark gnadenlos, wenn man mal – und sei es auch nur einmal zwischendurch – eine Kartusche aus dem Nachfüllshop an der Ecke benutzt hat. Selbst wenn das schon längere Zeit zurückliegen sollte. Wie sich das auf die Erfüllung der Garantie auswirkt, wird man sich denken können.

Das Internet ist eine schicke Sache: Nicht nur Websites kann man sich dort anschauen; man kann auch darüber telefonieren, Dateien tauschen, sich E-Mails schicken oder auch Instant Messages.

Die Mobilfunkbetreiber bringt das rasch in eine Zwickmühle: natürlich möchte man auch gerne an diesem schönen neuen Interdings teilnehmen, zumal man gehört hat, dass es bei den Kunden wohl gut ankommt. Der Haken ist: Mittelfristig kappt man sich dabei fast alle bestehenden Geschäftsmodelle. Sicher, VoIP ist im Mobilfunknetz nicht immer eine Freude (aber auch im Festnetz nicht immer). Aber insbesondere SMS, für die die Netzbetreiber immer noch einen hypothetischen MB-Preis von über 1000 Euro nehmen, will nun wirklich niemand mehr, der auf dem Handy lieber seine Jabber-, ICQ- oder MSN-Kontakte pflegen will.

Das Erste, woran Netzbetreiber dann gerne herumfrickeln, ist die Netzneutralität – kurz, man betrachtet IP-Paket nicht mehr einfach nur als IP-Paket, sondern mischt sich beispielsweise in die Frage ein, welche Protokolle genutzt werden dürfen: Ein Blick in die jeweiligen AGB verrät, dass fast jeder Netzbetreiber kategorisch untersagt, in seinem Netz VoIP oder Instant Messaging zu benutzen. Manche verkaufen sogar zusätzliche Pakete dafür, dass man diese Dienste nutzen darf, was mich wiederum zu der Frage bringt, ob es dann überhaupt noch zulässig ist, die jeweiligen Grundpakete als „Internetzugang“, „Internetflatrate“ oder Ähnliches zu bezeichnen, wenn es eigentlich nur Surf- und E-Mail-Pakete sind und keine vollwertigen IP-Zugänge. Im Ernst, wenn ich Internet bestelle, will ich auch Internet bekommen und nicht nur ein Teil-Internet mit den paar Diensten, die meinem Netzbetreiber genehm sind.

Nun mag man einwenden, dass der Netzbetreiber doch gar nicht effektiv ausschließen kann, was er ausschließen will: Portsperren lassen sich durch Wechsel von Ports umgehen; im Zweifel hilft ein verschlüsselter Tunnel, vom Netzbetreiber unerwünschte Protokolle durchzuboxen. Nun wäre es aber falsch, sich deswegen zurückzulehnen und sich zu freuen, dass jedem mit profunder technischer Kompetenz die Sperren doch schnuppe können, weil man sie leicht umgehen kann. Das greift aber zu kurz, weil ich schon das Prinzip, den Internetzugang auf bestimmte Anwendungen zu beschränken, falsch finde, und nur weil es heute noch keine triviale Möglichkeit gibt, derartige Sperren weitreichender zu forcieren, heißt das nicht, dass es morgen auch noch so wäre. Ein bekannt gewordenes Beispiel ist die Durchleitung von Mails durch o2 über einen transparenten SMTP-Proxy, der kein STARTTLS unterstützte und somit effektiv eine an sich auf Basis von „TLS, wenn möglich“ aktivierte Verschlüsselung kurzerhand aushebelte. o2 erklärte dies im Nachhinein mit technischen Problemen, die inzwischen behoben seien, was meinetwegen auch so stimmen mag. Dennoch handelt es sich um ein praktisches Beispiel dafür, wie das aussehen kann, wenn der Netzbetreiber in den Datentransfer eingreift – und was heute noch ein Versehen war, ist morgen vielleicht schon Standard.

Aus diesem Grund halte ich es für wenig zielführend, sich einfach einen technischen Workaround zu schaffen und ansonsten Fünfe gerade sein zu lassen: Wer nicht will, dass einem der Provider dabei reinredet, was genau er im Internet nutzen darf und was nicht, der sollte seinen Wunsch nach strikter Netzneutralität deutlich artikulieren.

o2 gehörte bisher zu den tendentiell eher weniger schlimmen Anbietern. Nun überrascht der heutige Twitter-Status des offiziellen o2-Deutschland-Kanals mit dieser Auskunft:

@Lashal1 Bei Neubuchungen von Internet Pack M bzw. M+ (1 GB) ist die Nutzung für Note/Netbook nicht erlaubt. (JD)

Ich möchte an dieser Stelle einwerfen, dass ich selbst User eines solchen Internet Pack M bin – und zwar mit Hilfe zweier SIM-Karten (die o2 als „Multi-SIM“ anbietet) parallel auf meinem Handy und meinem Netbook. Es ist nicht so, dass ich hier etwas Unerlaubtes nutzen würde; mir wurde diese Nutzungsmöglichkeit im Beratungsgespräch an der Hotline ausdrücklich genannt und darauf hingewiesen, dass ich sogar per Handy und Netbook gleichzeitig das Internet nutzen könne.

Als Bestandskunde betrifft mich die Änderung vorerst nicht, aber bei Kündigungsfristen von einem Monat für das Internet Pack M besteht zumindest die Möglichkeit, dass o2 relativ kurzfristig auch Bestandskunden dieser Regelung unterwirft. Deshalb blogge ich schon heute und nicht erst, wenn es zu spät ist:

So geht’s nicht, o2.

Ein Bit ist ein Bit, und es ist völlig schnuppe, ob ich dieses Bit auf mein Handy oder mein Netbook herunterlade, oder ob ich die SIM-Karte in einen UMTS-Router stecke, hinter dem ein gewöhnlicher PC läuft. Nicht nur, dass das meinen Netzbetreiber einen feuchten Kehricht angeht: Es macht für ihn auch gar keinen Unterschied, für was für eine Art von Gerät er ein Bit überträgt. Weder entsteht ihm ein anderer Aufwand noch entstehen ihm andere Kosten. Insofern geht ihn auch überhaupt nichts an, was für ein Gerät ich nutze, so wie mir auch mein Telefonanbieter nicht vorschreibt, was für Telefone ich an meinem Anschluss benutzen darf. (Ich wollte eigentlich noch das Beispiel bringen, dass auch mein Kabelanbieter mir nicht vorschreibt, welchen Receiver ich benutzen darf. Allerdings geben sich die Kabelanbieter große Mühe damit, genau so etwas zu forcieren und nur „zertifizierte“ Receiver zuzulassen, die nur eingeschränkte Aufnahmemöglichkeiten bieten – was mir genauso missfällt, aber das gehört nicht hierher.)

Insofern liegt hier nun ein ähnlicher Fall vor wie beim Tethering mit dem iPhone: Hier ging es darum, dass man seinen T-Mobile-„Internetzugang“ nur auf dem iPhone selbst nutzen durfte, während die Möglichkeit, das iPhone als Modem zu benutzen, um darüber auch auf dem Netbook online zu gehen (was eine offizielle Funktion des iPhones ist – eben besagtes Tethering) blockiert wurde. Daher möchte ich an dieser Stelle deutlich sagen:

Liebe Netzbetreiber: Ihr seid Bit-Lieferanten und nichts anderes. Alles andere ist Größenwahn; sind Allmachtsphantasien.

Natürlich will die Übertragung der Bits auch bezahlt werden. Dagegen habe ich ja gar nichts einzuwenden. Ich zahle auch schon sehr lange dafür, selbst schon zu Zeiten, als die Tarifmodelle noch so aussahen, als müsse man nur mit seinen Internet-auf-dem-Handy-Kunden alleine die horrenden Kosten der ersten UMTS-Frequenz-Versteigerung wieder reinholen. Aber wofür ich zahle, ist Bandbreite, ist Volumen, oder meinetwegen schlicht und einfach ganz konventionell Zeit, die ich online verbringe. Was ich dann schließlich mit den Bits anfange, deren Transport ich bezahlt habe, geht niemanden etwas an, auch nicht meinen Netzbetreiber.

Etliche Forenteilnehmer glauben, den Grund für diese Einschränkung zu kennen: o2 wolle sich nicht den teuren Supportaufwand aufbürden, Nutzern zu erklären, wie sie den UMTS-Zugang auf ihrem Netbook einrichten können. Das halte ich allerdings für hanebüchen. Wenn das so wäre, wäre es o2 ein Leichtes, dafür eben schlicht und einfach keinen Support zu leisten. Es besteht aber ein himmelweiter Unterschied zwischen „Bei diesem Tarif unterstützen wir die Nutzung mit einem Netbook nicht (es geht aber, wenn Sie’s sich selbst einrichten)“ einerseits und „Bei diesem Tarif ist die Nutzung mit dem Netbook nicht erlaubt“. Denn erstens kann ich schließlich auch mit einem Smartphone rund um die Uhr Videostreaming machen, und zweitens bietet o2 ja bereits verschiedene Tarife mit verschiedenen Volumina, nach deren Überschreitung dann auf GPRS-Geschwindigkeit gedrosselt wird – Tarife also, die bereits widerspiegeln, dass unterschiedliche Nutzungsintensitäten ohne Frage o2 auch unterschiedliche Kosten verursachen. Das Gerät, auf dem die Nutzung erfolgt, spielt da nun wirklich überhaupt keine Rolle.

2010-05-31 o2 Einschränkung Geräte Internet-Pack M.pdf

Double-Opt-In ist der Fachbegriff für eine Methode, mit der eine Bestellung eines e-Mail-Newsletters oder auch einer Ware/Dienstleistung über das Internet juristisch möglichst wasserdicht vonstatten gehen soll.

Ziel dieses Verfahrens ist es, sicherzustellen, dass nicht irgendeine x-beliebige Person unter fremdem Namen für eine fremde Person im Internet etwas bestellen kann, sei es aus Jux, oder um die fremde Person bewusst zu schädigen.

[…]
In der Regel ist denn auch ein seriöser Dienstleister neben anderen Merkmalen wie schlüssigem Impressum, gutem Leumund in Suchmaschinen u.a. an der Durchführung dieses Double-Opt-In-Verfahrens zu erkennen.

Dagegen berufen sich unseriöse Versender von Newslettern („Spammer“) häufig auf das einfache Opt-In-Verfahren. Sie behaupten schlichtweg, der Spamempfänger habe sich per Opt-In bei dem Newsletter angemeldet, […]

(Quelle)

Seit Monaten erhalte ich den MySpace-Newsletter an root@extraserver.net. Die Domain gehört zu den von mir betreuten. Wie man sich anhand des Teils vor dem @ vermutlich denken kann, handelt es sich hierbei um eine Systemadresse, an die eigentlich nur Cronjobs „schreiben“. Wenn ich also eins mit Sicherheit ausschließen kann, dann, dass ich unter dieser Adresse einen Newsletter abonniert habe. Schon gar nicht den von MySpace. MySpace interessiert mich nämlich nicht die Bohne.

Die Newsletter enthalten einen Abmeldelink. Der ist lang und kryptisch. Rufe ich ihn aber auf, bekomme ich sofort einen Redirect auf die Startseite – und den Newsletter weiterhin. Fan-tas-tisch.

Also denk ich mir, „schreibste denen mal ne Mail“. Ich gehe auf myspace.com. Erstmal muss ich ganz nach unten scrollen, zu „Über MySpace (Impressum)“, denn etwas, was irgendwie nach „Kontakt“ klänge, findet sich nicht. Im Impressum finde ich keine E-Mail-Adresse. Stattdessen einen „Kontakt & Kundendienst: Bitte hier klicken“-Link. Ich lande auf der Seite „Häufig gestellte Fragen / FAQ“. Ja Himmel, diese Seite war in der Fußzeile neben dem Impressum verlinkt. Hätte ich hierhergewollt, hätte ich das schon angeklickt. Aber schön. In einer Seitenleiste, unter „Nützliche Links“ finde ich in kleiner Schrift den Punkt „Wende dich an MySpace“. Gut, endlich. Ich komme auf die Seite „Kontaktanfrage“ und muss ein Thema wählen. Das Thema „Andere“ ist das einzige, was passt. Die überraschende Auswahl der Unterthemen: „Problem wird nicht aufgeführt“ – und „Ist MySpace kostenlos?“. Nun denn, mein Problem wird nicht aufgeführt. Senden. Kann ich jetzt meine Nachricht senden? Oha, noch nicht: MySpace stellt anhand meiner griffigen Themenauswahl zunächst fest: „Die folgenden häufigen Fragen sind für deine Frage möglicherweise relevant“. Nein, sind Sie nicht! Ich muss noch den Button „Nein, E-Mail an Kundenservice senden“ anklicken. Dann, dann endlich bin ich auf einem Eingabeformular. Es ist betitelt mit „Du schickst eine E-Mail an den Kundenservice, nicht an Tom“. Rechts daneben ein Bild von Tom. In einem roten Kreis, durchgestrichen. Untertitel: „Diese Nachricht geht nicht an Tom“. Ich habe keine Ahnung, wer Tom ist. Ich kenne keinen Tom. Aber langsam glaube ich, MySpace hält seine User für beschränkt. Und noch viel wichtiger: MySpace will auf keinen Fall mit irgendjemandem kommunizieren. Flugs noch einmal nachgezählt: Fünf Klicks war das Kontaktformular letztlich entfernt. Doch damit fing das Grauen erst an. Wie’s weitergeht, seht ihr gleich, nach der nächsten Maus.

Ein Kontaktformular ist keine „Adresse der elektronischen Post“ – Allein das Bereitstellen eines Kontaktformulars im Impressum einer Internetseite genügt den Anforderungen von § 5 Abs. 1 Nr. 2 TMG nicht.

(Quelle, Leitsatz der Redaktion zu: LG Essen, Urteil v. 19.09.2007, Az. 44 O 79/07)

Wie’s mit dem eigentlichen Grauen dann weiterging, wollte ich erzählen. Ich schreibe also munter an MySpace, ganz freundlich, dass ich mich nicht daran erinnern kann, diesen Newsletter bestellt zu haben, und dass ich gerne den Opt-In-Nachweis für die Zusendung des Newsletters an diese Adresse sehen möchte.

MySpace kontert:

Falls du das Problem hast, dass jemand deine E-Mail-Adresse für ein Betrügerprofil verwendet, können wir dir zur Hilfe kommen. […] Du mußt uns dann nur schreiben, dass wir für dich das Betrügerprofil bitte löschen sollen. Bitte schicke uns dabei gleichzeitig die URL oder die Freunde-ID des Betrügerprofils (damit meinen wir den Namen bzw. den Nummernstrang am Ende der http:// Adresse im Webbrowser, wenn du das Profil besuchst, z.B. http://profile.myspace.com/…viewprofile&friendid=0000000 oder http://MySpace.com/MySpaceURL).

Äh, bitte was? Was weiß denn ich, wie die MySpace-URL oder die friendid von dem Spaßvogel heißt, der eine von mir betriebene E-Mail-Adresse in seinem Profil eingegeben hat? Und vor allem: MySpace wird doch wohl bitteschön bei der Registrierung eine Mail an jene Adresse senden, damit jene validiert werden kann – was ist denn da schiefgegangen, dass auch ohne diese Validierung einfach mal ein Newsletter verschickt wird? Nebenbei wurmt mich, dass MySpace mich einfach so duzt. Das mag ja unter den MySpace-Freunden so üblich sein. Ich bin aber keiner von denen. Aber ich will mal nicht so sein, auch wenn ich eisern beim „Sie“ bleibe. MySpace bleibt eisern beim „du“. Ist wohl Corporate Identity.

Ich schreibe MySpace, dass ich keine Ahnung habe, was für ein Profil das sein soll, und erinnere daran, dass mir gegenüber noch ein Opt-In-Nachweis zu erbringen sei. Diesmal setze ich noch eine Frist dazu. Macht sich immer gut.

Die Antwort verblüfft:

das fragliche Profil/ die Gruppe/ der fragliche Inhalt wird in Kürze gelöscht oder wurde bereits gelöscht. Damit sollte außerdem behoben sein, dass du keine weitere Newsletter erhältst. Wir bitten jedoch in diesem Zusammenhang um etwas Geduld. Auch wenn sich das Profil im Löschungsprozess befindet ist es möglich, dass deine Email Adresse noch auf der Verteilerliste steht. Spätenstens nach dem übernächsten Zyklus sollte dies behoben sein. Solltest du danach noch Newsletters erhalten, dann wende dich bitte erneut an uns.

Äh, ja, und wo genau war jetzt der Opt-In-Nachweis? Und wieso wird die E-Mail-Adresse nicht einfach aus dem Verteiler entfernt, sondern das Profil (das mir schnuppe ist – ist ja nicht meins) in einen „Löschungsprozess“ versetzt, von dem ich noch den „übernächsten Zyklus“ abwarten muss? Was ist überhaupt ein Zyklus? Ein Tag? Eine Woche? Ein Monat?

Ich verwende MySpace gegenüber nun partiell Großbuchstaben und fordere sie ein drittes Mal dazu auf, MIR DEN OPT-IN FÜR DIE ZUSTELLUNG IHRES NEWSLETTERS AN DIESE ADRESSE NACHZUWEISEN.

Doch MySpace ist eine offensichtlich gut geölte Ignoranzmaschine. Prompt folgt:

Wenn du kein Konto mehr bei uns hast dann werden wir daran arbeiten deine Email-Adresse aus dem System zu löschen. Solltest du danach wider Erwarten dennoch Nachrichten und Newsletter von uns erhalten, informiere uns bitte umgehend.

Wenn dein Problem dadurch nicht vollständig gelöst wird, dann klicke auf „Antworten“ und gib uns zusätzliche Informationen, die in deinen Augen relevant sind.

Heute nachmittag schrieb ich noch, dass ich nach meiner bisher einzigen Klage – trotz Erfolges – nicht wirklich Gefallen daran gefunden hätte, andere zu verklagen. In mir steigt ein starkes Wutgefühl auf und ich frage mich, ob ich nicht vielleicht doch Gefallen daran finden könnte. Himmel nochmal! OPT-IN! NACHWEIS! JETZT! Das kann doch wohl für eins der größten sozialen Netzwerke weltweit nicht so ein Problem sein! Ich schreibe erneut. In Großbuchstaben. Zwischen gestrichelten Linien. Dass ich endlich den Opt-In-Nachweis sehen will. Und dass ich ja eine Frist gesetzt hatte. Und dass die noch gilt.

MySpace, eisern.

die E-Mail Adresse root@extraserver.net wurde bereits aus dem Verteiler genommen. Bekommst du weiterhin noch den Newsletter?

Mich durchzuckt die Erinnerung an eine Szene aus „Die Nanny“: Mr. Sheffield ist nach einem von Miss Fines sprudelnden Wortwasserfällen in zu hoher Tonlage bemerkenswert still. Seine nächsten Worte sind: „Ich glaube, ich hatte gerade einen Hirnschlag.“

Ich antworte wahrheitsgemäß, dass ich bisher keinen weiteren bekommen habe, aber ja auch gar nicht weiß, wie oft er verschickt wird. Und ob meine Adresse schon gelöscht wurde. Oder noch im Löschungsprozess hängt. Und wieviele Zyklen jener noch vor sich hat. Und ich erinnere an die Frist. Opt-In-Nachweis, wissenschon.

MySpace sieht die Ursache für den ganzen Aufriss nicht etwa darin, dass man nicht dazu in der Lage ist, mir meinen Opt-In nachzuweisen, sondern schiebt es auf den User. Kein Wort davon, dass es für die gesamte seriöse Werbe- und Newsletterbranche schon seit Jahren völlig selbstverständlich ist, das Einverständnis für den Erhalt eines Newsletter zu -p-r-ü-f-e-n-, bevor man den Newsletter tatsächlich versendet. Aber es liegt natürlich auf der Hand: MySpace ist hier das Opfer. Das Opfer eines betrügerischen Jungen, der so gemein war, meine E-Mail-Adresse in seinem Profil einzutragen:

mit der Erstellung eines MySpace Profiles, erfolgt automatisch die Zusendung der Newsletters und der Benachrichtigungen an die im Profil angegebenen Email Adresse. Nach der Erstellung des Profiles hat der User die Möglichkeit, diese Optionen abzustellen.
Der User, der deine Email Adresse für sein Profil verwendet hat, hat diese Optionen nicht abgestellt, daher hast du die Newsletter erhalten, was nun nicht mehr sein sollte, weil das Profil bereits gelöscht wurde.
Leider ist es uns nicht möglich die persönlichen Daten unserer Benutzer ohne ordnungsmäßigen, rechtsgültigen Antrag herauszugeben.

MySpace schließt mit einem überraschenden Hinweis:

Bitte stelle eine Anklage oder leite rechtliche Schritte bei der deutschen Polizei ein und die soll sich dann mit uns in Verbindung setzen.

What the f..? Ich will doch gar nicht wissen, wer da was für ein Profil eingerichtet hat! Ich will wissen, wie MySpace dazu kommt, mir einen Newsletter zu senden und mir dann mein Einverständnis nicht nachzuweisen! Wenn ich zur Polizei gehe, dann höchstens, um jemanden wegen Spammings anzuzeigen. Nämlich MySpace.

Der Mailwechsel endet mit zwei überraschend kurzen Mails, mit denen dann auch alles gesagt ist.

Ich:

Senden Sie dann etwa nicht an die angegebene E-Mail-Adresse z.B. einen Bestätigungslink, der erst noch angeklickt werden muss, um sicherzustellen, dass die Adresse auch wirklich der Person _gehört_, die sich gerade bei Ihnen registriert?

MySpace:

Hallo,

nein. Eine Bestätigungs-Email zur Verifizierung der Email Adresse wird nicht versendet.

Vielen Dank,
Myspace.com

Na dann: Willkommen im 21. Jahrhundert.

[Der] Dunning-Kruger-Effekt (DKE) ist eine Form der kognitiven Verzerrung und beschreibt die Tendenz inkompetenter Menschen, das eigene Können zu überschätzen und die Leistungen kompetenterer Personen zu unterschätzen.

Es kommt nur selten vor, dass mich Anfragen im technischen Support erreichen, die dazu führen, dass meine Gedanken den ganzen Tag über um nichts anderes kreisen und mich letztlich fast verrückt machen.

Vorweg: Ich finde es überhaupt nicht schlimm, wenn man von Technik keine Ahnung hat. Wirklich nicht. Ich sehe auch nicht auf solche Menschen herab. Es gibt genug Bereiche, in denen ich selbst völlig unbewandert bin.

Die Kombination aus Unwissenheit und Ignoranz ist aber dann schon eine Stufe härter. Sowas regt mich dann vielleicht kurz innerlich auf, aber dann hat sich’s auch wieder.

Wenn jedoch Unwissenheit, Ignoranz und dazu noch Besserwisserei zusammenkommen, fällt es mir schwer noch an mich zu halten.

Der Auslöser für diesen Blog-Beitrag war ein einfacher Satz (kurz zuvor hatte ich dem Kunden mitgeteilt, dass ich ihm nicht dabei helfen kann, wie er seinen lokalen Proxy-Server am vernünftigsten konfigurieren solle):

Da Sie mir keine Sicherheitsberatung bieten können, möchte ich Ihnen mal zeigen wie „Sicher“ ihre Server sind.

Gepaart mit einem Link zur Diagnoseseite von Googles Safe Browsing (die sagte, dass mit der Seite alles Bestens sei) und einem Link zu RadaBG.com, der aussagt, dass 0,06% der Seiten im Netz unseres Upstream-Providers (bei dem wir ja nur einer von vielen Kunden sind) vermutlich „malicious“ seien. In absoluten Zahlen: 3 Websites. Festgestellt 2005. Aha. Was das über die Sicherheit unserer Server aussagen soll, erschließt sich mir nicht.

Aber ein wenig zur Vorgeschichte. Im Zuge einer Supportanfrage des betreffenden Kunden fiel mir auf, dass ich beim Aufruf seiner Website ein 410 Gone bekomme, zusammen mit einer detaillierten Hinweissseite, dass ich gesperrt worden sei (beim ersten Aufruf seiner Seite!), weil ich gegen eine der Benutzungsregeln seiner Website verstoßen hätte. Diese Bedingungen („auf Grund meiner schlechten Erfahrungen notwendig“) umfassen diese strikt zu befolgende Anweisungen:

– es darf kein Proxy von mir erkannt werden
– ein wildes herumklicken ohne die Seite durch zu lesen ist nicht gestattet
– es muß von Ihrem Browser ein Referrer gesendet werden
– der Hostname zu Ihrer ip-Adresse muß aufgelöst werden können
– die *.css-Datei muß mit geladen werden
– die Ansicht meiner robots.txt ist nicht gestattet
– automatische Anfragen an meinen Server werden geblockt
– Anfragen in der URL mit http/https werden geblockt
– das scannen nach Schwachstellen mit einer Software sollte auch verhindert werden
– Anfragen außer POST, GET werden von mir abgewiesen
– Besuche ohne Browserkennung sind nicht möglich
– ohne aktivierte Cookies ist die Ansicht von Informationen nicht möglich

Ich blieb beim ersten Lesen nur kurz an „es muß von Ihrem Browser ein Referrer gesendet werden“ hängen. Mein Gefühl sagte mir: Naja, so kann das ja wohl schlecht gemeint sein, dann kann man ja seine Website nur über Links aufrufen – nicht aus einer Mail heraus, nicht von Hand eingegeben, und vor allem auch nicht aus einem Lesezeichen im Browser heraus.

Doch genauso ist es.

Minuten später trifft eine Mail bei mir ein, die mir allen Ernstes eine Anleitung gibt, wie ich seine Seite aufzurufen habe:

ich sehe gerade Sie besuchen meine Seite, und vielleicht auch noch einer Ihrer Kollegen. Damit Sie nicht noch weitere ip-Adressen verschießen besuchen Sie folgenden Link:

http://www.google.de/search?hl=de&q=das+hab+ich+mal+lieber+entfernt

Dort bin ich der 4. Link von oben. Da vielleicht Ihre Kollegen meine Seite direckt aufrufen wird natürlich am Anfang kein Reffer übertragen.

Ab 00:00Uhr setzt sich meine Openbsd Firewall in gang (PF) dort werden alle IP-Adressen die mein Webserver gesammelt hat gesperrt.

Ich war für einen Moment sprachlos. Ein ausgeprägtes Sicherheitsbedürfnis ist ja schön und gut. Bei diesem Mann scheint mir die Grenze zur Paranoia aber schon vor langer Zeit überschritten worden zu sein.

Inhaltlich beschäftigt sich seine Website mit Suchmaschinen-Optimierung (d’oh!). Und was ich da alles gelesen habe, das zog mir wirklich die Schuhe aus angesichts des riesigen Haufen Unsinns, aus richtigen Beobachtungen falsch gezogener Schlüsse, technisch grundfalscher Informationen und nicht zuletzt einer Rechtschreibung, die mir die Tränen in die Augen trieb. Ein andere Kunde von uns, der sich wirklich mit Suchmaschinen-Optimierung auskennt (normalerweise würde ich hier verlinken, aber ich möchte vermeiden, dass sein bissiges Zitat auf ihn zurückfällt), berichtete mir im Chat nach kurzer Lektüre der fraglichen Website von einem Vortrag, den er kürzlich besuchte:

ja, der SEO Papst Mario Fischer sagt dazu: 90% aller SEOs sind Dumpfbacken.

Kein Zweifel, dass ich hier nicht gerade mit jemandem zu tun habe, der sich zu den 10% zählen darf. Oder etwa doch? Immer wenn man ganz besonders laut „au Backe“ rufen möchte, tut es ganz gut, sich zu versichern, ob andere die eigene Einschätzung teilen – schon, um nicht selbst ein Opfer des DKE zu werden. Aber das Urteil der anderen fiel beruhigenderweise ebenso vernichtend aus. Eine kleine Auswahl:

Was für ein Irrer. Und das ist ein Kunde von dir?

Prost an den Herrn, er kann nur im Dauerkoma leben – anders ist das nicht erklärbar.

meinst du, er hat keine ahnung, was er da tut oder glaubst du, er weiß es sehr wohl?

ferndiagnostisch ne schizotype persönlichkeitsstörung :p

wow. der ist unfassbar dumm.

ich würde ihm wirklich das „sind sie blöd formular“ schicken

welcher total hirn ampotierte speert leute die auf seine seite gehen – da müsste ich doch eins an der latte haben

meine Güte, es gibt schon Spezialisten, oder?

Meine ganz persönliche Einschätzung ist: Der hatte noch nie mit jemandem mit technischem Sachverstand zu tun, der ihn mal an die Seite genommen hat und ihm sagte: Pass auf, mein Junge, das ist Mist, was du da schreibst. Ich erklär dir das mal. Und nun sieht er den Umstand, dass jeder mit einfachsten technischen Grundkenntnissen vor ihm sofort die Flucht ergreift, als Bestätigung dafür an, dass nur er der einzig wahre Experte ist.

Was also tun? Ihn in dem Glauben lassen, er sei der Größte auf Erden? Klar, irgendjemand muss ihm mal die Augen öffnen, aber muss unbedingt ich das sein? Höchstwahrscheinlich würde er ohnehin nur beleidigt sein, und noch viel schlimmer: Er würde sich darin bestätigt fühlen, dass auch wir wieder nur einer der vielen inkompetenten Provider sind wie die, mit denen er seiner Aussage nach bisher zu tun hatte. Umgekehrt wäre es natürlich auch fies, jemandem deutlich zu schreiben, dass er keine Ahnung hat, wenn man dann nicht auch bereit wäre, ihn darüber aufzuklären, wie die Dinge in Wirklichkeit funktionieren – aber Hand aufs Herz, soviel Zeit habe ich nicht. Soviel Zeit hat keiner von uns.

Wenn eine Antwort also aller Voraussicht nach sowieso nichts bringt als noch viel längere, fast körperlich qualvolle Diskussionen, dann richtet sie doch vielleicht eher noch Schaden und Verletzung an. Deshalb meine Antwort dazu nicht an ihn persönlich, sondern anonymisiert an dieser Stelle, aus der beliebten Kategorie „Mails, die meinen Postausgang letztendlich doch nicht verlassen haben“:

Hallo Herr $NAME,

ähnlich wie Sie offensichtlich die Sicherheit unserer Server in Zweifel ziehen, ziehen nicht nur ich, sondern auch meine Kollegen die sinnvolle Konfiguration Ihres Servers und auch die Stichhaltigkeit der von Ihnen genannten Punkte in Zweifel.

Ich würde mir normalerweise kein Urteil oder Kritik anmaßen und mit meiner persönlichen Meinung hinter dem Berg halten. Wenn Sie uns aber Nachhilfe darin erteilen möchten, wie „sicher“ unsere Server sind und dazu ausgerechnet eine Website heranziehen, die lediglich eine Aussage über die Anzahl möglicherweise unsicherer Website im Netz unseres Upstream-Providers trifft, dann möchte ich hiermit dann doch gerne ganz schnell einen Schlussstrich unter die Diskussion ziehen:

Selbst wenn ich einmal annehme, dass Sie im SEO-Bereich ein Experte wären (worüber ich mir kein Urteil anmaße, weil ich mich damit nicht auskenne), so zeigt doch nahezu jede Unterseite Ihrer Website grundlegende Verständnisprobleme und gravierende Fehleinschätzungen einfachster technischer Zusammenhänge auf. Dass Sie mit Ihren „Tatsachen“-Schilderungen von Kunden ausgelacht wurden, kann ich von daher – so leid es mir tut, das zu sagen – nur sehr gut nachvollziehen. Meine ganz persönliche Befürchtung ist, dass Sie keine Vorstellung davon haben, wie sehr Sie sich in ihrem eigenen „Wissen“ über angebliche Zusammenhänge verstrickt haben, und wie weit das von der Realität entfernt ist.

Insbesondere da Sie ja ohnehin keine Hosting-Leistungen von uns beziehen, dürfte eine Auseinandersetzung über Sicherheitsthemen so oder so entsprechend fruchtlos verlaufen. Ich bitte daher um Verständnis darum, dass wir diese nicht mit Ihnen zu führen bereit sind.

Freundliche Grüße,
Jonas Pasche

Wenn Sie das hier lesen sollten und sich angesprochen fühlen – dann sind möglicherweise auch Sie gemeint.

So, jetzt geht’s mir besser.

PS: Einen Kreativitätspunkt für „ein wildes herumklicken ohne die Seite durch zu lesen ist nicht gestattet“ gibt es natürlich schon noch. Auf die Idee muss man erstmal kommen..!

Im September letzten Jahres hatte ich darüber berichtet, dass das Opfer einer Fax-Abzocke – natürlich nur fälschlicherweise – uns als Verantwortliche für diesen Betrug ausfindig gemacht zu haben meinte. Ärgerlich wurde die Sache dadurch, dass wir nicht nur mit falschen Anschuldigungen überzogen wurden, sondern zudem das Betrugsopfer auch noch angab, „unser“ Vorgehen an die Wettbewerbszentrale gemeldet zu haben.

Ich bin normalerweise ein friedliebender Mensch, und als solcher habe ich versucht, die Angelegenheit einfach mit einem kurzen Anruf zu klären. Nach der überraschenden Erkenntnis, die Anschuldigungen basierten darauf, dass „das doch so im Internet stehe“, resultierte das Telefonat letztlich aber nur in einer mündlichen Mittteilung, dass ich, wenn ich mit der Sache nichts zu tun hätte, das anschuldigende Schreiben doch einfach ignorieren solle. Das ging mir wiederum nicht weit genug – immerhin wurde darin ja auch geäußert, dass man mich bereits bei der Wettbewerbszentrale angeschwärzt habe. Ich äußerte also sowohl am Telefon als auch kurz darauf noch einmal schriftlich, dass ich durchaus darauf bestehen würde, die falsche Äußerung gegenüber der Wettbewerbszentrale zurückzunehmen.

Unverständlicherweise passierte dann – gar nichts, obwohl es doch trivial gewesen wäre, mit einem einfachen schriftlichen Widerruf einen Schlussstrich unter die Angelegenheit zu setzen, ohne Kosten, ohne Anwälte, ohne Gerichtsverfahren. Offensichtlich war das Gegenüber dazu aber nicht bereit, so dass ich an diesem Punkt dann anwaltliche Unterstützung hinzuzog und eine Unterlassungserklärung vorbereiten ließ. Doch auch die wurde von der Gegenseite nicht abgegeben. Vielmehr antwortete sie schriftlich, man habe „nie behauptet, dass …“ – was natürlich ein wenig unterhaltsam ist, weil mir exakt diese Behauptung zuvor nicht einfach nur schriftlich, sondern sogar per Einschreiben zugestellt wurde. Kurz, man behauptete, das alles nie behauptet zu haben, man hätte deswegen auch nichts zu unterlassen und würde deshalb auch keine Unterlassungserklärung abgeben, schon gar keine strafbewehrte.

Ich bat meinen Anwalt, doch noch ein letztes Mal dort anzurufen und denen zu erklären, dass das so nicht geht, und zu verdeutlichen, dass ich darauf bestehe, die falschen Anschuldigungen gegenüber der Wettbewerbszentrale zu widerrufen. Seine Antwort fiel knapp aus:

Frau $NAME war letzte Woche im Urlaub, deshalb habe ich sie heute erst erreicht. Sie war allerdings nicht bereit mit mir zu sprechen. Sie hat mir nur in einem aggressiven Tonfall mitgeteilt, ich solle doch bitte alles schriftlich einreichen. Offensichtlich kann man auf vernünftige Art und Weise mit $GEGENSEITE nicht kommunizieren.

Mir wurde die Sache zu bunt.

Unmittelbar vor der Verhandlung regte die Gegenseite an, ich solle meine Klage doch zurückziehen; man würde die Unterlassungserklärung dann eben unterschreiben, aber ohne Strafbewehrung, und jeder solle einfach nur seine eigenen Anwaltskosten tragen. Mein Blick muss wohl ziemlich ungläubig gewesen sein. Übrigens auch der Blick des Richters, als die Gegenseite vorbrachte, mit diesem Angebot doch „alles“ versucht zu haben, um ein Verfahren zu vermeiden. Die Ehre, das Verfahren von Anfang an zu vermeiden versucht zu haben, die käme ja wohl eher Herrn Pasche zu, waren glaube ich seine ungefähren Worte.

Ende letzter Woche traf nun das Urteil ein, dessen Lektüre mir dann doch ein kleiner innerer Reichsparteitag war:

[…]
Selbst wenn die von der Beklagten benannte Zeugin $NAME dem Kläger gegenüber telefonisch erklärt haben sollte, dass keine Forderungen gegen ihn geltend gemacht würden, was angesichts des weiteren Verhaltens der Beklagten und des Schreibens vom 30.10.2009 eher zweifelhaft erscheint, waren die in der E-Mail vom 28.9.2009 durch den Kläger aufgestellten Forderungen gegenüber der Beklagten berechtigt.
[…]
Das vorprozessuale Antwortschreiben vom 30.10.2009 auf das anwaltliche Unterlassungsbegehren ist teilweise inhaltlich unzutreffend und teilweise ausweichend formuliert. So wird unzutreffend erklärt, die Beklagte habe zu keinem Zeitpunkt behauptet, dass der Kläger für das Register „Deutscher Registereintrag“ verantwortlich sei. Das Gegenteil ist zutreffend.
[…]
Die Begründung des Klägers in seiner E-Mail vom 28.9.2009, dass er sich mit einer mündlichen Erklärung einer Mitarbeiterin der Beklagten, er solle das Anschreiben einfach ignorieren nicht zufrieden geben könne, ist plausibel und nachvollziehbar. Es wäre der Beklagten ein Leichtes gewesen und hätte sie auch nichts gekostet, die berechtigten Forderungen des Klägers in der E-Mail vom 28.9.2009 zu erfüllen. […] Stattdessen hat sie es unverständlicherweise vorgezogen, auf die berechtigten Forderungen des Klägers überhaupt nicht zu reagieren. Dass dieser daher mit anwaltlichem Schreiben von der der Beklagten Unterlassung und Auskunft gefordert hat, ist vollkommen berechtigt. Der Beklagten wäre es somit ein Leichtes gewesen, das gesamte Verfahren zu vermeiden. Dass sie die ihr von dem Kläger angebotene Möglichkeit nicht wahrgenommen hat, erscheint schlechterdings unverständlich.
[…]

Quintessenz: Die Gegenseite muss unterlassen; sie muss meine vorprozessualen Anwaltskosten tragen, und sie muss fast die vollständigen Verfahrenskosten übernehmen. Einerseits tut’s mir ja leid, weil die Gegenseite ja schon durch den Fax-Abzocker geschädigt wurde. Aber andererseits kann man sich eben trotzdem unbeteiligten Dritten gegenüber nicht einfach aufführen wie die Axt im Walde. Dass ich friedliebend bin, heißt ja nicht, dass ich mich nicht zu wehren wüsste, wenn ich mir nichts habe zuschulden kommen lassen.

Mein Rechtsanwalt bestätigte, ich hätte das Glück gehabt, hier wirklich einmal nur die guten und funktionierenden Seiten des Rechtsstaats erleben zu dürfen. Hoffen wir, dass so schnell kein weiterer Anlass zu einer Klage besteht. Ich kann nicht behaupten, Gefallen daran gefunden zu haben.

Wenn es um Sicherheitsprobleme geht, werfen die entsprechenden Security-Advisories gerne mit Begriffen wie „cross-site scripting“, „cross-site request forgery“ oder „sql injection“ um sich. Aus aktuellem Anlass können wir mal ein praktisches Beispiel einer real existierenden Software nehmen (deren Name lieber ungenannt bleibt), mit der man mandantenfähig Rechnungen erstellen kann, die sich ein Kunde auf seinem Webspace installiert hat. Sie lief anfangs nicht, und die Basis seiner Anfrage war dann eher erstmal der Wunsch nach „Könnt ihr das zum Laufen bringen“-Support. Nachdem ich mir dazu kurz einige der fraglichen PHP-Dateien angeschaut hatte, wurde daraus dann aber eher ein kleines Lehrstück, das ich hier gerne (bis auf die Usernamen) unverändert weitergebe.

[...]

Es sieht mir auf den ersten Blick so aus, als könne man da sehr viel
verbessern, wenn ich das mal vorsichtig so sagen darf. ;-)  Ich sehe
schon auf den ersten Blick Angriffspunkte für SQL Injection sowie eine
Abhängigkeit von register_globals = On. Das erste ist ein handfester
Fehler; das zweite eröffnet eventuelle Angriffspunkte, die nicht sein
müssten. Freundlich gesagt sieht man der Software an, das sie von 2006
ist. :)

Willst du mal sehen, wie das mit SQL Injection funktioniert?

Gib mal bei der Anmeldung als Benutzername deinen Zugang "max" ein
und dann als Passwort dieses hier:

        '||ID='1

Schwupps, bist du drin. Das klappt mit "moritz" genauso. Und mit jedem
anderen auch.

Hintergrund ist, dass in der mod/authent.php ausgeführt wird:

        $result=$dbverbindung->run_sql("SELECT ID,User,Pwd FROM Admin WHERE User='"
          .$user."' AND Pwd='".$pwd."'");

Das heißt, wenn du "max" und "geheim" angibst, steht da:

        SELECT ID,User,Pwd FROM Admin WHERE User='max' AND Pwd='geheim'

Genauso steht dann aber auch da, wenn du mein Trick-Passwort anwendest:

        SELECT ID,User,Pwd FROM Admin WHERE User='max' AND Pwd=''||ID='1'

Also "selektiere alle User, deren Name 'max' ist und bei denen das
Passwort leer ist (was nie vorkommt), oder alle User, deren ID = 1 ist".

Das "Schöne" ist: Es wird so einfach der User 1 selektiert. Dass du da
"max" angibst, tut überhaupt nichts zur Sache. Siehe hier:

        mysql> SELECT ID,User,Pwd FROM Admin WHERE User='moritz' AND Pwd=''||ID='1';
        +----+--------+---------+
        | ID | User   | Pwd     |
        +----+--------+---------+
        |  1 | max    | geheim  | 
        +----+--------+---------+
        1 row in set (0.00 sec)
        
Aber: Da mod/authent.php immer den Namen aus dem _Formular_ in die
Session als angemeldeten User übernimmt, musst du nicht mal die numerische
ID kennen. Es reicht, dass das SQL-Statement _irgendeinen_ Datensatz
zurückliefert; dann schreibt es den Namen aus dem Formular in die
Session. Sprich, beim vorigen SQL-Statement wäre ich dann als "moritz"
angemeldet, obwohl das SQL-Statement deinen Account geliefert hat. Ich
brauche also nur einen beliebigen Benutzernamen sowie '||ID='1, dann
komme ich rein.

Richtig WÄRE im Programmcode übrigens:

        $result=$dbverbindung->run_sql("SELECT ID,User,Pwd FROM Admin WHERE User='"
          .mysql_real_escape_string($user)."' AND Pwd='".mysql_real_escape_string($pwd)."'");

Allerdings müsste man solche Fehler an ...

        $ grep -r ">run_sql" . | wc -l
        92

... Stellen in Ordnung bringen. Da kann man's auch gleich selber
schreiben. (Dass das Problem nicht nur beim Login vorliegt, sondern bei
jedem SQL-Statement, zeigt mir auch, dass das kein "Bug" ist, den der
Autor dort versehentlich eingebaut hat, sondern dass ihm grundlegendes
Verständnis vom Design von Webapplikationen fehlt. Ist ja nicht so, dass
die PHP-Dokumentation das nicht alles haarklein erklären würde..! Da
findet sich Code wie der von ihm fast 1:1 in der Doku - als Beispiel
dafür, wie man's NICHT macht.)

[...]

Folge: Der Kunde verpackt das installierte PHP-Script noch hinter einer .htaccess-Datei zum „übergeordneten“ Passwortschutz. Da es sich um eine Anwendung handelt, die er ausschließlich selbst einsetzt und die keinen Dritten zur Verfügung stehen wird, ist dies hier ein – vom Sicherheitsaspekt her – akzeptabler Kompromiss. Dass man üblicherweise lieber Software von Leuten einsetzen sollte, die ihr Handwerk verstehen, versteht sich hoffentlich von selbst.